WO2003061238A2 - Multifunctional server, in particular a twin-firewall server - Google Patents

Multifunctional server, in particular a twin-firewall server Download PDF

Info

Publication number
WO2003061238A2
WO2003061238A2 PCT/EP2003/000416 EP0300416W WO03061238A2 WO 2003061238 A2 WO2003061238 A2 WO 2003061238A2 EP 0300416 W EP0300416 W EP 0300416W WO 03061238 A2 WO03061238 A2 WO 03061238A2
Authority
WO
WIPO (PCT)
Prior art keywords
server
firewall
multifunctional
independent
servers
Prior art date
Application number
PCT/EP2003/000416
Other languages
German (de)
French (fr)
Other versions
WO2003061238A3 (en
Inventor
Reinhold Unrecht
Manfred Hainzinger
Jörg Hubert
Frank Siefert
Original Assignee
Amcornet Security Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amcornet Security Gmbh filed Critical Amcornet Security Gmbh
Priority to AU2003218637A priority Critical patent/AU2003218637A1/en
Publication of WO2003061238A2 publication Critical patent/WO2003061238A2/en
Publication of WO2003061238A3 publication Critical patent/WO2003061238A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Definitions

  • Multi-function server in particular twin firewall server
  • the present invention relates to a multifunction server, in particular a twin server, with at least two independent servers, according to the preamble of claim 1.
  • a so-called dual or twin server from iTox is known in practice, which experts also call "Double Dragon".
  • This dual server was initially developed for Microsoft as an all-in-one solution for mirror server systems is sold by iTox as a 19 "rack installation unit.
  • the "Double Dragon” was designed as a compact mirror server for mirror server farms and in particular for the Microsoft Network (MSN) primarily for mapping radius functions in websites with a network card.
  • MSN Microsoft Network
  • a multifunction server in particular a twin server, with at least two independent servers is proposed for the first time, each of which has its own mainboard, at least its own CPU, hard disks, memory modules and / or network card, the servers in a common, in particular 19 ' c -rackable, housings are arranged.
  • the multifunction server according to the invention is distinguished by the fact that it is designed as an "intelligent net access security server" (short: INAS server), in particular as a twin firewall server.
  • the intelligent net access security servers contained in this server Independent servers are physically separated from each other, which offers the high security known so far only from separate individual systems operated simultaneously side by side, since in the unlikely event of a successful hacker attack on the first machine or on the first server in the Intelligent Net Access security server a hack or direct access to the subsequent machine whether physical separation is actually impossible.
  • the independent servers each have at least one firewall. This has the advantage that, for example, the first firewall can offer certain security rules or mechanisms for rough or primary protective measures and the subsequent firewalls can offer corresponding rules or mechanisms for refined or higher security or secondary protection with correspondingly high-performance data throughput.
  • the firewalls monitor each other in normal operation, preferably by means of a heartbeat function, and / or divide up the data traffic and / or coordinate the necessary monitoring measures or security rules with one another. This automatic or automatic comparison of the firewalls for mutual coordination and monitoring with each other offers maximum reliability and high availability in addition to optimum protection against unwanted external attacks. This ensures previously unknown high security against intruders.
  • the remaining server and / or the remaining firewall form a completely independent, functional unit to maintain the minimum necessary protection.
  • a user or operator of the intelligent net access security server according to the invention has the greatest possible probability of having permanently available access to the external Internet (WAN) with acceptable performance and sufficient basic security.
  • the Multi-function or twin-firewall server according to the invention can be designed such that in the event of a component failure, be it a firewall or even a server, the remaining components will maintain the full functionality of the overall system for the period until the defective components are replaced can, so that a user or operator does not experience any significant loss of performance. In principle, total failures that hardly any company or even a medium-sized company can afford today are excluded.
  • a further advantage of the multifunction server according to the invention is its compact design, for example in a 19 "rackable form with preferably one height, a maximum of two heights, which is an extremely space-saving solution compared to the current state of the art.
  • the multifunction server according to the invention is one Cost-effective solution compared to the extremely expensive concepts of the prior art, in which one or more firewalls have to be configured, administered, monitored and operated on corresponding separate individual machines, with a plurality of further individual servers for the operation of a mail server, web - Servers, FTP servers or the like are added, plus routers, gateways and the like, which can drive up costs extremely, such conventional systems are simply no longer acceptable for economically calculating companies and are not particularly difficult for medium-sized companies
  • the multifunction server according to the invention advantageously provides an inexpensive and at the same time powerful remedy.
  • At least one of the server applications such as a router, an FTP server, a web server, a proxy server, a mail server and a Citrix Nfuse functionality, runs on it DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications.
  • the server applications such as a router, an FTP server, a web server, a proxy server, a mail server and a Citrix Nfuse functionality
  • the security applications have at least one, but preferably all, of the security features, such as, for example, a) dynamic packet filter (b) camouflage (masquerading), c) content filtering, d) translation of network addresses (network address translation), e) virus detection (virus scan), f) virtual private network (ip addresses secure) (VPN (ip-secure)), g) translation of portal addresses (port address translation), h) Filtering the Internet addresses (URL filtering) or i) Detecting attacks with the intention of sabotaging the computer or the LAN or putting services or the entire computer or the LAN out of operation (fill detection (DDoS / DoS / Intrusion) ) on.
  • the security features such as, for example, a) dynamic packet filter (b) camouflage (masquerading), c) content filtering, d) translation of network addresses (network address translation), e) virus detection (virus scan), f) virtual private network (ip addresses secure) (VPN (i
  • the multifunction server has a common interface which is provided for the administration of the applications running on it. This provides a central interface for configuration, installation and maintenance. This helps to save time for administrators, and the time-consuming and nerve-racking work from machine to machine and checking which machine is causing problems can also be eliminated.
  • Administration of security and internet applications is provided via the common interface, in particular via a web browser. This simplifies the operation of the security and Internet applications in a particularly advantageous manner, so that maintenance and administration is possible from anywhere, so that an administrator no longer has to go to the multifunction server according to the invention, but from every seat can do from any work.
  • a multifunction server is designed such that it is connected between an internal network (LAN) and an external network (WAN) and forms a demilitarized zone (DMZ).
  • LAN internal network
  • WAN external network
  • DMZ demilitarized zone
  • the multifunction server on the first stand-alone server is the gateway, the first firewall and the graphical Mapped user interface (GUI) and on the second independent server, the second firewall and the DMZ with, for example, at least mail, proxy, web server, and possibly the Citrix Nfuse functionality.
  • GUI graphical Mapped user interface
  • the first independent server carries redundant images or copies of the second firewall and the DMZ with the server applications running there, e.g. Mail, proxy, web server and possibly a Citrix Nfuse functionality, the second independent server carrying redundant images of the gateway of the first firewall and the graphical user interface (GUI).
  • GUI graphical user interface
  • the independent servers are physically separate from one another and also each have separate power supply units for the voltage supply. This extensive physical separation even offers security against failure of one downstream system in the event of failure of a main system, be it due to a short circuit or other events, since this physical separation, as far as possible, prevents physical events occurring on one machine from spreading from one machine to another.
  • the multifunction server is designed with at least six network cards, preferably three network cards per independent server.
  • a twin firewall server there is an optimal number of network interfaces available for communication.
  • communication of the firewalls via such network interfaces is provided.
  • the communication of the servers also takes place via such network interfaces.
  • the communication of the independent servers with the firewalls is also realized via network interfaces, be it from a server to a firewall and / or vice versa. This network interface-shaped communication offers optimal transparency and monitoring options for data traffic with consistently high quality and optimal or fast data throughput.
  • the multifunction server according to the invention is freely scalable.
  • the multifunction server according to the invention can thus grow with the requirements and expectations of the user or operator from an inexpensive entry-level solution to a variant that meets the requirements of average users and a high-end intelligent net access security server.
  • Fig. 1 in a schematically highly simplified diagram, the arrangement of the multifunction server according to the invention between the LAN and the WAN.
  • the multifunction server 1 is symbolized in FIG. 1 by the slightly elliptical circle.
  • a first firewall is symbolized on the two independent servers as a so-called firewall bridge 2 as an external interface to the external Internet (WAN).
  • WAN external Internet
  • a second firewall 4 which preferably runs on the second independent server and in which the router functionality and / or a gateway is symbolized with the machine symbol 6.
  • LAN internal network
  • DMZ demilitarized zone
  • the Intelligent Net Access Security Server can take over all functions for LAN and WAN.
  • the firewall bridge can be designed as a SonicWall firewall bridge and both the above-mentioned variant of its arrangement as a branch office to the Internet and as the last bastion in front of the internal network can be implemented.
  • Router 4 can also be configured as a D-Link router. However, it is also possible to integrate router or firewall concepts or products from other manufacturers.
  • the above-discussed invention of a multifunction server which is designed as an intelligent Net Access Security server (INAS server), offers one Maximum functionality with a minimum of components and hardware used, whereby scaling from an inexpensive INAS server light variant to a standard to classic variant to a premium variant is possible.
  • INAS server intelligent Net Access Security server
  • the present invention offers an all-in-one solution without compromising on security.
  • the INAS server combines firewall, server services and a real DMZ in one device. Optimal security can be guaranteed by the physical separation of the systems, whereby no compromises regarding security and functionality have to be accepted.
  • the hardware and software is scalable according to customer requirements. From the basic system to high-performance, everything is based on a uniform, modular hardware and software solution. A central administration of security and internet presence is given.
  • the firewall and all other functions on both machines can be administered via a common interface.
  • the firewall used offers all equipment and security features of all security products available on the market. These are, for example: Dynamic Packet Filter, Network Address Translation, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filtering, VPN (ip-secure) and / or Fill Detection (DoS / mtrusion).
  • the following components are fully integrated into the system and thus offer intelligent access: Apache web server, mail server, FTP server, Cytrix application server and / or proxy server.
  • the modular structure of the concept according to the invention and the open architecture of the firewall make the system extremely flexible and very versatile. It can be manufactured or set up as a pure firewall system for any company. It is also conceivable to have a firewall and mail server map on the INAS server. It is also possible to offer a firewall and a DMZ solution, whereby a virus scan, a web, mail and / or FTP server can run on the INAS server with firewall and real DMZ. The user or operator of an INAS server according to the invention can be assured of trouble-free support as well as upgrades without hardware replacement or new installation.
  • the INAS server according to the invention offers this functionality and security in a system of this scope for the first time.
  • the physically separate structure ensures the highest possible security.
  • Functionalities such as web, mail, FTP application servers are available on one device.
  • the complete administration takes place via a common user interface on any PC in the network. This means that all services and products, such as WWW servers, proxy servers, Nfuse servers, virus scanners, FTP servers, DHCP / DNS servers, mail servers and / or firewalls, are available in a correspondingly advantageously designed variant.
  • the INAS server according to the invention sets new standards for complete solutions with the highest possible security.
  • the INAS server according to the invention consists, for example, of two server systems integrated in a 19 "housing that only requires one height. If space is available in the rack, variants with two heights can also be provided. This This in turn has advantages when it comes to air conditioning or when optimizing the cooling.
  • An Intel motherboard can provide a conceivable configuration for each of the two independent servers. 900 Mhz Intel Celeron server processors are installed on it.
  • the INAS server has a total of six, ie three per independent server W
  • Network cards which can be, for example, 100 Mbit NIC cards.
  • 30 GB UDMA 100 HDD disks are proposed as hard disks.
  • the INAS server is not only available in a rack, but also as a stand-alone variant in its own tower as a desktop PC. 5
  • the firewall, the GUI and the login are provided on the first independent server system.
  • the second machine carries the firewall, the DHCP, proxy, VPN, mail, web, and / or Nfuse server as well as mobile PPTP functionality and NW tools.
  • the second PC system can be supplemented with a virus scan functionality and an FTP server.
  • a cluster capability can be provided with an INAS server premium type and load balancing and monitoring via heartbeat and the like can be scheduled.
  • 15 can, for example, be designed for up to 250 users.
  • the INAS server according to the invention offers further advantages. These are, for example, the central administration of security and server functions. Network monitoring, login and analysis on one machine. A high
  • Multilingualism offers communication in all directions. High availability, which can also be increased through clustering and load balancing, offers maximum performance for the capital to be spent.
  • the present invention proposes for the first time a multifunction server, in particular a twin server, with at least two independent ones Servers, each of which has its own mainboard, at least one of its own CPU, hard disk, memory modules and / or network card, the servers being arranged in a common, in particular 19 "rackable, housing.
  • the new multifunction server is intelligent Net access security server (INAS for short), in particular designed as a twin firewall server.
  • the firewalls run redundantly or in parallel on the two independent servers.
  • the firewalls monitor each other in normal operation, preferably using a heartbeat function, and / or share the data traffic and / or coordinate the necessary monitoring measures in the event of a failure of a server and / or a firewall, the remaining server and / or the remaining firewall form a fully independent functional unit to maintain the minimum necessary protection.

