6
Designfrage - Interne Netzwerkkarte für externe Firewall?
Aufbau einer echten DMZ mit externen und internen Firewall
Hi alle zusammen!
Wir möchten uns eine zweite Firewall anschaffen und dann eine echte DMZ bauen (bisher nur logisch). Die Frage wäre jetzt: wie kommen die internen Anfragen (also bspw. http-request an Internet-Server) von der internen Firewall an die externe?
a) über das DMZ-Subnetz, bspw. 192.168.1.0 /24?
oder
b) über das interne Subnetz, bspw. 192.168.2.0 /24 --> Voraussetzung dafür wäre, dass die externe Firewall ebenfalls mit einer NIC/IP-Adresse ins interne Subnetz ausgestattet würde?
Also als Frage an die Experten: was wäre ein sauberes Design bzw. wie macht ihr es in der Praxis?
Vielen Dank schon mal im voraus!
Euer Maze
Hi alle zusammen!
Wir möchten uns eine zweite Firewall anschaffen und dann eine echte DMZ bauen (bisher nur logisch). Die Frage wäre jetzt: wie kommen die internen Anfragen (also bspw. http-request an Internet-Server) von der internen Firewall an die externe?
a) über das DMZ-Subnetz, bspw. 192.168.1.0 /24?
oder
b) über das interne Subnetz, bspw. 192.168.2.0 /24 --> Voraussetzung dafür wäre, dass die externe Firewall ebenfalls mit einer NIC/IP-Adresse ins interne Subnetz ausgestattet würde?
Also als Frage an die Experten: was wäre ein sauberes Design bzw. wie macht ihr es in der Praxis?
Vielen Dank schon mal im voraus!
Euer Maze
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 159609
Url: https://administrator.de/contentid/159609
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
http://en.wikipedia.org/wiki/DMZ_%28computing%29#Dual_firewalls sollte die Frage beantworten...
Also, entweder habe ich den Artikel nicht verstanden (habe ihn jetzt 3x mal gelesen) oder Du hast meine Frage nicht richtig verstanden?! 
Ich wollte gerne wissen, ob die externe Firewall einen direkten Zugang zum LAN per NIC haben darf/sollte/muss? Das der Zugriff auch über den Umweg der DMZ-Subnetze stattfinden kann (also per Routing --> statisch/dynamisch), die ja jeweils von interner und externer Firewall zugänglich sind, ist mir bereits klar.
Vielen Dank, Maze!
Ich wollte gerne wissen, ob die externe Firewall einen direkten Zugang zum LAN per NIC haben darf/sollte/muss? Das der Zugriff auch über den Umweg der DMZ-Subnetze stattfinden kann (also per Routing --> statisch/dynamisch), die ja jeweils von interner und externer Firewall zugänglich sind, ist mir bereits klar.
Vielen Dank, Maze!
http://en.wikipedia.org/wiki/File:DMZ_network_diagram_2_firewall.svg
Was ist denn an dem Bild nicht eindeutig?
Bei einer Zwei-Bein-DMZ müssen beide Firewalls natürlich in Reihe geschaltet werden, genau das steht auch in dem Absatz.
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder aufheben.
Der Sinn so eines Konzepts ist es Sicherheitsrisikos zu minimieren, die durch Softwarebugs oder Fehlkonfiguration bei der äußeren Firewall auftreten können.
Was ist denn an dem Bild nicht eindeutig?
Bei einer Zwei-Bein-DMZ müssen beide Firewalls natürlich in Reihe geschaltet werden, genau das steht auch in dem Absatz.
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder aufheben.
Der Sinn so eines Konzepts ist es Sicherheitsrisikos zu minimieren, die durch Softwarebugs oder Fehlkonfiguration bei der äußeren Firewall auftreten können.
Hi,
Okay, aber wie kommen die Internet-requests aus dem internen LAN an die externe Firewall? Die interne FW hat ja keine direkte Internetanbindung. Daher muss in irgendeiner Weise auf die externe FW "geroutet" werden: entweder über ein Subnetz aus der DMZ oder die externe Firewall hat eine eigene IP aus dem internen LAN und die Clients haben die externe FW direkt als GW hinterlegt.
Viele Grüße, Maze
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder
aufheben.
aufheben.
Okay, aber wie kommen die Internet-requests aus dem internen LAN an die externe Firewall? Die interne FW hat ja keine direkte Internetanbindung. Daher muss in irgendeiner Weise auf die externe FW "geroutet" werden: entweder über ein Subnetz aus der DMZ oder die externe Firewall hat eine eigene IP aus dem internen LAN und die Clients haben die externe FW direkt als GW hinterlegt.
Viele Grüße, Maze
entweder über ein Subnetz aus der DMZ
Richtig.
und die Clients haben die externe FW direkt als GW hinterlegt.
Nein, abgesehen davon, dass das so nicht gehen würde würde das schon wieder den Sinn einer DMZ vernichten.
Okay, kapiert. Merci beaucoup
Greetz Maze
Merci beaucoupGreetz Maze
