Beschreibung description
Multifunktions-Server, insbesondere Twin-Firewall-ServerMulti-function server, in particular twin firewall server
Die vorliegende Erfindung betrifft einen Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, gemäß dem Oberbegriff des Anspruchs 1.The present invention relates to a multifunction server, in particular a twin server, with at least two independent servers, according to the preamble of claim 1.
Aus der Praxis ist ein sogenannter Dual- oder Twin-Server der Firma iTox bekannt, der in Fachkreisen auch unter der Bezeichnung „Double Dragon" läuft. Dieser Dual-Server wurde als all-in-one-Lösung für Spiegelserversysteme anfänglich für Microsoft entwickelt und wird von der Firma iTox als 19"-rack- Einbaueinheit vertrieben. Der „Double Dragon" wurde als kompakter Spiegelserver für Spiegelserverfarmen und insbesondere für das Microsoft Network (MSN) vornehmlich zum Abbilden von Radiusfunktionen bei Internetpräsenzen mit einer Netzwerkkarte konzipiert.A so-called dual or twin server from iTox is known in practice, which experts also call "Double Dragon". This dual server was initially developed for Microsoft as an all-in-one solution for mirror server systems is sold by iTox as a 19 "rack installation unit. The "Double Dragon" was designed as a compact mirror server for mirror server farms and in particular for the Microsoft Network (MSN) primarily for mapping radius functions in websites with a network card.
Femer ist es aus der Praxis bekannt, aus einem internen Netzwerk (LAN) über einen klassischen Router die Nerbindung zum externen Internet (WAΝ) aufzubauen. Schutz gegen unerwünschte Eindringlinge von draußen bieten hierbei entsprechende Firewall-Systeme, die auf extra hierfür konfigurierten Maschinen laufen. Einfache Firewalls bieten dabei lediglich ein Port-Filtering. Leistungsfähigere Firewalls eröffnen neben der Verbindung des internen Netzwerkes (LAN) mit dem externen Internet (WAN) auch eine Abzweigung in •■ eine sogenannte demilitarisierte Zone (DMZ) in der üblicherweise z. B. ein Web- Server auf einer entsprechenden separaten Maschine steht. Des weiteren sind extrem leistungsstarke und' entsprechend teure Firewalls in der Lage, bis zum Application-Layer 7 (OSI-Layer 7) zu filtern.
In der jüngeren Vergangenheit sind Konzepte vorgeschlagen worden, bei denen eine zweite oder gar eine dritte Firewall auf jeweils einer weiteren extra Maschine installiert und in den Pfad zwischen WAN und LAN integriert wurden, um die Sicherheit vor ungewolltem Zugriff von außen zu optimieren, oder redundante Systeme, d. h. eine verbesserte Ausfallsicherheit zu ermöglichen. Diese Konzepte sind jedoch wegen der Vielzahl an separaten Servern bzw. Maschinen extrem kostenintensiv. Zudem ist damit ein hoher Administrations- und Überwachungsaufwand verbunden. Nicht zuletzt steigt durch die Ansammlung einer Vielzahl von Servern der Platzbedarf hierfür.It is also known from practice to establish the connection to the external Internet (WAΝ) from an internal network (LAN) via a classic router. Appropriate firewall systems that run on specially configured machines offer protection against unwanted intruders from outside. Simple firewalls only offer port filtering. More powerful firewalls open up adjacent to the junction of the internal network (LAN) to the external Internet (WAN), a turn-off • ■ a so-called demilitarized zone (DMZ) in the usually z. B. a web server is on a corresponding separate machine. Furthermore, extremely powerful and 'correspondingly expensive firewalls are able to filter up to application layer 7 (OSI layer 7). In the recent past, concepts have been proposed in which a second or even a third firewall has been installed on each additional machine and integrated into the path between the WAN and LAN to optimize security against unwanted external access, or redundant systems , ie to enable improved reliability. However, these concepts are extremely cost-intensive due to the large number of separate servers or machines. In addition, this involves a high level of administration and monitoring. Last but not least, the accumulation of a large number of servers increases the space required for this.
Demzufolge ist es Aufgabe der vorliegenden Erfindung eine kostengünstige und platzsparende all-in-one-Lösung für einen ausfall- und/oder hochsicheren Zugang vom LAN ins WAN bzw. umgekehrt anzubieten.Accordingly, it is an object of the present invention to offer an inexpensive and space-saving all-in-one solution for fail-safe and / or highly secure access from the LAN to the WAN and vice versa.
Diese Aufgabe wird gelöst durch die Merkmale des Anspruchs 1.This object is achieved by the features of claim 1.
