Nächste Seite: Screened Subnet Architektur
Aufwärts: Firewall-Architekturen
Vorherige Seite: Dual-Homed Host Architektur
  Inhalt
  Index
Screened Host Architektur
In dieser Firewall-Konstruktion ist der Bastion Host nicht direkt mit
dem Internet verbunden und damit auch nicht direkt angreifbar. Dadurch
bietet dieser Aufbau mehr Sicherheit als die Dual-Homed Host Architektur.
Die Anbindung an das Internet erfolgt durch einen separaten Router.
Abbildung 3.5 zeigt eine einfache Screened Host
Architektur.
Abbildung 3.5:
Screened Host Architektur, Quelle [BIF-96] S. 65
|
Der größte Sicherheitsbeitrag wird hier durch Paketfilterung auf dem Router
erbracht. Die Filterregeln sind dabei so zu wählen, daß nur der Bastion Host
von außen (aus dem Internet) zu erreichen ist. Außerdem kann der Bastion
Host zulässige Verbindungen zum Internet aufbauen (was zulässig ist, wird
im Netzwerksicherheitskonzept festgelegt).
Die Filterregeln zur Kontrolle der internen Hosts können eine der
beiden folgenden Möglichkeiten verwirklichen [BIF-96]:
- Bestimmte Dienste direkt zulassen
Interne Hosts können entsprechend den Filterregeln bestimmte
Verbindungen mit dem Internet aufbauen.
- Keine direkte Verbindung zulassen
Die internen Hosts müssen den Bastion Host kontaktieren, der mit Hilfe
von Proxy-Servern Dienste anbietet.
Nächste Seite: Screened Subnet Architektur
Aufwärts: Firewall-Architekturen
Vorherige Seite: Dual-Homed Host Architektur
  Inhalt
  Index
Klaus Bauer
1999-10-20