Firewalls und ArcGIS for Server
Welche Funktion erfüllt eine Firewall?
Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern. Zudem können Sie die Firewall so konfigurieren, dass die Kommunikation auf einen nur Ihnen bekannten Port eingeschränkt wird.
Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden. Firewalls eignen sich am besten zum Erkennen von Angriffen (beispielsweise Würmer und Trojaner), die durch einen geöffneten Port in das System eindringen oder es verlassen können. Sie schützen allerdings nicht vor Viren, die als Anhang von E-Mails übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollen.
Schützen von ArcGIS for Server durch Firewalls
Es gibt zwei Strategien, über die Sie eine ArcGIS for Server-Site durch Firewalls schützen können. Bei den folgenden Strategien werden Firewalls eingesetzt, um das interne Netzwerk (in dem die Sicherheitseinstellungen festgelegt sind) vom externen Netzwerk (in dem die Sicherheit nicht gewährleistet werden kann) zu trennen.
Einzelne Firewall
Bei diesem einfachen und weniger sicheren Ansatz wird eine einzelne Firewall eingesetzt, um den Datenverkehr auf Ihren Webserver einzuschränken. In der Regel ist nur Port 80 geöffnet. Der Webserver, der ArcGIS Web Adaptor, der GIS-Server und alle Daten befinden sich hinter der Firewall in einem sicheren, internen Netzwerk.
 |
Bei dem Szenario mit einer einzelnen Firewall wird die Firewall zwischen dem externen Netzwerk und dem Webserver eingerichtet. |
Mehrere Firewalls mit Reverseproxy und Web Adaptor in einem Perimeternetzwerk
Der sicherere, jedoch auch komplexere Ansatz umfasst die Konfiguration des Webservers und des Web Adaptor innerhalb eines Perimeternetzwerks (auch demilitarisierte Zone [DMZ] oder überprüftes Subnetz genannt). In diesem Szenario empfängt der Web Adaptor eingehende Anforderungen über den Port 80. Anschließend wird die Anforderung unter Verwendung von Port 6080 über eine weitere Firewall zum GIS-Server weitergeleitet. Der Web Adaptor veranlasst den Computer, als Reverseproxy zu fungieren.
 |
Bei dem Szenario mit mehreren Firewalls werden die Firewalls auf beiden Seiten eines Reverseproxy eingerichtet. |
Die einzelnen Komponenten in diesem Szenario werden nachfolgend genauer betrachtet:
- Ein Perimeternetzwerk besteht aus Computern, auf die Internetbenutzer über eine Firewall zugreifen können, die aber nicht Teil des sicheren internen Netzwerks sind. Das Perimeternetzwerk isoliert das interne Netzwerk vor direkten Internetzugriffen durch Clients.
- Der Web Adaptor im Perimeternetzwerk empfängt Internetanforderungen über einen allgemeinen Port, z. B. Port 80. Eine Firewall verhindert den Zugriff über andere Ports. Der Web Adaptor sendet die Anforderung dann über eine andere Firewall an das sichere interne Netzwerk und verwendet dabei den ArcGIS for Server-Port 6080.
- Der GIS-Server und der Datenserver (sofern vorhanden) befinden sich im sicheren, internen Netzwerk. Anforderungen, die in das sichere Netzwerk gelangen, müssen vom Web Adaptor kommen und eine Firewall passieren. Antworten, die das sichere Netzwerk verlassen, gelangen auf dem gleichen Weg zum Client. Zuerst wird die Antwort durch die Firewall zum Web Adaptor geleitet. Zuerst sendet der Web Adaptor die Antwort durch eine andere Firewall zum Client.
Wenn es bei einem Computer im Perimeternetzwerk zu Sicherheitsproblemen kommt, wird durch die zweite Firewall die Gefahr reduziert, dass der betroffene Computer weitere Computer in Ihrem internen Netzwerk gefährdet.
Integrieren eines vorhandenen Reverseproxy
Wenn Ihr Unternehmen bereits einen Reverseproxy verwendet, kann er so konfiguriert werden, dass er Anforderungen an ArcGIS for Server auf Ihrem sicheren internen Netzwerk weiterleitet. Die einfachste Möglichkeit ist, über Port 6080 eine direkte Verbindung zum GIS-Server herzustellen, ohne Web Adaptor zu installieren.
Wenn der Port zwischen dem Reverseproxy und dem sicheren internen Netzwerk unbekannt bleiben soll, können Sie Web Adaptor auf einem anderen Webserver innerhalb des sicheren internen Netzwerks installieren. Dieser Web Adaptor kann so konfiguriert werden, dass er Datenverkehr über einen Port Ihrer Wahl akzeptiert.
Sie können die ArcGIS for Server-Site direkt zu den Proxy-Verzeichnissen hinzufügen. Wenn Sie beispielsweise Apache als Reverseproxy verwenden, müssen Sie die ArcGIS for Server-Site zu den ProxyPass-Verzeichnissen in der Apache-Webserver-Konfigurationsdatei "httpd.conf" hinzufügen:
ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis
ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis
Detailinformationen:Wenn Sie einen Reverseproxy verwenden und die URL zu Ihrer Site nicht mit der Standardzeichenfolge /arcgis (alle in Kleinbuchstaben) endet, sollten Sie auch die WebContextURL-Eigenschaft von ArcGIS for Server festlegen. ArcGIS for Server kann so besser die korrekten URLs auf allen Ressourcen, die an den Endbenutzer gesendet werden, erstellen. Gehen Sie zum Ändern von WebContextURL folgendermaßen vor:
Melden Sie sich mit Administratorrechten unter http://gisserver.domain.com:6080/arcgis/admin beim ArcGIS Server Administrator Directory an.
Klicken Sie auf System > Eigenschaften > Aktualisieren.
Geben Sie in das Textfeld Eigenschaften das folgende JSON an und ersetzen Sie dabei Ihre eigene ArcGIS for Server-URL, die Benutzern außerhalb der der Firewall der Organisation angezeigt wird.
{ "WebContextURL": "http://gisserver.domain.com/mygis" }- Klicken Sie auf Aktualisieren.
Starten Sie ArcGIS for Server auf jedem GIS-Server in der Site neu. Unter Windows starten Sie den ArcGIS for Server-Windows-Service auf jedem Computer neu.
Firewalls zwischen GIS-Server-Computern
In der Regel ist es nicht erforderlich, Firewalls zwischen den GIS-Server-Computern einzurichten. Ist dies jedoch der Fall, sollten Sie sicherstellen, dass die unter Von ArcGIS for Server verwendete Ports aufgeführten Ports geöffnet sind.