Hierzu wird erstmalig ein Multifunktions-Server insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern vorgeschlagen, die jeweils ein eigenes Mainboard, wenigstes eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerkkarte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19'c-rackfähigen, Gehäuse angeordnet sind. Der erfindungsgemäße Multifunktions-Server zeichnet sich dadurch aus, daß er als „Intelligent Net Access Security-Server" (kurz: INAS-Server), insbesondere als Twin-Firewall-S erver ausgebildet ist. Die in diesen Intelligent Net Access Security-Server enthaltenen eigenständigen Server sind physikalisch voneinander getrennt, was die bislang nur von gleichzeitig nebeneinander betriebenen separaten Einzelsystemen bekannte Hochsicherheit bietet, da im unwahrscheinlichen Falle einer erfolgreichen Hackerattacke auf die erste Maschine bzw. auf den ersten Server im Intelligent Net
Access Security-Server ein Durchhacken bzw. direkter Durchgriff auf die nachfolgende Maschine ob der physikalischen Trennung eigentlich unmöglich ist. Darüber hinaus weisen die eigenständigen Server wenigstens jeweils eine Firewall auf. Dies bietet den Vorteil, daß beispielsweise die erste Firewall bestimmte Sicherheitsregeln oder Mechanismen für grobe oder primäre Schutzmaßnahmen und die nachfolgenden Firewalls entsprechende Regeln oder Mechanismen für eine verfeinerte bzw. höhere Sicherheit bzw. einen sekundären Schutz bei entsprechend performantem Datendurchsatz bieten können. Weiterhin bringt dies den Vorteil, daß die erste Firewall aktiv in Betrieb sein kann und die zweite Firewall oder nachfolgende Firewalls in einem standby-Modus ruhen könnte und im Falle des Ausfalls der ersten Firewall sofort aktiv werden würde, um über diese Redundanz ein hoch verfügbares System zu realisieren. Dieser redundante als auch der parallele Betrieb der Firewalls auf den beiden Servern hilft zudem den ständig steigenden Datendurchsatz mit entsprechend hoher Performanz zu bewältigen. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion, gegenseitig und/oder teilen sich den anfallenden Datenverkehr auf und/oder stimmen die erforderlichen Überwachungsmaßnahmen oder Sicherheitsregeln aufeinander ab. Dieser automatische bzw. selbsttätige Abgleich der Firewalls zur gegenseitigen Abstimmung und Überwachung untereinander bietet ein Maximum an Ausfallsicherheit bzw. Hochverfügbarkeit neben einem Optimum an Schutz gegen ungewollte Attacken von außen. Damit ist eine bislang unbekannte Hochsicherheit vor Eindringlingen gewährbar. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständige funktionsfähige Einheit zur Aufrechterhaltung eines minimalen notwendigen Schutzes. Auf diese Weise ist vorteilhaft sichergestellt, daß ein Nutzer bzw. Betreiber des erfindungsgemäßen Intelligent Net Access Security-Servers mit größtmöglicher Wahrscheinlichkeit einen ständig verfügbaren Zugang ins externe Internet (WAN) mit akzeptabler Performanz bei ausreichender Grundsicherheit verfügbar hat. Dabei kann der
erfindungsgemäße Multifunktions- bzw. Twin-Firewall-S erver so ausgestaltet sein, daß bei einem vorstehend diskutierten Ausfall einer Komponente, sei es einer Firewall oder gar eines Servers die verbleibenden Komponenten für die Zeitspanne bis zum Austausch der defekten Komponenten die volle Funktionsfähigkeit des Gesamtsystems aufrechterhalten können, so daß ein Nutzer bzw. Betreiber keine nennenswerten Leistungseinbußen zu verzeichnen hat. Totalausfälle, die sich heute kaum noch ein Unternehmen, auch kein mittelständisches Unternehmen leisten kann, sind damit im Prinzip ausgeschlossen.For this purpose, a multifunction server, in particular a twin server, with at least two independent servers is proposed for the first time, each of which has its own mainboard, at least its own CPU, hard disks, memory modules and / or network card, the servers in a common, in particular 19 ' c -rackable, housings are arranged. The multifunction server according to the invention is distinguished by the fact that it is designed as an "intelligent net access security server" (short: INAS server), in particular as a twin firewall server. The intelligent net access security servers contained in this server Independent servers are physically separated from each other, which offers the high security known so far only from separate individual systems operated simultaneously side by side, since in the unlikely event of a successful hacker attack on the first machine or on the first server in the Intelligent Net Access security server a hack or direct access to the subsequent machine whether physical separation is actually impossible. In addition, the independent servers each have at least one firewall. This has the advantage that, for example, the first firewall can offer certain security rules or mechanisms for rough or primary protective measures and the subsequent firewalls can offer corresponding rules or mechanisms for refined or higher security or secondary protection with correspondingly high-performance data throughput. This also has the advantage that the first firewall can be actively in operation and the second firewall or subsequent firewalls could be in a standby mode and, in the event of the first firewall failing, would become active immediately in order to have a highly available system via this redundancy to realize. This redundant and parallel operation of the firewalls on the two servers also helps to cope with the constantly increasing data throughput with correspondingly high performance. The firewalls monitor each other in normal operation, preferably by means of a heartbeat function, and / or divide up the data traffic and / or coordinate the necessary monitoring measures or security rules with one another. This automatic or automatic comparison of the firewalls for mutual coordination and monitoring with each other offers maximum reliability and high availability in addition to optimum protection against unwanted external attacks. This ensures previously unknown high security against intruders. In the event of the failure of a server and / or a firewall, the remaining server and / or the remaining firewall form a completely independent, functional unit to maintain the minimum necessary protection. In this way, it is advantageously ensured that a user or operator of the intelligent net access security server according to the invention has the greatest possible probability of having permanently available access to the external Internet (WAN) with acceptable performance and sufficient basic security. The Multi-function or twin-firewall server according to the invention can be designed such that in the event of a component failure, be it a firewall or even a server, the remaining components will maintain the full functionality of the overall system for the period until the defective components are replaced can, so that a user or operator does not experience any significant loss of performance. In principle, total failures that hardly any company or even a medium-sized company can afford today are excluded.
