Designfrage - Interne Netzwerkkarte für externe Firewall?
Aufbau einer echten DMZ mit externen und internen Firewall
Hi alle zusammen!
Wir möchten uns eine zweite Firewall anschaffen und dann eine echte DMZ bauen (bisher nur logisch). Die Frage wäre jetzt: wie kommen die internen Anfragen (also bspw. http-request an Internet-Server) von der internen Firewall an die externe?
a) über das DMZ-Subnetz, bspw. 192.168.1.0 /24?
oder
b) über das interne Subnetz, bspw. 192.168.2.0 /24 --> Voraussetzung dafür wäre, dass die externe Firewall ebenfalls mit einer NIC/IP-Adresse ins interne Subnetz ausgestattet würde?
Also als Frage an die Experten: was wäre ein sauberes Design bzw. wie macht ihr es in der Praxis?
Vielen Dank schon mal im voraus!
Euer Maze
Wir möchten uns eine zweite Firewall anschaffen und dann eine echte DMZ bauen (bisher nur logisch). Die Frage wäre jetzt: wie kommen die internen Anfragen (also bspw. http-request an Internet-Server) von der internen Firewall an die externe?
a) über das DMZ-Subnetz, bspw. 192.168.1.0 /24?
oder
b) über das interne Subnetz, bspw. 192.168.2.0 /24 --> Voraussetzung dafür wäre, dass die externe Firewall ebenfalls mit einer NIC/IP-Adresse ins interne Subnetz ausgestattet würde?
Also als Frage an die Experten: was wäre ein sauberes Design bzw. wie macht ihr es in der Praxis?
Vielen Dank schon mal im voraus!
Euer Maze
Please also mark the comments that contributed to the solution of the article
Content-Key: 159609
Url: https://administrator.de/contentid/159609
Printed on: April 27, 2024 at 16:04 o'clock
6 Comments
Latest comment
http://en.wikipedia.org/wiki/DMZ_%28computing%29#Dual_firewalls sollte die Frage beantworten...
http://en.wikipedia.org/wiki/File:DMZ_network_diagram_2_firewall.svg
Was ist denn an dem Bild nicht eindeutig?
Bei einer Zwei-Bein-DMZ müssen beide Firewalls natürlich in Reihe geschaltet werden, genau das steht auch in dem Absatz.
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder aufheben.
Der Sinn so eines Konzepts ist es Sicherheitsrisikos zu minimieren, die durch Softwarebugs oder Fehlkonfiguration bei der äußeren Firewall auftreten können.
Was ist denn an dem Bild nicht eindeutig?
Bei einer Zwei-Bein-DMZ müssen beide Firewalls natürlich in Reihe geschaltet werden, genau das steht auch in dem Absatz.
Würdest du die externe Firewall mit dem internen Netz verbinden würdest du den ganzen Sinn der zweiten Firewall wieder aufheben.
Der Sinn so eines Konzepts ist es Sicherheitsrisikos zu minimieren, die durch Softwarebugs oder Fehlkonfiguration bei der äußeren Firewall auftreten können.