<< 6.3 Proxies | Index | 6.5 Fazit >>


6.4 Firewall-Topologien

Personal Firewall

  • Auch Schutz vor Angriffen aus dem internen Netz
  • Zentrale Firewall ist kein Single Point of Failure mehr
  • In Kombination mit zentraler Firewall sinnvoll
  • Dezentrale Verwaltung ist sehr aufwendig

Dual-homed Host

  • Ein einzelner Rechner hat Zugriff nach außen, der Rest des Netzwerks nicht
    • Entkopplung von Netzen
    • Benutzer loggen sich auf diesem Rechner ein, um Dienste von außen zu nutzen
  • Heute nicht mehr üblich

Screened-Host Firewall

  • Kombination aus Paketfilter und dual-homed Host (Screened-Host, Bastionsrechner)
    • Paketfilter
      • Wendet Filterregeln an
      • Leitet Verkehr an Bastionsrecher weiter
    • Screened-Host/Bastionsrechner
      • Speziell gehärtetes Betriebssystem
      • Nur wenige Dienste
      • Alle Daten zwischen internem und externem Netz müssen durch Bastionsrechner hindurch
      • Single Point of Failure

Screened-Subnet Firewall (DMZ)

  • Ähnlich Screened-Host, dem wird aber zusätzlich ein Paketfilter nachgeschaltet (zwischen internem Netz und Screened-Host)
  • Netzsegment zwischen internem und externem Paketfilter heisst DMZ (demilitarisierte Zone)
    • DMZ kann weitere Server enthalten
    • Zusätzliche Verteidigungslinie vor dem internen Netz, falls Angriff auf Rechner in der DMZ erfolgreich sind

Nach oben

Zuletzt geändert am 29 März 2005 20:46 Uhr von chrschn