_Marc_IT Geschrieben Samstag um 10:01 Geschrieben Samstag um 10:01 Hallo zusammen, ich bereite mich gerade auf die AP2 vor und bin bei dem Thema DMZ angekommen. Ich hab bisher 3 Konzepte für eine DMZ gefunden (2 Stufen Firewall, die 3-Port-DMZ und die einstufige DMZ). Ich frage mich aber, was ist denn der Unterschied zwischen einer 3-Port-DMZ und einer einstufigen DMZ? Vielleicht könnte mir ja jemand helfen.
Destructor Geschrieben Samstag um 10:35 Geschrieben Samstag um 10:35 (bearbeitet) Hi, was meinst du mit "3-Port-DMZ"? Es gibt eine einstufige DMZ mit einer Firewall und eine zweistufige DMZ mit zwei Firewalls. Der Vorteil bei einer zweistufigen DMZ ist der, dass du das interne Netz nochmal zusätzlich hardwaremäßig isoliert hast. Wenn also ein Angreifer die erste Firewall überwinden konnte, dann müsste er auch nochmal zusätzlich die zweite überwinden, wenn er in das interne Netz möchte. Deshalb ist es auch empfehlenswert als zweite Firewall eine Firewall von einem anderen Hersteller zu verwenden. Falls es eine Sicherheitslücke in einer der Firewalls gibt, dann ist wahrscheinlich nur eine Firewall davon betroffen. Edit: Die Abbildung in dem Artikel zeigt es sehr schön: https://www.security-insider.de/was-ist-eine-dmz-demilitarized-zone-a-677267/ Bearbeitet Samstag um 10:37 von Destructor
_Marc_IT Geschrieben Samstag um 10:46 Autor Geschrieben Samstag um 10:46 Danke für die Antwort erstmal. Ich habe gelesen, dass es eine 3-Port-DMZ Konzept gibt. Dort werden dann 3 Ports spezifisch für LAN, WAN und DMZ Konfiguriert, sodass die Kommunikation ausschließlich darüber läuft. Aber wenn ich das von dir richtig Verstanden haben, gibt es allgemein 2 Konzepte (Einstufig und Zweistufig).
Destructor Geschrieben Samstag um 11:42 Geschrieben Samstag um 11:42 (bearbeitet) Mit den Ports hat das aber nichts zu tun. Du könntest z.B. auch zwischen Firewall und Switch auch nur ein physikalischen Link verwenden, welcher als Trunk Port konfiguriert ist. Wichtig ist halt nur, dass das interne Netzwerk und DMZ separate Netzwerke bzw. separate VLANs sind. Der Vorteil wäre halt, wenn jedes Netzwerk sein eigenen physikalischen Port bekommen würde, dass jedes Netzwerk die volle Bandbreite des Ports für sich selbst erhält. Bei einem Trunk Port teilen sie ja die VLANs denselben physikalischen Link und müssen sich daher auch die Bandbreite teilen. Da es üblicherweise in einer Firma mehr als nur zwei Netzwerke gibt, ist es heutzutage sinnvoller auf Trunks zu setzen aber dafür gleichzeitig auch Link Aggregation zu machen. Richtig, hauptsächlich wird das ein oder das zweistufige DMZ verwendet. Es gibt noch eine spezielle Variante, wobei das mit einer richtigen DMZ wenig zu tun hat: Exposed Host. Bearbeitet Samstag um 11:47 von Destructor _Marc_IT reagierte darauf 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden