Firewall Topologien
FIREWALL TOPOLOGIEN
Dual Homed Host
- Auf einem Dual Homed Host laufen sogenannte Proxys(Stellvetretter) Proxy arbeitet auf allen 7 Schichten des ISO/OSI-Models.
- Das bedeutet das sie mit dem Anwendungsprotoll in Berührung kommen.
- Es gibt 2 verschiedenen Arten==
Application Level Proxys
- Diese Proxyarten kennen das Anwednungsprotokoll genau.
- Beispielsweise squid aber auch ein chache-only Nameserver kann man als Application Level Proxybezeichnen.
- (~Dolmetscher in der realen Welt)
Circuit Level Proxys
- Diese Proxyarten kennen das Anwednungsprotokoll nicht.
- Sie „quatschen“ alles nur nach oder setzen es um.
- Beispielweise socks oder delegated sind Circuit Level Proxys
- (~Übersetzungsprogramm in der realen Welt)
Vorteile
- Gutes Protokollieren
- Caching
- Anwendungsspezifische Filterung
- Authetifikation auf Userebene
- Kein IP Forwarding notwendig
Nachteile
- Neuere Protokolle werden nicht unterstützt
- Verschiedene Proxyserver für verschiedene Dienste notwendig
- Client müssen Verhalten ändern
Statefull Packet Inspection
- Unter Stateful Packet Inspection (SPI; deutsch Zustandsorientierte Paketüberprüfung) versteht man eine dynamische Paketfiltertechnik,
- Jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.
- Die Datenpakete werden analysiert und der Verbindungsstatus wird in die Entscheidung einbezogen.
- Es werden die Datenpakete während der Übertragung auf der Vermittlungsschicht analysiert und in dynamischen Zustandstabellen gespeichert.
Architektur mit überwachten Hosts
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur mit den Proxys auf dem Bastion Host.
Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
Architektur mit zusammengelegtem inneren und äusseren Paketfilter
Häufig haben kommerzielle Produkte diese Layout
Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen
Architektur mit mehreren Grenznetzen
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.
Statefull Packet Inspection
Architektur mit überwachten Hosts
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur mit den Proxys auf dem Bastion Host.
Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
Architektur mit zusammengelegtem inneren und äusseren Paketfilter
Häufig haben kommerzielle Produkte diese Layout
Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen
Architektur mit mehreren Grenznetzen
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.