DE10201655C1 - Multi-function server, in particular twin firewall server - Google Patents

Multi-function server, in particular twin firewall server

Info

Publication number
DE10201655C1
DE10201655C1 DE10201655A DE10201655A DE10201655C1 DE 10201655 C1 DE10201655 C1 DE 10201655C1 DE 10201655 A DE10201655 A DE 10201655A DE 10201655 A DE10201655 A DE 10201655A DE 10201655 C1 DE10201655 C1 DE 10201655C1
Authority
DE
Germany
Prior art keywords
server
firewall
servers
independent
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10201655A
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AMCORNET GmbH
Original Assignee
AMCORNET GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AMCORNET GmbH filed Critical AMCORNET GmbH
Priority to DE10201655A priority Critical patent/DE10201655C1/en
Priority to PCT/EP2003/000416 priority patent/WO2003061238A2/en
Priority to AU2003218637A priority patent/AU2003218637A1/en
Application granted granted Critical
Publication of DE10201655C1 publication Critical patent/DE10201655C1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft einen Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerkkarte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähigen, Gehäuse angeordnet sind. Dieser neue Multifunktions-Server ist als Intelligent Net Access Security-Server, insbesondere als twin-Firewall-Server, ausgebildet. Auf den beiden eigenständigen Servern laufen die Firewalls redundant bzw. parallel. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion, gegenseitig und/oder teilen sich den anfallenden Datenverkehr und/oder stimmen die erforderlichen Überwachungsmaßnahmen aufeinander ab. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständig funktionsfähige Einheit zur Aufrechterhaltung eines minimal notwendigen Schutzes.The present invention relates to a multifunction server, in particular a twin server, with at least two independent servers, each having its own mainboard, at least its own CPU, hard disks, memory modules and / or network card, the servers in a common, in particular 19 " This new multifunction server is designed as an intelligent net access security server, in particular as a twin firewall server. The firewalls run redundantly or in parallel on the two independent servers. The firewalls monitor themselves in the Normal operation, preferably by means of a heartbeat function, mutually and / or share the data traffic and / or coordinate the necessary monitoring measures with one another. In the event of a server and / or firewall failure, the remaining server and / or the remaining firewall form one completely independent functional unit to maintain minimal protection.

Description

Die vorliegende Erfindung betrifft einen Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, gemäß dem Oberbegriff des Anspruchs 1.The present invention relates to a multifunction server, in particular Twin server, with at least two independent servers, according to the generic term of Claim 1.

Aus der Praxis ist ein sogenannter Dual- oder Twin-Server der Firma iTox bekannt, der in Fachkreisen auch unter der Bezeichnung "Double Dragon" läuft. Dieser Dual-Server wurde als all-in-one-Lösung für Spiegelserversysteme anfänglich für Microsoft entwickelt und wird von der Firma iTox als 19"-rack-Einbaueinheit vertrie­ ben. Der "Double Dragon" wurde als kompakter Spiegelserver für Spiegelserverfarmen und insbesondere für das Microsoft Network (MSN) vornehmlich zum Abbilden von Radiusfunktionen bei Internetpräsenzen mit einer Netzwerkkarte konzipiert.A so-called dual or twin server from iTox is a practical example known, which also runs in specialist circles under the name "Double Dragon". This Dual Server was initially designed as an all-in-one solution for mirror server systems Microsoft develops and is marketed by iTox as a 19 "rack installation unit ben. The "Double Dragon" was designed as a compact mirror server for mirror server farms and especially for the Microsoft Network (MSN) primarily for mapping Radius functions designed for websites with a network card.

Ferner ist es aus der Praxis bekannt, aus einem internen Netzwerk (LAN) über einen klassischen Router die Verbindung zum externen Internet (WAN) aufzubauen. Schutz gegen unerwünschte Eindringlinge von draußen bieten hierbei entsprechende Firewall-Systeme, die auf extra hierfür konfigurierten Maschinen laufen. Einfache Fire­ walls bieten dabei lediglich ein Port-Filtering. Leistungsfähigere Firewalls eröffnen neben der Verbindung des internen Netzwerkes (LAN) mit dem externen Internet (WAN) auch eine Abzweigung in eine sogenannte demilitarisierte Zone (DMZ) in der üblicherweise z. B. ein Web-Server auf einer entsprechenden separaten Maschine steht. Des weiteren sind extrem leistungsstarke und entsprechend teure Firewalls in der Lage, bis zum Application-Layer 7 (OSI-Layer 7) zu filtern.It is also known from practice to set up the connection to the external Internet (WAN) from an internal network (LAN) via a classic router. Appropriate firewall systems that run on specially configured machines provide protection against unwanted intruders from outside. Simple fire walls only offer port filtering. More powerful firewalls open up not only the connection of the internal network (LAN) to the external Internet (WAN) but also a branch into a so-called demilitarized zone (DMZ) in which usually z. B. a web server is on a corresponding separate machine. Furthermore, extremely powerful and accordingly expensive firewalls are able to filter up to application layer 7 (OSI layer 7).

In der jüngeren Vergangenheit sind Konzepte vorgeschlagen worden, bei denen eine zweite oder gar eine dritte Firewall auf jeweils einer weiteren extra Maschine installiert und in den Pfad zwischen WAN und LAN integriert wurden, um die Sicher­ heit vor ungewolltem Zugriff von außen zu optimieren, oder redundante Systeme, d. h. eine verbesserte Ausfallsicherheit zu ermöglichen. Diese Konzepte sind jedoch wegen der Vielzahl an separaten Servern bzw. Maschinen extrem kostenintensiv. Zudem ist damit ein hoher Administrations- und Überwachungsaufwand verbunden. Nicht zuletzt steigt durch die Ansammlung einer Vielzahl von Servern der Platzbedarf hierfür.In the recent past, concepts have been proposed in which a second or even a third firewall on each additional machine installed and integrated into the path between WAN and LAN to ensure security  optimizing against unwanted external access, or redundant systems, d. H. to enable improved reliability. However, these concepts are because the large number of separate servers or machines is extremely cost-intensive. In addition is associated with a high administration and monitoring effort. Not least Due to the accumulation of a large number of servers, the space required for this increases.

Daneben offenbart die DE 100 16 236 A1 ein Servermodul für einen modular aufgebauten Server mit mindestens einer Datenverarbeitungseinheit zur Datenverarbei­ tung von Datenpaketen, mindestens einer adressierbaren Kommunikationsschnittstelle zum Anschluß des Servermoduls an ein externes Netzwerk, über das die Datenpakete übertragen werden, einer Schaltschnittstelle zum Anschluß des Servermoduls an eine Schalteinrichtung des modular aufgebauten Servers und mit einer Routing-Berech­ nungseinheit zur Berechnung einer Servermodul-Adresse mittels einer Routing-Tabelle in Abhängigkeit von der Auslastung der Datenverarbeitungseinheiten aller Servermo­ dule des modular aufgebauten Servers.In addition, DE 100 16 236 A1 discloses a server module for a modular constructed server with at least one data processing unit for data processing device of data packets, at least one addressable communication interface for connecting the server module to an external network via which the data packets are transmitted, a switching interface for connecting the server module to a Switching device of the modular server and with a routing calculation Unit for calculating a server module address using a routing table depending on the utilization of the data processing units of all server mo modules of the modular server.

Des weiteren ist von Goddard, S. von der University of Nebraska in Lincoln, NE, USA sowie von Kieckhafer, R. und Zhang, Y. von der Michigan Technological Univer­ sity in Houghton, MI, USA ein Fachartikel zum Thema: "An Unavailability Analysis of Firewall Sandwich Configurations" veröffentlicht worden, der sich mit einer Nichtver­ fügbarkeitsanalyse von Firewallverbunden befaßt. Solche Firewallverbunde gelangen jüngst zum Einsatz, um die Gefahr eines sogenannten Single Point of Failure bzw. einer singulären Fehlerstelle als auch das Problem eines Durchsatz-Engpasses einer einzelnen Firewall zu beheben. Dieser Fachartikel ist in "Proceedings of the 6th IEEE International Symposium on High Assurance Systems Engineering", 2001, auf Seiten 139 bis 148, 22.-24. Oktober 2001 in Boco Raton, FL, USA veröffentlicht worden, ISBN 0-7695- 1275-5, und kann im Internet unter http:/ / ieeexplore.ieee.org nachgelesen werden.Furthermore, Goddard, S. from the University of Nebraska in Lincoln, NE, USA and Kieckhafer, R. and Zhang, Y. from Michigan Technological University in Houghton, MI, USA published a specialist article on the topic: "An Unavailability Analysis of Firewall Sandwich Configurations ", which deals with an unavailability analysis of firewall networks. Such firewall networks have recently been used to eliminate the risk of a so-called single point of failure or a singular fault location as well as the problem of a throughput bottleneck of an individual firewall. This technical article is in "Proceedings of the 6 th IEEE International Symposium on High Assurance Systems Engineering", 2001, on pages 139 to 148, 22.-24. October 2001 in Boco Raton, FL, USA, ISBN 0-7695-1275-5, and can be found on the Internet at http: / / ieeexplore.ieee.org.

Demzufolge ist es Aufgabe der vorliegenden Erfindung eine kostengünstige und platzsparende all-in-one-Lösung für einen ausfall- und/oder hochsicheren Zugang vom LAN ins WAN bzw. umgekehrt anzubieten. Accordingly, it is an object of the present invention to be inexpensive and Space-saving all-in-one solution for fail-safe and / or highly secure access from Offer LAN to WAN or vice versa.  

Diese Aufgabe wird gelöst durch die Merkmale des Anspruchs 1.This object is achieved by the features of claim 1.

Hierzu wird erstmalig ein Multifunktions-Server insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern vorgeschlagen, die jeweils ein eigenes Main­ board, wenigstes eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerk­ karte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähi­ gen, Gehäuse angeordnet sind. Der erfindungsgemäße Multifunktions-Server zeichnet sich dadurch aus, daß er als "Intelligent Net Access Security-Server" (kurz: INAS-Ser­ ver), insbesondere als Twin-Firewall-Server ausgebildet ist. Die in diesen Intelligent Net Access Security-Server enthaltenen eigenständigen Server sind physikalisch voneinan­ der getrennt, was die bislang nur von gleichzeitig nebeneinander betriebenen separaten Einzelsystemen bekannte Hochsicherheit bietet, da im unwahrscheinlichen Falle einer erfolgreichen Hackerattacke auf die erste Maschine bzw. auf den ersten Server im Intel­ ligent Net Access Security-Server ein Durchhacken bzw. direkter Durchgriff auf die nachfolgende Maschine ob der physikalischen Trennung eigentlich unmöglich ist. Dar­ über hinaus weisen die eigenständigen Server wenigstens jeweils eine Firewall auf. Dies bietet den Vorteil, daß beispielsweise die erste Firewall bestimmte Sicherheitsregeln oder Mechanismen für grobe oder primäre Schutzmaßnahmen und die nachfolgenden Firewalls entsprechende Regeln oder Mechanismen für eine verfeinerte bzw. höhere Sicherheit bzw. einen sekundären Schutz bei entsprechend performantem Datendurch­ satz bieten können. Weiterhin bringt dies den Vorteil, daß die erste Firewall aktiv in Betrieb sein kann und die zweite Firewall oder nachfolgende Firewalls in einem standby-Modus ruhen könnte und im Falle des Ausfalls der ersten Firewall sofort aktiv werden würde, um über diese Redundanz ein hoch verfügbares System zu realisieren. Dieser redundante als auch der parallele Betrieb der Firewalls auf den beiden Servern hilft zudem den ständig steigenden Datendurchsatz mit entsprechend hoher Performanz zu bewältigen. Dabei überwachen sich die Firewalls im Normalbetrieb, vorzugsweise mittels einer Heartbeat-Funktion, gegenseitig und/oder teilen sich den anfallenden Datenverkehr auf und/oder stimmen die erforderlichen Überwachungsmaßnahmen oder Sicherheitsregeln aufeinander ab. Dieser automatische bzw. selbsttätige Abgleich der Firewalls zur gegenseitigen Abstimmung und Überwachung untereinander bietet ein Maximum an Ausfallsicherheit bzw. Hochverfügbarkeit neben einem Optimum an Schutz gegen ungewollte Attacken von außen. Damit ist eine bislang unbekannte Hoch­ sicherheit vor Eindringlingen gewährbar. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständige funktionsfähige Einheit zur Aufrechterhaltung eines minima­ len notwendigen Schutzes. Auf diese Weise ist vorteilhaft sichergestellt, daß ein Nutzer bzw. Betreiber des erfindungsgemäßen Intelligent Net Access Security-Servers mit größtmöglicher Wahrscheinlichkeit einen ständig verfügbaren Zugang ins externe Internet (WAN) mit akzeptabler Performanz bei ausreichender Grundsicherheit verfüg­ bar hat. Dabei kann der erfindungsgemäße Multifunktions- bzw. Twin-Firewall-Server so ausgestaltet sein, daß bei einem vorstehend diskutierten Ausfall einer Komponente, sei es einer Firewall oder gar eines Servers die verbleibenden Komponenten für die Zeitspanne bis zum Austausch der defekten Komponenten die volle Funktionsfähigkeit des Gesamtsystems aufrechterhalten können, so daß ein Nutzer bzw. Betreiber keine nennenswerten Leistungseinbußen zu verzeichnen hat. Totalausfälle, die sich heute kaum noch ein Unternehmen, auch kein mittelständisches Unternehmen leisten kann, sind damit im Prinzip ausgeschlossen.For the first time, a multifunction server, in particular a twin server, will be used proposed at least two independent servers, each with its own main board, at least your own CPU, hard drives, memory modules and / or network have card, the servers in a common, in particular 19 "rack gene, housing are arranged. The multifunction server according to the invention draws is characterized by the fact that it functions as an "Intelligent Net Access Security Server" (short: INAS-Ser ver), in particular as a twin firewall server. The in this Intelligent Net Standalone servers contained in Access Security servers are physically separate which is separate from what was previously the only separate one operated simultaneously Single systems known high security offers, because in the unlikely event of a successful hacker attack on the first machine or on the first server in the Intel ligent Net Access Security server hacking or direct access to the subsequent machine whether physical separation is actually impossible. Dar in addition, the independent servers each have at least one firewall. This offers the advantage that, for example, the first firewall has certain security rules or mechanisms for rough or primary protective measures and the following Firewalls corresponding rules or mechanisms for a refined or higher Security or secondary protection with correspondingly high-performance data can offer set. This also has the advantage that the first firewall is active in  Operation can be and the second firewall or subsequent firewalls in one standby mode could rest and in the event of failure of the first firewall immediately active would be to implement a highly available system via this redundancy. This redundant as well as the parallel operation of the firewalls on the two servers also helps the constantly increasing data throughput with correspondingly high performance to manage something. The firewalls monitor themselves in normal operation, preferably by means of a heartbeat function, mutually and / or share the accruing Traffic on and / or the required surveillance measures or Security rules depend on each other. This automatic or automatic comparison of the Firewalls for mutual coordination and surveillance among themselves offers one Maximum reliability and high availability in addition to an optimum Protection against unwanted external attacks. This is a previously unknown high security against intruders possible. In the event of a server failure and / or The remaining server and / or the remaining firewall form a firewall fully independent functional unit to maintain a minimum necessary protection. This advantageously ensures that a user or operator of the intelligent net access security server according to the invention greatest possible probability of constantly available access to the external Internet (WAN) with acceptable performance with sufficient basic security cash. The multifunction or twin firewall server according to the invention can be designed so that in the event of a component failure discussed above, be it a firewall or even a server the remaining components for the Time until the defective components are replaced to ensure that they are fully functional of the overall system can be maintained, so that a user or operator none noticeable loss of performance. Total failures today hardly any company, even a medium-sized company, can afford are excluded in principle.

