Externe netwerk
Het externe netwerk is het onbeveiligde netwerk waar geen netwerk-adres-translatie op de pakketten wordt toegepast. Normaal gesproken is het externe netwerk verbonden met het Internet. Een GTA Firewall UTM product kan echter ook binnen een privénetwerk fungeren als intranet firewall. In het geval dat de GTA Firewall verbonden is met het Internet, moet de externe netwerkkaart een geregistreerd publiek IP-adres hebben. De GTA Firewall biedt geen beveiliging voor hosts die zich op het externe netwerk bevinden.
Protected Network
Het netwerk dat verborgen is achter het GTA Firewall systeem wordt het protected network genoemd, de term Protected netwerk wordt in dit kader gebruikt voor aanduiding van het netwerk dat direct vebonden is met de GTA Firewall. Alle eigenschappen van dit netwerk gelden ook voor andere netwerken die verbonden zijn met dit protected network. Alle hosts en IP-adressen die gebruikt worden op dit netwerk worden verborgen voor het externe netwerk en het private servicenetwork (PSN). Hosts die op dit netwerk staan zijn initieel niet toegankelijk vanaf het externe netwerk. Er kunnen speciale tunnels worden gedefinieerd om toegang van buiten tot bepaalde hosts en/of services toe te staan.
Private Service Network (PSN)
Het Private Service Network (PSN), ook wel DeMilitarized Zone (DMZ) genoemd, is een optioneel service netwerk dat logisch gezien gepositioneerd kan worden tussen het externe netwerk en het protected network. Eigenlijk is het PSN bijna op gelijk niveau met het protected network. Echter het protected network beschouwt het PSN niet zondermeer als vertrouwd gebied, ongevraagde pakkettten kunnen dus niet van het PSN op het protected network komen. Net als bij het protected network zijn alle hosts op het PSN onzichtbaar vanuit het externe netwerk Vanuit het protected network zijn alle hosts op het PSN volledig toegankelijk. Het PSN wordt gebruikt in combinatie met de tunnelmogelijkheid om externe toegang toe te staan tot hosts en diensten, zoals bijvoorbeeld web servers, FTP servers en e-mail servers. Door een tunnel te definieren naar een bepaalde server op het PSN, kan een organisatie publieke toegang tot de diensten toestaan terwijl de beveiliging van het protected netwerk behouden blijft. U kunt een PSN maken door een derde netwerkkaart aan uw GTA Firewall toe te voegen. Op het PSN kunnen private IP-adressen gebruikt worden aangezien het onzichtbaar is vanuit het externe netwerk.
Netwerk Interface
Een GTA Firewall netwerk interface kan, mits ondersteund, elke netwerkkaart, op iedere snelheid en binnen elke netwerktopologie zijn. Een GTA Firewall kan overweg met een combinatie van verschillende netwerkkaarten en op die manier als bridge werken tussen ongelijke netwerk typen. Ondersteund worden onder andere 10 en 100 Mbit ethernet, gigabit ethernet, ethernet over glasvezel, FDDI en Token Ring.
Externe netwerkinterface
De externe netwerkinterface is de netwerkkaart die verbonden is met het externe netwerk. Het externe netwerk vereist een geregistreerd IP-adres. De GTA Firewall heeft ook slechts één geregistreerd IP-adres nodig. Er kunnen met gebruikmaking van IP-aliasing tot 100 IP-adressen aan de externe netwerk interface worden gekoppeld.
Protected Netwerk Interface
De protected netwerk interface is verbonden met het protected netwerk. Aan deze netwerk interface hoeft geen geregistreerd IP-adres te worden toegekend; aanbevolen wordt RFC 1918 adressen te gebruiken. Ook op de protected netwerk interface kan gebruik worden gemaakt van de IP-aliasing mogelijkheid.