Ein weiterer Vorteil des erfindungsgemäßen Multifunktions-Servers bietet dessen kompakte Bauweise, beispielsweise in 19"-rackfähiger Form mit vorzugsweise einer Bauhöhe, maximal zwei Bauhöhen, was gemessen am derzeitigen Stand der Technik eine äußerst platzsparende Lösung darstellt. Zudem ist der erfindungsgemäße Multifunktions-Server eine kostengünstige Lösung im Vergleich zu den extrem teuren Konzepten des Stands der Technik, bei denen eine oder mehrere Firewalls auf entsprechenden separaten einzelnen Maschinen konfiguriert, administriert, überwacht und betrieben werden müssen, wobei eine Mehrzahl weiterer einzelner Server für den Betrieb eines Mail-Servers, Web- Servers, FTP-Servers oder dergleichen hinzukommen plus Router, Gateway und dergleichen, was die Kosten extrem in die Höhe treiben kann. Derlei herkömmliche Systeme sind schlichtweg für wirtschaftlich rechnende Unternehmen nicht mehr akzeptabel und insbesondere für mittelständische Unternehmen nicht erschwinglich. Hier schafft der erfindungsgemäße Multifunktions-Server in vorteilhafter Weise preiswerte und zugleich leistungsfähige Abhilfe.A further advantage of the multifunction server according to the invention is its compact design, for example in a 19 "rackable form with preferably one height, a maximum of two heights, which is an extremely space-saving solution compared to the current state of the art. In addition, the multifunction server according to the invention is one Cost-effective solution compared to the extremely expensive concepts of the prior art, in which one or more firewalls have to be configured, administered, monitored and operated on corresponding separate individual machines, with a plurality of further individual servers for the operation of a mail server, web - Servers, FTP servers or the like are added, plus routers, gateways and the like, which can drive up costs extremely, such conventional systems are simply no longer acceptable for economically calculating companies and are not particularly difficult for medium-sized companies Here, the multifunction server according to the invention advantageously provides an inexpensive and at the same time powerful remedy.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche.
In einer bevorzugten Ausführungsform des erfindungsgemäßen Multifunktions-Servers läuft darauf wenigstens eine der Server- Anwendungen wie beispielsweise ein Router, ein FTP-Server, ein Web-Server, ein Proxy-Server, ein Mail-Server, eine Citrix-Nfuse-Funktionalität, ein DNS-Server, eine VPN- Funktionalität oder ein Virenscanner, vorzugsweise jedoch alle diese Server- Anwendungen. Damit werden in vorteilhafter Weise sämtliche derzeit aus dem Stand der Technik bekannten und bislang nur auf verschiedenen verteilten separaten Maschinen laufenden Server-Applikationen auf einer Maschine, und zwar zusammengefaßt auf dem erfindungsgemäßen Multifunktions-Server. Dies hilft wiederum deutlich Kosten zu sparen und erleichtert die Administration dieser Anwendungen durch deren Zentralisierung.Advantageous developments of the invention result from the features of the subclaims. In a preferred embodiment of the multifunction server according to the invention, at least one of the server applications, such as a router, an FTP server, a web server, a proxy server, a mail server and a Citrix Nfuse functionality, runs on it DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications. Thus, all server applications currently known from the prior art and previously only running on different, distributed separate machines are advantageously combined on one machine, specifically on the multifunction server according to the invention. This in turn helps to significantly save costs and makes the administration of these applications easier by centralizing them.
In einer weiter bevorzugten Ausführungsform des Multifunktions-Servers weisen die Security -Anwendungen wenigstens eine, vorzugsweise jedoch alle der Sicherheitsmerkmale wie zum Beispiel a) Dynamischer Paketfilter (Dynamic Paket Filter), b) Tarnung (Masquerading), c) Inhaltsfilterung (Content Filtering), d) Übersetzung der Netzwerkadressen (Network Address Translation), e) Virenerkennung (Virus Scan), f) Virtuelles privates Netzwerk (ip-Adressen sicher) (VPN (ip-secure)), g) Übersetzung der Portaladressen (Port Address Translation), h) Filterung der Internetadressen (URL Filtering) oder i) Erkennung von Angriffen mit der Absicht den Rechner bzw. das LAN zu sabotieren oder Dienste bzw. den gesamten Rechner oder das LAN außer Betrieb zu setzen (Füll Detection (DDoS/DoS/Intrusion)) auf. Indem sämtliche derzeit verfügbaren Sicherheitsmerkmale auf dem erfindungsgemäßen Serversystem zusammengefaßt werden, damit deren Konfiguration, Administration und Wartung zentral auf diesem Multifunktions-Server erfolgen kann, werden wiederum die Kosten im IT- Bereich des betreffenden Unternehmens gesenkt und es können Synergie-Effekte zwischen diesen Security -Anwendungen genutzt werden, was früher beim über separate Maschinen verteilten Betrieb nicht möglich war.
