Firewalls und ArcGIS Server

Welche Funktion erfüllt eine Firewall?

Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern. Zudem können Sie die Firewall so konfigurieren, dass die Kommunikation auf einen nur Ihnen bekannten Port eingeschränkt wird.

Firewalls können durch Hardware, Software oder eine Kombination von Hardware und Software implementiert werden. Firewalls eignen sich am besten zum Erkennen von Angriffen, die durch einen geöffneten Port in das System eindringen oder es verlassen können, z. B. Würmer und manche Trojaner. Sie schützen allerdings nicht vor Viren, die als Anhang von E-Mails übermittelt werden, oder vor Bedrohungen innerhalb des Netzwerks. Obwohl Firewalls wichtig sind, sollten sie daher nicht die einzige Komponente Ihrer gesamten Sicherheitsstrategie sein. Antivirensoftware und solide Authentifizierungs- und Autorisierungstechniken sind Beispiele für andere Sicherheitsstrategien, die in Verbindung mit Firewalls bereitgestellt werden sollen.

Schützen eines GIS-Servers durch Firewalls

Die Einrichtung von Firewalls zwischen ArcGIS Server-Komponenten wird von Esri weder empfohlen noch unterstützt. Dies gilt auch für Firewalls zwischen dem Web ADF und dem GIS-Server sowie für Firewalls zwischen dem Server Object Manager (SOM) und dem Server Object Container (SOC). Die empfohlene Technik zum Schutz eines ArcGIS Server-Systems mit Firewalls besteht darin, einen Reverseproxy-Webserver innerhalb eines Perimeternetzwerks (auch demilitarisierte Zone [DMZ] oder überprüftes Subnetz genannt) zu konfigurieren. In diesem Szenario empfängt der Reverseproxy-Webserver eingehende HTTP-Anforderungen durch eine Firewall, die den Verkehr zu einem bekannten Port (normalerweise Port 80) einschränkt. Er sendet die Anforderung dann durch eine andere Firewall zum ADF-Webserver in einem sicheren internen Netzwerk und verwendet hierbei einen dem Endbenutzer nicht bekannten Port. Der ADF-Webserver kann dann bei Bedarf eine uneingeschränkte DCOM-Kommunikation mit den anderen ArcGIS Server-Komponenten herstellen. Auf diese Weise arbeitet der gesamte GIS-Server innerhalb eines sicheren internen Netzwerks und erfordert keine Firewalls zwischen seinen Komponenten.

Die einzelnen Komponenten in diesem Szenario werden nachfolgend genauer betrachtet:

In Esri Knowledge Base-Artikel 32634 wird ein Verfahren beschrieben, mit dem ArcGIS Server für Microsoft .NET Framework für die Verwendung eines Reverseproxywebservers konfiguriert werden kann.


3/6/2012