wahrscheinlich auch als
Router zwischen verschiedenen Netzwerken und muß Pakete z.B. vom internen Netzwerk ins
Internet weiterleiten. Die benötigten Regeln, um E-Mail zwischen dem internen Netzwerk,
der Firewall und dem Internet austauschen zu können, lauten jetzt:
| E-Mail von der Firewall ins Netzwerk |
| E-Mail vom Netzwerk zur Firewall |
| E-Mail von der Firewall ins Internet |
| E-Mail vom Internet zur Firewall |
| E-Mail vom Netzwerk ins Internet |
| E-Mail vom Internet ins Netzwerk |
Die Anzahl und Komplexität des
Regelwerkes explodiert förmlich, wenn die Firewall mehr als zwei Netzwerkinterfaces
besitzt. Dazu kommt:
Nicht jedes Netzwerk kann die gleichen Verbindungen in die weiteren
Netzwerke benutzen.
Als erstes Beispiel soll eine Firewall dienen, die keine
Router-Funktionalität besitzt und nur über eine Netzwerkverbindung verfügt. Das dürfte
|
|
wohl der häufigste Anwendungsfall eines privaten Rechners sein. In dieser
Konstellation werden auf der Firewall hauptsächlich die Dienste www, ftp, smtp,
news, pop3 und dns zum »Surfen« benötigt, wobei meist ein
gemeinsamer Proxy-Server des Providers die Dienste www, ftp und news
gleichzeitig bedient.
Die
nächste, komplexere Variante verbindet ein internes Netzwerk über die Firewall mit dem
Internet. In diesem Fall ist die Firewall gleichzeitig ein Router, denn sie leitet Pakete
des internen Netzwerkes ins Internet und umgekehrt.
Eine professionelle Firewall wird als »Screened Subnet Architecture«
aufgebaut. Sämtliche Verbindungen zum Internet erfolgen ausschließlich über den Umweg
eines abgesicherten Netzwerkes, dem |
|
»Perimeter Network«.
Die in Bild 1 dargestellte Netzwerktopologie wird all diesen
verschiedenen Konfigurationen gerecht.
Eine direkte Verbindung aus dem Internet in das interne Netzwerk ist
verboten - wenn auch manchmal bestimmte Dienste vom internen Netzwerk ins Internet erlaubt
werden sollen.
Die Netzwerkstruktur wird in FCT in der Maske »Network« definiert.
Die Angabe des zugehörigen Netzwerk-Interfaces definiert, ob die dahinterliegende |
Bild 2: Definition des Netzwerkes |
|
Teilstruktur des Netzwerkes
(internes Netzwerk, Perimeter Netzwerk) existiert oder nicht.
Die Definition der Netzwerktopologie innerhalb von »Network«
sieht wie folgt aus: Das Internet wird über das »external network device« mit
dem Firewall verbunden, das interne Netzwerk über das »Internal Network Device«. Das »Perimeter
Network« verwendet das »Perimeter Network Device«. Eventuell werden weitere
Rechner über die Firewall angebunden (z.B. ISDN).
FCT bestimmt das Netzwerk-Interface, über welches die Rechner erreicht
werden, anhand des Rechnernamens bzw. Adreßbereiches. Damit FCT weiß, ob Rechner sich im
»Perimeter Network« oder internen Netzwerk befinden, müssen alle Rechner, die
sich im »Perimeter Network« befinden in »Perimeter Network Hosts«
aufgelistet werden. Mit den Definitionen der »Domain« und der zugehörigen »Netmask«
besitzt FCT schon alle nötigen Informationen über die Netzwerktopologie.
Die Rechnernamen der Server, welche die wichtigsten Dienste wie mail, dns,
www, ftp usw. zur Verfügung stellen, werden in eigenen Variablen
gespeichert. Auf diese Weise braucht nicht die ganze Konfiguration neu erstellt werden,
wenn die Server wechseln. Die eigenen externen Rechner definiert FCT als sogennante »Trusted
Hosts« in der Eingabemaske »Trusted«. |
|