Die einfachste Möglichkeit, Mitarbeiter des Unternehmens in einer solchen Umgebung Dienste des Internet nutzen zu lassen, besteht darin, ihnen einen Account auf dem Gateway einzurichten. Dort können sie Applikationen starten, die den TCP/1P-Verkehr im Internet abwickeln. Wenn sie beispielsweise Dateien per FTP transferieren wollen, starten sie über das firmeninterne Netz den FTP-Client auf dem Gateway und kopieren die eintreffenden Daten auf ihren eigenen
Rechner. Wenn sie das World Wide Web nutzen wollen, können sie einen XWindow- basierenden WWW-Glient auf dem Gateway starten und die Ein- und Ausgaben an ihren Host umleiten. Zu beachten ist, dass ein Firewall nach erfolgreicher Installation selbst das potentielle Ziel von Angriffen von aussen ist. Daher stellt ein allgemeiner Benutzerzugang auf dem Firewall immer ein besonderes Risiko dar. Gelingt es einem Eindringling, s'ch auf deM Firewall einzuloggen, so ist es für ihn relativ einfach, sich zu weiteren Rechnern vorzuarbeiten. Schon, ein zu simples Passwort eines legalen Benutzers des Gateways kann ausreichen, um das gesamte Firewall zu knacken.
Läuft der gesamte Datenaustausch mit dem Internet über das Gateway, so fällt es dem Systemadministrator leichter, die Aktivitäten eines Eindringlings zu verfolgen, als wenn nur ein Paketfilter installiert ist. Wenn jedoch überhaupt kein allgemeiner Benutzerzugang zur Verfügung steht, so ist schon das Einloggen eines Users auf dem Gateway ein sicheres Zeichen für einen Einbruch. Dieser wird schnell erkannt und kann einfach unterbunden werden. Lässt der Gateway keinen TCP/1P-Austausch zwischen dem Internet und dem firmeninternen Netz zu, und erlaubt es auch keinen Benutzerzugang, so können sogenannte Proxy-Applikationen einzelne Dienste vermitteln. Dabei handelt es sich um dienstspezifische Programme, die Anfragen aus dem Firmennetz entgegennehmen und in das Internet weiterleiten.
Für jeden Dienst muss auf dem Gateway ein eigener Proxy installiert werden, der mit erweiterten Zugangsüberprüfungen und LoggingFähigkeiten ausgestattet sein kann.
Es sind mehrere Hard- oder Softwarebasierende Firewall-Systeme am Markt, die vom Systemadministrator auf die individuellen Anforderungen hin konfiguriert werden können.
Einsatz von Zwischennetzen
Anstatt das Internet direkt an das Dual-Homed Gateway zu führen, kann zwischen dem Internet und dem privaten Netz ein Zwischennetz geschaltet sein. Auf dieses halb-öffentliche Netz können sowohl Mitarbeiter als auch Internet-Teilnehmer zugreifen. Ein Passieren des Netzes ist jedoch aus keiner der beiden Richtungen möglich. Im abgeschirmten Zwischennetz können Rechner untergebracht sein, die vorn Internet aus erreichbar sein sollen, wie zum Beispiel FTP- und WWW-Server. Richtet man die Dienste jeweils auf einem separaten Host ein, bleibt die Installation insgesamt besser überschaubar.
Netzwerkstrategien
Ursprünglich wurden Ethernet-Netze mit 10BASE5-Kabel aufgebaut, danach kam 10BASE2, das in Europa bis heute sehr verbreitet ist. Lichtleiter werden vor allem dann eingesetzt, wenn grössere Entfernungen zwischen einzelnen Segmenten überbrückt werden müssen. In den USA hat sich inzwischen 10BASE-T -Verkabelung durchgesetzt. Bei der Neuverkabelung ist besonders der Einsatz eines TwistedPair-Kabels der Kategorie 5 zu empfehlen. Die Verwendung eines solchen Kabels hat den Vorteil, dass im Rahmen von neuen, schnelleren Technologien wie z.B. Fast Ethernet das gleiche Kabel verwendet werden kann.
Einzelne ThinWire- und ThickWire-Segmente werden am besten mit Repeatern verbunden. Repeater sollten nicht nur eingesetzt werden, wenn die maximal erlaubte Kabellänge oder die maximale Anzahl von Knoten erreicht ist, sondern auch zur Segmentierung des Netzes. Die Segmentierung verhindert die Ausbreitung von Fehlern auf andere Segmente, und die Lokalisierung des Fehlers wird erleichtert. Da es sich bei TwistedPair um Punkt-zu-Punkt-Verbindungen handelt, und daher jede Station direkt an einen Multiport Repeater/Switch angeschlossen wird, ist hier die Fehlerlokalisierung besonders einfach. Die Fehlerausbreitung ist in der Regel auf eine Station begrenzt, sofern nicht ein kompletter Hub ausfällt. Die meisten Repeater verfügen über eine AUI-Buchse, über die sich ein Anschluss an andere Netzwerkmedien einfach realisieren lässt. Bei grösseren Netzen mit vielen Segmenten sind sogenannte MultiMedia-Konzentratoren zu empfehlen. Diese modular aufgebauten Konzentratoren können, je nach Modell, Ethernet-Komponenten wie Repeater, Terminalserver, Bridges, Router und Management-Module aufnehmen. Es gibt auch Konzentratoren, die ausser der Ethernet-Topologie auch Token Ring und FDDI unterstützen. Durch den Einsatz von solchen Konzentratoren vereinfacht sich das Netzwerkmanagement erheblich, da sie über Netzwerkmanagementsoftware verwaltet werden können.
