DMZ Aufbau

Hallo,

Zum Aufbau einer DMZ fallen mir momentan folgende zwei Methoden ein:

Methode 1:

Netzwerk A - Firewall 1 - DMZ - Firewall 2 - Netzwerk B

Somit würde sich zwischen Netzwerk A und der DMZ eine Firewall befinden welche mit einem Interface in Netzwerk A und mit einem Interface in der DMZ hängt

und zwischen der DMZ und Netzwerk B eine Firewall befinden welche mit einem Interface in der DMZ und mit einem Interface in der Netzwerk B hängt.

 

Methode 2:

Netzwerk A | DMZ | Netzwerk B

 

|                       |                       |

 

------------- Firewall --------------

 

Somit gäbe es eine Firewall mit drei Interfaces.

Ein Interface in Netzwerk A, eins in der DMZ und eins in Netzwerk B.

 

 

Vor-/Nachteile:

 Methode A Vorteile:

- Mehr Ausfallsicherheit (Fällt Firewall 1 Aus kommt man von Netzwerk B immernoch in die DMZ)

- Mehr Sicherheit (?)

Methode A Nachteile:

- Mehr Aufwand (Wird eine Firewall Regel geändert muss diese gegebenfalls an zwei Stellen [Firewall 1 und Firewall 2] geändert werden)

 

Methode B Vorteile:

- Weniger Aufwand (Wird eine Firewall Regel geändert muss diese lediglich in einer Firewall geändert werden)

Methode B Nachteile:

- Weniger Ausfallsicherheit (Fällt die Firewall aus, ist keines der Netze mehr erreichbar)

 

Welche Vor-/Nachteile würden euch noch einfallen und welche der Methoden würdet ihr bevorzugen?

Oder kennt ihr noch eine andere gängige Methode?

 

Vielen Dank und Grüße