Abstract

The invention relates to a multifunctional server, in particular a twin-firewall server, comprising at least two independent servers, each with an independent mainboard, at least one independent CPU, hard discs, memory components and/or network cards, said servers being arranged in a common, in particular, 19 -racking housing. Said novel multifunctional server is embodied as an intelligent net access security server, in particular a twin-firewall server. The firewalls run on both independent servers, either redundantly or in parallel. In normal operation the firewalls thus monitor each other, preferably by means of a heartbeat function and/or share the incoming data traffic and/or determine the necessary monitoring functions for each other. In case of a fault with a server and/or a firewall, the remaining server and/or the remaining firewall forms a completely independent functional unit for maintaining a minimum necessary protection.

Description

Beschreibung description
Multifunktions-Server, insbesondere Twin-Firewall-ServerMulti-function server, in particular twin firewall server
Die vorliegende Erfindung betrifft einen Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, gemäß dem Oberbegriff des Anspruchs 1.The present invention relates to a multifunction server, in particular a twin server, with at least two independent servers, according to the preamble of claim 1.
Aus der Praxis ist ein sogenannter Dual- oder Twin-Server der Firma iTox bekannt, der in Fachkreisen auch unter der Bezeichnung „Double Dragon" läuft. Dieser Dual-Server wurde als all-in-one-Lösung für Spiegelserversysteme anfänglich für Microsoft entwickelt und wird von der Firma iTox als 19"-rack- Einbaueinheit vertrieben. Der „Double Dragon" wurde als kompakter Spiegelserver für Spiegelserverfarmen und insbesondere für das Microsoft Network (MSN) vornehmlich zum Abbilden von Radiusfunktionen bei Internetpräsenzen mit einer Netzwerkkarte konzipiert.A so-called dual or twin server from iTox is known in practice, which experts also call "Double Dragon". This dual server was initially developed for Microsoft as an all-in-one solution for mirror server systems is sold by iTox as a 19 "rack installation unit. The "Double Dragon" was designed as a compact mirror server for mirror server farms and in particular for the Microsoft Network (MSN) primarily for mapping radius functions in websites with a network card.
Femer ist es aus der Praxis bekannt, aus einem internen Netzwerk (LAN) über einen klassischen Router die Nerbindung zum externen Internet (WAΝ) aufzubauen. Schutz gegen unerwünschte Eindringlinge von draußen bieten hierbei entsprechende Firewall-Systeme, die auf extra hierfür konfigurierten Maschinen laufen. Einfache Firewalls bieten dabei lediglich ein Port-Filtering. Leistungsfähigere Firewalls eröffnen neben der Verbindung des internen Netzwerkes (LAN) mit dem externen Internet (WAN) auch eine Abzweigung in •■ eine sogenannte demilitarisierte Zone (DMZ) in der üblicherweise z. B. ein Web- Server auf einer entsprechenden separaten Maschine steht. Des weiteren sind extrem leistungsstarke und' entsprechend teure Firewalls in der Lage, bis zum Application-Layer 7 (OSI-Layer 7) zu filtern. In der jüngeren Vergangenheit sind Konzepte vorgeschlagen worden, bei denen eine zweite oder gar eine dritte Firewall auf jeweils einer weiteren extra Maschine installiert und in den Pfad zwischen WAN und LAN integriert wurden, um die Sicherheit vor ungewolltem Zugriff von außen zu optimieren, oder redundante Systeme, d. h. eine verbesserte Ausfallsicherheit zu ermöglichen. Diese Konzepte sind jedoch wegen der Vielzahl an separaten Servern bzw. Maschinen extrem kostenintensiv. Zudem ist damit ein hoher Administrations- und Überwachungsaufwand verbunden. Nicht zuletzt steigt durch die Ansammlung einer Vielzahl von Servern der Platzbedarf hierfür.It is also known from practice to establish the connection to the external Internet (WAΝ) from an internal network (LAN) via a classic router. Appropriate firewall systems that run on specially configured machines offer protection against unwanted intruders from outside. Simple firewalls only offer port filtering. More powerful firewalls open up adjacent to the junction of the internal network (LAN) to the external Internet (WAN), a turn-off • ■ a so-called demilitarized zone (DMZ) in the usually z. B. a web server is on a corresponding separate machine. Furthermore, extremely powerful and 'correspondingly expensive firewalls are able to filter up to application layer 7 (OSI layer 7). In the recent past, concepts have been proposed in which a second or even a third firewall has been installed on each additional machine and integrated into the path between the WAN and LAN to optimize security against unwanted external access, or redundant systems , ie to enable improved reliability. However, these concepts are extremely cost-intensive due to the large number of separate servers or machines. In addition, this involves a high level of administration and monitoring. Last but not least, the accumulation of a large number of servers increases the space required for this.
Demzufolge ist es Aufgabe der vorliegenden Erfindung eine kostengünstige und platzsparende all-in-one-Lösung für einen ausfall- und/oder hochsicheren Zugang vom LAN ins WAN bzw. umgekehrt anzubieten.Accordingly, it is an object of the present invention to offer an inexpensive and space-saving all-in-one solution for fail-safe and / or highly secure access from the LAN to the WAN and vice versa.
Diese Aufgabe wird gelöst durch die Merkmale des Anspruchs 1.This object is achieved by the features of claim 1.
Hierzu wird erstmalig ein Multifunktions-Server insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern vorgeschlagen, die jeweils ein eigenes Mainboard, wenigstes eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerkkarte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19'c-rackfähigen, Gehäuse angeordnet sind. Der erfindungsgemäße Multifunktions-Server zeichnet sich dadurch aus, daß er als „Intelligent Net Access Security-Server" (kurz: INAS-Server), insbesondere als Twin-Firewall-S erver ausgebildet ist. Die in diesen Intelligent Net Access Security-Server enthaltenen eigenständigen Server sind physikalisch voneinander getrennt, was die bislang nur von gleichzeitig nebeneinander betriebenen separaten Einzelsystemen bekannte Hochsicherheit bietet, da im unwahrscheinlichen Falle einer erfolgreichen Hackerattacke auf die erste Maschine bzw. auf den ersten Server im Intelligent Net Access Security-Server ein Durchhacken bzw. direkter Durchgriff auf die nachfolgende Maschine ob der physikalischen Trennung eigentlich unmöglich ist. Darüber hinaus weisen die eigenständigen Server wenigstens jeweils eine Firewall auf. Dies bietet den Vorteil, daß beispielsweise die erste Firewall bestimmte Sicherheitsregeln oder Mechanismen für grobe oder primäre Schutzmaßnahmen und die nachfolgenden Firewalls entsprechende Regeln oder Mechanismen für eine verfeinerte bzw. höhere Sicherheit bzw. einen sekundären Schutz bei entsprechend performantem Datendurchsatz bieten können. Weiterhin bringt dies den Vorteil, daß die erste Firewall aktiv in Betrieb sein kann und die zweite Firewall oder nachfolgende Firewalls in einem standby-Modus ruhen könnte und im Falle des Ausfalls der ersten Firewall sofort aktiv werden würde, um über diese Redundanz ein hoch verfügbares System zu realisieren. Dieser redundante als auch der parallele Betrieb der Firewalls auf den beiden Servern hilft zudem den ständig steigenden Datendurchsatz mit entsprechend hoher Performanz zu bewältigen. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion, gegenseitig und/oder teilen sich den anfallenden Datenverkehr auf und/oder stimmen die erforderlichen Überwachungsmaßnahmen oder Sicherheitsregeln aufeinander ab. Dieser automatische bzw. selbsttätige Abgleich der Firewalls zur gegenseitigen Abstimmung und Überwachung untereinander bietet ein Maximum an Ausfallsicherheit bzw. Hochverfügbarkeit neben einem Optimum an Schutz gegen ungewollte Attacken von außen. Damit ist eine bislang unbekannte Hochsicherheit vor Eindringlingen gewährbar. