Firewall-Funktionen

DMZ Schaltbild für die ZyWALL
Stateful-Packet-Inspection
Stateful-Packet-Inspection bietet einem Netzwerk Schutz vor unerlaubtem Zugriff aus dem Internet. Gleichzeitig wird der Zustand einer Verbindung kontrolliert, d.h. ob die Antwort auf eine Anfrage aus dem internen Netzwerk zurückzuführen ist. In einer internen Tabelle werden diese Verbindungskontrollen verwaltet und überwacht. Dies ist die Basis für die Entscheidung, ob die Firewall ein Datenpaket passieren lässt, oder ob es blockiert wird. Die Einschränkung der Kontrolle auf IPAdressen und Protokolle unterscheidet die Firewall von Intrusion-Detection-Prevention-Systemen.



DMZ
Öffentliche Server wie z.B. ein Webserver müssen vom Internet her erreichbar sein – lokale dagegen nicht. Um diese unterschiedlichen Anforderungen zu erfüllen, platziert man öffentliche Server in einem separaten Netzwerksegment. Diese sogenannte demilitarisierte Zone ist durch Firewall-Regeln vom Internet und vom lokalen Netzwerk getrennt. Damit erhöht sich die Sicherheit, weil ein infizierter Server in der DMZ keinen Zugriff auf das lokale Netzwerk hat. Bei den ZyWALL 5 und 35 lassen sich vier LAN-Ports flexibel als DMZ einrichten. Die DMZ verfügt über eigene DHCP-Funktionalitäten.





Bandbreitenmanagement mit der ZyWALL
Bandbreiten-Management
Verschiedene Anwendungen wie Web, FTP, VPN, VoIP, etc. «kämpfen» mit unterschiedlichen Bandagen um die verfügbare Bandbreite des Internetzugangs. Der zunehmende VoIP-Verkehr verschärft diese Problematik. Die Qualität von VoIP sinkt beim Versand von E-Mails mit grossen Anhängen oder bei gleichzeitigem FTPDownload. Aggressive Anwendungen wie z. B. FTP nehmen sich so viel Bandbreite wie möglich. Darunter leiden zeitkritische Applikationen, weil sie sich mit dem verbleibenden Rest der Bandbreite begnügen müssen. Die Qualität eines Telefongesprächs über Internet oder die Stabilität einer VPN-Verbindung können durch das Bandbreiten-Management garantiert werden. Bei der ZyWALL 5, 35 und 70 lässt sich der Datenstrom nach verschiedenen Kriterien konfigurieren: Für zeitkritische Anwendungen wie VoIP kann beispielsweise eine garantierte Mindestbandbreite definiert werden. Aggressiven Protokollen wie FTP weist man eine eher tiefe Priorität (resp. maximal zu nutzende Bandbreite) zu, HTTPS und der IP-Adresse des Onlineshops dagegen eine hohe.




Zweiter WAN-Anschluss
Die Verfügbarkeit und Bandbreite sind kritische Faktoren eines Internetanschlusses. Der zweite WAN-Anschluss der ZyWALL 35 und 70 lässt sich gleichzeitig mit Loadbalancing oder als Back-up einsetzen. Fällt die primäre Internetverbindung aus, wird automatisch auf einen zweiten Zugang gewechselt. Ist Redundanz gefragt, wählt man für die beiden WAN-Verbindungen mit Vorteil unterschiedliche Technologien wie DSL, Kabel oder Standleitung. Reicht die Bandbreite eines einzelnen ADSL-Abonnements für einen Firmenzugang nicht aus, kann eine zweite Leitung dazu geschaltet werden.

Dial-Back-up
Fällt ADSL aus, kann ein externes Modem oder ein ISDN-Adapter automatisch wieder eine Verbindung ins Internet herstellen. Damit ist zumindest ein notdürftiger Betrieb wieder möglich.

VPN und Authentifizierung
Für die Vernetzung von Firmen-Niederlassungen und Heimarbeitsplätzen ist VPN nicht mehr wegdenkbar. Die verfügbaren Netzwerkressourcen (Programme, Dateien, etc.) sind damit über verteilte Standorte nutzbar. Doch nicht nur die VPN-Unterstützung, sondern auch die Verschlüsselungstiefe (DES, 3DES und AES), der mögliche Datendurchsatz und die Authentifizierungsmöglichkeiten stehen für die Qualität einer VPN-Firewall. Die Abfrage von Benutzernamen und Passwort oder die Verwendung von Zertifikaten beim Aufbau einer VPN-Verbindung werden immer häufiger als weitere Sicherheitselemente gefordert. Diese zusätzliche Authentifizierung ist für VPN- und Wireless- LAN-Verbindungen möglich. Als VPN-Client kann auch eine Software wie der ZyWALL VPN-Client oder TheGreenBow eingesetzt werden.



Wireless-ready
Durch den Einsatz einer Wireless-Karte (zum Beispiel ZyAIR G-100) lassen sich die ZyXEL ZyWALL 5, 35 und 70 zum Access-Point erweitern. Neu ist es möglich, die WLAN-Karte ins LAN oder als separate Firewall-Zone zu konfigurieren. Firewall-Regeln zwischen Wireless-LAN und dem lokalen Netzwerk erhöhen die Sicherheit. Bei der Authentifizierung nach 802.1x können bis zu 32 Benutzer auf der internen Datenbank oder einem externen RADIUS-Server eingerichtet werden. Im Verlauf des 1. Quartals 2006 kann zusätzlich eine WLAN-Zone auf einem Ethernet-Port definiert werden.

Sichere Fernwartung
Die Datenverschlüsselung der Remote-Konfiguration mit VPN, HTTPS oder SSH verhindert das Abhorchen durch Unberechtigte. Die Zugriffsberechtigung lässt sich auf eine bestimmte IP-Adresse einschränken und mit einem Zertifikat zusätzlich authentifizieren.