Ein weiterer Vorteil des erfindungsgemäßen Multifunktions-Servers bietet dessen kompakte Bauweise, beispielsweise in 19"-rackfähiger Form mit vorzugsweise einer Bauhöhe, maximal zwei Bauhöhen, was gemessen am derzeitigen Stand der Technik eine äußerst platzsparende Lösung darstellt. Zudem ist der erfindungsgemäße Multi­ funlaions-Server eine kostengünstige Lösung im Vergleich zu den extrem teuren Kon­ zepten des Stands der Technik, bei denen eine oder mehrere Firewalls auf entsprechen­ den separaten einzelnen Maschinen konfiguriert, administriert, überwacht und betrieben werden müssen, wobei eine Mehrzahl weiterer einzelner Server für den Betrieb eines Mail-Servers, Web-Servers, FTP-Servers oder dergleichen hinzukommen plus Router, Gateway und dergleichen, was die Kosten extrem in die Höhe treiben kann. Derlei her­ kömmliche Systeme sind schlichtweg für wirtschaftlich rechnende Unternehmen nicht mehr akzeptabel und insbesondere für mittelständische Unternehmen nicht erschwing­ lich. Hier schafft der erfindungsgemäße Multifunktions-Server in vorteilhafter Weise preiswerte und zugleich leistungsfähige Abhilfe.Another advantage of the multifunction server according to the invention is that compact design, for example in a 19 "rackable form, preferably with one Overall height, maximum two overall heights, which is measured against the current state of the art  represents an extremely space-saving solution. In addition, the multi according to the invention funlaions server an inexpensive solution compared to the extremely expensive Kon State of the art recipes where one or more firewalls correspond to configured, administered, monitored and operated in the separate individual machines must be, with a plurality of further individual servers for the operation of a Mail servers, web servers, FTP servers or the like are added plus routers, Gateway and the like, which can drive costs extremely high. That kind of thing Conventional systems are simply not for economically calculating companies more acceptable and not affordable especially for medium-sized companies Lich. The multifunction server according to the invention creates here in an advantageous manner inexpensive and powerful remedy.

Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche.Advantageous developments of the invention result from the features of Dependent claims.

In einer bevorzugten Ausführungsform des erfindungsgemäßen Multifunktions- Servers läuft darauf wenigstens eine der Server-Anwendungen wie beispielsweise ein Router, ein FTP-Server, ein Web-Server, ein Proxy-Server, ein Mail-Server, eine Citrix- Nfuse-Funktionalität, ein DNS-Server, eine VPN-Funktionalität oder ein Virenscanner, vorzugsweise jedoch alle diese Server-Anwendungen. Damit werden in vorteilhafter Weise sämtliche derzeit aus dem Stand der Technik bekannten und bislang nur auf ver­ schiedenen verteilten separaten Maschinen laufenden Server-Applikationen auf einer Maschine, und zwar zusammengefaßt auf dem erfindungsgemäßen Multifunktions- Server. Dies hilft wiederum deutlich Kosten zu sparen und erleichtert die Administra­ tion dieser Anwendungen durch deren Zentralisierung.In a preferred embodiment of the multifunctional Servers run at least one of the server applications, such as for example Router, an FTP server, a web server, a proxy server, a mail server, a Citrix Nfuse functionality, a DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications. This will be more advantageous Way all currently known from the prior art and so far only on ver different distributed separate machines running server applications on one Machine, namely summarized on the multifunction Server. This in turn helps to save costs significantly and makes administration easier tion of these applications by centralizing them.