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständige funktionsfähige Einheit zur Aufrechterhaltung eines minimalen notwendigen Schutzes. Auf diese Weise ist vorteilhaft sichergestellt, daß ein Nutzer bzw. Betreiber des erfindungsgemäßen Intelligent Net Access Security-Servers mit größtmöglicher Wahrscheinlichkeit einen ständig verfügbaren Zugang ins externe Internet (WAN) mit akzeptabler Performanz bei ausreichender Grundsicherheit verfügbar hat. Dabei kann der erfindungsgemäße Multifunktions- bzw. Twin-Firewall-S erver so ausgestaltet sein, daß bei einem vorstehend diskutierten Ausfall einer Komponente, sei es einer Firewall oder gar eines Servers die verbleibenden Komponenten für die Zeitspanne bis zum Austausch der defekten Komponenten die volle Funktionsfähigkeit des Gesamtsystems aufrechterhalten können, so daß ein Nutzer bzw. Betreiber keine nennenswerten Leistungseinbußen zu verzeichnen hat. Totalausfälle, die sich heute kaum noch ein Unternehmen, auch kein mittelständisches Unternehmen leisten kann, sind damit im Prinzip ausgeschlossen.For this purpose, a multifunction server, in particular a twin server, with at least two independent servers is proposed for the first time, each of which has its own mainboard, at least its own CPU, hard disks, memory modules and / or network card, the servers in a common, in particular 19 ' c -rackable, housings are arranged. The multifunction server according to the invention is distinguished by the fact that it is designed as an "intelligent net access security server" (short: INAS server), in particular as a twin firewall server. The intelligent net access security servers contained in this server Independent servers are physically separated from each other, which offers the high security known so far only from separate individual systems operated simultaneously side by side, since in the unlikely event of a successful hacker attack on the first machine or on the first server in the Intelligent Net Access security server a hack or direct access to the subsequent machine whether physical separation is actually impossible. In addition, the independent servers each have at least one firewall. This has the advantage that, for example, the first firewall can offer certain security rules or mechanisms for rough or primary protective measures and the subsequent firewalls can offer corresponding rules or mechanisms for refined or higher security or secondary protection with correspondingly high-performance data throughput. This also has the advantage that the first firewall can be actively in operation and the second firewall or subsequent firewalls could be in a standby mode and, in the event of the first firewall failing, would become active immediately in order to have a highly available system via this redundancy to realize. This redundant and parallel operation of the firewalls on the two servers also helps to cope with the constantly increasing data throughput with correspondingly high performance. The firewalls monitor each other in normal operation, preferably by means of a heartbeat function, and / or divide up the data traffic and / or coordinate the necessary monitoring measures or security rules with one another. This automatic or automatic comparison of the firewalls for mutual coordination and monitoring with each other offers maximum reliability and high availability in addition to optimum protection against unwanted external attacks. This ensures previously unknown high security against intruders. In the event of the failure of a server and / or a firewall, the remaining server and / or the remaining firewall form a completely independent, functional unit to maintain the minimum necessary protection. In this way, it is advantageously ensured that a user or operator of the intelligent net access security server according to the invention has the greatest possible probability of having permanently available access to the external Internet (WAN) with acceptable performance and sufficient basic security. The Multi-function or twin-firewall server according to the invention can be designed such that in the event of a component failure, be it a firewall or even a server, the remaining components will maintain the full functionality of the overall system for the period until the defective components are replaced can, so that a user or operator does not experience any significant loss of performance. In principle, total failures that hardly any company or even a medium-sized company can afford today are excluded.
Ein weiterer Vorteil des erfindungsgemäßen Multifunktions-Servers bietet dessen kompakte Bauweise, beispielsweise in 19"-rackfähiger Form mit vorzugsweise einer Bauhöhe, maximal zwei Bauhöhen, was gemessen am derzeitigen Stand der Technik eine äußerst platzsparende Lösung darstellt. Zudem ist der erfindungsgemäße Multifunktions-Server eine kostengünstige Lösung im Vergleich zu den extrem teuren Konzepten des Stands der Technik, bei denen eine oder mehrere Firewalls auf entsprechenden separaten einzelnen Maschinen konfiguriert, administriert, überwacht und betrieben werden müssen, wobei eine Mehrzahl weiterer einzelner Server für den Betrieb eines Mail-Servers, Web- Servers, FTP-Servers oder dergleichen hinzukommen plus Router, Gateway und dergleichen, was die Kosten extrem in die Höhe treiben kann. Derlei herkömmliche Systeme sind schlichtweg für wirtschaftlich rechnende Unternehmen nicht mehr akzeptabel und insbesondere für mittelständische Unternehmen nicht erschwinglich. Hier schafft der erfindungsgemäße Multifunktions-Server in vorteilhafter Weise preiswerte und zugleich leistungsfähige Abhilfe.A further advantage of the multifunction server according to the invention is its compact design, for example in a 19 "rackable form with preferably one height, a maximum of two heights, which is an extremely space-saving solution compared to the current state of the art. In addition, the multifunction server according to the invention is one Cost-effective solution compared to the extremely expensive concepts of the prior art, in which one or more firewalls have to be configured, administered, monitored and operated on corresponding separate individual machines, with a plurality of further individual servers for the operation of a mail server, web - Servers, FTP servers or the like are added, plus routers, gateways and the like, which can drive up costs extremely, such conventional systems are simply no longer acceptable for economically calculating companies and are not particularly difficult for medium-sized companies Here, the multifunction server according to the invention advantageously provides an inexpensive and at the same time powerful remedy.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche. In einer bevorzugten Ausführungsform des erfindungsgemäßen Multifunktions-Servers läuft darauf wenigstens eine der Server- Anwendungen wie beispielsweise ein Router, ein FTP-Server, ein Web-Server, ein Proxy-Server, ein Mail-Server, eine Citrix-Nfuse-Funktionalität, ein DNS-Server, eine VPN- Funktionalität oder ein Virenscanner, vorzugsweise jedoch alle diese Server- Anwendungen. Damit werden in vorteilhafter Weise sämtliche derzeit aus dem Stand der Technik bekannten und bislang nur auf verschiedenen verteilten separaten Maschinen laufenden Server-Applikationen auf einer Maschine, und zwar zusammengefaßt auf dem erfindungsgemäßen Multifunktions-Server. Dies hilft wiederum deutlich Kosten zu sparen und erleichtert die Administration dieser Anwendungen durch deren Zentralisierung.Advantageous developments of the invention result from the features of the subclaims. In a preferred embodiment of the multifunction server according to the invention, at least one of the server applications, such as a router, an FTP server, a web server, a proxy server, a mail server and a Citrix Nfuse functionality, runs on it DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications. Thus, all server applications currently known from the prior art and previously only running on different, distributed separate machines are advantageously combined on one machine, specifically on the multifunction server according to the invention. This in turn helps to significantly save costs and makes the administration of these applications easier by centralizing them.
In einer weiter bevorzugten Ausführungsform des Multifunktions-Servers weisen die Security -Anwendungen wenigstens eine, vorzugsweise jedoch alle der Sicherheitsmerkmale wie zum Beispiel a) Dynamischer Paketfilter (Dynamic Paket Filter), b) Tarnung (Masquerading), c) Inhaltsfilterung (Content Filtering), d) Übersetzung der Netzwerkadressen (Network Address Translation), e) Virenerkennung (Virus Scan), f) Virtuelles privates Netzwerk (ip-Adressen sicher) (VPN (ip-secure)), g) Übersetzung der Portaladressen (Port Address Translation), h) Filterung der Internetadressen (URL Filtering) oder i) Erkennung von Angriffen mit der Absicht den Rechner bzw. das LAN zu sabotieren oder Dienste bzw. den gesamten Rechner oder das LAN außer Betrieb zu setzen (Füll Detection (DDoS/DoS/Intrusion)) auf. Indem sämtliche derzeit verfügbaren Sicherheitsmerkmale auf dem erfindungsgemäßen Serversystem zusammengefaßt werden, damit deren Konfiguration, Administration und Wartung zentral auf diesem Multifunktions-Server erfolgen kann, werden wiederum die Kosten im IT- Bereich des betreffenden Unternehmens gesenkt und es können Synergie-Effekte zwischen diesen Security -Anwendungen genutzt werden, was früher beim über separate Maschinen verteilten Betrieb nicht möglich war. Der Multifunktions-Server weist bei einer weiteren bevorzugten Ausführungsform ein gemeinsames Interface auf, das zur Administration der darauf laufenden Anwendungen vorgesehen ist. Damit steht eine zentrale Schnittstelle zur Konfiguration, Installation und Wartung zur Verfügung. Dies hilft Arbeitszeit