 AW: Was ist eine Firewall?
Hi,
also wenn ich keine direkten Zugriffe auf einen bestimmten Server zulassen will, dann setze ich einen Reverse Proxy ein.
Dies setzt voraus, dass mein DNS-Server einen entsprechenden Eintrag aufweist und Zugriffe auf Inhalte meines zu schützenden Servers auf den Reverse Proxy umleitet (im Falle des Einsatzes einer Firewall als Reverse Proxy ist dies nicht nötig, da die Zugriffe ja eh über die Firewall laufen).
In der Praxis sieht es also so aus, dass ich eine bestimmte Seite aufrufe, die auf einem Web-Server liegt, ich den Inhalt aber nicht direkt von dem Web-Server bekomme, sondern vom Reverse Proxy.
Ist auf dem Reverse Proxy auch das Caching aktiv, dann kann es zum Beispiel sein, dass beim Zugriff auf statische Inhalte die Antwort direkt aus dem Proxy-Cache kommt, ohne dass auf den Server zugegriffen wird (spart Bandbreite) ein weiterer Vorteil ist, dass Angriffe auf den Server fehlschlagen, wenn diese auf Vulnerabilities des Web-Servers (Apache oder IIS) zielen, da der Kommunikationspartner ja ein Proxy ist, der diese Vulnerabilitie überhaupt net aufweist.
Der nächste Punkt ist, dass ein möglicher Angreifer auf dem Proxy hängen bleibt, der evtl. Zugriff auf den Server erfolgt ausschliesslich durch den Proxy selber.
Wenn ich eine Instanz (Router/Firewall o.Ä.) mit Network Adress Translation (Hide Natting) einsetze, dann ist für externe Stellen die IP des externen Interfaces meiner o.g. Instanz die einzig erreichbare Adresse.
Sofern hier jetzt kein reverse Proxy läuft, bringt es ja nichts, wenn jemand von extern meinen Router, meine FW auf Port 80 anspricht, da dort ja kein Server lauscht.
Also setze ich entweder einen Reverse Proxy (auf meiner FW) ein, oder aktiviere Port Forwarding auf meinen Webserver auf meinem Router.
Gruesslies
Weazle |