Thomas Schmidt schrieb:
Hallo Andreas!
Am Donnerstag, 11. März 2004 16:04 schrieb Andreas Kretschmer:
Und was kommt zwischen DMZ und lokalem Netz?
Die Firewall.
Eine zweite Firewall brauche ich eigentlich nicht, weil ich ja gar keine Verbindung von ganz innen ins Internet haben möchte.
Brauchst Du auch nicht, es gibt auch einstufige Firewalls mit mehr als 2 Netzwerkkarten.
Ich denke, am Besten ist ein Server mit zwei Netzwerkkarten. Da kommt jeder direkt dran und die Internetrechner haben direkte Verbindung zum Router.
Der Router ist also extra. Ein Hardwarerouter? Übernimmt er die Firewallfunktion? Dann ist der Server die 2. Firewall.
Internet Trojanersammler Server Arbeitsplätze L_________I________I L_____I
Du willst also die Trojanersammler gleich opfern? ;-)
Wenn der Router ein PC ist, würde ich das so angehen:
Internet | | -------------- | Router | | Firewall | | VPN-Server |--- evtl. Server (DMZ) | (Server) | -------------- | | | | Gruppe A Gruppe B+C
Damit gibt es eine physische Trennung zwischen Rechnern mit und ohne Internetzugang. Der Server kann wahlweise direkt auf der Firewall liegen (All-in-one-Lösung), was allerdings ein erhöhtes Sicherheitsrisiko ist oder in einem eigenen Netzwerksegment (die sicherste Lösung) oder notfalls auch mit der Gruppe A, die kein besonderes Risiko darstellt zusammenliegen. Der Rest läßt sich mit Filterregeln auf der Firewall kontrollieren.
Außerdem noch einen Virenscanner im Mailserver, der das meiste Getier vor dem Zugriff der Jäger und Sammler schützt. *g*
Zusätzlich die Arbeitsplätze mit Virenscannern ausstatten und die Trojanersammler können ihrem Hobby auch nicht mehr unbeobachtet nachgehen. ;-) Mit den lokalen Virenscannern hab ich mehr Sicherheit, als nur mit der Firewall.
Ciao Rico