der Administratoren sparen, wobei zudem die oft zeit- und nervenraubende Lauferei von Maschine zu Maschine und Überprüfung welche Maschine nun gerade Probleme bereitet, entfallen kann.In a further preferred embodiment of the multifunction server, the security applications have at least one, but preferably all, of the security features, such as, for example, a) dynamic packet filter (b) camouflage (masquerading), c) content filtering, d) translation of network addresses (network address translation), e) virus detection (virus scan), f) virtual private network (ip addresses secure) (VPN (ip-secure)), g) translation of portal addresses (port address translation), h) Filtering the Internet addresses (URL filtering) or i) Detecting attacks with the intention of sabotaging the computer or the LAN or putting services or the entire computer or the LAN out of operation (fill detection (DDoS / DoS / Intrusion) ) on. By combining all currently available security features on the server system according to the invention, so that their configuration, administration and maintenance can be carried out centrally on this multifunction server, the costs in the IT area of the company in question are in turn reduced and there can be synergy effects between these security Applications are used, which was previously not possible with operation distributed over separate machines. In a further preferred embodiment, the multifunction server has a common interface which is provided for the administration of the applications running on it. This provides a central interface for configuration, installation and maintenance. This helps to save time for administrators, and the time-consuming and nerve-racking work from machine to machine and checking which machine is causing problems can also be eliminated.
Entsprechend einer weiter bevorzugten Ausführungsform ist eine zentraleAccording to a further preferred embodiment, there is a central one
Administration von Security- und Internet-Anwendungen über das gemeinsame Interface insbesondere über einen WebBrowser vorgesehen. Dies vereinfacht in besonders vorteilhafter Weise die Bedienung der Security- und der Internet- Anwendungen, so daß eine Wartung und Administration von überall aus möglich wird, so daß ein Administrator sich erst gar nicht mehr zum erfindungsgemäßen Multifunktions-Server hinbegeben muß, sondern von jedem Platz aus allfällige Arbeiten erledigen kann.Administration of security and internet applications is provided via the common interface, in particular via a web browser. This simplifies the operation of the security and Internet applications in a particularly advantageous manner, so that maintenance and administration is possible from anywhere, so that an administrator no longer has to go to the multifunction server according to the invention, but from every seat can do from any work.
In einer weiteren bevorzugten Ausführungsform ist ein Multifunktions- Server so ausgebildet, daß er zwischen einem internen Netzwerk (LAN) und einem externen Netz (WAN) geschaltet ist und eine demilitarisierte Zone (DMZ) in sich abbildet. Dies bietet den Vorteil einer kostengünstigen Integration der DMZ, mit den darin abgebildeten Server-Anwendungen, einer mitenthaltenen Firewall, einem Gateway, einer GUI (Graphical User Interface) zentral zusammen auf diesem erfindungsgemäßen Multifunktions-Server, so daß sowohl Anschaffungskosten gesenkt als auch der Betrieb kostengünstig ausgestaltet werden kann. Zudem sind überraschenderweise Steigerungen in der Performanz zu verzeichnen. In einer besonders bevorzugten Ausführungsform des. Multifunktions-Servers ist auf dem ersten eigenständigen Server der Gateway, die erste Firewall und das Graphical User Interface (GUI) abgebildet und auf dem zweiten eigenständigen Server die zweite Firewall und die DMZ mit beispielsweise wenigstens Mail-, Proxy-, Web- Server, und gegebenenfalls der Citrix-Nfuse-Funktionalität abgebildet. Dies bietet einen optimalen Betrieb aller gewünschten Funktionalitäten auf dem Multifunktions-Server unter guter Ausnutzung der verfügbaren Leistung bei einhergehend optimaler Sicherheit, Performanz und Verfügbarkeit.In a further preferred embodiment, a multifunction server is designed such that it is connected between an internal network (LAN) and an external network (WAN) and forms a demilitarized zone (DMZ). This offers the advantage of a cost-effective integration of the DMZ, with the server applications depicted therein, a firewall included, a gateway, a GUI (graphical user interface) centrally on this multifunction server according to the invention, so that both acquisition costs and operation are reduced can be designed inexpensively. Surprisingly, there are also increases in performance. In a particularly preferred embodiment of the . The multifunction server on the first stand-alone server is the gateway, the first firewall and the graphical Mapped user interface (GUI) and on the second independent server, the second firewall and the DMZ with, for example, at least mail, proxy, web server, and possibly the Citrix Nfuse functionality. This offers optimal operation of all the desired functionalities on the multifunction server while making good use of the available performance with optimal security, performance and availability.
Entsprechend einer weiter bevorzugten Ausführungsform trägt der erste eigenständige Server redundante Abbilder bzw. Kopien der zweiten Firewall und der DMZ mit den dort laufenden Serverapplikationen, wie z.B. Mail-, Proxy-, Web-Server und gegebenenfalls Eine Citrix-Nfuse-Funktionalität, wobei der zweite eigenständige Server redundante Abbilder des Gateway der ersten Firewall und des Graphical User Interface (GUI) trägt. Diese einem Spiegelserverdatensystem angelehnte redundante Ausgestaltung des Multifunktions-Servers bietet eine absolute Ausfallsicherheit, da jegliche Komponente spiegelbildlich redundant als auch jegliche Anwendung spiegelbildlich redundant verfügbar ist und im Falle eines Defektes oder Ausfalls der entsprechenden ersten Komponente oder Anwendung sofort deren Leistungsbereitschaft bzw. Dienste übernehmen kann. Die hierfür vorgesehen Heartbeatfunktionalität gewährleistet dabei eine schlagartige Übergabe der laufenden Anwendungen und Dienste. Damit ist ein bestmöglicher Schutz gegen Ausfall des Systems im Sinne einer sonst nur von extrem teuren Spiegelsystemen bekannten maximalen Hochverfügbarkeit zugleich verbunden mit einer optimalen Hochsicherheit gewährleistet.According to a further preferred embodiment, the first independent server carries redundant images or copies of the second firewall and the DMZ with the server applications running there, e.g. Mail, proxy, web server and possibly a Citrix Nfuse functionality, the second independent server carrying redundant images of the gateway of the first firewall and the graphical user interface (GUI). This redundant configuration of the multifunction server, which is based on a mirror server data system, offers absolute reliability, since every component is available in mirror-image redundancy as well as every application is mirror-image redundant and, in the event of a defect or failure of the corresponding first component or application, can immediately take over its willingness to perform or services. The heartbeat functionality provided for this guarantees an abrupt transfer of the running applications and services. This ensures the best possible protection against system failure in the sense of a maximum high availability that is otherwise only known from extremely expensive mirror systems, combined with optimal high security.
Einer weiter bevorzugten Ausführungsform entsprechend sind die eigenständigen Server physikalisch voneinander getrennt und weisen zudem jeweils getrennte Netzteile zur Spannungsversorgung auf. Diese weitestgehende physikalische Trennung bietet sogar Sicherheit gegen Ausfall eines nachgeordneten Systems beim Ausfall eines Hauptsystems, sei es durch Kurzschluß oder durch andere Ereignisse, da diese weitestmöglich durchgebildete physikalische Trennung ein Übergreifen von auf einer Maschine sich ereignenden physischen Ereignissen von dieser Maschine auf die andere ausschließt.According to a further preferred embodiment, the independent servers are physically separate from one another and also each have separate power supply units for the voltage supply. This extensive physical separation even offers security against failure of one downstream system in the event of failure of a main system, be it due to a short circuit or other events, since this physical separation, as far as possible, prevents physical events occurring on one machine from spreading from one machine to another.
