7
Proxy Server - wo positioniert
Hallo zusammen!
Ich schreibe bald Prüfung und möchte noch etwas über Proxy-Server wissen.
Also den Proxy (z.B. bei HTTP) trage ich ja im Browser ein, damit dieser die Daten über den Proxy weiterleitet.
Soweit ich weiß ist ein Proxy ja ein Teil einer Firewall.
Wenn ich von der Software IPCop ausgehe dürfte das etwa so aussehen:
Internetverbindung ---- IPCop (incl. Proxy) ----- Clients
Der IPCop überwacht also die Internetverbindung.
Aber wie sieht das bei folgendem Aufbau aus, wenn ich den Proxy (z.B. Squid) auf einem eigenen Server betreiben will:
Internetverbindung ---- Packetfilter/äußere Firewall ----- DMZ (z.B. mit Mail oder HTTP Server) ----- Application Layer Gateway/Firewall
An welcher Stelle würde ich da den Squid Server (Proxy) aufstellen?
Etwa wie folgender Aufbau zeigt?
Internetverbindung -- Packetfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall -- Squid
Und dann eine Regel im Application Gateway das HTTP nur über den Proxy erreichbar ist und sonst von keiner IP?
Oder steht der Proxy in der DMZ?
Frage mich nur weil ich mal gehört hab der Proxy stellt immer direkt die Verbindung zum Internet her.
Vielleicht kann mich da mal einer aufklären wo so ein Proxy steht?
Und wo der Unterschied ist wenn der Proxy gleich Teil der Firewall/Router ist oder auf einem eigenen Server (z.B. per Squid) eingerichtet ist?!
Vielen Dank
Gruß
Ich schreibe bald Prüfung und möchte noch etwas über Proxy-Server wissen.
Also den Proxy (z.B. bei HTTP) trage ich ja im Browser ein, damit dieser die Daten über den Proxy weiterleitet.
Soweit ich weiß ist ein Proxy ja ein Teil einer Firewall.
Wenn ich von der Software IPCop ausgehe dürfte das etwa so aussehen:
Internetverbindung ---- IPCop (incl. Proxy) ----- Clients
Der IPCop überwacht also die Internetverbindung.
Aber wie sieht das bei folgendem Aufbau aus, wenn ich den Proxy (z.B. Squid) auf einem eigenen Server betreiben will:
Internetverbindung ---- Packetfilter/äußere Firewall ----- DMZ (z.B. mit Mail oder HTTP Server) ----- Application Layer Gateway/Firewall
An welcher Stelle würde ich da den Squid Server (Proxy) aufstellen?
Etwa wie folgender Aufbau zeigt?
Internetverbindung -- Packetfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall -- Squid
Und dann eine Regel im Application Gateway das HTTP nur über den Proxy erreichbar ist und sonst von keiner IP?
Oder steht der Proxy in der DMZ?
Frage mich nur weil ich mal gehört hab der Proxy stellt immer direkt die Verbindung zum Internet her.
Vielleicht kann mich da mal einer aufklären wo so ein Proxy steht?
Und wo der Unterschied ist wenn der Proxy gleich Teil der Firewall/Router ist oder auf einem eigenen Server (z.B. per Squid) eingerichtet ist?!
Vielen Dank
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86030
Url: https://administrator.de/contentid/86030
Printed on: April 19, 2024 at 20:04 o'clock
7 Comments
Latest comment
Hallo zusammen!
Ich schreibe bald Prüfung und
möchte noch etwas über Proxy-Server
wissen.
Ich schreibe bald Prüfung und
möchte noch etwas über Proxy-Server
wissen.
Hallo zurück,
bevor du dich an die Prüfung machst, schreibe 1.001* mal an die Bart Simpson Schultafel:
Ich schreibe Paketfilter nie wieder mit CK
Ob der Proxy nun Teil der Firewall ist, lasse ich mal unbeantwortet.
Etwa wie folgender Aufbau zeigt?
