MenüNetzwerklösungen, Webprogrammierung, Intranetlösungen, Datenbanken, Anwendungsprogrammierung und Systemsicherheit aus einer Hand in Bad Tölz
Diese Seite beschreibt die Funktionsweise einer typischen Firewall.
Werbebanner Google Responsive Design

 Netzwerktechnik: Die Firewall

Workstation lan Bastionshost  
Workstation
192.168.0.10
  Bastionshost
192.168.0.3
195.100.10.2
    Providernetz
195.100.12/24
Webserver DMZ Netz Transitnetz
195.100.11/30
Netz Netz
Webserver
195.100.10.3
Router
195.100.10.1
195.100.11.1
Router ISDN Router Router
195.100.12.1
195.100.11.2

Wenn das lokale Netzwerk permanent über eine Standleitung oder ADSL mit dem Internet verbunden werden soll, dann reicht die Sicherheit, die der Router im vorigen Abschnitt bietet, erst recht nicht mehr aus.

Um Mißverständnissen vorzubeugen: Eine Firewall ist nicht irgendein "Kasten", sondern ein System, eine Konstruktion mit unendlich vielen Spielarten. Hier kann also nur eine - allerdings häufig verwendete - Möglichkeit, ein "Klassiker" sozusagen, dargestellt werden.

Zum sauberen Abkoppeln des lokalen Netzwerks (LAN) vom Internet bedient man sich einer sogenannten Firewall. Bestandteile der Firewall sind in diesem Konstruktionsbeispiel der Router 195.100.10.1, die DMZ und der Bastionshost 192.168.0.3, sowie das Transitnetz 195.100.11.0 auf der Standleitungsseite. Das Besondere am Bastionshost ist die Tatsache, daß dieser mit zwei Netzwerkkarten ausgestattet ist, zwischen denen gar kein oder nur ein sehr streng kontrollierter Datenverkehr stattfindet.

In der DMZ stehen diejenigen Server, auf die die Firewall einen gewissen öffentlichen Zugang gestattet. Dies können z.B. Dienste wie HTTP, FTP, SMTP oder zum Fernadministrieren auch SSH sein. Die entsprechende Paketfilterung wird im Router (195.100.10.1) vorgenommen.

Das LAN verdient einen besonderen Schutz, daher ist es über den Bastionshost nochmal von der DMZ abgekoppelt. Alle Rechner im LAN sollten aus Sicherheitsgründen nicht direkt auf das Internet zugreifen, sondern nur über Proxys, die auf dem Bastionshost installiert sind. In diesem Falle wird ein solcher Bastionshost ein "echter" Rechner sein. Ein Hardware-Router mit Paketfilterung tut's auch, wenn man an dieser Stelle keine Proxys benötigt und wirklich nichts weiter tut als nur IP-Paketchen routen.

Moderne Router unterstützen NAT, Paketfilterung und sogar das Abkoppeln des LAN von der DMZ, so daß sich damit auf eine äußerst preisgünstige Art und Weise eine Fülle von unterschiedlichen Firewall-Konstruktionen realisieren lassen.

Pflichthinweis nach EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016: Diese Website verwendet Cookies für eine bestmögliche Funktionalität und setzt bei Bedarf auch solche von Drittanbietern. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.

OKCookies ablehnenMehr Infos...

Cookies sind kleine Textschnipsel, die zwischen Browser und Webserver ausgetauscht werden. Sie dienen dazu, die Funktionalität dieser Website zu verbessern. Beispielsweise wir dadurch dieser Hinweis nicht immer wieder eingeblendet, wenn Sie auf dieser Website unterwegs sind und Sie der Verwendung von Cookies bereits zugestimmt haben. Die Verwendung von Cookies kann in Ihrem Browser abgeschaltet werden. Dies geht jedoch auf Kosten des Komforts bei der Benutzung dieser Website. Hinweise zum Abschalten der Verwendung von Cookies finden Sie in der Hilfedatei Ihres Browsers.