Der Multifunktions-Server ist bei einer weiter bevorzugten Ausführungsform mit wenigstens sechs Netzwerkkarten, vorzugsweise drei Netzwerkkarten pro eigenständigen Server, ausgebildet. Damit steht bei einem Twin-Firewall-S erver eine optimale Anzahl an Netzwerk-Interfaces zur Kommunikation zur Verfügung. Hierbei ist in einer bevorzugten Ausführungsform eine Kommunikation der Firewalls über derartige Netzwerk-Interfaces vorgesehen. Dementsprechend findet die Kommunikation der Server ebenfalls über derartige Netzwerk-Interfaces statt. Auch die Kommunikation der eigenständigen Server mit den Firewalls wird über Netzwerk-Interfaces realisiert, sei es von einem Server zu einer Firewall und/oder umgekehrt. Diese Netzwerk-Interface geprägte Kommunikation bietet eine optimale Transparenz und Überwachungsmöglichkeit des Datenverkehrs bei gleichbleibend hoher Qualität und optimalem bzw. schnellem Datendurchsatz.In a further preferred embodiment, the multifunction server is designed with at least six network cards, preferably three network cards per independent server. With a twin firewall server, there is an optimal number of network interfaces available for communication. In a preferred embodiment, communication of the firewalls via such network interfaces is provided. Correspondingly, the communication of the servers also takes place via such network interfaces. The communication of the independent servers with the firewalls is also realized via network interfaces, be it from a server to a firewall and / or vice versa. This network interface-shaped communication offers optimal transparency and monitoring options for data traffic with consistently high quality and optimal or fast data throughput.
Entsprechend einer weiteren Ausführungsform ist der erfindungsgemäße Multifunktions-Server frei skalierbar. Damit kann der erfindungsgemäße Multifunktions-Server mit den Anforderungen und Erwartungen des Nutzers oder Betreibers von einer preiswerten Einstiegslösung über eine den Ansprüchen durchschnittlicher Nutzer gerecht werdende Variante bis zu einem High-End Intelligent Net Access Security-Server wachsen.According to a further embodiment, the multifunction server according to the invention is freely scalable. The multifunction server according to the invention can thus grow with the requirements and expectations of the user or operator from an inexpensive entry-level solution to a variant that meets the requirements of average users and a high-end intelligent net access security server.
Die Erfindung wird nachfolgend anhand der einzigen Fig. 1 der Zeichnung näher erläutert. Es zeigt: Fig. 1 in einem schematisch stark vereinfachten Diagramm die Anordnung des erfindungsgemäßen Multifunktions-Servers zwischen dem LAN und dem WAN.The invention is explained below with reference to the single Fig. 1 of the drawing. It shows: Fig. 1 in a schematically highly simplified diagram, the arrangement of the multifunction server according to the invention between the LAN and the WAN.
In Fig. 1 ist der erfindungsgemäße Multifunktions-Server 1 durch den leicht elliptisch ausgebildeten Kreis symbolisiert. Bei der hier dargestellten Variante eines Twin-Firewall-S ervers ist auf den beiden eigenständigen Servern eine erste Firewall als sogenannte Firewall-Bridge 2 als äußere Schnittstelle ins externe Internet (WAN) symbolisiert. Hinter der Firewall-Bridge 2 folgt eine zweite Firewall 4, die vorzugsweise auf dem zweiten eigenständigen Server läuft und bei der die Routerfunktionalität und/oder ein Gateway symbolisiert mit dem Maschinensymbol 6 abgebildet ist. Dahinter befindet sich in der einen Richtung das interne Netzwerk (LAN), welches durch die Mehrzahl von Workstations 8 schematisiert ist. In der anderen Richtung befindet sich die auf dem zweiten Server abgebildete demilitarisierte Zone (DMZ), in der bei dieser Variante die Funktionalitäten eines Web-Servers 10 eines Mail-Servers 12 und eins FTP- Servers 14 verwirklicht sind.The multifunction server 1 according to the invention is symbolized in FIG. 1 by the slightly elliptical circle. In the variant of a twin firewall server shown here, a first firewall is symbolized on the two independent servers as a so-called firewall bridge 2 as an external interface to the external Internet (WAN). Behind the firewall bridge 2 is a second firewall 4, which preferably runs on the second independent server and in which the router functionality and / or a gateway is symbolized with the machine symbol 6. Behind it is in one direction the internal network (LAN), which is schematized by the plurality of workstations 8. In the other direction is the demilitarized zone (DMZ) shown on the second server, in which the functionalities of a web server 10, a mail server 12 and an FTP server 14 are implemented in this variant.
Der erfindungsgemäße Intelligent Net Access Security-Server (kurz: INAS- Server) kann alle Funktionen für LAN und WAN übernehmen. Beispielsweise kann die Firewall-Bridge als SonicWall-Firewall-Bridge ausgebildet sein und es sind dabei sowohl die vorstehend genannte Variante ihrer Anordnung als Außenstelle zum Internet hin als auch als letzte Bastion vor dem internen Netzwerk realisierbar. Ebenso kann der Router 4 als D-Link-Router durchgestaltet sein. Es ist aber ebenso möglich Router- oder Firewall-Konzepte bzw. Produkte anderer Hersteller einzubinden.The Intelligent Net Access Security Server (INAS server for short) can take over all functions for LAN and WAN. For example, the firewall bridge can be designed as a SonicWall firewall bridge and both the above-mentioned variant of its arrangement as a branch office to the Internet and as the last bastion in front of the internal network can be implemented. Router 4 can also be configured as a D-Link router. However, it is also possible to integrate router or firewall concepts or products from other manufacturers.
Die vorstehend diskutierte Erfindung eines Multifunktions-Servers, der als Intelligent Net Access Security-Server (INAS-Server) ausgebildet ist, bietet ein Maximum an Funktionalität bei einem Minimum an eingesetzten Komponenten und Hardware, wobei eine Skalierung von einer preiswerten INAS-Server-Light- Variante über eine Standard- zur Classic- Variante bis hin zu einer Premium- Variante möglich ist.The above-discussed invention of a multifunction server, which is designed as an intelligent Net Access Security server (INAS server), offers one Maximum functionality with a minimum of components and hardware used, whereby scaling from an inexpensive INAS server light variant to a standard to classic variant to a premium variant is possible.
Mit der vorliegenden Erfindung wird eine all-in-one-Lösung ohne Kompromisse bei der Sicherheit angeboten. Der INAS-Server vereint Firewall, Serverdienste sowie eine echte DMZ in einem Gerät. Durch die physikalische Trennung der Systeme kann eine optimale Sicherheit gewährleistet werden, wobei keine Kompromisse bezüglich Sicherheit und Funktionalität akzeptiert werden müssen. Die Hard- und Software ist nach Kundenwünschen skalierbar. Vom Basic-System bis zur High-Performance beruht alles auf einer einheitlichen, modular aufgebauten Hard- und Softwarelösung. Eine zentrale Administration von Security und Internetpräsenz ist gegeben.The present invention offers an all-in-one solution without compromising on security. The INAS server combines firewall, server services and a real DMZ in one device. Optimal security can be guaranteed by the physical separation of the systems, whereby no compromises regarding security and functionality have to be accepted. The hardware and software is scalable according to customer requirements. From the basic system to high-performance, everything is based on a uniform, modular hardware and software solution. A central administration of security and internet presence is given.
Die Firewall und alle anderen Funktionen auf beiden Maschinen können über ein gemeinsames Interface administriert werden. Die dabei eingesetzte Firewall bietet alle Ausstattungs- und Sicherheitsmerkmale sämtlicher am Markt vorhandenen Security Produkten. Diese sind beispielsweise: Dynamic Paket Filter, Network Address Translation, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filtering, VPN (ip-secure) und/oder Füll Detection (DoS/mtrusion). Dabei sind die folgenden Komponenten voll in das System integriert und bieten damit einen intelligenten Zugriff: Apache Web-Server, Mail- Server, FTP-Server, Cytrix-Applikationserver und/oder Proxy -Server.The firewall and all other functions on both machines can be administered via a common interface. The firewall used offers all equipment and security features of all security products available on the market. These are, for example: Dynamic Packet Filter, Network Address Translation, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filtering, VPN (ip-secure) and / or Fill Detection (DoS / mtrusion). The following components are fully integrated into the system and thus offer intelligent access: Apache web server, mail server, FTP server, Cytrix application server and / or proxy server.
