Netzwerktechnik: Die Firewall
Workstation 192.168.0.10 |
Bastionshost 192.168.0.3 195.100.10.2 |
Providernetz 195.100.12/24 |
|||
---|---|---|---|---|---|
Transitnetz 195.100.11/30 |
|||||
Webserver 195.100.10.3 |
Router 195.100.10.1 195.100.11.1 |
Router 195.100.12.1 195.100.11.2 |
Wenn das lokale Netzwerk permanent über eine Standleitung oder ADSL mit dem Internet verbunden werden soll, dann reicht die Sicherheit, die der Router im vorigen Abschnitt bietet, erst recht nicht mehr aus.
Um Mißverständnissen vorzubeugen: Eine Firewall ist nicht irgendein "Kasten", sondern ein System, eine Konstruktion mit unendlich vielen Spielarten. Hier kann also nur eine - allerdings häufig verwendete - Möglichkeit, ein "Klassiker" sozusagen, dargestellt werden.
Zum sauberen Abkoppeln des lokalen Netzwerks (LAN) vom Internet bedient man sich einer sogenannten Firewall. Bestandteile der Firewall sind in diesem Konstruktionsbeispiel der Router 195.100.10.1, die DMZ und der Bastionshost 192.168.0.3, sowie das Transitnetz 195.100.11.0 auf der Standleitungsseite. Das Besondere am Bastionshost ist die Tatsache, daß dieser mit zwei Netzwerkkarten ausgestattet ist, zwischen denen gar kein oder nur ein sehr streng kontrollierter Datenverkehr stattfindet.
In der DMZ stehen diejenigen Server, auf die die Firewall einen gewissen öffentlichen Zugang gestattet. Dies können z.B. Dienste wie HTTP, FTP, SMTP oder zum Fernadministrieren auch SSH sein. Die entsprechende Paketfilterung wird im Router (195.100.10.1) vorgenommen.
Das LAN verdient einen besonderen Schutz, daher ist es über den Bastionshost nochmal von der DMZ abgekoppelt. Alle Rechner im LAN sollten aus Sicherheitsgründen nicht direkt auf das Internet zugreifen, sondern nur über Proxys, die auf dem Bastionshost installiert sind. In diesem Falle wird ein solcher Bastionshost ein "echter" Rechner sein. Ein Hardware-Router mit Paketfilterung tut's auch, wenn man an dieser Stelle keine Proxys benötigt und wirklich nichts weiter tut als nur IP-Paketchen routen.
Moderne Router unterstützen NAT, Paketfilterung und sogar das Abkoppeln des LAN von der DMZ, so daß sich damit auf eine äußerst preisgünstige Art und Weise eine Fülle von unterschiedlichen Firewall-Konstruktionen realisieren lassen.