Der Multifunktions-Server weist bei einer weiteren bevorzugten Ausführungsform ein gemeinsames Interface auf, das zur Administration der darauf laufenden Anwendungen vorgesehen ist. Damit steht eine zentrale Schnittstelle zur Konfiguration, Installation und Wartung zur Verfügung. Dies hilft Arbeitszeit der Administratoren sparen, wobei zudem die oft zeit- und nervenraubende Lauferei von Maschine zu Maschine und Überprüfung welche Maschine nun gerade Probleme bereitet, entfallen kann.In a further preferred embodiment of the multifunction server, the security applications have at least one, but preferably all, of the security features, such as, for example, a) dynamic packet filter (b) camouflage (masquerading), c) content filtering, d) translation of network addresses (network address translation), e) virus detection (virus scan), f) virtual private network (ip addresses secure) (VPN (ip-secure)), g) translation of portal addresses (port address translation), h) Filtering the Internet addresses (URL filtering) or i) Detecting attacks with the intention of sabotaging the computer or the LAN or putting services or the entire computer or the LAN out of operation (fill detection (DDoS / DoS / Intrusion) ) on. By combining all currently available security features on the server system according to the invention, so that their configuration, administration and maintenance can be carried out centrally on this multifunction server, the costs in the IT area of the company in question are in turn reduced and there can be synergy effects between these security Applications are used, which was previously not possible with operation distributed over separate machines. In a further preferred embodiment, the multifunction server has a common interface which is provided for the administration of the applications running on it. This provides a central interface for configuration, installation and maintenance. This helps to save time for administrators, and the time-consuming and nerve-racking work from machine to machine and checking which machine is causing problems can also be eliminated.
Entsprechend einer weiter bevorzugten Ausführungsform ist eine zentraleAccording to a further preferred embodiment, there is a central one
Administration von Security- und Internet-Anwendungen über das gemeinsame Interface insbesondere über einen WebBrowser vorgesehen. Dies vereinfacht in besonders vorteilhafter Weise die Bedienung der Security- und der Internet- Anwendungen, so daß eine Wartung und Administration von überall aus möglich wird, so daß ein Administrator sich erst gar nicht mehr zum erfindungsgemäßen Multifunktions-Server hinbegeben muß, sondern von jedem Platz aus allfällige Arbeiten erledigen kann.Administration of security and internet applications is provided via the common interface, in particular via a web browser. This simplifies the operation of the security and Internet applications in a particularly advantageous manner, so that maintenance and administration is possible from anywhere, so that an administrator no longer has to go to the multifunction server according to the invention, but from every seat can do from any work.
In einer weiteren bevorzugten Ausführungsform ist ein Multifunktions- Server so ausgebildet, daß er zwischen einem internen Netzwerk (LAN) und einem externen Netz (WAN) geschaltet ist und eine demilitarisierte Zone (DMZ) in sich abbildet. Dies bietet den Vorteil einer kostengünstigen Integration der DMZ, mit den darin abgebildeten Server-Anwendungen, einer mitenthaltenen Firewall, einem Gateway, einer GUI (Graphical User Interface) zentral zusammen auf diesem erfindungsgemäßen Multifunktions-Server, so daß sowohl Anschaffungskosten gesenkt als auch der Betrieb kostengünstig ausgestaltet werden kann. Zudem sind überraschenderweise Steigerungen in der Performanz zu verzeichnen. In einer besonders bevorzugten Ausführungsform des. Multifunktions-Servers ist auf dem ersten eigenständigen Server der Gateway, die erste Firewall und das Graphical
User Interface (GUI) abgebildet und auf dem zweiten eigenständigen Server die zweite Firewall und die DMZ mit beispielsweise wenigstens Mail-, Proxy-, Web- Server, und gegebenenfalls der Citrix-Nfuse-Funktionalität abgebildet. Dies bietet einen optimalen Betrieb aller gewünschten Funktionalitäten auf dem Multifunktions-Server unter guter Ausnutzung der verfügbaren Leistung bei einhergehend optimaler Sicherheit, Performanz und Verfügbarkeit.In a further preferred embodiment, a multifunction server is designed such that it is connected between an internal network (LAN) and an external network (WAN) and forms a demilitarized zone (DMZ). This offers the advantage of a cost-effective integration of the DMZ, with the server applications depicted therein, a firewall included, a gateway, a GUI (graphical user interface) centrally on this multifunction server according to the invention, so that both acquisition costs and operation are reduced can be designed inexpensively. Surprisingly, there are also increases in performance. In a particularly preferred embodiment of the . The multifunction server on the first stand-alone server is the gateway, the first firewall and the graphical Mapped user interface (GUI) and on the second independent server, the second firewall and the DMZ with, for example, at least mail, proxy, web server, and possibly the Citrix Nfuse functionality. This offers optimal operation of all the desired functionalities on the multifunction server while making good use of the available performance with optimal security, performance and availability.
