wahrscheinlich auch als Router zwischen verschiedenen Netzwerken und muß Pakete z.B. vom internen Netzwerk ins Internet weiterleiten. Die benötigten Regeln, um E-Mail zwischen dem internen Netzwerk, der Firewall und dem Internet austauschen zu können, lauten jetzt:
E-Mail von der Firewall ins Netzwerk
E-Mail vom Netzwerk zur Firewall
E-Mail von der Firewall ins Internet
E-Mail vom Internet zur Firewall
E-Mail vom Netzwerk ins Internet
E-Mail vom Internet ins Netzwerk

Die Anzahl und Komplexität des Regelwerkes explodiert förmlich, wenn die Firewall mehr als zwei Netzwerkinterfaces besitzt. Dazu kommt:
    Nicht jedes Netzwerk kann die gleichen Verbindungen in die weiteren Netzwerke benutzen.
    Als erstes Beispiel soll eine Firewall dienen, die keine Router-Funktionalität besitzt und nur über eine Netzwerkverbindung verfügt. Das dürfte

wohl der häufigste Anwendungsfall eines privaten Rechners sein. In dieser Konstellation werden auf der Firewall hauptsächlich die Dienste www, ftp, smtp, news, pop3 und dns zum »Surfen« benötigt, wobei meist ein gemeinsamer Proxy-Server des Providers die Dienste www, ftp und news gleichzeitig bedient.

net1.gif (1735 Byte)

    Die nächste, komplexere Variante verbindet ein internes Netzwerk über die Firewall mit dem Internet. In diesem Fall ist die Firewall gleichzeitig ein Router, denn sie leitet Pakete des internen Netzwerkes ins Internet und umgekehrt.
    Eine professionelle Firewall wird als »Screened Subnet Architecture« aufgebaut. Sämtliche Verbindungen zum Internet erfolgen ausschließlich über den Umweg eines abgesicherten Netzwerkes, dem

 »Perimeter Network«.

net2.gif (2699 Byte)

    Die in Bild 1 dargestellte Netzwerktopologie wird all diesen verschiedenen Konfigurationen gerecht.
    Eine direkte Verbindung aus dem Internet in das interne Netzwerk ist verboten - wenn auch manchmal bestimmte Dienste vom internen Netzwerk ins Internet erlaubt werden sollen.
   Die Netzwerkstruktur wird in FCT in der Maske »Network« definiert. Die Angabe des zugehörigen Netzwerk-Interfaces definiert, ob die dahinterliegende

netcfg.gif (10211 Byte)

Bild 2: Definition des Netzwerkes

 Teilstruktur des Netzwerkes (internes Netzwerk, Perimeter Netzwerk) existiert oder nicht.
    Die Definition der Netzwerktopologie innerhalb von »Network« sieht wie folgt aus: Das Internet wird über das »external network device« mit dem Firewall verbunden, das interne Netzwerk über das »Internal Network Device«. Das »Perimeter Network« verwendet das »Perimeter Network Device«. Eventuell werden weitere Rechner über die Firewall angebunden (z.B. ISDN).
   FCT bestimmt das Netzwerk-Interface, über welches die Rechner erreicht werden, anhand des Rechnernamens bzw. Adreßbereiches. Damit FCT weiß, ob Rechner sich im »Perimeter Network« oder internen Netzwerk befinden, müssen alle Rechner, die sich im »Perimeter Network« befinden in »Perimeter Network Hosts« aufgelistet werden. Mit den Definitionen der »Domain« und der zugehörigen »Netmask« besitzt FCT schon alle nötigen Informationen über die Netzwerktopologie.
   Die Rechnernamen der Server, welche die wichtigsten Dienste wie mail, dns, www, ftp usw. zur Verfügung stellen, werden in eigenen Variablen gespeichert. Auf diese Weise braucht nicht die ganze Konfiguration neu erstellt werden, wenn die Server wechseln. Die eigenen externen Rechner definiert FCT als sogennante »Trusted Hosts« in der Eingabemaske »Trusted«.

FCT - Firewall Configuration Tool


- 2 -
Homepage

1   2   3   4   5   6

Impressum