8.3.4. Typische Firewall-Architekturen

Unter Verwendung der beiden Grundelemente lassen sich nun verschiedene konkrete Firewall-Architekturen konstruieren. Wir wollen uns nachfolgend einige typische Realisierungen im Überblick ansehen. Für eine detaillierte Betrachtung sei auf das Buch von Chapman und Zwicky verwiesen.

Es kann in einer Firewall-Installation durchaus sinnvoll sein, mehrere Bastionen zu betreiben, z.B. pro zulässigem Protokoll eine. Dieses Vorgehen hat den Vorteil, daß die Maschinen selbst einfacher zu administrieren sind und nicht so schnell überlastet werden. Sofern die Anbindung an das Internet über einen Router erfolgt, wie das sehr oft der Fall ist, kann man die von außen eintreffenden Pakete an Hand des Zielports sofort derjenigen Bastion zuleiten, die für den angeforderten Dienst zuständig ist. Dadurch erzielt man den oft erwünschten Effekt, daß das gesamte private Netz unabhängig von der internen Struktur seines als zentraler Eintrittspunkt fungierenden Firewalls von außen unter genau einer IP-Adresse erreichbar ist.

Natürlich steigt durch den Einsatz mehrerer Bastion Hosts der Aufwand für die unabdingbare systematische Überwachung der Firewall-Rechner. Eine möglicherweise etwas günstigere Lösung könnte darin bestehen, für jeden zu unterstützenden Dienst (WWW, Mail, News, ...) einen dedizierten Server-Rechner im internen Netz zu verwenden und alle diese Server durch eine einzige leistungsfähige Bastion zu schützen.


Frage 8.3.4: Im Sinne einer sehr hohen Sicherheit wird häufig die harte Forderung an den Firewall gestellt, daß auf der Bastion ein abgerüsteter Betriebssystem-Kern zum Einsatz kommen muß, der keinerlei Code für das IP-Forwarding enthält. Warum ist diese Forderung sinnvoll? Welche Gefahr ergibt sich, wenn das IP-Forwarding lediglich durch den Administrator deaktiviert wurde, der betreffende Code aber weiter Bestandteil des Kerns ist?


© Holger Trapp, 14.10.1998