Designfrage - Interne Netzwerkkarte für externe Firewall?

Mitglied: Maze13

Maze13 (Level 1) - Jetzt verbinden

27.01.2011, aktualisiert 17:10 Uhr, 3852 Aufrufe, 6 Kommentare

Aufbau einer echten DMZ mit externen und internen Firewall

Hi alle zusammen!

Wir möchten uns eine zweite Firewall anschaffen und dann eine echte DMZ bauen (bisher nur logisch). Die Frage wäre jetzt: wie kommen die internen Anfragen (also bspw. http-request an Internet-Server) von der internen Firewall an die externe?

a) über das DMZ-Subnetz, bspw. 192.168.1.0 /24?

oder

b) über das interne Subnetz, bspw. 192.168.2.0 /24 --> Voraussetzung dafür wäre, dass die externe Firewall ebenfalls mit einer NIC/IP-Adresse ins interne Subnetz ausgestattet würde?

Also als Frage an die Experten: was wäre ein sauberes Design bzw. wie macht ihr es in der Praxis?

Vielen Dank schon mal im voraus!

Euer Maze
Mitglied: Maze13
28.01.2011 um 15:58 Uhr
Also, entweder habe ich den Artikel nicht verstanden (habe ihn jetzt 3x mal gelesen) oder Du hast meine Frage nicht richtig verstanden?! ;-) face-wink

Ich wollte gerne wissen, ob die externe Firewall einen direkten Zugang zum LAN per NIC haben darf/sollte/muss? Das der Zugriff auch über den Umweg der DMZ-Subnetze stattfinden kann (also per Routing --> statisch/dynamisch), die ja jeweils von interner und externer Firewall zugänglich sind, ist mir bereits klar.

Vielen Dank, Maze!
Bitte warten ..
Mitglied: dog
28.01.2011 um 20:38 Uhr
http://en.wikipedia.org/wiki/File:DMZ_network_diagram_2_firewall.svg

Was ist denn an dem Bild nicht eindeutig?

Bei einer Zwei-Bein-DMZ müssen beide Firewalls natürlich in Reihe geschaltet werden, genau das steht auch in dem Absatz.
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder aufheben.
Der Sinn so eines Konzepts ist es Sicherheitsrisikos zu minimieren, die durch Softwarebugs oder Fehlkonfiguration bei der äußeren Firewall auftreten können.
Bitte warten ..
Mitglied: Maze13
31.01.2011 um 09:38 Uhr
Hi,

Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder
aufheben.

Okay, aber wie kommen die Internet-requests aus dem internen LAN an die externe Firewall? Die interne FW hat ja keine direkte Internetanbindung. Daher muss in irgendeiner Weise auf die externe FW "geroutet" werden: entweder über ein Subnetz aus der DMZ oder die externe Firewall hat eine eigene IP aus dem internen LAN und die Clients haben die externe FW direkt als GW hinterlegt.

Viele Grüße, Maze
Bitte warten ..
Mitglied: dog
31.01.2011 um 11:55 Uhr
entweder über ein Subnetz aus der DMZ

Richtig.

und die Clients haben die externe FW direkt als GW hinterlegt.

Nein, abgesehen davon, dass das so nicht gehen würde würde das schon wieder den Sinn einer DMZ vernichten.
Bitte warten ..
Mitglied: Maze13
31.01.2011 um 13:53 Uhr
Okay, kapiert. ;-) face-wink Merci beaucoup

Greetz Maze
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Aufgabenplanung PowerShell Skript startet nicht
shooanVor 1 TagFrageWindows Server36 Kommentare

Hallo Zusammen, ich habe ein Skript bekommen das ich gerne so einstellen will das dieses beim Start des Exchangeservers aktiviert werden soll. Ein Ausführung ...

Internet
Webcam oder IPcam aus dem Internet erreichbar?
dertowaVor 1 TagFrageInternet17 Kommentare

Hallo zusammen, mal eine spezielle Frage, vielleicht kann jemand einen Dienst aufgrund guter Erfahrung empfehlen. Die Hündin einer guten Bekannten bekommt Nachwuchs und dafür ...

Windows Netzwerk
Computername erneut vergeben?
gelöst malkieVor 1 TagFrageWindows Netzwerk10 Kommentare

Guten Morgen, wir haben in der Firma Computernamen nach dem Muster: PC-Abteilung-Nummer (PC-IT-1) So, aktuell habe ich mal gelernt ganz früher, dass man den ...

LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 16 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Backup
Zusätzlicher Backupschutz gegen Ransomware Befall
staybbVor 1 TagFrageBackup4 Kommentare

Hallo zusammen, wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem ...

Router & Routing
Verkaufe apu4.d4 Set
pasu69Vor 1 TagAllgemeinRouter & Routing11 Kommentare

Guten Abend zusammen, ich hätte ein APU4.D4 Bundle abzugeben, dass ich erst Anfang März gekauft habe. Leider ist die Hardware tatsächlich zu schwach, um ...

Hardware
Temperaturüberwachung Raum
ingo1988Vor 1 TagFrageHardware8 Kommentare

Hallo, ich brauche eure Hilfe. Ich möchte gerne eine Temperaturüberwachung installieren. Es sollte über Wifi funktionieren, ist aber kein Muss. Außerdem soll eine Alarmbenachrichtigung ...

Microsoft Office
E-Mail kommt nicht an
gelöst HeinrichMVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, in der letzten Zeit häufen sich die Meldungen, dass E-Mails nicht ankommen. Es ist kein Muster zu erkennen. Mal kommt eine Mail ...