In einer weiter bevorzugten Ausführungsform des Multifunktions-Servers weisen die Security-Anwendungen wenigstens eine, vorzugsweise jedoch alle der Sicherheits­ merkmale wie zum Beispiel a) Dynamischer Paketfilter (Dynamic Paket Filter), b) Tar­ nung (Masquerading), c) Inhaltsfilterung (Content Filtering), d) Übersetzung der Netz­ werkadressen (Network Address Translation), e) Virenerkennung (Virus Scan), f) Virtu­ elles privates Netzwerk (ip-Adressen sicher) (VPN (ip-secure)), g) Übersetzung der Por­ taladressen (Port Address Translation), h) Filterung der Internetadressen (URL Filtering) oder i) Erkennung von Angriffen mit der Absicht den Rechner bzw. das LAN zu sabo­ tieren oder Dienste bzw. den gesamten Rechner oder das LAN außer Betrieb zu setzen (Full Detection (DDoS/DoS/Intrusion)) auf. Indem sämtliche derzeit verfügbaren Sicherheitsmerkmale auf dem erfindungsgemäßen Serversystem zusammengefaßt wer­ den, damit deren Konfiguration, Administration und Wartung zentral auf diesem Multi­ funktions-Server erfolgen kann, werden wiederum die Kosten im IT-Bereich des betref­ fenden Unternehmens gesenkt und es können Synergie-Effekte zwischen diesen Secu­ rity-Anwendungen genutzt werden, was früher beim über separate Maschinen verteilten Betrieb nicht möglich war.In a further preferred embodiment of the multifunction server the security applications at least one, but preferably all, of the security Features such as a) Dynamic packet filter, b) Tar Masquerading, c) Content Filtering, d) Network translation Werkadressen (Network Address Translation), e) Virus detection (Virus Scan), f) Virtu  elles private network (ip addresses secure) (VPN (ip secure)), g) translation of the por Taladressen (Port Address Translation), h) Internet address filtering (URL filtering) or i) detection of attacks with the intention to sabo the computer or the LAN animals or to put services or the entire computer or the LAN out of operation (Full Detection (DDoS / DoS / Intrusion)). By all the currently available Security features on the server system according to the invention summarized who so that their configuration, administration and maintenance are central to this multi function server can take place, in turn the costs in the IT area of the concerned company and there can be synergy effects between these Secu rity applications can be used, which was previously the case when distributed over separate machines Operation was not possible.

Der Multifunktions-Server weist bei einer weiteren bevorzugten Ausführungsform ein gemeinsames Interface auf, das zur Administration der darauf laufenden Anwendun­ gen vorgesehen ist. Damit steht eine zentrale Schnittstelle zur Konfiguration, Installa­ tion und Wartung zur Verfügung. Dies hilft Arbeitszeit der Administratoren sparen, wobei zudem die oft zeit- und nervenraubende Lauferei von Maschine zu Maschine und Überprüfung welche Maschine nun gerade Probleme bereitet, entfallen kann.In a further preferred embodiment, the multifunction server has a common interface for the administration of the applications running on it gene is provided. This provides a central interface for configuration, Installa tion and maintenance available. This helps save administrators work time, with the often time-consuming and nerve-racking running from machine to machine and Checking which machine is currently causing problems can be omitted.

Entsprechend einer weiter bevorzugten Ausführungsform ist eine zentrale Admi­ nistration von Security- und Internet-Anwendungen über das gemeinsame Interface ins­ besondere über einen WebBrowser vorgesehen. Dies vereinfacht in besonders vorteil­ hafter Weise die Bedienung der Security- und der Internet-Anwendungen, so daß eine Wartung und Administration von überall aus möglich wird, so daß ein Administrator sich erst gar nicht mehr zum erfindungsgemäßen Multifunktions-Server hinbegeben muß, sondern von jedem Platz aus allfällige Arbeiten erledigen kann.According to a further preferred embodiment, there is a central Admi nistration of security and internet applications via the common interface ins especially provided via a web browser. This is particularly advantageous the operation of the security and Internet applications, so that a Maintenance and administration is possible from anywhere, so that an administrator no longer go to the multifunction server according to the invention must, but can do any work from anywhere.

In einer weiteren bevorzugten Ausführungsform ist ein Multifunktions-Server so ausgebildet, daß er zwischen einem internen Netzwerk (LAN) und einem externen Netz (WAN) geschaltet ist und eine demilitarisierte Zone (DMZ) in sich abbildet. Dies bietet den Vorteil einer kostengünstigen Integration der DMZ, mit den darin abgebildeten Ser­ ver-Anwendungen, einer mitenthaltenen Firewall, einem Gateway, einer GUI (Graphical User Interface) zentral zusammen auf diesem erfindungsgemäßen Multifunktions-Ser­ ver, so daß sowohl Anschaffungskosten gesenkt als auch der Betrieb kostengünstig aus­ gestaltet werden kann. Zudem sind überraschenderweise Steigerungen in der Perfor­ manz zu verzeichnen. In einer besonders bevorzugten Ausführungsform des Multifunk­ tions-Servers ist auf dem ersten eigenständigen Server der Gateway, die erste Firewall und das Graphical User Interface (GUI) abgebildet und auf dem zweiten eigenständigen Server die zweite Firewall und die DMZ mit beispielsweise wenigstens Mail-, Proxy-, Web-Server, und gegebenenfalls der Citrix-Nfuse-Funktionalität abgebildet. Dies bietet einen optimalen Betrieb aller gewünschten Funktionalitäten auf dem Multifunktions- Server unter guter Ausnutzung der verfügbaren Leistung bei einhergehend optimaler Sicherheit, Performanz und Verfügbarkeit.In a further preferred embodiment, a multifunction server is like this trained to be between an internal network (LAN) and an external network (WAN) is switched and depicts a demilitarized zone (DMZ). This offers the advantage of an inexpensive integration of the DMZ, with the Ser  ver applications, a firewall included, a gateway, a GUI (graphical User interface) centrally together on this multifunction ser ver, so that both acquisition costs are reduced and operation is inexpensive can be designed. Surprisingly, there are also increases in perforation manz to record. In a particularly preferred embodiment of the multi-radio tion server is the gateway on the first stand-alone server, the first firewall and the Graphical User Interface (GUI) mapped and on the second independent Server the second firewall and the DMZ with at least mail, proxy, Web server, and possibly the Citrix Nfuse functionality. This offers optimal operation of all desired functionalities on the multifunction Server that makes good use of the available performance and is optimal Security, performance and availability.

Entsprechend einer weiter bevorzugten Ausführungsform trägt der erste eigen­ ständige Server redundante Abbilder bzw. Kopien der zweiten Firewall und der DMZ mit den dort laufenden Serverapplikationen, wie z. B. Mail-, Proxy-, Web-Server und gegebenenfalls Eine Citrix-Nfuse-Funktionalität, wobei der zweite eigenständige Server redundante Abbilder des Gateway der ersten Firewall und des Graphical User Interface (GUI) trägt. Diese einem Spiegelserverdatensystem angelehnte redundante Ausge­ staltung des Multifunktions-Servers bietet eine absolute Ausfallsicherheit, da jegliche Komponente spiegelbildlich redundant als auch jegliche Anwendung spiegelbildlich redundant verfügbar ist und im Falle eines Defektes oder Ausfalls der entsprechenden ersten Komponente oder Anwendung sofort deren Leistungsbereitschaft bzw. Dienste übernehmen kann. Die hierfür vorgesehen Heartbeatfunktionalität gewährleistet dabei eine schlagartige Übergabe der laufenden Anwendungen und Dienste. Damit ist ein bestmöglicher Schutz gegen Ausfall des Systems im Sinne einer sonst nur von extrem teuren Spiegelsystemen bekannten maximalen Hochverfügbarkeit zugleich verbunden mit einer optimalen Hochsicherheit gewährleistet.According to a further preferred embodiment, the first has its own permanent server redundant images or copies of the second firewall and the DMZ with the server applications running there, e.g. B. mail, proxy, web server and possibly a Citrix Nfuse functionality, with the second stand-alone server redundant images of the gateway of the first firewall and the graphical user interface (GUI) carries. These redundant versions based on a mirror server data system The design of the multifunction server offers absolute reliability, since any Component mirror-image redundant as well as any application mirror-image is available redundantly and in the event of a defect or failure of the corresponding first component or application immediately their willingness to perform or services can take over. The heartbeat functionality provided for this ensures a sudden handover of running applications and services. So that's a best possible protection against system failure in the sense of an otherwise only extreme expensive mirror systems at the same time known maximum high availability guaranteed with optimal high security.

