Reverse Proxy
Hallo miteinander,
ich hätte mal eine grundlegende Frage zum Thema Firewall und Reverse Proxy, über die ich momentan nachdenke.
Es gibt also ein einfaches Netzwerk, dass über eine Firewall mit dem Internet verbunden ist. Es wird nur das Internet von innen genutzt, Anfragen von außen gibt es regulär nicht.
Soweit kein Problem, sind die FW und alle anderen Sicherheitseinrichtungen ordentlich konfiguriert(etc.) ist man damit wohl auf der sichersten Seite (nach einen Netzwerk ohne Verbindung zum Internet ).
Soll jetzt aber z.B. ein Exchange-Server hinzukommen würde es natürlich Sinn machen, den von außen auch zu erreichen Da der Exchange ja aber ins interne Netz soll, ist ein Reverse Proxy in einer DMZ wohl die Lösung.
Wenn ich das richtig verstanden habe verläuft das Routing dann ja folgendermaßen (mal von einer Single-Firewall-Lösung ausgehend):
[Internet] --> [Firewall] --> [Exchange]
.. .. .. .. .. ..|......./\
.. .. .. .. .. ..|DMZ.|
.. .. ..´.. .. ..\/......|
.. .. .. .. .. ..[R. Proxy]
Es gibt so also keine Pakete, die direkt vom Internet ins interne Netzwerk geroutet werden.
Dennoch verstehe ich nocht nicht zu 100% den Sicherheitsgewinn dadurch im Vergleich dazu die Pakete direkt an den Server zu routen.
Was tut das Proxy mit den Paketen?
Des weitern:
Es gibt ja auch Firewalls die zusätzlich zu den anderen Funktionen selbst als Reverse Proxy agieren können.
Könnte man dann die dedizierte Maschine für das Proxy weglassen? Oder ist das dann aus irgend einen Grund den ich nicht sehe wieder verwundbarer?
Danke schon mal für die Erklärungen.
Gruß
PS: Ihr könnt' die Single-FW-Lösung gerne auch durch eine mit zwei ersetzen oder den Exchange mit irgend einer anderen Groupware / Dienst, das ganze ist kein spez. oder gar bestehendes Szenario.
ich hätte mal eine grundlegende Frage zum Thema Firewall und Reverse Proxy, über die ich momentan nachdenke.
Es gibt also ein einfaches Netzwerk, dass über eine Firewall mit dem Internet verbunden ist. Es wird nur das Internet von innen genutzt, Anfragen von außen gibt es regulär nicht.
Soweit kein Problem, sind die FW und alle anderen Sicherheitseinrichtungen ordentlich konfiguriert(etc.) ist man damit wohl auf der sichersten Seite (nach einen Netzwerk ohne Verbindung zum Internet ).
Soll jetzt aber z.B. ein Exchange-Server hinzukommen würde es natürlich Sinn machen, den von außen auch zu erreichen Da der Exchange ja aber ins interne Netz soll, ist ein Reverse Proxy in einer DMZ wohl die Lösung.
Wenn ich das richtig verstanden habe verläuft das Routing dann ja folgendermaßen (mal von einer Single-Firewall-Lösung ausgehend):
[Internet] --> [Firewall] --> [Exchange]
.. .. .. .. .. ..|......./\
.. .. .. .. .. ..|DMZ.|
.. .. ..´.. .. ..\/......|
.. .. .. .. .. ..[R. Proxy]
Es gibt so also keine Pakete, die direkt vom Internet ins interne Netzwerk geroutet werden.
Dennoch verstehe ich nocht nicht zu 100% den Sicherheitsgewinn dadurch im Vergleich dazu die Pakete direkt an den Server zu routen.
Was tut das Proxy mit den Paketen?
Des weitern:
Es gibt ja auch Firewalls die zusätzlich zu den anderen Funktionen selbst als Reverse Proxy agieren können.
Könnte man dann die dedizierte Maschine für das Proxy weglassen? Oder ist das dann aus irgend einen Grund den ich nicht sehe wieder verwundbarer?
Danke schon mal für die Erklärungen.
Gruß
PS: Ihr könnt' die Single-FW-Lösung gerne auch durch eine mit zwei ersetzen oder den Exchange mit irgend einer anderen Groupware / Dienst, das ganze ist kein spez. oder gar bestehendes Szenario.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195171
Url: https://administrator.de/forum/reverse-proxy-195171.html
Ausgedruckt am: 27.12.2024 um 02:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
den Artikel kennst du schon...
den Artikel kennst du schon...
Hallo,
ich betreibe hier auch mehrere Exchange Server, alle mit Reverse Proxy.
Meine Gründe dafür sind die erhöhte Sicherheit durch den Reverse Proxy, da Linux in der Regel schneller Gepatcht wird als irgend eine M$ Lösung.
Bei mir wird der Reverse Proxy für alle http und http Requests verwendet, und SMTP wird natürlich auch extra über einen Smarthost abgehandelt.
ich betreibe hier auch mehrere Exchange Server, alle mit Reverse Proxy.
Meine Gründe dafür sind die erhöhte Sicherheit durch den Reverse Proxy, da Linux in der Regel schneller Gepatcht wird als irgend eine M$ Lösung.
Bei mir wird der Reverse Proxy für alle http und http Requests verwendet, und SMTP wird natürlich auch extra über einen Smarthost abgehandelt.
Moin,
Ein Reverse Proxy bietet folgende sicherheitsrelevanten Merkmale:
Grüße,
Dani
Ein Reverse Proxy bietet folgende sicherheitsrelevanten Merkmale:
- Minimale Funktionalität und daher potenziell weniger Sicherheitslücken als ein "voller" Server.
- "Verstecken" des eigentlichen Servers, der vom Internet her nicht mehr direkt zugreifbar ist.
- Untersuchung des (HTTP) Requests und Filtern von ungültigen oder potenziell gefährlichen Requests.
- Zentrale Authentisierung und Single-Sign-On über alle angeschlossenen Webserver.
- Autorisierung der Zugriffe auf die angeschlossenen Server.
Grüße,
Dani