next up previous contents index
Nächste Seite: Screened Subnet Architektur Aufwärts: Firewall-Architekturen Vorherige Seite: Dual-Homed Host Architektur   Inhalt   Index


Screened Host Architektur

In dieser Firewall-Konstruktion ist der Bastion Host nicht direkt mit dem Internet verbunden und damit auch nicht direkt angreifbar. Dadurch bietet dieser Aufbau mehr Sicherheit als die Dual-Homed Host Architektur. Die Anbindung an das Internet erfolgt durch einen separaten Router. Abbildung 3.5 zeigt eine einfache Screened Host Architektur.

Abbildung 3.5: Screened Host Architektur, Quelle [BIF-96] S. 65
\includegraphics{/home/klaus/.html-data/graphiken/screenedHost.eps}

Der größte Sicherheitsbeitrag wird hier durch Paketfilterung auf dem Router erbracht. Die Filterregeln sind dabei so zu wählen, daß nur der Bastion Host von außen (aus dem Internet) zu erreichen ist. Außerdem kann der Bastion Host zulässige Verbindungen zum Internet aufbauen (was zulässig ist, wird im Netzwerksicherheitskonzept festgelegt).

Die Filterregeln zur Kontrolle der internen Hosts können eine der beiden folgenden Möglichkeiten verwirklichen [BIF-96]:


next up previous contents index
Nächste Seite: Screened Subnet Architektur Aufwärts: Firewall-Architekturen Vorherige Seite: Dual-Homed Host Architektur   Inhalt   Index
Klaus Bauer 1999-10-20