Einer weiter bevorzugten Ausführungsform entsprechend sind die eigenständigen Server physikalisch voneinander getrennt und weisen zudem jeweils getrennte Netzteile zur Spannungsversorgung auf. Diese weitestgehende physikalische Trennung bietet sogar Sicherheit gegen Ausfall eines nachgeordneten Systems beim Ausfall eines Hauptsystems, sei es durch Kurzschluß oder durch andere Ereignisse, da diese weitest­ möglich durchgebildete physikalische Trennung ein Übergreifen von auf einer Maschine sich ereignenden physischen Ereignissen von dieser Maschine auf die andere aus­ schließt.According to a further preferred embodiment, the independent ones Servers are physically separated from one another and also each have separate power supplies  for power supply. This offers the greatest possible physical separation even security against failure of a subordinate system in the event of failure Main system, be it by short circuit or by other events, since this is the furthest possible physical separation overlapping on a machine physical events from one machine to another closes.

Der Multifunktions-Server ist bei einer weiter bevorzugten Ausführungsform mit wenigstens sechs Netzwerkkarten, vorzugsweise drei Netzwerkkarten pro eigenständi­ gen Server, ausgebildet. Damit steht bei einem Twin-Firewall-Server eine optimale Anzahl an Netzwerk-Interfaces zur Kommunikation zur Verfügung. Hierbei ist in einer bevorzugten Ausführungsform eine Kommunikation der Firewalls über derartige Netz­ werk-Interfaces vorgesehen. Dementsprechend findet die Kommunikation der Server ebenfalls über derartige Netzwerk-Interfaces statt. Auch die Kommunikation der eigen­ ständigen Server mit den Firewalls wird über Netzwerk-Interfaces realisiert, sei es von einem Server zu einer Firewall und/oder umgekehrt. Diese Netzwerk-Interface geprägte Kommunikation bietet eine optimale Transparenz und Überwachungsmöglichkeit des Datenverkehrs bei gleichbleibend hoher Qualität und optimalem bzw. schnellem Daten­ durchsatz.In a further preferred embodiment, the multifunction server is included at least six network cards, preferably three network cards per standalone gene server. This means an optimal one for a twin firewall server Number of network interfaces available for communication. Here is in one preferred embodiment, communication of the firewalls over such a network factory interfaces provided. The communication of the servers takes place accordingly also take place via such network interfaces. Even the communication of your own permanent server with the firewalls is realized via network interfaces, be it from a server to a firewall and / or vice versa. This network interface shaped Communication offers optimal transparency and monitoring options for the Data traffic with consistently high quality and optimal or fast data throughput.

Entsprechend einer weiteren Ausführungsform ist der erfindungsgemäße Multi­ funktions-Server frei skalierbar. Damit kann der erfindungsgemäße Multifunktions-Ser­ ver mit den Anforderungen und Erwartungen des Nutzers oder Betreibers von einer preiswerten Einstiegslösung über eine den Ansprüchen durchschnittlicher Nutzer gerecht werdende Variante bis zu einem High-End Intelligent Net Access Security-Ser­ ver wachsen.According to a further embodiment, the multi according to the invention Function server freely scalable. The multifunction ser ver with the requirements and expectations of the user or operator of one inexpensive entry-level solution that meets the needs of average users suitable variant up to a high-end intelligent Net Access Security-Ser grow.

Die Erfindung wird nachfolgend anhand der einzigen Fig. 1 der Zeichnung näher erläutert. Es zeigt: The invention is explained below with reference to the single Fig. 1 of the drawing. It shows:

Fig. 1 in einem schematisch stark vereinfachten Diagramm die Anordnung des erfindungsgemäßen Multifunktions-Servers zwischen dem LAN und dem WAN. Fig. 1 in a schematically highly simplified diagram, the arrangement of the multifunction server according to the invention between the LAN and the WAN.

In Fig. 1 ist der erfindungsgemäße Multifunktions-Server 1 durch den leicht ellip­ tisch ausgebildeten Kreis symbolisiert. Bei der hier dargestellten Variante eines Twin- Firewall-Servers ist auf den beiden eigenständigen Servern eine erste Firewall als soge­ nannte Firewall-Bridge 2 als äußere Schnittstelle ins externe Internet (WAN) symboli­ siert. Hinter der Firewall-Bridge 2 folgt eine zweite Firewall 4, die vorzugsweise auf dem zweiten eigenständigen Server läuft und bei der die Routerfunktionalität und/oder ein Gateway symbolisiert mit dem Maschinensymbol 6 abgebildet ist. Dahinter befindet sich in der einen Richtung das interne Netzwerk (LAN), welches durch die Mehrzahl von Workstations 8 schematisiert ist. In der anderen Richtung befindet sich die auf dem zweiten Server abgebildete demilitarisierte Zone (DMZ), in der bei dieser Variante die Funktionalitäten eines Web-Servers 10 eines Mail-Servers 12 und eins FTP-Servers 14 verwirklicht sind.In Fig. 1, the multifunction server 1 according to the invention is symbolized by the slightly elliptically formed circle. In the variant of a twin firewall server shown here, a first firewall as a so-called firewall bridge 2 is symbolized on the two independent servers as an external interface to the external Internet (WAN). Behind the firewall bridge 2 follows a second firewall 4 , which preferably runs on the second independent server and in which the router functionality and / or a gateway is symbolized with the machine symbol 6 . Behind it is in one direction the internal network (LAN), which is schematized by the plurality of workstations 8 . In the other direction is the demilitarized zone (DMZ) shown on the second server, in which, in this variant, the functionalities of a web server 10, a mail server 12 and an FTP server 14 are implemented.

Der erfindungsgemäße Intelligent Net Access Security-Server (kurz: INAS-Ser­ ver) kann alle Funktionen für LAN und WAN übernehmen. Beispielsweise kann die Firewall-Bridge als SonicWall-Firewall-Bridge ausgebildet sein und es sind dabei sowohl die vorstehend genannte Variante ihrer Anordnung als Außenstelle zum Internet hin als auch als letzte Bastion vor dem internen Netzwerk realisierbar. Ebenso kann der Router 4 als D-Link-Router durchgestaltet sein. Es ist aber ebenso möglich Router- oder Firewall-Konzepte bzw. Produkte anderer Hersteller einzubinden.The Intelligent Net Access Security Server (short: INAS server) can perform all functions for LAN and WAN. For example, the firewall bridge can be designed as a SonicWall firewall bridge and both the above-mentioned variant of its arrangement as a branch office to the Internet and as the last bastion in front of the internal network can be implemented. Router 4 can also be configured as a D-Link router. However, it is also possible to integrate router or firewall concepts or products from other manufacturers.

