Hier gingen die Begriffe tatsächlich ziemlich durcheinander, MacFlieger hat aber das meiste schon sehr gut erklärt.
Was eine "echte" Firewall ist, ist natürlich Ansichtssache und kann je nach Umgebung sehr verschieden sein. Ich würde aber genauso sagen, dass ein Paketfilter (und damit das, was Apple in Mac OS X als "Firewall" bezeichnet) eigentlich
keine Firewall ist.
Ein Paketfilter kann nicht mehr tun, als Sende- und Empfangsports sowie Sende- und Empfangsadressen jedes Datenpakets zu prüfen, wobei der betroffene Netzwerkanschluss und die Senderichtung in die Prüfung mit eingehen kann. Hierbei werden grundsätzlich alle Pakete blockiert und nur Pakete, die bestimmte Kombinationen von Ports und Adressen aufweisen, durchgelassen. In gewissen Grenzen kann ein solcher Paketfilter noch mehr, er kann beim Beobachten bestimmter Pakete in einen "Sonderstatus" gebracht werden (Stateful Packet Inspection), in dem er für einen gewissen Zeitraum
fast alle Pakete in eine bestimmte Richtung zwischen einem Sender-/Empfängerpaar durchlässt, dessen Kommunikation sich kurz vorher als unverdächtig herausgestellt hat. Das ist zum Beispiel für den Zugriff auf FTP-Server nötig, da es zu den Eigenheiten von FTP gehört, Portnummern quasi auszulosen, so dass sie im Vorhinein nicht bekannt sind und ansonsten FTP-Pakete immer ausgefiltert werden würden.
Eine "echte" Firewall geht hier noch viel weiter: Sie überprüft auch die Inhalte der Pakete und kann mehrere dieser Statusbeobachtungen auch auf einer Vielzahl unterschiedlicher Ports gleichzeitig durchführen, diese anhand komplexer Regeln bewerten und korrekt zuordnen. Es handelt sich immer um eigene Hardware. Für solche Firewalls bezahlt man üblicherweise 4- bis 5-stellige Beträge. Sie sind meistens so kompliziert einzurichten, dass man dazu in der Regel eine eigene Firma mit lange laufenden Wartungsverträgen beauftragt.
Zu den anderen Fragen:
- Ports, die nicht von einem Netzdienst, den man anbietet, genutzt werden, sind sowieso "zu". Es ist also weder eine Tür, noch eine Wand vorhanden. Da ist noch nicht mal ein Gebäude...
- Paketfilter sind so vorprogrammiert, dass sie alle auf den Netzwerkanschlüssen eingehenden Anfragen sperren. Da ist auch nichts für HTTP und Mail offen. Nur bei Netzkommunikation, die von Innen nach Außen geht wird zugelassen, dass der jeweilige Kommunikationspartner (und nur der) Rückantworten senden darf. Deshalb kann man z.B. Safari nutzen, auch wenn alle Ports gesperrt sind.
- Richtet man einen Netzwerkdienst auf seinem Rechner ein, öffnet man damit einen oder mehrere Ports ("Türen"). Schaltet man nun die Firewall ein, werden alle Türen wieder "zugemauert". Gibt man diese Türen in der Firewall frei, werden diese überwacht und anhand gewisser Regeln geöffnet.
- Eine Paketfilter-Firewall weiß eigentlich nicht, was "das Internet" ist! Je nachdem, wo die Firewall sich befindet, kann sie also Rechner im eigenen Netzwerk nicht von Rechnern im Internet unterscheiden.
- Die Funktion "Internet-Sharing" richtet auf einem Computer, der mindestens zwei Netzwerkanschlüsse hat, einen NAT-Router ein. Wird an einem Anschluss eine Verbindung ins Internet hergestellt, können dann nicht nur dieser Computer, sondern auch alle Computer in einem Netz, die an dem anderen Netzwerkanschluss hängen, auf das Internet zugreifen. Hierzu routet der sharende Computer die Pakete von einem Netz in das andere und schreibt die Sende-/Empfangsadressenin in jedem Paket um, so dass so getan wird, als wäre nur der eine Computer im Internet.
- Paketfilter im Consumer-Bereich müssen einfach zu bedienen sein. Daher werden einige "Grundregeln" bereits einprogrammiert, ohne dass der Benutzer etwas einzustellen braucht. Wie gesagt ist die übliche Grundannahme, den Datenverkehr von innen nach außen komplett zu erlauben und von außen nach innen komplett zu sperren, es sei denn, es handelt sich um direkte Rückantworten auf eine Anfrage von innen nach außen.
Bei Jochen ist die Sache kompliziert, denn er betreibt offensichtlich zwei Software-Consumer-Paketfilter-Firewalls auf einem Rechner, der als Router zwischen zwei Netzen fungiert. Da die Firewalls nicht wissen können, welche der beiden Netze (Ethernet oder Airport) ins Internet führen, sind Probleme vorprogrammiert. Die korrekte Lösung wäre zum einen, nur NetBarrier zu verwenden, zum anderen, für beide Netzwerkschnittstellen von Hand (!) unterschiedliche Sätze von Regeln zu programmieren. Die Rechner im Airport-Netz müssen ja ganz anders behandelt werden, als die Rechner am Ethernet-Port. Beides ist für den Paketfilter "außen".
Eine Firewall garantiert noch keine Netzwerksicherheit. Vor Viren oder trojanischen Pferden, die übers Netz hereinkommen, schützen sie zum Beispiel überhaupt nicht.