DMZ-Server

DMZ-Server


Aus Sicherheitsgründen können Sie einen zusätzlichen DMZ-Server betreiben.

Der Integration Server wird üblicherweise in einem Intranet betrieben, um direkten und schnellen Zugriff auf die internen Systeme wie Datenbanken, Mailserver und Verzeichnisse zu haben. Um das Intranet vor Angriffen aus dem Internet zu schützen, werden Firewalls eingesetzt, die Zugriffe vom Internet in das Intranet unterbinden. Dadurch werden aber auch die Partner ausgesperrt.

Häufig ist es jedoch gewünscht, dass diese ihre Daten selbst anliefern, z. B. per FTP oder E-Mail. Eine Möglichkeit wäre es, dass die IT-Abteilung eine Whitelist mit allen IP-Adressen aller Partner für die Firewall konfiguriert, das ist aber aufwendig und nicht ausreichend sicher. Wenn ein Partner nicht über eine feste IP-Adresse verfügt, versagt dieses Prinzip vollständig.

Dieses Problem kann durch den Einsatz einer "Demilitarisierten Zone" (DMZ) gelöst werden, einem speziellen Netzwerk-Abschnitt, der zwischen Internet und Intranet gelegt wird.

Eine DMZ kann sowohl mit externen Systemen (Kunden/Partnern) kommunizieren, als auch mit einem internen System (hier der Integration Server), während eine direkte Kommunikation zwischen externen Systemen und dem internen System unterbunden ist.

Der DMZ-Betrieb besitzt zudem den weiteren Vorteil, dass bei einem Neustart des inneren Integration Servers das System nach außen hin operabel erscheint, denn der DMZ-Server puffert Anfragen und liefert diese nach Wiederverfügbarkeit des inneren Integration Servers nach. Auch bei einem Neustart des DMZ-Servers gehen keine ausgehenden Daten verloren.

Gemeinsame Ordner und freizugebende Ports


Es muss der Message-Port 8020 (Default) bidirektional zwischen dem inneren Integration Server und dem DMZ-Server freigegeben werden.

Zusätzlich, wenn das SSH-Modul lizenziert ist, ist vom inneren Integration Server der Port 22 zum DMZ-Server zu öffnen, ansonsten der FTP-Port 21.

Damit der DMZ-Server von intern mit beobachtet und administriert werden kann, empfiehlt es sich die Ports 21 (FTP), 22 (SSH), 25 (SMTP), 80 (HTTP), 443 (HTTPS), 3305 (OFTP TCP), 6619 (OFTPS), 9000 (Admin-Konsole) von intern zum DMZ-Server freizugeben.


Wichtiger Hinweis: Die genannten Ports sind natürlich nur dann freizugeben, wenn Sie die jeweilige Kommunikation auch tatsächlich verwenden und wenn von diesen Standard-Ports nicht abgewichen wird.

Wichtiger Hinweis: Wenn zur Ausfallsicherheit zwei oder mehr DMZ-Server zum Einsatz kommen, ist ein gemeinsames Verzeichnis (File Share) für Ordner mit Bewegungsdaten (./as2, ./as4, ./transfer) notwendig. Vorangestellt muss dabei ein TCP/IP Load Balancer sein, der ermitteln kann, welcher der DMZ-Server zu erreichen ist. Manche Firewalls können dies mit übernehmen.