Internetverbindung --
Packetfilter/äußere Firewall ---
DMZ (z.B. mit Mail oder HTTP Server) --
Application Layer Gateway/Firewall -- Squid
Yupp, denn so mußt du nur die betreffenden Ports für eine IP (die des Squid) freischalten und nicht das ganze Netz.Internetverbindung --
Packetfilter/äußere Firewall ---
DMZ (z.B. mit Mail oder HTTP Server) --
Application Layer Gateway/Firewall -- Squid
Gruß
zurück
Den Proxy würde ich immer direkt hinter die Firewall bzw. das Gateway stellen, schon alleine deshalb, weil es am meisten Sinn macht.
Aber Vorsicht: Ein Proxyserver ist in dem Sinne keine Firewall!
Es ist zwar so, dass ein Proxy keinen Zugriff auf dahinterliegende Clients ermöglicht, aber ein Proxyserver dient im ursprünglichen Sinne nur als Mittelsmann, um Datenpakete weiterzureichen.
So Features wie Zugriffslisten, Seitensperrungen oder Ähnliches sind nicht zwingender Teil eines Proxyservers und wirkt nur durch das Prinzip des "weiterreichens" und oftmals auch verschleiern der richtigen Client-IP wie eine Firewall.
Weiter kann ein Proxyserver durchaus auch Daten an einen weiteren Proxyserver weiterleiten. Welcher Zweck damit verfolgt wird, bleibt jedem selbst überlassen - aber eine direkte Verbindung zum Internet ist nicht zwingend erforderlich.
Aber Vorsicht: Ein Proxyserver ist in dem Sinne keine Firewall!
Es ist zwar so, dass ein Proxy keinen Zugriff auf dahinterliegende Clients ermöglicht, aber ein Proxyserver dient im ursprünglichen Sinne nur als Mittelsmann, um Datenpakete weiterzureichen.
So Features wie Zugriffslisten, Seitensperrungen oder Ähnliches sind nicht zwingender Teil eines Proxyservers und wirkt nur durch das Prinzip des "weiterreichens" und oftmals auch verschleiern der richtigen Client-IP wie eine Firewall.
Weiter kann ein Proxyserver durchaus auch Daten an einen weiteren Proxyserver weiterleiten. Welcher Zweck damit verfolgt wird, bleibt jedem selbst überlassen - aber eine direkte Verbindung zum Internet ist nicht zwingend erforderlich.
Proxyserver machen meiner Meinung nach im Enterprise Umfeld heute kaum noch Sinn und macht mehr Probleme als es Nutzen bringt.
Sie haben hautptsächlich folgende Aufgaben:
- Cachen von Webinhalten um die WAN Leitung zu entlasten
- Verschleiern interner IPs
- URL Logging (wer besucht welche Webseiten? Unter Datenschutz-Sichtweise problematisch...)
- Content Filter (Schädliche Inhalte herausfiltern)
Das kann man auch mit policy-based Routing realisieren, sodass alle internen Anfragen anPort 80 oder 443 automatisch genattet werden können und gar einen content Filter passieren.
Das hat den Vorteil dass nicht tausende von Clients ihre Webbrowser Einstellungen modifizieren müssen, alles wird zentral gemanagt und der user merkt nichtmal was davon.
Sie haben hautptsächlich folgende Aufgaben:
- Cachen von Webinhalten um die WAN Leitung zu entlasten
- Verschleiern interner IPs
- URL Logging (wer besucht welche Webseiten? Unter Datenschutz-Sichtweise problematisch...)
- Content Filter (Schädliche Inhalte herausfiltern)
Das kann man auch mit policy-based Routing realisieren, sodass alle internen Anfragen anPort 80 oder 443 automatisch genattet werden können und gar einen content Filter passieren.
Das hat den Vorteil dass nicht tausende von Clients ihre Webbrowser Einstellungen modifizieren müssen, alles wird zentral gemanagt und der user merkt nichtmal was davon.
