Re: Proxy Firewall mit DMZ

Widmer Hannes <h.widmer(at)cybernet.ch> wrote:
> Habt ihr mir vielleicht einen kleinen Tipp für ne gute Doku betreffend einer Ins
> tallation einer Proxy Firewall mit dmz ?.... ok, kann auch nur ne Proxy Firewall
> sein.... habe 2 DNS, 1 Mail und 2 Web Server dahinter.....
>
> P.S. Oder würdet ihr das anders machen ?.... Tipps und Vorschlaege immer willkom
> men *s*.... Thanks a lot !!

Wenn Du's gleich richtig vernünftig aufsetzen willst, dann
machst Du eine dreistufige »PAP« Firewall gemäß BSI-Empfeh-
lung (PAP = Paketfilter + Application-Level-Gateway + Pa-
ketfilter). Ist natürlich auch eine Kostenfrage.

Der äußere Paketfilter ist normalerweise recht einfach auf-
gebaut (häufig verzichtet man sogar auf Statefulness). Er
schützt auch die DMZ. Das Application-Level-Gateway imple-
mentiert die Proxies, die die internen Netze (nicht die
DMZ!) nach draußen verbinden. Wichtig ist, daß im Normal-
fall kein Routing (d.h. Packet-forwarding) erfolgt. Der
zweite Paketfilter ist aufwendiger und trennt das ALG vom
internen Netz.

Zu dem Thema gibt's eigentlich ausreichend Literatur. Wenn
man mal in einer gutbestückten Buchhandlung in die richtige
Ecke geht, kann man sich vor Bücher zum Thema Firewalls gar
nicht mehr retten. ;-)

Gruß
   Olli

PS: Wir (d.h. secnetix GmbH) verkaufen sowas übrigens
auch. ;-)

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"In headlines today, the dreaded killfile virus spread across the
country adding aol.com to people's usenet kill files everywhere.
The programmer of the virus still remains anonymous, but has been
nominated several times for a Nobel Peace Prize." -- Mark Atkinson
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message