Reference - DMZ

Sprachenübersicht/Netzwerktechnik

DMZ

Diese Seite wurde 8397 mal aufgerufen.

Dieser Artikel wurde in einem Wikiweb System geschrieben, das heißt, Sie können die Artikel jederzeit editieren, wenn Sie einen Fehler gefunden haben, oder etwas hinzufügen wollen.

Editieren Versionen Linkpartnerschaft Bottom Printversion

Keywords: dmz firewall netzwerk demilitarisierte zone

Inhaltsverzeichnis



Definition Top


DMZ bedeuted demilitarized zone und bezeichnet einen Abschnitt in einem Netzwerk, welcher nicht extern (also im Internet/WAN), aber auch nicht intern (im lokalen Netzwerk/LAN) liegt.

Struktur Top


Meist wird zu diesem Zweck eine Firewall mit 3 Netzwerkkarten verwendet. Die erste Netzwerkkarte stellt die Verbindung zum Internet dar, die zweite wird meist für NAT-Routing ins interne Netz verwendet und die dritte verbindet die DMZ mit der Firewall. Dadurch werden die Server in der DMZ physikalisch wie auch logisch vom Internet sowie vom LAN getrennt. Es ist auch möglich, mehrere DMZ gleichzeitig zu betreiben (z.B. bei unterschiedlichen Sicherheitsstufen).

Die Server in der DMZ stellen ihre Dienste sowohl im Internet, wie auch im LAN zur Verfügung (z.B. Web-, DNS- oder Mailserver). Wird in diese Systeme eingebrochen, so ist trotzdem das interne Netzwerk durch die Firewall geschützt.

Aufbau Top


In Allgemeinen werden in einer DMZ lokale IP-Adressen verteilt, und auf der Firewall Port-Forward, static NAT oder ein Reverse Proxy betrieben. Es muss unbedingt ein anderes (Sub-)Netz, wie das des LANs, verwendet werden, da ansonsten die DMZ wirkungslos wird.

Es ist aber auch möglich, die Firewall als Bridge für das DMZ zu verwenden. So ist diese im normalen Verkehr nicht erkennbar, kann einfach nachträglich eingefügt werden und schützt in gewohnter Weise das Netzwerk.

Die Firewall übernimmt dann als zentraler Knotenpunkt das Routing sowohl zwischen DMZ oder LAN und Internet als auch zwischen DMZ und LAN.

Arten Top


Prinzipiell gibt es drei Arten eine DMZ einzurichten.

halboffene DMZ
Die wohl sinnvollste und üblichste Variante. In diesem Fall ist die DMZ vom Internet und vom internen Netzwerk aus erreichbar. Die DMZ selbst kann jedoch nur auf das Internet zugreifen.

offene DMZ
Sobald ein Dienst in der DMZ eine Möglichkeit hat, eine Verbindung zu einem Rechner im internen Netz aufzubauen, spricht man von einer offenen Demilitarisierten Zone.

geschlossene DMZ
Hierbei hat die DMZ lediglich Zugriff auf das Internet und kann auch nur von jenem Aufgerufen werden. Eine Verbindung zwischen dem lokalen Netzwerk und der DMZ ist nicht möglich.

Pseudo DMZ
Diese Variante des DMZ ist eigentlich kein DMZ und wird auch als exposed Host bezeichnet. Oftmals bieten einfache Router für Heimnetzwerke die Option, einen Rechner als 'DMZ' zu definieren, an welchen sämtliche Anfragen, die von Außen an die Firewall gelangen, weitergeleitet werden. Da sich dieser Rechner direkt im LAN befindet und die Pakete meist ungefilter weitergeleitet werden, führt diese Ausführung zu einer Verschlechterung der Sicherheit.

Pseudo DMZ können dadurch erkannt werden, dass die Firewall nur zwei Netzwerkanschlüsse besitzt bzw. der 'DMZ-Rechner' direkt angepingt werden kann.

Gibt es noch irgendwelche Fragen, oder wollen Sie über den Artikel diskutieren?

Editieren Versionen Linkpartnerschaft Top Printversion

Haben Sie einen Fehler gefunden? Dann klicken Sie doch auf Editieren, und beheben den Fehler, keine Angst, Sie können nichts zerstören, der Artikel kann wiederhergestellt werden.

Sprachenübersicht/Netzwerktechnik/DMZ