Die vorstehend diskutierte Erfindung eines Multifunktions-Servers, der als Intelli­ gent Net Access Security-Server (INAS-Server) ausgebildet ist, bietet ein Maximum an Funktionalität bei einem Minimum an eingesetzten Komponenten und Hardware, wobei eine Skalierung von einer preiswerten INAS-Server-Light-Variante über eine Standard- zur Classic-Variante bis hin zu einer Premium-Variante möglich ist. The invention of a multifunction server discussed above, known as the Intelli gent Net Access Security server (INAS server) is trained, offers a maximum Functionality with a minimum of components and hardware used, whereby scaling from an inexpensive INAS server light variant via a standard to the classic variant up to a premium variant.  

Mit der vorliegenden Erfindung wird eine all-in-one-Lösung ohne Kompromisse bei der Sicherheit angeboten. Der INAS-Server vereint Firewall, Serverdienste sowie eine echte DMZ in einem Gerät. Durch die physikalische Trennung der Systeme kann eine optimale Sicherheit gewährleistet werden, wobei keine Kompromisse bezüglich Sicherheit und Funktionalität akzeptiert werden müssen. Die Hard- und Software ist nach Kundenwünschen skalierbar. Vom Basic-System bis zur High-Performance beruht alles auf einer einheitlichen, modular aufgebauten Hard- und Softwarelösung. Eine zen­ trale Administration von Security und Internetpräsenz ist gegeben.With the present invention, an all-in-one solution is made without compromise offered in security. The INAS server combines firewall, server services as well a real DMZ in one device. Due to the physical separation of the systems optimal security can be guaranteed, with no compromise on Security and functionality must be accepted. The hardware and software is scalable according to customer requirements. From the basic system to high-performance everything on a uniform, modular hardware and software solution. A zen Central administration of security and internet presence is given.

Die Firewall und alle anderen Funktionen auf beiden Maschinen können über ein gemeinsames Interface administriert werden. Die dabei eingesetzte Firewall bietet alle Ausstattungs- und Sicherheitsmerkmale sämtlicher am Markt vorhandenen Security Produkten. Diese sind beispielsweise: Dynamic Paket Filter, Network Address Transla­ tion, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filte­ ring, VPN (ip-secure) und/oder Full Detection (DoS/Intrusion). Dabei sind die folgen­ den Komponenten voll in das System integriert und bieten damit einen intelligenten Zugriff: Apache Web-Server, Mail-Server, FTP-Server, Cytrix-Applikationserver und/oder Proxy-Server.The firewall and all other functions on both machines can be done via one common interface can be administered. The firewall used here has it all Equipment and security features of all security available on the market Products. These are for example: Dynamic Packet Filter, Network Address Transla tion, Port Address Translation, Masquerading, Virus Scan, URL Filtering, Content Filte ring, VPN (ip-secure) and / or full detection (DoS / Intrusion). Here are the consequences the components fully integrated into the system and thus offer an intelligent Access: Apache web server, mail server, FTP server, Cytrix application server and / or proxy server.

Durch den modularen Aufbau des erfindungsgemäßen Konzepts und die offene Architektur der Firewall ist das System extrem flexibel und sehr vielfältig einsetzbar. Es kann als reines Firewall-System für jedes Unternehmen hergestellt bzw. eingerichtet werden. Ebenso ist es denkbar, einen Firewall- und Mail-Server auf dem INAS-Server abzubilden. Genauso ist es möglich ein Firewall und eine DMZ-Lösung anzubieten, wobei auf dem INAS-Server mit Firewall und echter DMZ ein Virus Scan, ein Web-, Mail-, und/oder FTP-Server laufen können. Dem Nutzer bzw. Betreiber eines erfin­ dungsgemäßen INAS-Servers kann problemloser Support als auch Upgrades ohne Hardwareaustausch oder Neuinstallation zugesichert werden.Due to the modular structure of the inventive concept and the open Architecture of the firewall, the system is extremely flexible and very versatile. It can be manufactured or set up as a pure firewall system for every company become. It is also conceivable to have a firewall and mail server on the INAS server map. It is also possible to offer a firewall and a DMZ solution a virus scan, a web scan, a firewall scan and a real DMZ on the INAS server Mail, and / or FTP server can run. The user or operator of an invented INAS server according to the invention can provide support as well as upgrades without any problems Hardware replacement or new installation can be guaranteed.

Der erfindungsgemäße INAS-Server bietet erstmals diese Funktionalität und Sicherheit in einem System in diesem Umfang. Durch den physikalisch getrennten Auf­ bau wird eine höchstmögliche Sicherheit gewährleistet. Funktionalitäten wie Web-, Mail-, FTP-Applikationserver sind auf einem Gerät verfügbar. Die komplette Admini­ stration erfolgt über eine gemeinsame Oberfläche an einem beliebigen PC im Netzwerk. Damit sind in einer entsprechend vorteilhaft ausgebildeten Variante sämtliche Dienste und Produkte, wie beispielsweise WWW-Server, Proxy-Server, Nfuse-Server, Virus- Scanner, FTP-Server. DHCP/DNS-Server, Mail-Server und/oder Firewall verfügbar. Auf diese Weise setzt der erfindungsgemäße INAS-Server neue Maßstäbe bei Kom­ plettlösungen mit höchstmöglicher Sicherheit.The INAS server according to the invention offers this functionality for the first time Security in a system on this scale. Through the physically separate opening  construction guarantees the highest possible security. Functionalities such as web, Mail and FTP application servers are available on one device. The complete admin stration takes place via a common user interface on any PC in the network. This means that all services are in a correspondingly advantageously designed variant and products, such as WWW servers, proxy servers, Nfuse servers, virus Scanner, FTP server. DHCP / DNS server, mail server and / or firewall available. In this way, the INAS server according to the invention sets new standards for com pallet solutions with the highest possible security.

