Die beste Sicherheitstopologie für Ihre Firewall

Der Screening-Router gehört zu den am einfachsten umzusetzenden Firewall-Strategien. Dieses Design ist so beliebt, weil die meisten Firmen die Hardware zu seiner Umsetzung bereits besitzen. Ein Screening-Router stellt bei der Erstellung Ihrer Firewall-Strategie eine hervorragende erste Verteidigungslinie dar. Er ist ein Router, der zur Überwachung des ein- und ausgehenden Verkehrs auf der Basis von IP-Adressen und UDP- und TCP-Ports mit Filtern ausgestattet ist. Abbildung A zeigt einen Screening-Router.

Abbildung A

Falls Sie sich zur Umsetzung dieser Strategie entschließen, sollten Sie TCP/IP gut beherrschen und die Filter auf Ihren Routern richtig erstellen können. Wenn Ihnen bei der Umsetzung dieser Strategie Fehler unterlaufen, kann das dazu führen, dass gefährlicher Verkehr durch Ihre Filter in Ihr privates LAN fließt. Ist dies aber Ihr einziger Schutz und gelingt es einem Hacker hindurch zu kommen, hat er oder sie freie Hand. Es ist auch zu beachten, dass bei dieser Konfiguration Ihre internen IP-Adressen nicht versteckt werden und ihre Überwachungs- und Protokollierungsfähigkeiten schwach sind.

Falls Ihnen nur wenig oder gar kein Geld zur Verfügung steht, Sie aber schnell eine Firewall brauchen, ist diese Methode besonders kostengünstig, da Sie Ihre vorhanden Router weiter verwenden können. Diese Firewall-Strategie stellt einen hervorragenden Einstieg dar und ist gut für Netzwerke geeignet, in denen noch weitere Sicherheitstools verwendet werden.

Screening-Router mit Bastion-Host
Bei der Konfiguration der Screened-Host-Firewall wird ein einzelner Bastion-Host in Verbindung mit einem Screening Router verwendet. Als Sicherheitsmechanismen werden sowohl die Paketfilterung als auch der Bastion-Host eingesetzt, also auf der Ebene des Netzwerkes und der der Anwendungen Vorkehrungen getroffen. Der Router filtert die Pakete und der Bastion-Host sichert die Anwendungen. Es handelt sich um ein solides Design, denn ein Hacker muss den Router und den Bastion-Host überwinden, bevor er auf das interne Netzwerk zugreifen kann.

Außerdem können Sie bei dieser Konfiguration als Anwendungs-Gateway (Proxy-Server) durch den Einsatz der NAT-Übersetzung Ihre interne Netzwerkkonfiguration verbergen. Abbildung B zeigt ein Beispiel für dieses Firewall-Design.

Abbildung B

Bei dem obigen Design werden alle eingehenden und ausgehenden Informationen konfiguriert, damit sie den Bastion-Host passieren können. Wenn die Information in den Screening-Router gelangt, filtert dieser sämtliche Daten durch den Bastion-Host und lässt sie erst dann in das interne Netzwerk passieren.

Sie können auch noch einen Schritt weiter gehen und eine duale Bastion-Host-Firewall aufbauen. Bei dieser Konfiguration gibt es zwei Netzwerk-Schnittstellen und sie ist deshalb so sicher, weil sie eine vollständige physische Trennung Ihres Netzwerkes schafft. Abbildung C zeigt ein Beispiel für dieses Firewall-Design.

Abbildung C