Netzwerk-Security & Firewall-Design: Zonen, Policies, Betrieb
Von Segmentierung bis Betrieb: wie du Policies sauber modellierst, testest und langfristig wartbar hältst.
Zonenmodell (bewährt)
- Internet/DMZ (public services)
- User-Zone (Clients)
- Server-Zone (Workloads)
- Admin-Zone (Management)
- Infra-Zone (AD/DNS/NTP/PKI/Monitoring)
- Backup/Recovery-Zone (isoliert)
Regel: Traffic wird zwischen Zonen kontrolliert, nicht „flat“ geroutet.
Policy Design: Prinzipien
- Deny by default, allow by exception
- Regeln nach Services (App) statt nach Host-„Bauchgefühl“
- Logging auf „deny“ + „sensitive allow“
- Regel-Owner & Review-Datum
Betrieb: Change, Review, Evidence
- Change Workflow: Request → Risk → Implement → Verify → Document
- Policy Review: quarterly; remove unused rules (hit counters)
- Evidence: Export Regeln + Change-ID + Test
- Break-glass Regeln: zeitlich begrenzt, mit Alarm
Typische Fehler (und wie man sie vermeidet)
- „Any-Any“ in der DMZ
- Kein separates Admin-Netz (Admin von User-PCs)
- DNS überallhin (statt Resolver-Zone)
- Keine Logs → keine Fehleranalyse
- Zu viele Layer-3 Ausnahmen statt service mesh/ports