Verwenden von Firewalls in einer Front-End- und Back-End-Topologie

  • Artikel

 

Letztes Änderungsdatum des Themas: 2005-05-24

Wenn Ihr Netzwerk über das Internet angezeigt werden kann, sollten Sie unbedingt eine software- oder hardwarebasierte Firewalllösung einsetzen. Firewalls steuern den Datenverkehr zum Netzwerk mit Methoden wie Anschlussfilterung, IP-Filterung und Anwendungsfilterung in erweiterten Firewalllösungen.

Zur Einbindung einer Firewall in eine Front-End- und Back-End-Topologie stehen mehrere Optionen zur Verfügung, die unter Szenarien für die Bereitstellung einer Front-End- und Back-End-Topologie. Grundsätzlich wird die Verwendung eines erweiterten Firewallservers in Ihrer Topologie empfohlen (weitere Informationen zur Verwendung einer erweiterten Firewall finden Sie unter Erweiterte Firewall in einem Umgebungsnetzwerk).

Anschlussfilterung

Die von Ihnen eingesetzte Firewall zum Schutz Ihrer Server vor dem Internet muss mindestens über die Anschlussfilterungsfunktion verfügen. Mit der Anschlussfilterung wird der über die Firewall eingehende Netzwerkdatenverkehr beschränkt, indem der Zugriff auf Informationen lediglich über bestimmte Anschlüsse gewährt wird. Sie können zum Beispiel die Firewall so konfigurieren, dass lediglich HTTPS-Datenverkehr über den TCP/IP-Anschluss 443 aus dem Internet akzeptiert wird.

In den folgenden beiden Abschnitten werden zwei wichtige Konzepte im Zusammenhang mit TCP/IP-Verbindungen erläutert: Quellanschluss im Vergleich zu Zielanschluss sowie die Richtung der TCP/IP-Verbindung.

Quellanschluss im Vergleich zu Zielanschluss

Wenn Computer A eine TCP/IP-Verbindung zu Computer B herstellt, werden zwei Anschlüsse verwendet: Der Quellanschluss (auf Computer A) und der Zielanschluss (auf Computer B). Der Netzwerkstack auf dem Computer, der die Verbindung initiiert, wählt die Quellanschlüsse normalerweise zufällig aus. Bei Zielanschlüssen handelt es sich um Anschlüsse, die der angegebene Dienst abhört (z. B. Anschluss 443 für HTTPS). Alle in diesem Handbuch enthaltenen Verweise auf einen von einem bestimmten Dienst verwendeten Anschluss beziehen sich auf den Zielanschluss.

Richtung der TCP-Verbindung

Beim Öffnen von Firewallanschlüssen müssen Sie bei den meisten Firewalls die Richtung der Verbindung angeben. Um beispielsweise den Kontakt von einem Front-End-Server zu Back-End-Servern herzustellen, müssen Sie Anschluss 80 für HTTP-Datenverkehr öffnen. Back-End-Server initiieren hingegen nie TCP/IP-Verbindungen zum Front-End-Server. Die antworten nur auf Anfragen, die vom Front-End-Server initiiert wurden. Auf Ihrer Firewall müssen Sie daher lediglich Anschluss 80 für HTTP-Verbindungen vom Front-End zum Back-End aktivieren. In diesem Handbuch werden solche Verbindung als "eingehend" bezeichnet (die Verbindungen werden von "außen" zum Unternehmensnetzwerk hergestellt).

IP-Filterung

Viele Firewalllösungen bieten ebenfalls Unterstützung für IP-Filterung. IP-Filterung steigert die Verlässlichkeit einer Firewall, da der Datenverkehr über die Firewall auf bestimmte Server beschränkt werden kann. In einem Umgebungsnetzwerk möchten Sie beispielsweise DSAccess zur Verwendung von bestimmten Domänencontrollern und globalen Katalogservern konfigurieren und anschließend IP-Filter einsetzen, um sicherzustellen, dass die Front-End-Server nur Verbindungen zu diesen Domänencontrollern und globalen Katalogservern herstellen.

Anwendungsfilterung

Erweiterte Firewalls wie z. B. ISA Server bieten eine erweiterte Überwachung auf der Anwendungsprotokollebene. Anhand dieser Überwachung kann die Firewall bestimmte Funktionen ausführen, wie zum Beispiel das Filtern von RPC-Schnittstellen und die Validierung der HTTP-Anfragesyntax. Anwendungsfilterung ist das Hauptargument für den Einsatz einer erweiterten Firewall in Ihrer Topologie. Sie bietet ein Höchstmaß an Sicherheit.