Durch den modularen Aufbau des erfindungsgemäßen Konzepts und die offene Architektur der Firewall ist das System extrem flexibel und sehr vielfältig einsetzbar. Es kann als reines Firewall-System für jedes Unternehmen hergestellt bzw. eingerichtet werden. Ebenso ist es denkbar, einen Firewall- und Mail-Server auf dem INAS-Server abzubilden. Genauso ist es möglich ein Firewall und eine DMZ-Lösung anzubieten, wobei auf dem INAS-Server mit Firewall und echter DMZ ein Virus Scan, ein Web-, Mail-, und/oder FTP-Server laufen können. Dem Nutzer bzw. Betreiber eines erfindungsgemäßen INAS-Servers kann problemloser Support als auch Upgrades ohne Hardwareaustausch oder Neuinstallation zugesichert werden.The modular structure of the concept according to the invention and the open architecture of the firewall make the system extremely flexible and very versatile. It can be manufactured or set up as a pure firewall system for any company. It is also conceivable to have a firewall and mail server map on the INAS server. It is also possible to offer a firewall and a DMZ solution, whereby a virus scan, a web, mail and / or FTP server can run on the INAS server with firewall and real DMZ. The user or operator of an INAS server according to the invention can be assured of trouble-free support as well as upgrades without hardware replacement or new installation.
Der erfindungsgemäße INAS-Server bietet erstmals diese Funktionalität und Sicherheit in einem System in diesem Umfang. Durch den physikalisch getrennten Aufbau wird eine höchstmögliche Sicherheit gewährleistet. Funktionalitäten wie Web-, Mail-, FTP-Applikationserver sind auf einem Gerät verfügbar. Die komplette Administration erfolgt über eine gemeinsame Oberfläche an einem beliebigen PC im Netzwerk. Damit sind in einer entsprechend vorteilhaft ausgebildeten Variante sämtliche Dienste und Produkte, wie beispielsweise WWW-Server, Proxy-Server, Nfuse-Server, Virus-Scanner, FTP-Server, DHCP/DNS-Server, Mail-Server und/oder Firewall verfügbar. Auf diese Weise setzt der erfindungsgemäße INAS-Server neue Maßstäbe bei Komplettlösungen mit höchstmöglicher Sicherheit.The INAS server according to the invention offers this functionality and security in a system of this scope for the first time. The physically separate structure ensures the highest possible security. Functionalities such as web, mail, FTP application servers are available on one device. The complete administration takes place via a common user interface on any PC in the network. This means that all services and products, such as WWW servers, proxy servers, Nfuse servers, virus scanners, FTP servers, DHCP / DNS servers, mail servers and / or firewalls, are available in a correspondingly advantageously designed variant. In this way, the INAS server according to the invention sets new standards for complete solutions with the highest possible security.
Der erfindungsgemäße INAS-Server besteht beispielsweise bei einer besonders platzsparenden Variante aus zwei in einem 19" Gehäuse, das nur eine Bauhöhe benötigt, integrierten Server-Systemen. Sofern entsprechend Platz im Rack verfügbar ist, können auch Varianten mit zwei Bauhöhen bereit gestellt werden. Dies hat dann wiederum Vorteile bei der Klimatisierung bzw. bei der Optimierung der Kühlung. Eine dafür denkbare Ausstattung der beiden eigenständigen Server kann jeweils ein Intel Motherboard vorsehen. Darauf sind 900 Mhz Intel Celeron Serverprozessoren installiert. Als Arbeitsspeicher können in einer Einstiegsvariante beispielsweise 128 MB SD-RAM vorgesehen werden. Der INAS-Server weist insgesamt sechs, d.h. pro eigenständigem Server drei WIn a particularly space-saving variant, the INAS server according to the invention consists, for example, of two server systems integrated in a 19 "housing that only requires one height. If space is available in the rack, variants with two heights can also be provided. This This in turn has advantages when it comes to air conditioning or when optimizing the cooling. An Intel motherboard can provide a conceivable configuration for each of the two independent servers. 900 Mhz Intel Celeron server processors are installed on it. The INAS server has a total of six, ie three per independent server W
1212
Netzwerkkarten auf, die beispielsweise 100 Mbit NIC-Karten sein können. Als Festplatten werden beispielsweise 30 GB UDMA 100 HDD-Platten vorgeschlagen. Dabei ist der INAS-Server nicht nur im Rack sondern auch als Stand-alone Variante in einem eigenen Tower als Desktop-PC verfügbar. 5Network cards, which can be, for example, 100 Mbit NIC cards. For example, 30 GB UDMA 100 HDD disks are proposed as hard disks. The INAS server is not only available in a rack, but also as a stand-alone variant in its own tower as a desktop PC. 5
In der INAS-Server classic-Variante ist auf dem ersten eigenständigen Serversystem die Firewall, das GUI und das Login vorgesehen. Die zweite Maschine trägt die Firewall, den DHCP-, Proxy-, VPN-, Mail-, Web-, und/oder Nfuse-Server sowie Mobile PPTP-Funktionalität als auch NW-Tools. In der INAS-In the INAS Server classic version, the firewall, the GUI and the login are provided on the first independent server system. The second machine carries the firewall, the DHCP, proxy, VPN, mail, web, and / or Nfuse server as well as mobile PPTP functionality and NW tools. In the INAS
10 Server professional- Variante kann das zweite PC-System um eine Virusscanfunktionalität und einen FTP-Server ergänzt werden. Bei einer weiteren Skalierung nach oben kann bei einem INAS-Server premium-Typ eine Clusterfähigkeit vorgesehen und ein Load-Balancing sowie Überwachungen über Heartbeat und dergleichen eingeplant werden. Der erfindungsgemäße INAS-Server10 Server professional variant, the second PC system can be supplemented with a virus scan functionality and an FTP server. With a further scaling upwards, a cluster capability can be provided with an INAS server premium type and load balancing and monitoring via heartbeat and the like can be scheduled. The INAS server according to the invention
15 kann beispielsweise für bis zu 250 User ausgelegt sein.15 can, for example, be designed for up to 250 users.
Der erfindungsgemäße INAS-Server bietet weitere Vorteile. Dies sind beispielsweise die zentrale Administration von Sicherheits- und Serverfunktionen. Eine Netzüberwachung, Login und Analyse auf einer Maschine. Eine hoheThe INAS server according to the invention offers further advantages. These are, for example, the central administration of security and server functions. Network monitoring, login and analysis on one machine. A high
20 Kostenersparnis im Serverbereich sowohl bei der Anschaffung als auch bei der Wartung und im Betrieb. Es sind gerade ob der All-in-one -Lösung keine Kompromisse bei der Netzwerksicherheit einzugehen. Durch den modularen Aufbau zahlt der Kunde nur das, was er nutzt. Eine Mehrsprachigkeit bietet Verständigung in allen Richtungen. Eine Hochverfügbarkeit, die zudem gesteigert 5 werden kann durch Clustering und Load Balancing bietet ein Maximum an Performance für das aufzuwendende Kapital.20 Cost savings in the server area both in terms of acquisition, maintenance and operation. It is precisely with the all-in-one solution that you do not have to compromise on network security. Due to the modular structure, the customer only pays for what he uses. Multilingualism offers communication in all directions. High availability, which can also be increased through clustering and load balancing, offers maximum performance for the capital to be spent.
Somit schlägt die vorliegende Erfindung erstmals einen Multifunktions- Server von insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatte, Speicherb austeine und/oder Netzwerkkarte aufweisen, vor, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähigen, Gehäuse angeordnet sind. Der neue Multifunktions-Server ist als Intelligent Net Access Security-Server (kurz: INAS), insbesondere als Twin- Firewall -Server ausgebildet. Auf den beiden eigenständigen Servern laufen die Firewalls redundant bzw. parallel. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion gegenseitig und/oder teilen sich den anfallenden Datenverkehr und/oder stimmen die erforderlichen Überwachungsmaßnahmen aufeinander ab. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständig funktionsfähige Einheit zur Aufrechterhaltung eines minimal notwendigen Schutzes. Thus, the present invention proposes for the first time a multifunction server, in particular a twin server, with at least two independent ones Servers, each of which has its own mainboard, at least one of its own CPU, hard disk, memory modules and / or network card, the servers being arranged in a common, in particular 19 "rackable, housing. The new multifunction server is intelligent Net access security server (INAS for short), in particular designed as a twin firewall server. The firewalls run redundantly or in parallel on the two independent servers. The firewalls monitor each other in normal operation, preferably using a heartbeat function, and / or share the data traffic and / or coordinate the necessary monitoring measures in the event of a failure of a server and / or a firewall, the remaining server and / or the remaining firewall form a fully independent functional unit to maintain the minimum necessary protection.

