Im Laufe der Zeit bin ich auf zwei unterschiedliche Möglichkeiten, was den Aufbau einer DMZ betrifft, gestoßen. Die zwei Varianten beschreibe ich im folgenden Artikel grob. Denn meistens lernt man nur die erste der beiden Varianten, wenn überhaupt, in der Ausbildung kennen.
Ein lokales Netzwerk mit Port-Forwarding und NAT
Die wohl typischste Art eine DMZ aufzubauen ist es, ein vom Intranet abgetrenntes Netzwerk mit loakeln IP-Adressen einzurichten, in welches durch die Firewall mittels Port-Forwarding von der oder den bestehenden öffentlichen IP-Adressen auf die Server in der DMZ „genattet“ wird:
In diesem Beispiel würde einem also der Bereich 99.99.99.0/29 vom Provider zur Verfügung gestellt und der Router bekommt davon die 99.99.99.1. Die Firewall hat von den öffentlichen IP-Adressen die 99.99.99.2 bekommen und steht mit einem „anderen Bein“ mit der IP-Adresse 192.168.20.1 in der DMZ mit den lokalen IP-Adressen, die hier im Beispiel für Webserver, Mailserver und so weiter genutzt werden.
Eine beispielhafte Regel wäre ein Port Forwarding von der 99.99.99.2:80 und 99.99.99.2:443 an den Webserver unter der 192.168.20.2:80 und 192.168.20.2:443.
Diese Variante taucht in der Literatur recht häufig auf und wurde so auch in meiner IHK-Abschlussprüfung in einer Aufgabe verwendet und wird deshalb, vermute ich, häufiger aufzufinden sein.
Ein „Transfer-Netz“ mit öffentlichen IP-Adressen
Die zweite, anscheinend in der Literatur nicht so populäre Variante, verwendet ein sogenanntes „Transfer-Netz“ beim Provider. Dies funktioniert im Prinzip so, dass man neben seiner/seinen öffentlichen IP-Adressen noch ein zweites öffentliches IP-Netz zugewiesen bekommt, welches dann komplett an die öffentliche IP-Adresse der Firewall durchgeleitet wird. Hierzu müssen entsprechende Routing-Einträge seitens des Providers vorgenommen werden:
In diesem Beispiel würde also das gesamte Transfer-Netz 100.100.100.0/28 durch entsprechende Routing-Regeln seitens des Providers an die öffentliche IP-Adresse der Firewall, wie im vorherigen Beispiel die 99.99.99.2, durchgeleitet. In der DMZ bekommen die Server dann direkt die entsprechenden öffentlichen IP-Adressen zugewiesen.
Für die Freigabe des Webservers wäre also nur die Ports 443 und 80 für die 100.100.100.2 freizuschalten.
Was ist besser?
Gerade im Hinblick auf einen eventuell einmal nötigen Providerwechsel oder falls dieser einem aus irgendeinem Grund neue IP-Adressen zuweist, ist es leichter, wenn in der DMZ mit einem internen Netzwerk gearbeitet wurde. Somit ist zumindest innerhalb des Firmen-Netzwerks keine Anpassung an den entsprechenden Servern und den eventuell vorhandenen internen Firewall-Regeln nötig. Allerdings entsteht durch das Natten natürlich ein bisschen Last, die je nach Datenvolumen ausarten kann. Somit sollte man die Leistung der Firewall im Auge behalten. Persönlich würde ich mittlerweile aus den genannten Gründen die vorherrschende Variante mit lokalen IP-Adressen bevorzugen. Möglicherweise macht es, wenn man viele externe IP-Adressen benötigt, aber auch Sinn ein Transfer-Netz in Kombination mit internen IP-Adressen zu verwenden. So behält man trotzdem die Flexibilität.