Proxy - LoadBalancer

Server, die sich in einer DMZ befinden, die in diesem Szenario zwischen den beiden Firewalls
gebildet wird, genießen grundsätzlich den gleichen Schutz wie DMZ-Ressourcen in
einem 3-Leged-Szenario. Das interne Netzwerk hingegen wird durch eine zweite Firewall
abgesichert. Bei unsachgemäßer Konfiguration einer der beiden Firewalls ist dadurch das
interne Netzwerk nicht zwingend betroffen, wie eine zweite Firewall eingehenden Netzwerkverkehr
ebenfalls überprüft. Die Frage stellt sich, ob sowohl die interne wie die externe
Firewall mit ISA Server betrieben werden soll oder ob unterschiedliche Firewall-
Produkte mehr Sinn machen.
Der Vorteil beim Einsatz zweier unterschiedlicher Produkte liegt darin, dass Angreifer, die
eine Schwachstelle des einen Produkts kennen oder ausfindig gemacht haben und für einen
Angriff nutzen möchten, an der zweiten Firewall scheitern, die mit großer Wahrscheinlichkeit
nicht identische Sicherheitslücken aufweist. Der Nachteil zweier unterschiedlicher Firewalls
liegt bei der Konfigurationskomplexität. Firewalls zu konfigurieren ist kein Kinderspiel,
und Administratoren sollten fundierte Kenntnisse eines Produkts besitzen, bevor
es produktiv eingesetzt wird. Mehrere unterschiedliche Firewalls zu betreiben erfordert
mehr Know-how und Erfahrung bei der Implementierung und beim Betrieb.
Wenn sowohl die interne als auch die externe Firewall mit ISA Server 2004 betrieben
wird, ergibt sich daraus ein interessanter Aspekt. Der interne ISA Server kann als Mitglied
der Firmendomäne konfiguriert werden, was den Vorteil bringt, dass er auf Active Directory-
Informationen zugreifen kann, um beispielsweise Benutzer zu authentifizieren. Über
diesen Server werden ausgehende Zugriffe auf Basis von Benutzerkonten oder Gruppen
gesteuert. Zudem kann der ISA Server als VPN-Gateway für den Zugriff auf das Firmennetzwerk
konfiguriert und eingesetzt werden.