Firewalls und ArcGIS-Server

Welche Funktion erfüllt eine Firewall?

Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern. Zudem können Sie die Firewall so konfigurieren, dass die Kommunikation auf einen nur Ihnen bekannten Port eingeschränkt wird.

Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden. Firewalls eignen sich am besten zum Erkennen von Angriffen (beispielsweise Würmer und Trojaner), die durch einen geöffneten Port in das System eindringen oder es verlassen können. Sie schützen allerdings nicht vor Viren, die als Anhang von E-Mails übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollten.

Schützen von ArcGIS-Server durch Firewalls

Es gibt zwei Strategien, über die Sie eine ArcGIS-Server-Site durch Firewalls schützen können. Bei den folgenden Strategien werden Firewalls eingesetzt, um das interne Netzwerk (in dem die Sicherheitseinstellungen festgelegt sind) vom externen Netzwerk (in dem die Sicherheit nicht gewährleistet werden kann) zu trennen.

Einzelne Firewall

Bei diesem einfachen und weniger sicheren Ansatz wird eine einzelne Firewall eingesetzt, um den Datenverkehr auf Ihren Webserver einzuschränken. In der Regel ist nur Port 80 geöffnet. Der Webserver, der ArcGIS Web Adaptor, der GIS-Server und alle Daten befinden sich hinter der Firewall in einem sicheren, internen Netzwerk.

Szenario mit einer einzelnen Firewall
Bei dem Szenario mit einer einzelnen Firewall wird die Firewall zwischen dem externen Netzwerk und dem Webserver eingerichtet.

Mehrere Firewalls mit Reverseproxy-Webserver

Der sicherere jedoch auch komplexere Ansatz umfasst die Konfiguration des Webservers und des Web Adaptor innerhalb eines Umkreisnetzwerks (auch demilitarisierte Zone [DMZ] oder überprüftes Subnetz genannt). In diesem Szenario empfängt der Web Adaptor eingehende Anforderungen über den Port 80. Anschließend wird die Anforderung unter Verwendung von Port 6080 über eine weitere Firewall zum GIS-Server weitergeleitet. Der Web Adaptor veranlasst den Computer, als Reverseproxy-Webserver zu fungieren.

Szenario mit mehreren Firewalls mit Reverseproxy-Webserver
Bei dem Szenario mit mehreren Firewalls werden die Firewalls auf beiden Seiten eines Reverseproxy-Webservers eingerichtet.

Die einzelnen Komponenten in diesem Szenario werden nachfolgend genauer betrachtet:

  • Ein Umkreisnetzwerk besteht aus Computern, auf die Internetbenutzer über eine Firewall zugreifen können, die aber nicht Teil des sicheren internen Netzwerks sind. Das Umkreisnetzwerk isoliert das interne Netzwerk vor direkten Internetzugriffen durch Clients.
  • Der Web Adaptor im Umkreisnetzwerk empfängt Internetanforderungen über einen allgemeinen Port, z. B. Port 80. Eine Firewall verhindert den Zugriff über andere Ports. Der Web Adaptor sendet die Anforderung dann über eine andere Firewall an das sichere interne Netzwerk und verwendet dabei den ArcGIS-Server-Port 6080.
  • Der GIS-Server und der Datenserver (sofern vorhanden) befinden sich im sicheren, internen Netzwerk. Anforderungen, die in das sichere Netzwerk gelangen, müssen vom Web Adaptor kommen und eine Firewall passieren. Antworten, die das sichere Netzwerk verlassen, gelangen auf dem gleichen Weg zum Client. Zuerst wird die Antwort durch die Firewall zum Web Adaptor geleitet. Dann sendet der Web Adaptor die Antwort durch eine andere Firewall zum Client.

Wenn es bei einem Computer im Umkreisnetzwerk zu Sicherheitsproblemen kommt, wird durch die zweite Firewall die Gefahr reduziert, dass der betroffene Computer weitere Computer in Ihrem internen Netzwerk gefährdet.

TippTipp:

Das oben dargestellte Diagramm mit einem Reverseproxy-Webserver stellt eine geeignete Lösung dar, wenn Sie nur Web-Services bereitstellen. Wenn Sie auch Webanwendungen bereitstellen, können Sie einen Webserver optional im internen Netzwerk platzieren, um ein sicheres Hosten der Anwendungen zu gewährleisten.

Firewalls zwischen GIS-Server-Computern

In der Regel ist es nicht erforderlich, Firewalls zwischen den GIS-Server-Computern einzurichten. Ist dies jedoch der Fall, sollten Sie sicherstellen, dass die unter Von ArcGIS-Server verwendete Ports aufgeführten Ports geöffnet sind.

Copyright © 1995-2013 Esri. All rights reserved.
9/23/2013