Firewalls und ArcGIS Server

Welche Funktion erfüllt eine Firewall?

Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern. Zudem können Sie die Firewall so konfigurieren, dass die Kommunikation auf einen nur Ihnen bekannten Port eingeschränkt wird.

Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden. Firewalls eignen sich am besten zum Erkennen von Angriffen, die durch einen geöffneten Port in das System eindringen oder es verlassen können, z. B. Würmer und manche Trojaner. Sie schützen allerdings nicht vor Viren, die als Anhang von E-Mails übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollen.

Schützen eines GIS-Servers durch Firewalls

Die Einrichtung von Firewalls zwischen ArcGIS Server-Komponenten wird von Esri weder empfohlen noch unterstützt. Dies gilt auch für Firewalls zwischen dem Web ADF und dem GIS-Server sowie für Firewalls zwischen dem Server Object Manager (SOM) und dem Server Object Container (SOC). Die empfohlene Technik zum Schutz eines ArcGIS Server-Systems mit Firewalls besteht darin, einen Reverseproxy-Webserver innerhalb eines Perimeternetzwerks (auch demilitarisierte Zone [DMZ] oder überprüftes Subnetz genannt) zu konfigurieren. In diesem Szenario empfängt der Reverseproxy-Webserver eingehende HTTP-Anforderungen durch eine Firewall, die den Verkehr zu einem bekannten Port (normalerweise Port 80) einschränkt. Er sendet die Anforderung dann durch eine andere Firewall zum ADF-Webserver in einem sicheren internen Netzwerk und verwendet hierbei einen dem Endbenutzer nicht bekannten Port. Der ADF-Webserver kann dann bei Bedarf eine uneingeschränkte DCOM-Kommunikation mit den anderen ArcGIS Server-Komponenten herstellen. Auf diese Weise arbeitet der gesamte GIS-Server innerhalb eines sicheren internen Netzwerks und erfordert keine Firewalls zwischen seinen Komponenten.

Die einzelnen Komponenten in diesem Szenario werden nachfolgend genauer betrachtet:

• Ein Perimeternetzwerk besteht aus Computern, auf die Internetbenutzer über eine Firewall zugreifen können, die aber nicht Teil des sicheren internen Netzwerks sind. Das Perimeternetzwerk isoliert alle Komponenten des ArcGIS Server-Systems, einschließlich ADF, SOM und SOC, vor direkten Internetzugriffen von Clients.
• Der Reverseproxywebserver im Perimeternetzwerk empfängt Internetanforderungen über einen allgemeinen Port, z. B. Port 80. Eine Firewall verhindert den Zugriff über andere Ports. Der Reverseproxyserver sendet die Anforderung über eine andere Firewall an das sichere interne Netzwerk und verwendet hierbei einen Port, den der ursprüngliche Client nicht kennt.
• Der Webserver, der als Host für ADF, SOM und SOC fungiert, und die Datenserver sind Bestandteil des sicheren internen Netzwerks. Anforderungen, die in das sichere Netzwerk gelangen, müssen vom Reverseproxyserver kommen und eine Firewall passieren. Antworten, die das sichere Netzwerk verlassen, gelangen auf dem gleichen Weg zum Client. Zuerst wird die Antwort durch die Firewall zum Reverseproxyserver geleitet. Zuerst sendet der Reverseproxyserver die Antwort durch eine andere Firewall zum Client.

In Esri Knowledge Base-Artikel 32634 wird ein Verfahren beschrieben, mit dem ArcGIS Server für Microsoft .NET Framework für die Verwendung eines Reverseproxywebservers konfiguriert werden kann.