Entsprechend einer weiter bevorzugten Ausführungsform trägt der erste eigenständige Server redundante Abbilder bzw. Kopien der zweiten Firewall und der DMZ mit den dort laufenden Serverapplikationen, wie z.B. Mail-, Proxy-, Web-Server und gegebenenfalls Eine Citrix-Nfuse-Funktionalität, wobei der zweite eigenständige Server redundante Abbilder des Gateway der ersten Firewall und des Graphical User Interface (GUI) trägt. Diese einem Spiegelserverdatensystem angelehnte redundante Ausgestaltung des Multifunktions-Servers bietet eine absolute Ausfallsicherheit, da jegliche Komponente spiegelbildlich redundant als auch jegliche Anwendung spiegelbildlich redundant verfügbar ist und im Falle eines Defektes oder Ausfalls der entsprechenden ersten Komponente oder Anwendung sofort deren Leistungsbereitschaft bzw. Dienste übernehmen kann. Die hierfür vorgesehen Heartbeatfunktionalität gewährleistet dabei eine schlagartige Übergabe der laufenden Anwendungen und Dienste. Damit ist ein bestmöglicher Schutz gegen Ausfall des Systems im Sinne einer sonst nur von extrem teuren Spiegelsystemen bekannten maximalen Hochverfügbarkeit zugleich verbunden mit einer optimalen Hochsicherheit gewährleistet.According to a further preferred embodiment, the first independent server carries redundant images or copies of the second firewall and the DMZ with the server applications running there, e.g. Mail, proxy, web server and possibly a Citrix Nfuse functionality, the second independent server carrying redundant images of the gateway of the first firewall and the graphical user interface (GUI). This redundant configuration of the multifunction server, which is based on a mirror server data system, offers absolute reliability, since every component is available in mirror-image redundancy as well as every application is mirror-image redundant and, in the event of a defect or failure of the corresponding first component or application, can immediately take over its willingness to perform or services. The heartbeat functionality provided for this guarantees an abrupt transfer of the running applications and services. This ensures the best possible protection against system failure in the sense of a maximum high availability that is otherwise only known from extremely expensive mirror systems, combined with optimal high security.
Einer weiter bevorzugten Ausführungsform entsprechend sind die eigenständigen Server physikalisch voneinander getrennt und weisen zudem jeweils getrennte Netzteile zur Spannungsversorgung auf. Diese weitestgehende physikalische Trennung bietet sogar Sicherheit gegen Ausfall eines
nachgeordneten Systems beim Ausfall eines Hauptsystems, sei es durch Kurzschluß oder durch andere Ereignisse, da diese weitestmöglich durchgebildete physikalische Trennung ein Übergreifen von auf einer Maschine sich ereignenden physischen Ereignissen von dieser Maschine auf die andere ausschließt.According to a further preferred embodiment, the independent servers are physically separate from one another and also each have separate power supply units for the voltage supply. This extensive physical separation even offers security against failure of one downstream system in the event of failure of a main system, be it due to a short circuit or other events, since this physical separation, as far as possible, prevents physical events occurring on one machine from spreading from one machine to another.
Der Multifunktions-Server ist bei einer weiter bevorzugten Ausführungsform mit wenigstens sechs Netzwerkkarten, vorzugsweise drei Netzwerkkarten pro eigenständigen Server, ausgebildet. Damit steht bei einem Twin-Firewall-S erver eine optimale Anzahl an Netzwerk-Interfaces zur Kommunikation zur Verfügung. Hierbei ist in einer bevorzugten Ausführungsform eine Kommunikation der Firewalls über derartige Netzwerk-Interfaces vorgesehen. Dementsprechend findet die Kommunikation der Server ebenfalls über derartige Netzwerk-Interfaces statt. Auch die Kommunikation der eigenständigen Server mit den Firewalls wird über Netzwerk-Interfaces realisiert, sei es von einem Server zu einer Firewall und/oder umgekehrt. Diese Netzwerk-Interface geprägte Kommunikation bietet eine optimale Transparenz und Überwachungsmöglichkeit des Datenverkehrs bei gleichbleibend hoher Qualität und optimalem bzw. schnellem Datendurchsatz.In a further preferred embodiment, the multifunction server is designed with at least six network cards, preferably three network cards per independent server. With a twin firewall server, there is an optimal number of network interfaces available for communication. In a preferred embodiment, communication of the firewalls via such network interfaces is provided. Correspondingly, the communication of the servers also takes place via such network interfaces. The communication of the independent servers with the firewalls is also realized via network interfaces, be it from a server to a firewall and / or vice versa. This network interface-shaped communication offers optimal transparency and monitoring options for data traffic with consistently high quality and optimal or fast data throughput.
Entsprechend einer weiteren Ausführungsform ist der erfindungsgemäße Multifunktions-Server frei skalierbar. Damit kann der erfindungsgemäße Multifunktions-Server mit den Anforderungen und Erwartungen des Nutzers oder Betreibers von einer preiswerten Einstiegslösung über eine den Ansprüchen durchschnittlicher Nutzer gerecht werdende Variante bis zu einem High-End Intelligent Net Access Security-Server wachsen.According to a further embodiment, the multifunction server according to the invention is freely scalable. The multifunction server according to the invention can thus grow with the requirements and expectations of the user or operator from an inexpensive entry-level solution to a variant that meets the requirements of average users and a high-end intelligent net access security server.