Der erfindungsgemäße INAS-Server besteht beispielsweise bei einer besonders platzsparenden Variante aus zwei in einem 19" Gehäuse, das nur eine Bauhöhe benötigt, integrierten Server-Systemen. Sofern entsprechend Platz im Rack verfügbar ist, können auch Varianten mit zwei Bauhöhen bereit gestellt werden. Dies hat dann wiederum Vorteile bei der Klimatisierung bzw. bei der Optimierung der Kühlung. Eine dafür denkbare Ausstattung der beiden eigenständigen Server kann jeweils ein Intel Mother­ board vorsehen. Darauf sind 900 Mhz Intel Celeron Serverprozessoren installiert. Als Arbeitsspeicher können in einer Einstiegsvariante beispielsweise 128 MB SD-RAM vorgesehen werden. Der INAS-Server weist insgesamt sechs, d. h. pro eigenständigem Server drei Netzwerkkarten auf, die beispielsweise 100 Mbit NIC-Karten sein können. Als Festplatten werden beispielsweise 30 GB UDMA 100 HDD-Platten vorgeschlagen. Dabei ist der INAS-Server nicht nur im Rack sondern auch als Stand-alone Variante in einem eigenen Tower als Desktop-PC verfügbar.In a particularly space-saving variant, the INAS server according to the invention consists, for example, of two server systems integrated in a 19 "housing that only requires one height. If space is available in the rack, variants with two dimensions can also be provided. This This in turn has advantages in terms of air conditioning or optimization of the cooling. An Intel motherboard can provide a conceivable equipment for each of the two independent servers. 900 Mhz Intel Celeron server processors are installed on it The INAS server has a total of six, ie three network cards per independent server, which can be, for example, 100 Mbit NIC cards, for example 30 GB UDMA 100 HDD disks are proposed not only in the rack but also as a stand-alone version in own tower available as desktop PC.

In der INAS-Server classic-Variante ist auf dem ersten eigenständigen Serversy­ stem die Firewall, das GUI und das Login vorgesehen. Die zweite Maschine trägt die Firewall, den DHCP-, Proxy-, VPN-, Mail-, Web-, und/oder Nfuse-Server sowie Mobile PPTP-Funktionalität als auch NW-Tools. In der INAS-Server professional-Variante kann das zweite PC-System um eine Virusscanfunktionalität und einen FTP-Server er­ gänzt werden. Bei einer weiteren Skalierung nach oben kann bei einem INAS-Server premium-Typ eine Clusterfähigkeit vorgesehen und ein Load-Balancing sowie Überwa­ chungen über Heartbeat und dergleichen eingeplant werden. Der erfindungsgemäße INAS-Server kann beispielsweise für bis zu 250 User ausgelegt sein.In the INAS-Server classic variant, there is an independent server on the first the firewall, the GUI and the login are provided. The second machine carries the Firewall, the DHCP, proxy, VPN, mail, web, and / or Nfuse server and mobile PPTP functionality as well as NW tools. In the INAS server professional version the second PC system can include a virus scan functionality and an FTP server be added. With a further scaling up with an INAS server premium type a cluster capability and load balancing as well as monitoring  heartbeat and the like. The invention INAS server can be designed for up to 250 users, for example.

Der erfindungsgemäße INAS-Server bietet weitere Vorteile. Dies sind beispiels­ weise die zentrale Administration von Sicherheits- und Serverfunktionen. Eine Netzüberwachung, Login und Analyse auf einer Maschine. Eine hohe Kostenersparnis im Serverbereich sowohl bei der Anschaffung als auch bei der Wartung und im Betrieb. Es sind gerade ob der All-in-one-Lösung keine Kompromisse bei der Netzwerksicher­ heit einzugehen. Durch den modularen Aufbau zahlt der Kunde nur das, was er nutzt. Eine Mehrsprachigkeit bietet Verständigung in allen Richtungen. Eine Hochverfügbar­ keit, die zudem gesteigert werden kann durch Clustering und Load Balancing bietet ein Maximum an Performance für das aufzuwendende Kapital.The INAS server according to the invention offers further advantages. These are examples the central administration of security and server functions. A Network monitoring, login and analysis on one machine. A high cost saving in the server area, both in terms of acquisition, maintenance and operation. Especially with the all-in-one solution, there are no compromises when it comes to network security to enter into. Thanks to the modular structure, the customer only pays for what he uses. Multilingualism offers communication in all directions. A highly available which can also be increased through clustering and load balancing Maximum performance for the capital to be spent.

Somit schlägt die vorliegende Erfindung erstmals einen Multifunktions-Server von insbesondere Twin-Server, mit wenigstens zwei eigenständigen Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatte, Speicherbausteine und/oder Netzwerkkarte aufweisen, vor, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähigen, Gehäuse angeordnet sind. Der neue Multifunktions- Server ist als Intelligent Net Access Security-Server (kurz: INAS), insbesondere als Twin-Firewall-Server ausgebildet. Auf den beiden eigenständigen Servern laufen die Firewalls redundant bzw. parallel. Dabei überwachen sich die Firewalls im Normalbe­ trieb, vorzugsweise mittels einer Heartbeat-Funktion gegenseitig und/oder teilen sich den anfallenden Datenverkehr und/oder stimmen die erforderlichen Überwachungs­ maßnahmen aufeinander ab. Im Falle des Ausfalls eines Servers und/oder einer Firewall bilden der verbleibende Server und/oder die verbleibende Firewall eine vollständig eigenständig funktionsfähige Einheit zur Aufrechterhaltung eines minimal notwendigen Schutzes.Thus, the present invention proposes a multifunction server for the first time of twin servers in particular, with at least two independent servers, each your own mainboard, at least your own CPU, hard disk, memory modules and / or network card, the servers in a common, especially 19 "rackable, housings are arranged. The new multifunctional Server is an Intelligent Net Access Security Server (INAS for short), especially as Twin firewall server trained. They run on the two independent servers Firewalls redundant or parallel. The firewalls normally monitor themselves driven, preferably by means of a heartbeat function to each other and / or share the data traffic and / or the necessary monitoring measures depend on each other. In the event of a server and / or firewall failure the remaining server and / or the remaining firewall form a complete one independently functioning unit to maintain a minimum necessary Protection.

Claims (14)

