Firewall Topologien

Aus xinux.net
Version vom 22. August 2016, 14:03 Uhr von Thomas (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ =FIREWALL TOPOLOGIEN= ==Einfacher Paketfilter (wird kaum mehr eingesetzt)== Bild:paketfilter1.dia Einfacher Paktetfilter wird das Interne Netz mit ei…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FIREWALL TOPOLOGIEN

Einfacher Paketfilter (wird kaum mehr eingesetzt)

Datei:Paketfilter1.dia


Einfacher Paktetfilter wird das Interne Netz mit einem Router an ein öffentliches Netz angebunden Der Router arbeitet aber selektiv. Das bedeutet das nur bestimmte Arten von Pakteten das passieren erlaubt wird anderen wird es nicht gewährt. Paketfilter arbeitet auf den untersten 3 Schichten der TCP/IP- Achitektur.


Vorteile der Paketfilterung :

  • kann ganzes Netzwerk schützen
  • extrem effektiv
  • weit verbreitet


Nachteile:

  • Filterbeschreibungspachen sind nicht perfekt
  • Router wird belastet
  • Nicht alle Sicherheitrichtlinen lassen sich durch sezten

Dual Homed Host(wird kaum mehr eingesetzt)

Datei:Dualhomedhost1.dia


Auf einem Dual Homed Host laufen sogenannte Proxys(Stellvetretter) Proxy arbeitet auf allen 4 Schichten der TCP/IP- Achitektur. Das bedeutet das sie mit dem Anwendungsprotoll in Berührung kommen. Wobei man zwischen 2 verschiedenen Arten unterscheiden kann

  • Application Level Proxys

Diese Proxyarten kennen das Anwednungsprotokoll genau. Beispielsweise squid aber auch ein chache-only Nameserver kann man als Application Level Proxy bezeichnen.(~Dolmetscher in der realen Welt)

  • Circuit Level Proxys

Diese Proxyarten kennen das Anwednungsprotokoll nicht. Sie „quatschen“ alles nur nach oder setzen es um. Beispielweise socks oder delegated sind Circuit Level Proxys (~Übersetzungsprogramm in der realen Welt)


Vorteile:

  • Gutes Protokollieren
  • Caching
  • Anwendungsspezifische Filterung
  • Authetifikation auf Userebene


Nachteile:

  • Neuere Protokolle werden nicht unterstützt
  • Verschiedene Proxyserver für verschiedene Dienste notwendig
  • Client müssen Verhalten ändern

Statefull Packet Inspection

Datei:StatefullPacketInspection.dia

Architektur mit überwachten Hosts

Datei:Architektur1.dia


Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur mit den Proxys auf dem Bastion Host.

Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)

Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host


Datei:Architekturteilnetz1.dia

Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host

Datei:Geteitelstdualhost1.dia


Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host

Architektur mit zusammengelegtem inneren und äusseren Paketfilter

Datei:Paketfilterinnenaußen1.dia


Häufig haben kommerzielle Produkte diese Layout

Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen

Datei:Innenaußengrenznetze.dia

Architektur mit mehreren Grenznetzen

Datei:Grenznetzen1.dia


Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.

Abgerufen von „https://xinux.net/index.php?title=Firewall_Topologien&oldid=9950