Internetzugang

Die Absicherung des Internetzugangs ist ein wichtiger Baustein im IT-Sicherheitskonzept und sollte heute in keinem Unternehmen fehlen. Abhängig von den Sicherheitsanforderungen bieten wir Ihnen mehrere Lösungsvarianten von einer Kombination aus Firewall und UTM-Appliance bis hin zu einem mehrstufigen Firewall-Konzept mit dediziertem Application Layer Gateway inkl. AD-Integration. Die Kombination von Firewall-Systemen unterschiedlicher Hersteller sorgt für eine weitere Erhöhung der Sicherheit.
mehrstufiges Firewall-Konzept mit ALG
Um das interne Netz gegen Gefahren aus dem Internet zu schützen kommt ein mehrstufiges Firewall-Konzept zum Einsatz. Eingesetzt werden stateful Hardware-Firewalls (in diskreter Hardware bereitgestellt), die Session- und Zonen-basiert arbeiten. Der externe Paketfilter dient als Internetgateway und zur Absicherung des Application Layer Gateways (ALG) vor Angriffen aus dem Internet. Der interne Paketfilter bildet den Übergabepunkt zwischen dem internen Netz und dem ALG (Inside-DMZ). Das ALG wird hierbei z.B. auf Basis einer Sophos UTM SG/XG Firewall, ebenfalls in diskreter Hardware betrieben und sorgt für die Trennung von Inside- und Outside-DMZ. In der Inside-DMZ stellt das ALG über einen Proxydienst die Protokolle http, https und ftp-over-http bereit. Zwischen den einzelnen Netzbereichen (internes Netz, Inside-DMZ, Outside-DMZ und Internet) gibt es somit keine geroutete Verbindung. Die Netzanbindung der Komponenten erfolgt hierbei unter Verzicht von VLANs über dedizierte physische Verbindungen.
Das Konzept berücksichtigt somit die Empfehlungen des BSI zur sicheren Anbindung von lokalen Netzen an das Internet
(siehe ISi-LANA)
Implementierung von Virenschutzmechanismen
Ein Zugriff aus dem internen Netz auf Inhalte im Internet ist nur über das ALG möglich. Das ALG verfügt über Antivirus-Komponenten mit zwei Engines um Viren, Würmer, Trojaner und andere Malware abzuwehren. Ein erweiterter Schutz vor Zero-Day-Attacken wird mit der Advanced Threat Protection (ATP) realisiert. Das ALG erkennt hierbei Botnet-Verbindungen und blockt diese, ebenso wie den Zugriff auf bekannte Phishing URLs. Mittels IPS-Mustern und Deep Packet Inspection werden anwendungs- und protokollbezogene Probes und Angriffe zuverlässig identifiziert und abgewehrt. Die umfangreiche Signaturdatenbank mit Mustern und Regeln wird alle 15 Minuten aktualisiert.
Des Weiteren bietet das ALG einen Web-Filter mit dem der Zugriff auf einzelne Seiten und/oder ganze Kategorien von Seiten unterbunden werden kann.
Optional hochverfügbar
Optional besteht die Möglichkeit, alle aktiven Komponenten komplett redundant vorzuhalten. Der interne Paketfilter und das ALG werden hierbei als Active-Passive-Cluster (oder auch als Active-Active Cluster) betrieben. Die Redundanz des externen Paketfilter's wird mittels VRRP (Virtual Router Redundancy Protocol) bereitgestellt.
Dokumentation
Unser Konzept für einen sicheren Internetzugang beinhaltet selbstverständlich eine umfassende und ausführliche Dokumentation aller Konfigurationen, einschließlich sämtlicher IP-Adressen, Netze, Zugangsdaten etc. Ein entsprechendes Netzwerkschema ist ebenfalls in der Dokumentation enthalten.