Skip To Content

Firewalls und ArcGIS Server

Welche Funktion erfüllt eine Firewall?

Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern. Zudem können Sie die Firewall so konfigurieren, dass die Kommunikation auf einen nur Ihnen bekannten Port eingeschränkt wird.

Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden. Firewalls eignen sich am besten zum Erkennen von Angriffen (beispielsweise Würmer und Trojaner), die durch einen geöffneten Port in das System eindringen oder es verlassen können. Sie schützen allerdings nicht vor Viren, die als Anhang von E-Mails übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollen.

Schützen von ArcGIS for Server durch Firewalls

Es gibt zwei Strategien, über die Sie eine ArcGIS for Server-Site durch Firewalls schützen können. Bei den folgenden Strategien werden Firewalls eingesetzt, um das interne Netzwerk (in dem die Sicherheitseinstellungen festgelegt sind) vom externen Netzwerk (in dem die Sicherheit nicht gewährleistet werden kann) zu trennen.

Einzelne Firewall

Bei diesem einfachen und weniger sicheren Ansatz wird eine einzelne Firewall eingesetzt, um den Datenverkehr auf Ihren Webserver einzuschränken. In der Regel ist nur Port 80 geöffnet. Der Webserver, ArcGIS Web Adaptor, der GIS-Server und alle Daten befinden sich hinter der Firewall in einem sicheren, internen Netzwerk.

Szenario mit einer einzelnen Firewall
Bei dem Szenario mit einer einzelnen Firewall wird die Firewall zwischen dem externen Netzwerk und dem Webserver eingerichtet.

Mehrere Firewalls mit Reverseproxy und ArcGIS Web Adaptor in einem Perimeternetzwerk

Der sicherere, jedoch auch komplexere Ansatz umfasst die Konfiguration des Webservers und von ArcGIS Web Adaptor innerhalb eines Perimeternetzwerks (auch demilitarisierte Zone [DMZ] oder überprüftes Subnetz genannt). In diesem Szenario empfängt ArcGIS Web Adaptor eingehende Anforderungen über den Port 80. Anschließend wird die Anforderung unter Verwendung von Port 6080 über eine weitere Firewall zum GIS-Server weitergeleitet. ArcGIS Web Adaptor veranlasst den Computer, als Reverseproxy zu fungieren.

Szenario mit mehreren Firewalls mit Reverseproxy
Bei dem Szenario mit mehreren Firewalls werden die Firewalls auf beiden Seiten eines Reverseproxy eingerichtet.

Die einzelnen Komponenten in diesem Szenario werden nachfolgend genauer betrachtet:

  • Ein Perimeternetzwerk besteht aus Computern, auf die Internetbenutzer über eine Firewall zugreifen können, die aber nicht Teil des sicheren internen Netzwerks sind. Das Perimeternetzwerk isoliert das interne Netzwerk vor direkten Internetzugriffen durch Clients.
  • Der ArcGIS Web Adaptor im Perimeternetzwerk empfängt Internetanforderungen über einen allgemeinen Port, z. B. Port 80. Eine Firewall verhindert den Zugriff über andere Ports. ArcGIS Web Adaptor sendet die Anforderung dann über eine andere Firewall an das sichere interne Netzwerk und verwendet dabei den ArcGIS for Server-Port 6080.
  • Der GIS-Server und der Datenserver (sofern vorhanden) befinden sich im sicheren, internen Netzwerk. Anforderungen, die in das sichere Netzwerk gelangen, müssen von ArcGIS Web Adaptor kommen und eine Firewall passieren. Antworten, die das sichere Netzwerk verlassen, gelangen auf dem gleichen Weg zum Client. Zuerst wird die Antwort durch die Firewall zu ArcGIS Web Adaptor geleitet. Zuerst sendet ArcGIS Web Adaptor die Antwort durch eine andere Firewall zum Client.

Wenn es bei einem Computer im Perimeternetzwerk zu Sicherheitsproblemen kommt, wird durch die zweite Firewall die Gefahr reduziert, dass der betroffene Computer weitere Computer in Ihrem internen Netzwerk gefährdet.

Integrieren eines vorhandenen Reverseproxy

Wenn Ihr Unternehmen bereits einen Reverseproxy verwendet, kann er so konfiguriert werden, dass er Anforderungen an ArcGIS for Server auf Ihrem sicheren internen Netzwerk weiterleitet. Die einfachste Möglichkeit ist, über Port 6080 eine direkte Verbindung zum GIS-Server herzustellen, ohne ArcGIS Web Adaptor zu installieren.

Verbinden eines vorhandenen Reverseproxy mit dem GIS-Server
Sie können einen vorhandenen Reverseproxy so konfigurieren, dass er über Port 6080 mit ArcGIS for Server verbunden wird.

Wenn der Port zwischen dem Reverseproxy und dem sicheren internen Netzwerk unbekannt bleiben soll, können Sie ArcGIS Web Adaptor auf einem anderen Webserver innerhalb des sicheren internen Netzwerks installieren. Dieser ArcGIS Web Adaptor kann so konfiguriert werden, dass er Datenverkehr über einen Port Ihrer Wahl akzeptiert.

Verbinden eines vorhandenen Reverseproxy mit ArcGIS Web Adaptor über einen unbekannten Port
ArcGIS Web Adaptor ermöglicht Ihnen, die Kommunikation mit dem Reverseproxy über einen Port zu konfigurieren, der für externe Clients unbekannt bleibt.

Informationen zum Integrieren von ArcGIS for Server in den Reverseproxyserver finden Sie unter Verwenden eines Reverseproxyservers mit dem ArcGIS-Server.

Firewalls zwischen GIS-Server-Computern

In der Regel ist es nicht erforderlich, Firewalls zwischen den GIS-Server-Computern einzurichten. Ist dies jedoch der Fall, sollten Sie sicherstellen, dass die unter Von ArcGIS for Server verwendete Ports aufgeführten Ports geöffnet sind.