Private Service Netwerk Interface
De Private Service Netwerk (PSN) Interface is optioneel. Indien u van plan bent om publieke toegang tot servers, bijvoorbeeld web servers, toe te staan, wordt de installatie van een PSN interface sterk aanbevolen. Wanneer de GTA Firewall gebruikt wordt in een intranet-omgeving of indien geen toegang van buitenaf noodzakelijk is is geen PSN nodig. Er hoeven geen geregistreerde IP-adressen op de PSN interface gebruikt te worden; ook hier wordt het gebruik van RFC 1918 adressen aanbevolen. Tevens kan IP Aliasing gebruikt worden op de PSN interface.
Tunnels
Een GTA Firewall Tunnel maakt het mogelijk om vanaf het externe netwerk toegang te krijgen tot een specifieke service op een door de firewall beschermde machine. Dit wordt bereikt door een zichtbaar IP-adres en poort (service) te koppelen aan het adres en de poort van een machine achter de firewall. Deze koppeling kan worden gerealiseerd voor alle services die een host biedt (host naar host tunneling) of specifiek voor een bepaalde service. Veelvoorkomende tunnels zijn: SMTP (E-mail), FTP, WWW, SQLnet en Telnet. Er kunen tunnels worden gemaakt naar zowel het PSN als het protected netwerk; voor een optimale beveiliging wordt geadviseerd om alle computers die van buiten de firewall toegankelijk zijn in een PSN te plaatsen.
NAT
Netwerk Adres Translatie, ook wel NAT genoemd, is een van de belangrijkste mogelijkheden van een GTA Firewall. Het NAT systeem dat wordt gebruikt op een GTA Firewall is altijd actief en beschikbaar in twee verschillende vormen: dynamische translatie en statische translatie. De standaard vorm is een veel-naar-één schema, waarin alle IP-adressen die aanwezig zijn op het protected netwerk (en alle netwerken die daarmee verbonden zijn) en op het PSN worden vertaald naar één enkel IP adres. Dit adres is het primaire adres van de externe netwerk interface. De andere beschikbare vorm van NAT is de statische translatie methode, bij GTA Firewall aangeduid als Mapping. Met Mapping is een systeembeheerder in staat om een statisch mapping adres schema te definieren, zodat een bepaald adres of subnet wordt gekoppeld aan een bepaald IP adres welke is toegewezen aan de externe netwerk interface.
IP Aliasing
Met de IP Alias mogelijkheid op de GTA Firewall kunnen aan één netwerk interface meerdere IP adressen worden toegewezen. Een IP alias kan aan elke netwerk interface worden toegewezen. Deze mogelijkheid is vooral erg bruikbaar op de externe netwerk interface, bijvoorbeeld indien via een tunnel meerdere doelsystemen op het PSN of het protected netwerk vereist zijn voor dezelfde service (poort). De huidige versie van GTA Firewall ondersteunt tot 100 aliassen. Als de GTA Firewall gekoppeld is aan het Internet, moeten alle IP aliassen die op de Externe netwerk interface gebruikt worden geregistreerde, valide IP adressen zijn. Een IP alias hoeft niet afkomstig te zijn van hetzelfde netwerk als het echte IP adres; deze eigenschap is erg nuttig omdat de GTA Firewall alle pakketten zal routeren op de netwerken waar hij logisch gezien mee verbonden is.
Mapping
De Mapping mogelijkheid van de GTA Firewall maakt het mogelijk om een intern IP adres of subnet statisch te koppelen aan een extern IP adres. Normaal gesproken wordt mapping gebruikt in combinatie met doel-adressen op de externe netwerk interface. Mapping is uitsluitend nuttig als er IP aliassen zijn toegewezen aan de externe netwerk interface, omdat in beginsel alle IP adressen op het protected netwerk dynamisch worden toegewezen aan het reëele IP-adres van de uitgaande netwerkkaart. De huidige versie van de GTA Firewall software ondersteunt tot 100 static maps.
|