Die Erfindung wird nachfolgend anhand der einzigen Fig. 1 der Zeichnung näher erläutert. Es zeigt:
Fig. 1 in einem schematisch stark vereinfachten Diagramm die Anordnung des erfindungsgemäßen Multifunktions-Servers zwischen dem LAN und dem WAN.The invention is explained below with reference to the single Fig. 1 of the drawing. It shows: Fig. 1 in a schematically highly simplified diagram, the arrangement of the multifunction server according to the invention between the LAN and the WAN.
In Fig. 1 ist der erfindungsgemäße Multifunktions-Server 1 durch den leicht elliptisch ausgebildeten Kreis symbolisiert. Bei der hier dargestellten Variante eines Twin-Firewall-S ervers ist auf den beiden eigenständigen Servern eine erste Firewall als sogenannte Firewall-Bridge 2 als äußere Schnittstelle ins externe Internet (WAN) symbolisiert. Hinter der Firewall-Bridge 2 folgt eine zweite Firewall 4, die vorzugsweise auf dem zweiten eigenständigen Server läuft und bei der die Routerfunktionalität und/oder ein Gateway symbolisiert mit dem Maschinensymbol 6 abgebildet ist. Dahinter befindet sich in der einen Richtung das interne Netzwerk (LAN), welches durch die Mehrzahl von Workstations 8 schematisiert ist. In der anderen Richtung befindet sich die auf dem zweiten Server abgebildete demilitarisierte Zone (DMZ), in der bei dieser Variante die Funktionalitäten eines Web-Servers 10 eines Mail-Servers 12 und eins FTP- Servers 14 verwirklicht sind.The multifunction server 1 according to the invention is symbolized in FIG. 1 by the slightly elliptical circle. In the variant of a twin firewall server shown here, a first firewall is symbolized on the two independent servers as a so-called firewall bridge 2 as an external interface to the external Internet (WAN). Behind the firewall bridge 2 is a second firewall 4, which preferably runs on the second independent server and in which the router functionality and / or a gateway is symbolized with the machine symbol 6. Behind it is in one direction the internal network (LAN), which is schematized by the plurality of workstations 8. In the other direction is the demilitarized zone (DMZ) shown on the second server, in which the functionalities of a web server 10, a mail server 12 and an FTP server 14 are implemented in this variant.
Der erfindungsgemäße Intelligent Net Access Security-Server (kurz: INAS- Server) kann alle Funktionen für LAN und WAN übernehmen. Beispielsweise kann die Firewall-Bridge als SonicWall-Firewall-Bridge ausgebildet sein und es sind dabei sowohl die vorstehend genannte Variante ihrer Anordnung als Außenstelle zum Internet hin als auch als letzte Bastion vor dem internen Netzwerk realisierbar. Ebenso kann der Router 4 als D-Link-Router durchgestaltet sein. Es ist aber ebenso möglich Router- oder Firewall-Konzepte bzw. Produkte anderer Hersteller einzubinden.The Intelligent Net Access Security Server (INAS server for short) can take over all functions for LAN and WAN. For example, the firewall bridge can be designed as a SonicWall firewall bridge and both the above-mentioned variant of its arrangement as a branch office to the Internet and as the last bastion in front of the internal network can be implemented. Router 4 can also be configured as a D-Link router. However, it is also possible to integrate router or firewall concepts or products from other manufacturers.
Die vorstehend diskutierte Erfindung eines Multifunktions-Servers, der als Intelligent Net Access Security-Server (INAS-Server) ausgebildet ist, bietet ein
Maximum an Funktionalität bei einem Minimum an eingesetzten Komponenten und Hardware, wobei eine Skalierung von einer preiswerten INAS-Server-Light- Variante über eine Standard- zur Classic- Variante bis hin zu einer Premium- Variante möglich ist.The above-discussed invention of a multifunction server, which is designed as an intelligent Net Access Security server (INAS server), offers one Maximum functionality with a minimum of components and hardware used, whereby scaling from an inexpensive INAS server light variant to a standard to classic variant to a premium variant is possible.
Mit der vorliegenden Erfindung wird eine all-in-one-Lösung ohne Kompromisse bei der Sicherheit angeboten. Der INAS-Server vereint Firewall, Serverdienste sowie eine echte DMZ in einem Gerät. Durch die physikalische Trennung der Systeme kann eine optimale Sicherheit gewährleistet werden, wobei keine Kompromisse bezüglich Sicherheit und Funktionalität akzeptiert werden müssen. Die Hard- und Software ist nach Kundenwünschen skalierbar. Vom Basic-System bis zur High-Performance beruht alles auf einer einheitlichen, modular aufgebauten Hard- und Softwarelösung. Eine zentrale Administration von Security und Internetpräsenz ist gegeben.The present invention offers an all-in-one solution without compromising on security. The INAS server combines firewall, server services and a real DMZ in one device. Optimal security can be guaranteed by the physical separation of the systems, whereby no compromises regarding security and functionality have to be accepted. The hardware and software is scalable according to customer requirements. From the basic system to high-performance, everything is based on a uniform, modular hardware and software solution. A central administration of security and internet presence is given.
