Firewall Szenario 2Firewall Szenarien Firewall Szenario 4

Szenario 3

Autor: Johannes Schmidt, MCSEboard.de

Der Firewallkomplex in Szenario 3 stellt die notwendigen Sicherheitfunktionen zur Verfügung um Dienste zum Internet hin anzubieten z. B. Mailserver / Webserver)

Der Komplex besteht aus zwei Firewalls die im optimalen Fall von zwei unterschiedlichen Herstellern stammen. Alle Server die Dienste zum Internet hin anbieten sind zwischen den beiden Firewalls platziert. Mehrere Server in der DMZ (Bereich zwischen den Firewalls) sind über VLAN’s in eigene Segmente ohne internes Routing eingebunden. Jeder Server verfügt über zwei Netzwerkkarten um die Kommunikation von der inneren Firewall zum Server und von der externen Firewall zum Server zu trennen (Dual homed). Servermanagement Funktionen sind nur über die Netzwerkkarte die mit der inneren Firewall verbunden ist möglich. Das logging der Firewalls sowie der Server in der DMZ ist aktiviert und wird zeitnah gemonitored. Alle nicht benötigten Ports und Protokolle sind auf beiden Firewalls deaktiviert.

Vorteile dieses Aufbaus:

  • Sichere Netzwerkumgebung
  • Sicheres Hosten von Diensten die zum Internet hin angeboten werden


Nachteile dieses Aufbaus:

  • Hardwarekosten
  • Zeitlicher Aufwand für den Aufbau bzw. die Einrichtung der Umgebung


Möglichkeiten zur weiteren Steigerung der Sicherheit:

  • Einsatz eines Proxy Servers um den Internet Verkehr über eine zentrale Stelle zu steuern und ggf. zu beschränken. Durch einen solchen Aufbau kann die Firewall restriktiver konfiguriert werden da ein Verbindungsaufbau zum Internet hin nur noch vom Proxy Server zu erfolgen hat. Des weiteren bieten Proxy Server die Möglichkeit Inhalte oder bestimmte Webseiten für die Mitarbeiter zu sperren (z. B. Freemailer, Onlineauktionshäuser, Erotikseiten)
  • Einsatz eines IDS um mögliche Angriffe frühzeitig zu erkennen.
  • Anmeldung an den DMZ Komponenten nur über einmal Passwörter (Token).
Firewall Szenario 2Firewall Szenarien Firewall Szenario 4