MenüNetzwerklösungen, Webprogrammierung, Intranetlösungen, Datenbanken, Anwendungsprogrammierung und Systemsicherheit aus einer Hand in Bad Tölz
Diese Seite beschreibt die Funktionsweise einer typischen Firewall.

 Netzwerktechnik: Die Firewall

Workstation lan Bastionshost  
Workstation
192.168.0.10
  Bastionshost
192.168.0.3
195.100.10.2
    Providernetz
195.100.12/24
Webserver DMZ Netz Transitnetz
195.100.11/30
Netz Netz
Webserver
195.100.10.3
Router
195.100.10.1
195.100.11.1
Router ISDN Router Router
195.100.12.1
195.100.11.2

Wenn das lokale Netzwerk permanent über eine Standleitung oder ADSL mit dem Internet verbunden werden soll, dann reicht die Sicherheit, die der Router im vorigen Abschnitt bietet, erst recht nicht mehr aus.

Um Mißverständnissen vorzubeugen: Eine Firewall ist nicht irgendein "Kasten", sondern ein System, eine Konstruktion mit unendlich vielen Spielarten. Hier kann also nur eine - allerdings häufig verwendete - Möglichkeit, ein "Klassiker" sozusagen, dargestellt werden.

Zum sauberen Abkoppeln des lokalen Netzwerks (LAN) vom Internet bedient man sich einer sogenannten Firewall. Bestandteile der Firewall sind in diesem Konstruktionsbeispiel der Router 195.100.10.1, die DMZ und der Bastionshost 192.168.0.3, sowie das Transitnetz 195.100.11.0 auf der Standleitungsseite. Das Besondere am Bastionshost ist die Tatsache, daß dieser mit zwei Netzwerkkarten ausgestattet ist, zwischen denen gar kein oder nur ein sehr streng kontrollierter Datenverkehr stattfindet.

In der DMZ stehen diejenigen Server, auf die die Firewall einen gewissen öffentlichen Zugang gestattet. Dies können z.B. Dienste wie HTTP, FTP, SMTP oder zum Fernadministrieren auch SSH sein. Die entsprechende Paketfilterung wird im Router (195.100.10.1) vorgenommen.

Das LAN verdient einen besonderen Schutz, daher ist es über den Bastionshost nochmal von der DMZ abgekoppelt. Alle Rechner im LAN sollten aus Sicherheitsgründen nicht direkt auf das Internet zugreifen, sondern nur über Proxys, die auf dem Bastionshost installiert sind. In diesem Falle wird ein solcher Bastionshost ein "echter" Rechner sein. Ein Hardware-Router mit Paketfilterung tut's auch, wenn man an dieser Stelle keine Proxys benötigt und wirklich nichts weiter tut als nur IP-Paketchen routen.

Moderne Router unterstützen NAT, Paketfilterung und sogar das Abkoppeln des LAN von der DMZ, so daß sich damit auf eine äußerst preisgünstige Art und Weise eine Fülle von unterschiedlichen Firewall-Konstruktionen realisieren lassen.

Diese Website verwendet Cookies für eine bestmögliche Funktionalität und setzt bei Bedarf auch solche von Drittanbietern. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.

OKMehr Infos...