Firewall Topologien: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=FIREWALL TOPOLOGIEN=
 
=FIREWALL TOPOLOGIEN=
 
*[[Einfacher Paketfilter]]
 
*[[Einfacher Paketfilter]]
=Dual Homed Host=
+
*[[Dual Homed Host]]
*Auf einem Dual Homed Host laufen sogenannte Proxys(Stellvetretter) Proxy arbeitet auf allen 7 Schichten des ISO/OSI-Models.
+
*[[Statefull Packet Inspection]]
*Das bedeutet das sie mit dem Anwendungsprotoll in Berührung kommen.
+
*[[Architektur mit überwachten Hosts]]
*Es gibt 2 verschiedenen Arten==
+
*[[Architektur mit überwachtem Teilnetz]]
==Application Level Proxys==
+
*[[Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host]]
*Diese Proxyarten kennen das Anwednungsprotokoll genau.
+
*[[Architektur mit zusammengelegtem inneren und äusseren Paketfilter]]
*Beispielsweise  squid aber auch ein chache-only Nameserver kann man als Application Level Proxybezeichnen.
+
*[[Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen]]
*(~Dolmetscher in der realen Welt)
+
*[[Architektur mit mehreren Grenznetzen]]
==Circuit Level Proxys==
 
*Diese Proxyarten kennen das Anwednungsprotokoll nicht.
 
*Sie „quatschen“ alles nur nach oder setzen es um.
 
*Beispielweise socks oder delegated sind Circuit Level Proxys
 
*(~Übersetzungsprogramm in der realen Welt)
 
==Vorteile==
 
*Gutes Protokollieren
 
*Caching
 
*Anwendungsspezifische Filterung
 
*Authetifikation auf Userebene
 
*Kein IP Forwarding notwendig
 
==Nachteile==
 
*Neuere Protokolle werden nicht unterstützt
 
*Verschiedene Proxyserver für verschiedene Dienste notwendig
 
*Client müssen Verhalten ändern
 
[[Datei:dualhomedhost1.png]]
 
=Statefull Packet Inspection=
 
*Unter Stateful Packet Inspection (SPI; deutsch Zustandsorientierte Paketüberprüfung) versteht man eine dynamische Paketfiltertechnik,
 
*Jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.
 
*Die Datenpakete werden analysiert und der Verbindungsstatus wird in die Entscheidung einbezogen.
 
*Es werden die Datenpakete während der Übertragung auf der Vermittlungsschicht analysiert und in dynamischen Zustandstabellen gespeichert.
 
[[Datei:StatefullPacketInspection.png]]
 
 
 
==Architektur mit überwachten Hosts==
 
 
 
 
 
 
 
 
 
[[Bild:architektur1.png]]
 
 
 
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur
 
mit den Proxys auf dem Bastion Host.
 
 
 
==Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)==
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
 
 
 
 
 
[[Bild:architekturteilnetz1.png]]
 
 
 
==Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host==
 
 
 
 
 
[[Bild:geteitelstdualhost1.png]]
 
 
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host  zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter==
 
 
 
 
 
[[Bild:paketfilterinnenaußen1.png]]
 
 
 
 
 
Häufig haben kommerzielle Produkte diese Layout
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen==
 
 
 
[[Datei:innenaußengrenznetze.png]]
 
 
 
==Architektur mit mehreren Grenznetzen==
 
 
 
 
 
[[Bild:grenznetzen1.png]]
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.
 
 
 
=Statefull Packet Inspection=
 
 
 
[[Datei:StatefullPacketInspection.png]]
 
 
 
==Architektur mit überwachten Hosts==
 
 
 
 
 
 
 
 
 
[[Bild:architektur1.png]]
 
 
 
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur
 
mit den Proxys auf dem Bastion Host.
 
 
 
==Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)==
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
 
 
 
 
 
[[Bild:architekturteilnetz1.png]]
 
 
 
==Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host==
 
 
 
 
 
[[Bild:geteitelstdualhost1.png]]
 
 
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host  zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter==
 
 
 
 
 
[[Bild:paketfilterinnenaußen1.png]]
 
 
 
 
 
Häufig haben kommerzielle Produkte diese Layout
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen==
 
 
 
[[Datei:innenaußengrenznetze.png]]
 
 
 
==Architektur mit mehreren Grenznetzen==
 
 
 
 
 
[[Bild:grenznetzen1.png]]
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.
 

Aktuelle Version vom 18. September 2022, 11:36 Uhr

FIREWALL TOPOLOGIEN

Abgerufen von „https://xinux.net/index.php?title=Firewall_Topologien&oldid=35836