Die Firewall und alle anderen Funktionen auf beiden Maschinen können über ein gemeinsames Interface administriert werden. Die dabei eingesetzte Firewall bietet alle Ausstattungs- und Sicherheitsmerkmale sämtlicher am Markt vorhandenen Security Produkten. Diese sind beispielsweise: Dynamic Paket Filter, Network Address Translation, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filtering, VPN (ip-secure) und/oder Füll Detection (DoS/mtrusion). Dabei sind die folgenden Komponenten voll in das System integriert und bieten damit einen intelligenten Zugriff: Apache Web-Server, Mail- Server, FTP-Server, Cytrix-Applikationserver und/oder Proxy -Server.The firewall and all other functions on both machines can be administered via a common interface. The firewall used offers all equipment and security features of all security products available on the market. These are, for example: Dynamic Packet Filter, Network Address Translation, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filtering, VPN (ip-secure) and / or Fill Detection (DoS / mtrusion). The following components are fully integrated into the system and thus offer intelligent access: Apache web server, mail server, FTP server, Cytrix application server and / or proxy server.
Durch den modularen Aufbau des erfindungsgemäßen Konzepts und die offene Architektur der Firewall ist das System extrem flexibel und sehr vielfältig einsetzbar. Es kann als reines Firewall-System für jedes Unternehmen hergestellt bzw. eingerichtet werden. Ebenso ist es denkbar, einen Firewall- und Mail-Server
auf dem INAS-Server abzubilden. Genauso ist es möglich ein Firewall und eine DMZ-Lösung anzubieten, wobei auf dem INAS-Server mit Firewall und echter DMZ ein Virus Scan, ein Web-, Mail-, und/oder FTP-Server laufen können. Dem Nutzer bzw. Betreiber eines erfindungsgemäßen INAS-Servers kann problemloser Support als auch Upgrades ohne Hardwareaustausch oder Neuinstallation zugesichert werden.The modular structure of the concept according to the invention and the open architecture of the firewall make the system extremely flexible and very versatile. It can be manufactured or set up as a pure firewall system for any company. It is also conceivable to have a firewall and mail server map on the INAS server. It is also possible to offer a firewall and a DMZ solution, whereby a virus scan, a web, mail and / or FTP server can run on the INAS server with firewall and real DMZ. The user or operator of an INAS server according to the invention can be assured of trouble-free support as well as upgrades without hardware replacement or new installation.
Der erfindungsgemäße INAS-Server bietet erstmals diese Funktionalität und Sicherheit in einem System in diesem Umfang. Durch den physikalisch getrennten Aufbau wird eine höchstmögliche Sicherheit gewährleistet. Funktionalitäten wie Web-, Mail-, FTP-Applikationserver sind auf einem Gerät verfügbar. Die komplette Administration erfolgt über eine gemeinsame Oberfläche an einem beliebigen PC im Netzwerk. Damit sind in einer entsprechend vorteilhaft ausgebildeten Variante sämtliche Dienste und Produkte, wie beispielsweise WWW-Server, Proxy-Server, Nfuse-Server, Virus-Scanner, FTP-Server, DHCP/DNS-Server, Mail-Server und/oder Firewall verfügbar. Auf diese Weise setzt der erfindungsgemäße INAS-Server neue Maßstäbe bei Komplettlösungen mit höchstmöglicher Sicherheit.The INAS server according to the invention offers this functionality and security in a system of this scope for the first time. The physically separate structure ensures the highest possible security. Functionalities such as web, mail, FTP application servers are available on one device. The complete administration takes place via a common user interface on any PC in the network. This means that all services and products, such as WWW servers, proxy servers, Nfuse servers, virus scanners, FTP servers, DHCP / DNS servers, mail servers and / or firewalls, are available in a correspondingly advantageously designed variant. In this way, the INAS server according to the invention sets new standards for complete solutions with the highest possible security.