Claims
AnsprücheExpectations
Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerkkarte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19"- rackfähigen, Gehäuse angeordnet sind,Multifunctional server, in particular twin server, with at least two independent servers, each of which has its own mainboard, at least one own CPU, hard drives, memory modules and/or network card, the servers being arranged in a common, in particular 19" rack-compatible housing are,
dadurch gekennzeichnet, daßcharacterized in that
der Multifunktions-Server als Intelligent Net Access Security-Server (1), insbesondere als Twin-Firewall-S erver, ausgebildet ist, wobeithe multifunctional server is designed as an Intelligent Net Access Security server (1), in particular as a twin firewall server, whereby
die eigenständigen Server wenigstens jeweils eine Firewall (2, 4) aufweisen, wobeithe independent servers each have at least one firewall (2, 4), whereby
die Firewalls (2, 4) redundant, seriell oder parallel auf den beiden Servern laufen, wobeithe firewalls (2, 4) run redundantly, serially or in parallel on the two servers, whereby
die Firewalls (2, 4) sich im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion, gegenseitig überwachen und/oder den anfallenden Datenverkehr teilen und/oder die erforderlichen Überwachungsmaßnahmen aufeinander abstimmen, und wobeithe firewalls (2, 4) monitor each other during normal operation, preferably by means of a heartbeat function, and/or share the resulting data traffic and/or coordinate the necessary monitoring measures with one another, and where
im Falle des Ausfalls eines Servers und/oder einer Firewall (2, 4) der verbleibende Server und/oder die verbleibende Firewall (2, 4) eine vollständig eigenständig funktionsfähige Einheit bilden zur Aufrechterhaltung eines minimal notwendigen Schutzes. In the event of the failure of a server and/or a firewall (2, 4), the remaining server and/or the remaining firewall (2, 4) form a completely independently functioning unit to maintain the minimum necessary protection.
Multifunktions-Server (1) nach Anspruch 1, dadurch gekennzeichnet, daß darauf wenigstens eine der Server- An Wendungen wie ein Router, ein FTP- Server (14), ein WebServer (10), ein Proxy-Server, ein Mail-Server (12), eine Citrix-Nfuse-Funktionalität, ein DNS-Server, eine VPN-Funktionalität oder ein Virenscanner, vorzugsweise jedoch alle diese Server- Anwendungen darauf laufen. Multifunctional server (1) according to claim 1, characterized in that thereon at least one of the server types such as a router, an FTP server (14), a web server (10), a proxy server, a mail server ( 12), a Citrix Nfuse functionality, a DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications run on it.
Multifunktions-Server (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Security-Anwendungen wenigstens eine, vorzugsweise jedoch alle der Sicherheitsmerkmale a) Dynamic Paket Filter, b) Masquerading, c)Multifunctional server (1) according to claim 1 or 2, characterized in that the security applications have at least one, but preferably all, of the security features a) dynamic packet filter, b) masquerading, c)
Content Filtering, d) Network Address Translation, e) Virus Scan, f) VPN (ip-secure), g) Port Address Translation, h) URL Filtering oder i) Füll Detection (DOS lntrusion) aufweisen.Content Filtering, d) Network Address Translation, e) Virus Scan, f) VPN (ip-secure), g) Port Address Translation, h) URL Filtering or i) Fill Detection (DOS Intrusion).
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Server ein gemeinsames Interface aufweisen, zur Administration der darauf laufenden Anwendungen.Multifunctional server (1) according to one of claims 1 to 3, characterized in that the servers have a common interface for administering the applications running on them.
Multifunktions-Server (1) nach Anspruch 4, dadurch gekennzeichnet, daß eine zentrale Administration von Security-Anwendungen und vonMultifunctional server (1) according to claim 4, characterized in that a central administration of security applications and
Internetanwendungen über das gemeinsame Interface vorgesehen ist.Internet applications are provided via the common interface.
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß er zwischen einem internen Netzwerk (LAN) und einem externen Netz (WAN) geschaltet ist und eine entmilitarisierte Zone (DMZ) in sich abbildet.Multifunctional server (1) according to one of claims 1 to 5, characterized in that it is connected between an internal network (LAN) and an external network (WAN) and forms a demilitarized zone (DMZ) within it.
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß auf dem ersten eigenständigen Server der Gateway (6), die erste Firewall (2) und das Graphical User Interface (GUI) abgebildet sind, und daß auf dem zweiten eigenständigen Server die zweite Firewall (4) und die DMZ mit wenigstens dem Mail- Multifunctional server (1) according to one of claims 1 to 6, characterized in that on the first independent server the gateway (6), the first firewall (2) and the graphical user interface (GUI) are shown, and that on the second independent server the second firewall (4) and the DMZ with at least the mail
(12), Proxy-, WebServer (10) und der Citrix-Nfuse-Funktionalität abgebildet sind.(12), proxy, web server (10) and the Citrix Nfuse functionality are shown.
Multifunktions-Server (1) nach Anspruch 7, dadurch gekennzeichnet, daß der erste eigenständigen Server redundante Abbilder der zweiten Firewall und der DMZ mit wenigstens dem Mail-, Proxy-, WebServer und der Citrix- Nfuse-Funktionalität trägt, und daß der zweite eigenständige Server redundante Abbilder des Gateway, der ersten Firewall und des Grafical UserMultifunctional server (1) according to claim 7, characterized in that the first independent server carries redundant images of the second firewall and the DMZ with at least the mail, proxy, web server and the Citrix Nfuse functionality, and that the second independent Server redundant images of the gateway, the first firewall and the graphical user
Interface (GUI) trägt.Interface (GUI).
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die eigenständigen Server physikalisch voneinander getrennt sind und jeweils getrennte Netzteile zur Spannungsversorgung aufweisen.Multifunctional server (1) according to one of claims 1 to 8, characterized in that the independent servers are physically separated from one another and each have separate power supplies for power supply.
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, daß er wenigstens sechs Netzwerkkarten, vorzugsweise drei Netzwerkkarten pro eigenständigem Server, aufweist.Multifunctional server (1) according to one of claims 1 to 9, characterized in that it has at least six network cards, preferably three network cards per independent server.
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß die Firewalls (2, 4) über Netzwerk-Interfaces miteinander kommunizieren.Multifunctional server (1) according to one of claims 1 to 10, characterized in that the firewalls (2, 4) communicate with one another via network interfaces.
Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß die eigenständigen Server über Netzwerk-Interfaces miteinander kommunizieren. Multifunctional server (1) according to one of claims 1 to 10, characterized in that the independent servers communicate with one another via network interfaces.
13. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß die eigenständigen Server mit den Firewalls (2, 4) über Netzwerk-Interfaces miteinander kommunizieren, und/oder umgekehrt.13. Multifunctional server (1) according to one of claims 1 to 10, characterized in that the independent servers communicate with the firewalls (2, 4) via network interfaces, and / or vice versa.
14. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, daß er frei skalierbar ist. 14. Multifunctional server (1) according to one of claims 1 to 13, characterized in that it is freely scalable.
PCT/EP2003/000416 2002-01-17 2003-01-16 Multifunctional server, in particular a twin-firewall server WO2003061238A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2003218637A AU2003218637A1 (en) 2002-01-17 2003-01-16 Multifunctional server, in particular a twin-firewall server

