Sicherheitszonen: DMZ, intern, extern

Netzwerksicherheit beginnt mit einer grundlegenden Frage: Wer darf mit wem kommunizieren? Die Antwort liefert ein Zonenkonzept. Statt alle Systeme in einem flachen Netz zu betreiben, werden Netzwerkbereiche mit unterschiedlichem Vertrauensniveau durch Firewalls voneinander getrennt. Das klassische Drei-Zonen-Modell unterscheidet zwischen dem unsicheren externen Netz (Internet), einer halbsicheren Pufferzone (DMZ) und dem geschützten internen Netz (LAN). Dieser Aufbau ist in der Praxis der Standard – ob im kleinen Unternehmen oder im Rechenzentrum.

1) Die drei Sicherheitszonen im Überblick

Jede Zone hat ein definiertes Vertrauensniveau und beherbergt Systeme, die zu diesem Niveau passen. Die entscheidende Regel: Kommunikation über Zonengrenzen hinweg ist grundsätzlich verboten, außer sie wird durch eine Firewall-Regel explizit erlaubt. Das Diagramm zeigt den typischen Aufbau mit zwei Firewalls – eine zwischen Internet und DMZ, eine zwischen DMZ und internem Netz.

Drei-Zonen-Modell – Netzarchitektur

🌐

Externes Netz

Internet
Kunden, Partner
Angreifer

Kein Vertrauen

FW 1

⟷

🖥️

DMZ

Webserver
Mailserver
DNS, VPN-Gateway

Teilweises Vertrauen

FW 2

⟷

🏢

Internes Netz

Arbeitsplätze
File-Server
Datenbanken, AD

Hohes Vertrauen

Der zweistufige Firewall-Aufbau ist entscheidend: Selbst wenn ein Angreifer den Webserver in der DMZ kompromittiert, steht er vor einer zweiten Firewall, bevor er das interne Netz erreicht. Ein einstufiger Aufbau (nur eine Firewall) schützt weniger – ein kompromittierter DMZ-Host hat dann direkten Netzwerkzugang ins interne Netz.

2) Was gehört wohin?

Eine häufige Fehlerquelle in der Praxis: Systeme werden in der falschen Zone platziert. Ein Datenbankserver, der direkt aus dem Internet erreichbar ist, oder ein Webserver im internen Netz ohne DMZ-Trennung – beides sind typische Schwachstellen. Die folgende Übersicht zeigt, welche Systeme in welche Zone gehören und warum.

Zonenzuordnung – Klicke für Details

Externes Netz

Internet · kein Vertrauen

DMZ

Pufferzone · kontrollierter Zugang

Internes Netz

LAN · hohes Vertrauen

Klicke auf eine Zone für Details zu Systemen, Vertrauen und typischen Sicherheitsmaßnahmen.

Die DMZ (Demilitarisierte Zone) ist kein schwacher Kompromiss – sie ist eine bewusst exponierte Pufferzone. Systeme dort sind gehärtet, minimal konfiguriert und werden engmaschig überwacht. Ihre Kompromittierung soll keinen direkten Zugang zum internen Netz ermöglichen.

3) Erlaubte Verkehrsrichtungen

Das Zonenkonzept lebt von klar definierten Verkehrsregeln. Nicht jede Kommunikationsrichtung ist gleichwertig – manche sind unproblematisch, andere gefährlich. Die Grundregel: Verkehr von außen nach innen ist grundsätzlich verboten; jede Ausnahme braucht eine explizite Regel mit Begründung.

Typische Verkehrsregeln zwischen Zonen

Extern→DMZEingeschränktNur Port 80/443 zum Webserver, Port 25 zum Mailserver

Extern→InternVerbotenKein direkter Zugang zum internen Netz

DMZ→ExternEingeschränktNur notwendige ausgehende Verbindungen (z.B. Updates)

DMZ→InternVerbotenDMZ darf nicht initiativ ins interne Netz kommunizieren

Intern→DMZErlaubtInterner Admin-Zugang zu DMZ-Servern (SSH, Management)

Intern→ExternEingeschränktHTTP/HTTPS über Proxy erlaubt, direkte Verbindungen geblockt

„Intern → DMZ erlaubt" bedeutet nicht unkontrolliert: Auch dieser Verkehr läuft durch Firewall 2 und wird protokolliert. Wenn ein Datenbankserver in der DMZ steht und das interne CRM darauf zugreift, wird genau diese eine Verbindung (IP, Port, Protokoll) erlaubt – nichts weiter.

4) Einstufige vs. zweistufige Architektur

Architektur	Aufbau	Vorteil	Nachteil
Einstufig	Eine Firewall, drei Netzwerkanschlüsse (extern/DMZ/intern)	Günstiger, einfacher zu betreiben	Single Point of Failure; kompromittierte Firewall = alles offen
Zweistufig	Zwei separate Firewalls, idealerweise verschiedener Hersteller	Defense in Depth; Angreifer muss zwei Systeme überwinden	Höherer Aufwand und Kosten
Screened Subnet	Zweistufig + DMZ als eigenständiges Subnetz	Standard für professionelle Umgebungen	Komplexere Konfiguration und Wartung

Zusammenfassung

Das Drei-Zonen-Modell trennt Netzwerkbereiche nach Vertrauensniveau: externes Netz (kein Vertrauen), DMZ (exponierte Server, kontrollierter Zugang) und internes Netz (geschäftskritische Systeme). Firewalls kontrollieren alle Zonenübergänge nach dem Whitelist-Prinzip: alles verboten, außer explizit erlaubt. Systeme kommen in die Zone, die ihrem Expositions-Bedarf entspricht – Webserver in die DMZ, Datenbanken ins interne Netz. Details zu den Regeln, die diesen Verkehr steuern: Paketfilter-Firewall und Firewall-Regelwerk.

Sicherheitszonen: DMZ, intern, extern

1) Die drei Sicherheitszonen im Überblick

2) Was gehört wohin?

3) Erlaubte Verkehrsrichtungen

4) Einstufige vs. zweistufige Architektur

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title