Abend,
http://de.wikipedia.org/wiki/Firewall
http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Grüße
Dani
Soweit ich weiß ist ein Proxy ja ein Teil einer Firewall
Kann man so sehen....er blockiert eben den Outbound Traffic des LAN's.Internetverbindung -- Packetfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall -- Squid
Genauso....stimmt es. Denn somit ist der Squid gegen Angriffe aus der DMZ zusätzlich geschützt.Und dann eine Regel im Application Gateway das HTTP nur über den Proxy erreichbar ist und
sonst von keiner IP?
Du erstellst eben an der 2. Firewall eine Regel, dass Squid eben nur aus der DMZ Anfragen entgegen nimmt. Denn wenn z.B. einen Webserver noch in der DMZ hast, kannst du auf diesen nicht mehr aus dem LAN zugreifen. sonst von keiner IP?
Und wo der Unterschied ist wenn der Proxy gleich Teil der Firewall/Router ist oder auf einem
eigenen Server (z.B. per Squid) eingerichtet ist?!
Hier sehr schön erklöärt:eigenen Server (z.B. per Squid) eingerichtet ist?!
http://de.wikipedia.org/wiki/Firewall
http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Grüße
Dani
Hallo...
vielen Dank für eure Antworten!
Also nun verstehe ich das so..
entweder ist der Aufbau so:
Internetverbindung -- Paketfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall -- Squid
(das würde dann wohl dem konventionellen Proxy entsprechen mit Eintragung in den Browsereinstellungen)
oder der Application Layer Gateway übernimmt selbst die Aufgabe des Proxy:
Internetverbindung -- Paketfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall (incl. Proxy)
(das würde dann wohl eher dem transparenten Proxy entsprechen, also ohne Eintrag im Browser)
Im Bezug auf http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Ist das so korrekt erfasst?
Packetfilter kam vom englischen Packet Filter
Nur eine Sache ist noch unklar...
Dachte aus der DMZ soll gar kein Zugriff auf den Squid möglich sein, nur anders herum. Also Zugriff von Lan aus über Proxy an den Webserver?!
Oder hab ich da nen Denkfehler?
Danke und Gruß
vielen Dank für eure Antworten!
Also nun verstehe ich das so..
entweder ist der Aufbau so:
Internetverbindung -- Paketfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall -- Squid
(das würde dann wohl dem konventionellen Proxy entsprechen mit Eintragung in den Browsereinstellungen)
oder der Application Layer Gateway übernimmt selbst die Aufgabe des Proxy:
Internetverbindung -- Paketfilter/äußere Firewall --- DMZ (z.B. mit Mail oder HTTP Server) -- Application Layer Gateway/Firewall (incl. Proxy)
(das würde dann wohl eher dem transparenten Proxy entsprechen, also ohne Eintrag im Browser)
Im Bezug auf http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Ist das so korrekt erfasst?
Packetfilter kam vom englischen Packet Filter
Nur eine Sache ist noch unklar...
Du erstellst eben an der 2. Firewall eine Regel, dass Squid eben nur aus der DMZ Anfragen
entgegen nimmt. Denn wenn z.B. einen Webserver noch in der DMZ hast, kannst du auf diesen
nicht mehr aus dem LAN zugreifen.Dachte aus der DMZ soll gar kein Zugriff auf den Squid möglich sein, nur anders herum. Also Zugriff von Lan aus über Proxy an den Webserver?!
Oder hab ich da nen Denkfehler?
Danke und Gruß
Sry, war missverständlich ausgegrückt. Ich meinte das mit der Regel so, dass die von intern gestellen Anfragen auch wieder zurück dürfen. Diese kann man ja auch blocken!
/Dani
/Dani
achja..
und noch zu meiner anderen Frage...
ist es auch möglich das ein Proxy innerhalb der DMZ steht? Würde es Sinn ergeben bzw. ist es möglich?
also erst ein Paketfilter.. dann der Proxy... und dann noch ein Router?
Gruß
und noch zu meiner anderen Frage...
ist es auch möglich das ein Proxy innerhalb der DMZ steht? Würde es Sinn ergeben bzw. ist es möglich?
also erst ein Paketfilter.. dann der Proxy... und dann noch ein Router?
Gruß