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10201655.0 2002-01-17
DE10201655A DE10201655C1 (en) 2002-01-17 2002-01-17 Multi-function server, in particular twin firewall server

Publications (2)

Publication Number Publication Date
WO2003061238A2 true WO2003061238A2 (en) 2003-07-24
WO2003061238A3 WO2003061238A3 (en) 2003-12-18

Family

ID=7712402

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2003/000416 WO2003061238A2 (en) 2002-01-17 2003-01-16 Multifunctional server, in particular a twin-firewall server

Country Status (3)

Country Link
AU (1) AU2003218637A1 (en)
DE (1) DE10201655C1 (en)
WO (1) WO2003061238A2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1648136A1 (en) * 2004-10-12 2006-04-19 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
EP2575313A1 (en) * 2011-09-27 2013-04-03 NorCom Information Technology AG Morphing firewall
US8463859B2 (en) 2010-07-02 2013-06-11 Research In Motion Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods
EP2405618B1 (en) * 2010-07-02 2013-11-20 BlackBerry Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6052788A (en) * 1996-10-17 2000-04-18 Network Engineering Software, Inc. Firewall providing enhanced network security and user transparency
EP1143660A2 (en) * 1999-06-10 2001-10-10 Alcatel Internetworking, Inc. State transition protocol for high availability units
WO2001095564A2 (en) * 2000-06-02 2001-12-13 Sun Microsystems, Inc. High availability networking with virtual ip address failover

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10016236C2 (en) * 2000-03-31 2003-12-24 Infineon Technologies Ag Modular server

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6052788A (en) * 1996-10-17 2000-04-18 Network Engineering Software, Inc. Firewall providing enhanced network security and user transparency
EP1143660A2 (en) * 1999-06-10 2001-10-10 Alcatel Internetworking, Inc. State transition protocol for high availability units
WO2001095564A2 (en) * 2000-06-02 2001-12-13 Sun Microsystems, Inc. High availability networking with virtual ip address failover

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8326961B2 (en) 2002-02-08 2012-12-04 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8332948B2 (en) 2002-02-08 2012-12-11 Juniper Networks, Inc. Intelligent integrated network security device
US8631113B2 (en) 2002-02-08 2014-01-14 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8726016B2 (en) 2002-02-08 2014-05-13 Juniper Networks, Inc. Intelligent integrated network security device
US8959197B2 (en) 2002-02-08 2015-02-17 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US9100364B2 (en) 2002-02-08 2015-08-04 Juniper Networks, Inc. Intelligent integrated network security device
EP1648136A1 (en) * 2004-10-12 2006-04-19 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8463859B2 (en) 2010-07-02 2013-06-11 Research In Motion Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods
EP2405618B1 (en) * 2010-07-02 2013-11-20 BlackBerry Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods
EP2575313A1 (en) * 2011-09-27 2013-04-03 NorCom Information Technology AG Morphing firewall

Also Published As

Publication number Publication date
WO2003061238A3 (en) 2003-12-18
DE10201655C1 (en) 2003-07-31
AU2003218637A1 (en) 2003-07-30

Similar Documents

Publication Publication Date Title
DE60216218T2 (en) Personal firewall with space-dependent functionality
DE602005005134T2 (en) Fault tolerant network architecture
DE60308700T2 (en) DYNAMIC REMOTE CONFIGURATION OF A WEBSERVER FOR PROVIDING CAPACITY ON REQUEST
DE60213391T2 (en) Personal firewall with position detection
DE60203099T2 (en) A method, a network access server, an authentication, authorization, and accounting server, a computer program with proxy capability for user authentication, authorization, and billing messages through a network access server
DE60108927T2 (en) Computer systems, in particular virtual private networks
DE102006037499A1 (en) Method and system for discovering and providing near real-time updates of VPN topologies
DE102006054399A1 (en) Secure gateway with alarm manager and support for in-depth federated identity
EP0998100B1 (en) Method to configure an internet protocol network
DE10201655C1 (en) Multi-function server, in particular twin firewall server
EP2456133B1 (en) Modular switch network nodes for a communication network
DE102007036511B4 (en) System of a variety of cooking appliances
WO1996013924A1 (en) Device for the transmission of data streams in data-communication networks
WO2006076752A1 (en) Computer security system
DE112004000125T5 (en) Secure client-server communication system
DE60217520T3 (en) ROUTER DISCOVERY PROTOCOL ON A MOBILE INTERNET PROTOCOL BASED NETWORK
DE10346923A1 (en) A method of protecting the security of network intrusion detection sensors
EP1699181A1 (en) Method and System for automatic configuration of a subnet inside a network
DE112019007214T5 (en) Dynamic client balancing between branch gateways
WO2020065476A1 (en) System and method for accessing data in an internal region
EP2436166B1 (en) Service interface
DE102004025056B4 (en) Method and device for ensuring access protection in a shared medium network
EP1415452B1 (en) Coupling means for a data processing device
EP1748618B1 (en) Method of establishing an inter-network communication connection between at least two communication networks
EP1748619A1 (en) Method for creating a direct and secure communication connection between two networks

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SC SD SE SG SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP