Exposed Host

Eine externe Firewall versucht, ungewollte Zugriffe von außen auf das interne System zu unterbinden. Für kurzzeitige Tests und zur Fehleranalyse lässt sich dieser Mechanismus für einen einzigen internen Rechner sinnbildlich abschalten. Diese Funktion wird als „exposed Host“ bezeichnet, welche manchmal auch „Standardserver“, „exposed DMZ“ oder fälschlicher Weise auch kurz „DMZ“ genannt wird.

Ähnlich wie bei static NAT werden in diesem Modus alle externen Ports der Firewall zu den angegebenen Rechner geleitet (abgesehen von der eigenen Dynamic-Port-Range, welche sie für die Zugriffsverwaltung der anderen internen Rechner benötigt (PAT); je nach Hersteller betrifft das meist die Ports zwischen 10.000 bis 20.000). Der (exposed-) Rechner ist nun über die externe Adresse der Firewall auf seinen offenen Ports aus dem Internet heraus erreichbar, wodurch die Rechner aus dem Internet praktisch uneingeschränkt auf alle seine Netzwerkdienste zugreifen können.

Aufgrund der erhöhten Angriffsfläche ist es nicht zu empfehlen, einen "exposed Host" über einen kurzzeitigen Test hinaus zu betreiben. Besser ist es, kontrolliert über Port-Forwarding-Regeln den permanenten Zugriff auf bestimmte Dienste des Rechners zu ermöglichen, statt den Zugriff auf allen seinen Ports zu erlauben. In beiden Fällen sollte klar sein, dass man den Firewallschutz auch für alle anderen internen Rechner verliert, sobald dieser Rechner von einem Eindringling eingenommen wird. Um so etwas zu verhindern, sollte man den Rechner zusätzlich in eine echte DMZ stellen, die nichts mit der zuvor beschriebenen pseudo-DMZ al a „exposed Host“ gemein hat. Solch eine echte DMZ wird jedoch nicht von allen Firewalls unterstützt, selbst wenn diese mit dem Feature „DMZ“ werben. Mehr dazu kann im Beitrag zur DMZ nachgelesen werden.