Eine Firewall schirmt lokale Netzwerke vor dem
unbefugten Zugriff aus dem Internet ab. Gleichzeitig baut sie einen
kontrollierten Kommunikationsaustausch zwischen dem Internet und dem
internen System auf. Sie soll unter anderem Sabotageakte und
Datendiebstahl zuverlässig verhindern. Ein Firewall ist also eine Art
von Schutz, der es ermöglicht ein Netz an das Internet anzuschließen
und dabei ein bestimmtes Maß an Sicherheit beizubehalten bzw. zu gewähren.
Schließlich gilt es die Daten und Ressourcen zu schützen und den guten
Ruf der Betreiberorganisation bzw. der Firma zu wahren. Solche sog. Dienste können folgender Art sein: - HTTP-Proxy
Verschiedene
Angriffsmethoden: Geg: - Firma mit 100 Usern - interne Addressen 192.134.25.0 /24 Ges: - Internet-Anschluß - erhöhte Sicherheit gegenüber Angriffen - Firmeninterner Internet-Server - IP-Adressen (als Vorschlag) Lösung: Lan_3: 192.134.25.192 255.255.255.192 (/26) = 64 Host möglich (mit Netz u. Broadcast) Router_ZG: - LAN zum Router_FW: 192.134.25.254 /26 - kann evtl. entfallen (Zugangsrouter fürs Internet, vom Provider), ansonsten WAN-Interface (z.B. BRI) - evtl. kann hier NAT (Network-Adresstranslation) eingestellt werden - Filterung / Umsetzung Protokolle und Ports, ggf. Sperrung Router_FW: - LAN zum Router_ZG: 192.134.25.193 /26 - evtl. kann hier NAT eingestellt werden - Router-Software mit Firewall-Feature - Filterung / Umsetzung Protokolle und Ports, ggf. Sperrung Lan_2: 192.134.25.128 255.255.255.192 (/26) = 64 Host möglich (mit Netz u. Broadcast) Router_FW: - LAN zum Computer HOST: 192.134.25.190 /26 MS_Exchange: - LAN: 192.134.25.141 /26 Proxy: - LAN: 192.134.25.140 /26 Host: - LAN: 192.134.25.129 /26 - PC mit Firewall-Lösung, z.B. Linux, Firewall-1 auf NT-Basis - Filterung / Umsetzung Protokolle und Ports, ggf. Sperrung Lan_1: 192.134.25.0 255.255.255.128 (/25) = 128 Host möglich (mit Netz u. Broadcast) Host: - LAN: 192.134.25.126 /25 Host_1 und Host_2 als User-PC Anmerkung: Sicherlich können weitere kleinere Netzunterteilungen vorgenommen werden, hier muß man aber die Ansprüche und die Gegebenheiten des jeweiligen Unternehmens beachten. Es wäre ratsam intern andere IP-Adressen als extern zu verwenden - siehe NAT. |