Der erfindungsgemäße INAS-Server besteht beispielsweise bei einer besonders platzsparenden Variante aus zwei in einem 19" Gehäuse, das nur eine Bauhöhe benötigt, integrierten Server-Systemen. Sofern entsprechend Platz im Rack verfügbar ist, können auch Varianten mit zwei Bauhöhen bereit gestellt werden. Dies hat dann wiederum Vorteile bei der Klimatisierung bzw. bei der Optimierung der Kühlung. Eine dafür denkbare Ausstattung der beiden eigenständigen Server kann jeweils ein Intel Motherboard vorsehen. Darauf sind 900 Mhz Intel Celeron Serverprozessoren installiert. Als Arbeitsspeicher können in einer Einstiegsvariante beispielsweise 128 MB SD-RAM vorgesehen werden. Der INAS-Server weist insgesamt sechs, d.h. pro eigenständigem Server drei
WIn a particularly space-saving variant, the INAS server according to the invention consists, for example, of two server systems integrated in a 19 "housing that only requires one height. If space is available in the rack, variants with two heights can also be provided. This This in turn has advantages when it comes to air conditioning or when optimizing the cooling. An Intel motherboard can provide a conceivable configuration for each of the two independent servers. 900 Mhz Intel Celeron server processors are installed on it. The INAS server has a total of six, ie three per independent server W
1212
Netzwerkkarten auf, die beispielsweise 100 Mbit NIC-Karten sein können. Als Festplatten werden beispielsweise 30 GB UDMA 100 HDD-Platten vorgeschlagen. Dabei ist der INAS-Server nicht nur im Rack sondern auch als Stand-alone Variante in einem eigenen Tower als Desktop-PC verfügbar. 5Network cards, which can be, for example, 100 Mbit NIC cards. For example, 30 GB UDMA 100 HDD disks are proposed as hard disks. The INAS server is not only available in a rack, but also as a stand-alone variant in its own tower as a desktop PC. 5
In der INAS-Server classic-Variante ist auf dem ersten eigenständigen Serversystem die Firewall, das GUI und das Login vorgesehen. Die zweite Maschine trägt die Firewall, den DHCP-, Proxy-, VPN-, Mail-, Web-, und/oder Nfuse-Server sowie Mobile PPTP-Funktionalität als auch NW-Tools. In der INAS-In the INAS Server classic version, the firewall, the GUI and the login are provided on the first independent server system. The second machine carries the firewall, the DHCP, proxy, VPN, mail, web, and / or Nfuse server as well as mobile PPTP functionality and NW tools. In the INAS
10 Server professional- Variante kann das zweite PC-System um eine Virusscanfunktionalität und einen FTP-Server ergänzt werden. Bei einer weiteren Skalierung nach oben kann bei einem INAS-Server premium-Typ eine Clusterfähigkeit vorgesehen und ein Load-Balancing sowie Überwachungen über Heartbeat und dergleichen eingeplant werden. Der erfindungsgemäße INAS-Server10 Server professional variant, the second PC system can be supplemented with a virus scan functionality and an FTP server. With a further scaling upwards, a cluster capability can be provided with an INAS server premium type and load balancing and monitoring via heartbeat and the like can be scheduled. The INAS server according to the invention
15 kann beispielsweise für bis zu 250 User ausgelegt sein.15 can, for example, be designed for up to 250 users.
Der erfindungsgemäße INAS-Server bietet weitere Vorteile. Dies sind beispielsweise die zentrale Administration von Sicherheits- und Serverfunktionen. Eine Netzüberwachung, Login und Analyse auf einer Maschine. Eine hoheThe INAS server according to the invention offers further advantages. These are, for example, the central administration of security and server functions. Network monitoring, login and analysis on one machine. A high
20 Kostenersparnis im Serverbereich sowohl bei der Anschaffung als auch bei der Wartung und im Betrieb. Es sind gerade ob der All-in-one -Lösung keine Kompromisse bei der Netzwerksicherheit einzugehen. Durch den modularen Aufbau zahlt der Kunde nur das, was er nutzt. Eine Mehrsprachigkeit bietet Verständigung in allen Richtungen. Eine Hochverfügbarkeit, die zudem gesteigert 5 werden kann durch Clustering und Load Balancing bietet ein Maximum an Performance für das aufzuwendende Kapital.20 Cost savings in the server area both in terms of acquisition, maintenance and operation. It is precisely with the all-in-one solution that you do not have to compromise on network security. Due to the modular structure, the customer only pays for what he uses. Multilingualism offers communication in all directions. High availability, which can also be increased through clustering and load balancing, offers maximum performance for the capital to be spent.
Somit schlägt die vorliegende Erfindung erstmals einen Multifunktions- Server von insbesondere Twin-Server, mit wenigstens zwei eigenständigen
Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatte, Speicherb austeine und/oder Netzwerkkarte aufweisen, vor, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähigen, Gehäuse angeordnet sind. Der neue Multifunktions-Server ist als Intelligent Net Access Security-Server (kurz: INAS), insbesondere als Twin- Firewall -Server ausgebildet. Auf den beiden eigenständigen Servern laufen die Firewalls redundant bzw. parallel. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion gegenseitig und/oder teilen sich den anfallenden Datenverkehr und/oder stimmen die erforderlichen Überwachungsmaßnahmen aufeinander ab. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständig funktionsfähige Einheit zur Aufrechterhaltung eines minimal notwendigen Schutzes.
Thus, the present invention proposes for the first time a multifunction server, in particular a twin server, with at least two independent ones Servers, each of which has its own mainboard, at least one of its own CPU, hard disk, memory modules and / or network card, the servers being arranged in a common, in particular 19 "rackable, housing. The new multifunction server is intelligent Net access security server (INAS for short), in particular designed as a twin firewall server. The firewalls run redundantly or in parallel on the two independent servers. The firewalls monitor each other in normal operation, preferably using a heartbeat function, and / or share the data traffic and / or coordinate the necessary monitoring measures in the event of a failure of a server and / or a firewall, the remaining server and / or the remaining firewall form a fully independent functional unit to maintain the minimum necessary protection.