Wie kommuniziert man durch eine Firewall?

Hallo zusammen,

mich würde mal interessieren, was das übliche vorgehen ist, um durch eine Firewall zu kommunizieren. Als Beispiel SignalR, bzw. Websockets. (Gerne auch andere Technologien)

Muss Clientseitig immer eine Firewall-Regel eingerichtet werden, oder kann dies umgangen werden?
Verwendet jemand von euch auf Kundensystemen Ports wie 80 oder 443?

Wie ist es mit Hardwarefirewalls? Wir sitzen zum Beispiel hinter einer Sophos-Firewall, aber Programme wie Skype, WhatsApp gehen ohne Probleme durch. (Es gibt ein abgeschottetes Testnetzwerk). Regeln wurden nicht extra angelegt. Kommt es hier auf die Aggressivität der Firewall an? Stateful Packet Inspection (Ja/Nein) usw.?

Vielleicht habt ihr ja ein paar Stichwörter nach denen man gezielt suchen kann.

Danke

Von was einer Infrastruktur und Anwendung sprechen wir denn?
Webanwendung via Browser? Client-Server? Peer to Peer?

Übliche, für alles allgemeine Regeln gibt es nicht.
Während Sprachanwendungen wie Skype auf UDP setzen kommt für diese Anwendungen Hole Punching infrage - für TCP-Anwendungen i.d.R. nicht.
Whatsapp ist nur eine HTTP/TCP basierte Anwendung. Websockets werden durch den Anwender initialisiert, sodass keine Firewallregeln gesetzt werden müssen.

Haste Dir mal angeschaut, wann Firewalls überhaupt greifen?
Les Dir einschlägige Dokumente durch. Vermutlich niemand kann das hier ohne Copy-Paste in der Vollständigkeit (korrekt) wiedergeben.
Das haste nicht mit 3 Sätzen erklärt.

Vielen Dank erstmal für die Antwort. Ehrlich gesagt ist es kein existierendes Projekt oder akutes Problem.

Das Gespräch entstand aus folgendem Grund: Es gibt ein Dienst der andere Dienste überwacht: Dieser kommuniziert nach draußen und liefert den Status. Es müssen immer Firewallregeln angelegt werden. Sobald sich aus irgendeinem Grund die IP des Rechners ändert oder sonst was, greift die Regel der Hardwarefirewall nicht mehr und es muss neu eingerichtet werden.

Das ändern der IP ist nur ein Beispiel, man kann hier natürlich vorbeugen, allerdings kommt es trotzdem immer mal wieder zu dem Problem bei Kunden.

Das heißt Websockets haben das Problem in der Regel nicht?

Ich hatte mal gelesen, dass die Websockets kein Problem beim Verbindungsaufbau haben, da dieser quasi der HTTP-3 Way-Handshake ist. Alles was danach kommt, könnte aber zu Problemen führen.

EDIT: Ich werde mich weiter einlesen.
EDIT2: Im Browser wird für Websockets normalerweise port 80/443 genutzt? Daher wird es dort keine Probleme geben. Aber als Desktop-Client sieht das ganze wahrscheinlich schon wieder anders aus, nehme ich an

Es hat nichts mit WebSockets an sich zutun, sondern von welcher Seite aus die Verbindung aufgebaut wird... bei privaten Firewalls öffnet diese bei Anfragen aus dem Inneren i.d.R. den Port automatisch. Bei Firmenfirewalls wird mit Whitelists gearbeitet und alles geblockt, was nicht explizit freigegeben ist.
Von Außen wird ohnehin alles geblockt, wenn von Innen keine Anfrage kam und es keine Ausnahme gibt.
Das ist mal die Grundregel. Alle weiteren Methoden basieren auf dieser Grundregel.

Schau Dir bitte an, was Du für Technologien hast, denn Deine Fragestellungen sind so pauschal, dass man sie gar nicht vollständig beantworten kann.

SignalR, das Du erwähnst, kommuniziert zB nicht immer über WebSockets. Je nachdem öffnet SignalR ganz einfach nur Long Polling Requests via HTTP und kein WebSocket. Es sieht aber so aus, als sei es einer.
WebSockets selbst können auf jeden beliebigen Port betrieben werden. Kommt auf die Anwendung an, ob sich 80/443 eben ergibt oder man einen eigene Port eröffnet.
Wenanwendungen verwenden i.d.R. 80/443, daher betreibt man darauf auch die WebSockets. Aber Websockets sind nicht an Webanwendungen gebunden.

Es gibt zig Arten, wie man mit Firewalls umgeht und viele Parameter die entscheiden, ob man sowas selbst konfigurieren muss oder mit Hilfe von Methoden wie Punching arbeiten kann.
Von daher ist die Gefahr groß, dass das hier ein Endlosthread wird.

Danke erstmal für den Überblick. Ich hatte mich einfach gewundert, warum Applikationen wir Skype, WhatsApp usw. durch die Firewall kommunizieren können, ohne explizit was freizugeben (in der Hardwarefirewall). Viele andere Anwendungen müssen erst freigegeben werden, bis diese nach außen dürfen.

Ich werde mich weiter einlesen. Danke.

Ich hatte mich einfach gewundert, warum Applikationen wir Skype, WhatsApp usw. durch die Firewall kommunizieren können, ohne explizit was freizugeben (in der Hardwarefirewall).

Vielleicht ist eure FW nicht dazu fähig, Applikationen zu blocken oder vielleicht ist es gewollt in eurer Firma. Bei uns werden bis zu Applikationsebenen geblockt bzw. per Antrag explizit für bestimmter User(-Kreis) freigegeben, z.B. Flash, Skype, Facebook oder Facebook jedoch ohne Chat, etc.

Oder diese Anwendungen kommunizieren über Ports die in der Firewall freigegeben sind. Port 80, der normale HTTP Port ist zum Beispiel so ein Kandidat. Eine Firewall soll ja bestimmte Dinge auch durchlassen, wenn die Anwendung das nutzt was wahrscheinlich erlaubt ist, darf sie raus.

Eine Hardwarefirewall ist doch etwas außerhalb des Rechners? Wie kann die erkennen welche Anwendung Daten schickt?

Sowohl Switches (eines der bekanntesten ist Ipanema Technologies) wie auch Firewalls (zB Bluecoat) im Enterprisebereich können im Layer 7 Pakete analysieren um dadurch gewisse Dienste zu priorisieren oder zu blocken.
Wobei das sogar für gewisse Dinge (Voip, Games..) selbst die Fritzbox kann.

Eine reine Hardware-Firewall gibt es nicht. Auch auf einem proprietären Firewall-Server läuft nichts anderes als eine Software. Oft auch nur auf Linux-Basis.