Firewall-Topologien: Bastion-Host, abgeschirmtes Subnetz, Dual Firewall

Bastion-Host, abgeschirmtes Subnetz und Dual Firewalls sind die Firewall-Topologien, die man am häufigsten einsetzt. Ein Überblick zu diesem Thema.

Wenn Sie eine Strategie entwickeln, um den Perimeter des Unternehmens zu schützen, ist eine der wichtigsten Fragen: „Wo soll ich die Firewall platzieren, damit sie am wirksamsten ist?“. In diesem Tipp sehen wir uns die drei grundlegenden Möglichkeiten genauer an und analysieren die Szenarien, die sich für den jeweiligen Fall am besten eignen.

Bevor wir beginnen, möchten wir Sie darauf hinweisen, dass sich dieser Tipp lediglich mit der Platzierung der Firewall befasst. Planen Sie eine Strategie zum Schutz des Unternehmens, sollten Sie mit einer sogenannten Defense-in-Depth-Herangehensweise (gestaffelter Schutz) arbeiten. In diesem Fall verwenden Sie mehrere Security-Geräte. Dazu gehören Firewalls, Border-Router mit Paketfiltern und Intrusion Detection Systems (IDS).

Möglichkeit 1: Bastion-Host

Die erste und einfachste Option ist die Verwendung eines sogenannten Bastion-Hosts. In diesem Szenario (Abbildung 1) sitzt die Firewall zwischen Internet und dem geschützten Netzwerk. Sie filtert allen Traffic, der in das Netzwerk eindringt oder es verlässt.

Abbildung 1: Bastion-Host

Die Topologie Bastion-Host eignet sich hervorragend für relativ simple Netzwerke. Das gilt zum Beispiel für solche, die keine öffentlichen Internet-Services anbieten. Sie sollten aber den entscheidenden Aspekt nicht aus den Augen verlieren. An dieser Stelle gibt es nur eine Grenze. 

Sobald jemand diese Grenze durchbricht, hat er uneingeschränkten Zugriff auf das geschützte Netzwerk. Das gilt zumindest aus Sicht des Schutzes für das Perimeter. Das ist vielleicht akzeptabel, wenn Sie die Firewall lediglich nutzen, um ein Unternehmensnetzwerk zu schützen, das in erster Linie zum Surfen im Internet verwendet wird. Hosten Sie allerdings eine Website oder einen E-Mail-Server, dann ist dieser Ansatz wahrscheinlich nicht ausreichend.

Möglichkeit 2: Abgeschirmtes Subnetz (Screened Subnet)

Die zweite Option ist ein abgeschirmtes Subnetz. Diese Option bietet einige Vorteile gegenüber der Herangehensweise mit einem Bastion-Host. Die Architektur sieht eine einzelne Firewall mit drei Netzwerkkarten vor. Man nennt das auch eine Triple Homed Firewall. Sie sehen ein Beispiel in Abbildung 2.

Abbildung 2: Abgeschirmtes Subnetz

Das abgeschirmte Subnetz stellt eine Lösung bereit, mit der ein Unternehmen Internetanwendern auf sichere Weise Services anbieten kann. Jeglicher Server, der öffentliche Services bedient, wird in der DMZ platziert. Diese ist vom Internet und dem vertrauenswürdigen Netzwerk durch die Firewall separiert. Wenn ein böswilliger Nutzer Anstrengungen unternimmt, die Firewall zu kompromittieren, hat er bei Erfolg noch keinen Zugriff auf das Intranet. Wir gehen an dieser Stelle natürlich davon aus, dass die Firewall angemessen konfiguriert ist.

Möglichkeit 3: Doppelte Firewall (Dual Firewall)

Die sicherste aber auch teuerste Variante ist es, ein abgeschirmtes Netzwerk mithilfe zweier Firewalls zu kreieren. In diesem Fall ist die DMZ zwischen den beiden Firewalls platziert. Sie sehen das in Abbildung 3.

Verwendet Ihr Unternehmen zwei Firewalls, kann es Internetanwendern weiterhin Services durch eine DMZ Services anbieten. Es gibt allerdings eine zusätzliche Schutzschicht. Security-Architekten verwenden dieses Schema sehr gerne und benutzen dabei Firewalls von zwei unterschiedlichen Anbietern. Sollte ein Cyberkrimineller eine spezifische Schwachstelle in der Software finden, die sich ausnutzen lässt, gibt es an dieser Stelle eine weitere digitale Brandschutzmauer.

Abbildung 3: Doppelte Firewall

High-End-Firewalls erlauben zudem einige Variationen. Einfache Firewalls haben manchmal ein Limit von drei bis vier Schnittstellen. Die hochwertigere Verwandtschaft erlaubt den Einsatz einer großen Anzahl an physischen und virtuellen Schnittstellen. So sind beispielsweise über 20 physische Schnittstellen möglich. 

Mithilfe von VLANs können Sie noch zusätzliche virtuelle Interfaces hinzufügen. Was bedeutet das für Sie? Wenn Sie eine größere Anzahl an Schnittstellen haben, dann können Sie viele verschiedene Sicherheitszonen in Ihrem Netzwerk errichten. Möglicherweise gibt es bei Ihnen dann so eine ähnliche Konfiguration der Schnittstellen:

  • Zone 1: Internet
  • Zone 2: Eingeschränkte Workstations
  • Zone 3: Allgemeine Workstations
  • Zone 4: Öffentliche DMZ
  • Zone 5: Interne DMZ
  • Zone 6: Wichtige Server

Dieser Architekturtyp erlaubt es, alle drei oben beschriebenen Topologien einzusetzen. Somit sind Sie an dieser Stelle enorm flexibel. Nach diesem allgemeinen Artikel über Firewall-Architekturen sind Ihnen nun die grundlegenden Konzepte bekannt. Somit können Sie ab sofort eine angemessene Architektur für die verschiedenen Situationen wählen.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency (NSA) und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity, wo er als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter „CISSP Study Guide“ und „Information Security Illuminated“.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit