Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ, deutsch: entmilitarisierte Zone) bezeichnet einen geschützten Rechnerverbund, der sich zwischen zwei Computernetzwerken befindet. Die gesamte Kommunikation vom und zum Rechnerverbund wird dabei durch die Firewall geschützt.
Der Sinn der DMZ ist es, möglichst auf sicherer Basis Dienste des Rechnerverbundes sowohl dem einem als auch dem anderem Netz zur Verfügung zu stellen. Ein typisches Anwendungsbeispiel ist das Betreiben eines eigenen TightGate™-Pro-Servers, Webservers, Mailservers oder Nameservers.
Diese Server sind Teile der DMZ und müssen von außen erreichbar sein, da ansonsten Anfragen nicht bearbeitet werden können. Anderseits sollen die Clients, die im internen Netz angeschlossen sind, auch auf die Server zugreifen können. Die Server selber können jedoch von sich aus keine Verbindungen ins interne Netz aufbauen.
Vorteil einer solchen Lösung ist, dass im Falle einer Kompromittierung eines Servers in der DMZ das interne Netzwerk trotzdem noch geschützt bleibt. Wären die Server nicht in einer DMZ, sondern direkt im internen Netzwerk, so wäre auch das gesamte Netzwerk durch eine Kompromittierung betroffen. Gerade weil öffentlich angebotene Dienste oft ein nicht unerhebliches Angriffsziel darstellen, kann man durch eine DMZ das Gesamtrisiko erheblich minimieren.
Um das DMZ Netzwerk zu konfigurieren, melden Sie sich bitte als Benutzer config an und wählen Sie aus dem Menü den Menüpunkt Einstellungen>DMZ Netzwerk aus. Aktivieren Sie den Schalter DMZ-Netzwerk. Sie haben folgende Einstellungsmöglichkeiten:
| Ende | Verlassen des Menüs. |
| DMZ Netzwerk aktiviert | An- oder Abschalten des DMZ-Netzwerks. |
| Interfaces Anzeige aller im System verfügbaren Netzwerkinterfaces. | |
| ——– | |
| Netzwerk-Treiber (DMZ) | Auswahl des Netzwerkkarten-Treibers für das DMZ Netzwerkinterface. |
| Netzwerk-Interface (DMZ) | Name des DMZ-Netzwerkinterfaces. |
| IP-Adresse (DMZ) | Die IP-Adresse der für das DMZ Netz. Über diese IP-Adresse kommuniziert die Firewall mit den Servern in der DMZ. |
| IP-Netzwerk-Valid-Bits (DMZ) | Anzahl der gültigen IP-Netzwerk-Bits des DMZ Netzes. |
| IP-Netzwerk-Maske (DMZ) | Entsprechend dem IP-Adressbereich die IP-Netzwerkmaske für das DMZ Netz. |
| IP-Netzwerk (DMZ) | IP-Adressbereich für das DMZ Netzwerk. |
| IP-Broadcast (DMZ) | DMZ Broadcast-Adresse für das IP-Netzwerk dieser Firewall. |
| IP-Netzwerk rückwärts (DMZ) | IP-Netzwerk der DMZ rückwärts ohne die Hosts. |
| IP-Netzwerk Hostanteil (DMZ) | Hostanteil der IP-Adresse des DMZ-Netzes. |
| ——– | |
| Aus der DMZ maskierte TCP-Ports | Legen Sie hier fest, welche TCP-Ports maskiert in das Internet durchgeleitet werden sollen. |
| Ping ICMP aus der DMZ durchleiten | Legt fest, ob eine PING-Anfrage aus der DMZ weitergeleitet wird. |
| Von der DMZ offene Firewall-TCP-Ports | Auswahl diejenigen TCP-Ports, über die Server aus dem DMZ-Netz auf Dienste der TightGate™-Firewall zugreifen sollen. Z.B. Freischaltung des TCP-Ports 53, wenn ein Server aus der DMZ die TightGate™-Firewall als DNS-Server benutzen soll. |
| Von der DMZ offene Firewall-UPD-Ports | Auswahl diejenigen UDP-Ports, über die Server aus dem DMZ-Netz auf Dienste der TightGate™-Firewall zugreifen sollen. |
| DMZ-Server 1-4 | IP-Adresse des jeweiligen in der DMZ stehenden Server. |
| Externe TCP-Ports zum DMZ-Server 1-4 | Einstellung derjenigen Ports, über die aus dem externen Netzwerk Verbindungen direkt an den jeweiligen in der DMZ stehenden Server weiterzuleiten sind. Es werden nur TCP-Verbindungen über einen Proxy in die DMZ weitergeleitet. Sollen andere Protokolle in die DMZ durchgeleitet werden, so ist die über den Menüpunkt Custom-Settings vorzunehmen. Achtung: Wenn eigene Durchleitungen eingestellt werden, werden diese u.U nicht protokolliert! |
ACHTUNG
Wenn Sie alle Einstellungen vorgenommen haben verlassen die das Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Voll Anwenden an. Erst nach dem Anwenden werden die neuen Einstellungen wirksam.