Eine Firewall ist ein Sicherheits-Tool, mit dem die Anzahl der Ports am Computer, über die Daten von anderen Computern gesendet und empfangen werden können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine geringe Anzahl von Ports einschränken, können Sie den Zugriff auf Ihre Computer begrenzen und sicherstellen, dass Personen außerhalb Ihrer Organisation nur mit bestimmten Programmen interagieren können. Beispielsweise ist es allgemein üblich, dass über einen Webserver nur der Webdatenverkehr geleitet und jeglicher anderer Datenverkehr unterbunden wird. Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden.
Mit Firewalls können verschiedene Angriffe, wie Würmer und bestimmte Trojaner, verhindert werden. Ihr System ist diesen Angriffen über offene Ports ausgesetzt, die aufgrund von auf Ihrem Computer ausgeführten Programmen geöffnet sind, aber nicht im offenen Internet erreichbar sein sollten. Firewalls schützen allerdings nicht vor Viren, die als E-Mail-Anhang übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollen.
Hinweis:
Firewalls, die auf einer Begrenzung offener Ports basieren, unterscheiden sich von den Firewalls für Webanwendungen, die aktiv den eingehenden Webdatenverkehr analysieren und verdächtige Inhalte blockieren. Firewalls für Webanwendungen können nützliche Werkzeuge innerhalb Ihrer allgemeinen Sicherheitsstrategie darstellen, sind aber nicht das Kernthema dieses Artikels.Eine Sicherheitsempfehlung ist die Implementierung eines Perimeternetzwerks, auch demilitarisierte Zone (DMZ) oder überwachtes Subnetz genannt, um externe Benutzer am direkten Zugriff auf Ihre ArcGIS Server-Site zu hindern. Ein Perimeternetzwerk stellt den einzigen offenen Zugriffspunkt für externe Benutzer in Ihrem Netzwerk dar. Es bietet eine zusätzliche Sicherheitsebene im Netzwerk Ihrer Organisation.
In diesem Thema wird die Verwendung von Firewalls zum Schutz eigenständiger ArcGIS Server-Sites (die nicht mit einem ArcGIS Enterprise-Portal verbunden sind) erläutert. Weitere Informationen zur Netzwerksicherheit für das ArcGIS Enterprise-Portal und verbundene ArcGIS Server-Sites finden Sie unter Schützen des Portals.
Schützen von ArcGIS Server mithilfe von Firewalls
Es gibt mehrere geeignete Strategien, wie Sie eine ArcGIS Server-Site mithilfe von Firewalls schützen können. Bei den folgenden Strategien werden Firewalls eingesetzt, um das interne Netzwerk (in dem die Sicherheitseinstellungen festgelegt sind) vom externen Netzwerk (in dem die Sicherheit nicht gewährleistet werden kann) zu trennen.
Mehrere Firewalls mit Reverseproxy und ArcGIS Web Adaptor in einem Perimeternetzwerk
Wenn Ihre Organisation noch keinen Reverseproxyserver verwendet, können Sie einen solchen konfigurieren und ArcGIS Web Adaptor in einem Perimeternetzwerk verwenden. In diesem Szenario, empfängt ArcGIS Web Adaptor eingehende Anforderungen über Port 443. Anschließend sendet er die Anforderung über eine andere Firewall unter Verwendung von Port 6443 an ArcGIS Server. ArcGIS Web Adaptor sorgt dafür, dass der Computer sich wie ein Reverseproxy verhält.
Im Folgenden werden die einzelnen Komponenten in diesem Szenario näher betrachtet:
- Ein Perimeternetzwerk besteht aus Computern, auf die Internetbenutzer über eine Firewall zugreifen können, die aber nicht Teil des sicheren internen Netzwerks sind. Das Perimeternetzwerk isoliert das interne Netzwerk gegenüber direkten Internetzugriffen durch Clients.
- Der ArcGIS Web Adaptor im Perimeternetzwerk empfängt Internetanforderungen über einen allgemeinen Port, z. B. Port 443. Eine Firewall verhindert den Zugriff über andere Ports. ArcGIS Web Adaptor sendet die Anforderung dann über eine andere Firewall an das sichere interne Netzwerk und verwendet dabei den ArcGIS Server-Port 6443.
- ArcGIS Server und andere ArcGIS Enterprise-Komponenten befinden sich innerhalb des sicheren internen Netzwerks. Anforderungen, die in das sichere Netzwerk gelangen, müssen von ArcGIS Web Adaptor kommen und eine Firewall passieren. Antworten, die das sichere Netzwerk verlassen, gelangen auf dem gleichen Weg zum Client. Zuerst wird die Antwort durch die Firewall zu ArcGIS Web Adaptor geleitet. Anschließend sendet ArcGIS Web Adaptor sie durch eine andere Firewall zum Client.
Wenn es bei einem Computer im Perimeternetzwerk zu Sicherheitsproblemen kommt, wird durch die zweite Firewall die Gefahr reduziert, dass der betroffene Computer weitere Computer in Ihrem internen Netzwerk gefährdet.
Integrieren eines vorhandenen Reverseproxy
Wenn Ihr Unternehmen bereits einen Reverseproxy verwendet, kann er so konfiguriert werden, dass er Anforderungen an ArcGIS Server über Ihr sicheres internes Netzwerk weiterleitet.
Um sicherzustellen, dass der Port zwischen dem Reverseproxy und dem sicheren internen Netzwerk für externe Benutzer verborgen bleibt, installieren Sie ArcGIS Web Adaptor auf einem anderen Webserver innerhalb des sicheren internen Netzwerks.
Informationen zum Integrieren von ArcGIS Server in den Reverseproxyserver finden Sie unter Verwenden eines Reverseproxyservers mit dem ArcGIS-Server.
Einzelne Firewall
Bei diesem weniger sicheren Ansatz wird eine einzelne Firewall eingesetzt, um den Datenverkehr auf Ihren Webserver einzuschränken. In der Regel ist nur Port 443 geöffnet. Der Webserver, ArcGIS Web Adaptor, ArcGIS Server und alle Daten befinden sich hinter der Firewall in einem sicheren, internen Netzwerk.
Um für eine umfassende Netzwerksicherheit zu sorgen, richten Sie mehrere Schutzschichten zwischen externen Clients und Ihrem internen Netzwerk ein. Wenn eine einzelne Firewall der einzige Schutzmechanismus ist und dort eine Lücke entsteht, wird Ihr sicheres Netzwerk anfällig für potenzielle Angriffe. Aus diesem Grund wird diese Möglichkeit der Sicherheitskonfiguration nicht empfohlen.
Firewalls zwischen ArcGIS Server-Computern
In der Regel ist es nicht erforderlich, Firewalls zwischen den verschiedenen Computern innerhalb einer ArcGIS Server-Site oder zwischen mehreren ArcGIS Server-Sites einzurichten. Ist dies jedoch der Fall, müssen Sie die Ports öffnen, die im Thema Von ArcGIS Server verwendete Ports aufgeführt sind.