1. Multifunktions-Server, insbesondere Twin-Server, mit wenigstens zwei eigen­ ständigen Servern, die jeweils ein eigenes Mainboard, wenigstens eine eigene CPU, Festplatten, Speicherbausteine und/oder Netzwerkkarte aufweisen, wobei die Server in einem gemeinsamen, insbesondere 19"-rackfähigen, Gehäuse ange­ ordnet sind, dadurch gekennzeichnet, daß
der Multifunktions-Server als Intelligent Net Access Security-Server (1), insbe­ sondere als Twin-Firewall-Server, ausgebildet ist, wobei
die eigenständigen Server wenigstens jeweils eine Firewall (2, 4) aufweisen, wobei
die Firewalls (2, 4) redundant, seriell oder parallel auf den beiden Servern laufen, wobei
die Firewalls (2, 4) sich im Normalbetrieb, vorzugsweise mittels einer Heartbeat- Funktion, gegenseitig überwachen und/oder den anfallenden Datenverkehr teilen und/oder die erforderlichen Überwachungsmaßnahmen aufeinander abstimmen, und wobei
im Falle des Ausfalls eines Servers und/oder einer Firewall (2, 4) der verbleibende Server und/oder die verbleibende Firewall (2, 4) eine vollständig eigenständig funktionsfähige Einheit bilden zur Aufrechterhaltung eines minimal notwendigen Schutzes.1. Multi-function server, in particular twin server, with at least two independent servers, each with its own mainboard, at least its own CPU, hard disks, memory modules and / or network card, the servers in a common, in particular 19 "rackable , Housing are arranged, characterized in that
the multifunction server is designed as an intelligent Net Access Security server ( 1 ), in particular as a twin firewall server, wherein
the independent servers each have at least one firewall ( 2 , 4 ), whereby
the firewalls ( 2 , 4 ) run redundantly, serially or in parallel on the two servers, whereby
the firewalls ( 2 , 4 ) monitor each other in normal operation, preferably by means of a heartbeat function, and / or share the data traffic and / or coordinate the necessary monitoring measures, and wherein
in the event of failure of a server and / or a firewall ( 2 , 4 ), the remaining server and / or the remaining firewall ( 2 , 4 ) form a completely independently functional unit in order to maintain the minimally necessary protection. 2. Multifunktions-Server (1) nach Anspruch 1, dadurch gekennzeichnet, daß darauf wenigstens eine der Server-Anwendungen wie ein Router, ein FTP-Server (14), ein WebServer (10), ein Proxy-Server, ein Mail-Server (12), eine Citrix-Nfuse- Funktionalität, ein DNS-Server, eine VPN-Funktionalität oder ein Virenscanner, vorzugsweise jedoch alle diese Server-Anwendungen darauf laufen.2. Multi-function server ( 1 ) according to claim 1, characterized in that there at least one of the server applications such as a router, an FTP server ( 14 ), a web server ( 10 ), a proxy server, a mail server ( 12 ), a Citrix Nfuse functionality, a DNS server, a VPN functionality or a virus scanner, but preferably all of these server applications run on it. 3. Multifunktions-Server (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Security-Anwendungen wenigstens eine, vorzugsweise jedoch alle der Sicher­ heitsmerkmale a) Dynamic Paket Filter, b) Masquerading, c) Content Filtering, d) Network Address Translation, e) Virus Scan, f) VPN (ip-secure), g) Port Address Translation, h) URL Filtering oder i) Full Detection (DOS/Intrusion) aufweisen.3. Multi-function server ( 1 ) according to claim 1 or 2, characterized in that the security applications at least one, but preferably all of the security features a) dynamic packet filter, b) masquerading, c) content filtering, d) network address Translation, e) Virus Scan, f) VPN (ip-secure), g) Port Address Translation, h) URL Filtering or i) Full Detection (DOS / Intrusion). 4. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 3, dadurch gekenn­ zeichnet, daß die Server ein gemeinsames Interface aufweisen, zur Administration der darauf laufenden Anwendungen.4. Multi-function server ( 1 ) according to one of claims 1 to 3, characterized in that the servers have a common interface for the administration of the applications running thereon. 5. Multifunktions-Server (1) nach Anspruch 4, dadurch gekennzeichnet, daß eine zentrale Administration von Security-Anwendungen und von Internetanwendun­ gen über das gemeinsame Interface vorgesehen ist.5. Multi-function server ( 1 ) according to claim 4, characterized in that central administration of security applications and Internet applications is provided via the common interface. 6. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 5, dadurch gekenn­ zeichnet, daß er zwischen einem internen Netzwerk (LAN) und einem externen Netz (WAN) geschaltet ist und eine entmilitarisierte Zone (DMZ) in sich abbildet.6. Multi-function server ( 1 ) according to one of claims 1 to 5, characterized in that it is connected between an internal network (LAN) and an external network (WAN) and maps a demilitarized zone (DMZ) in itself. 7. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 6, dadurch gekenn­ zeichnet, daß auf dem ersten eigenständigen Server der Gateway (6), die erste Firewall (2) und das Graphical User Interface (GUI) abgebildet sind, und daß auf dem zweiten eigenständigen Server die zweite Firewall (4) und die DMZ mit wenigstens dem Mail- (12), Proxy-, WebServer (10) und der Citrix-Nfuse-Funk­ tionalität abgebildet sind.7. Multi-function server ( 1 ) according to one of claims 1 to 6, characterized in that the gateway ( 6 ), the first firewall ( 2 ) and the graphical user interface (GUI) are mapped on the first independent server, and that on the second independent server, the second firewall ( 4 ) and the DMZ with at least the mail ( 12 ), proxy, web server ( 10 ) and the Citrix Nfuse functionality are mapped. 8. Multifunktions-Server (1) nach Anspruch 7, dadurch gekennzeichnet, daß der erste eigenständigen Server redundante Abbilder der zweiten Firewall und der DMZ mit wenigstens dem Mail-, Proxy-, WebServer und der Citrix-Nfuse-Funk­ tionalität trägt, und daß der zweite eigenständige Server redundante Abbilder des Gateway, der ersten Firewall und des Grafical User Interface (GUI) trägt.8. multifunction server ( 1 ) according to claim 7, characterized in that the first independent server carries redundant images of the second firewall and the DMZ with at least the mail, proxy, web server and the Citrix Nfuse functionality, and that the second independent server carries redundant images of the gateway, the first firewall and the graphical user interface (GUI). 9. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 8, dadurch gekenn­ zeichnet, daß die eigenständigen Server physikalisch voneinander getrennt sind und jeweils getrennte Netzteile zur Spannungsversorgung aufweisen.9. Multi-function server ( 1 ) according to one of claims 1 to 8, characterized in that the independent servers are physically separated from one another and each have separate power supplies for voltage supply. 10. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 9, dadurch gekenn­ zeichnet, daß er wenigstens sechs Netzwerkkarten, vorzugsweise drei Netzwerk­ karten pro eigenständigem Server, aufweist.10. Multi-function server ( 1 ) according to one of claims 1 to 9, characterized in that it has at least six network cards, preferably three network cards per stand-alone server. 11. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekenn­ zeichnet, daß die Firewalls (2, 4) über Netzwerk-Interfaces miteinander kommuni­ zieren.11. Multi-function server ( 1 ) according to one of claims 1 to 10, characterized in that the firewalls ( 2 , 4 ) communicate with one another via network interfaces. 12. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekenn­ zeichnet, daß die eigenständigen Server über Netzwerk-Interfaces miteinander kommunizieren.12. Multi-function server ( 1 ) according to one of claims 1 to 10, characterized in that the independent servers communicate with one another via network interfaces. 13. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 10, dadurch gekenn­ zeichnet, daß die eigenständigen Server mit den Firewalls (2, 4) über Netzwerk- Interfaces miteinander kommunizieren, und/oder umgekehrt.13. Multi-function server ( 1 ) according to one of claims 1 to 10, characterized in that the independent server with the firewalls ( 2 , 4 ) communicate with each other via network interfaces, and / or vice versa. 14. Multifunktions-Server (1) nach einem der Ansprüche 1 bis 13, dadurch gekenn­ zeichnet, daß er frei skalierbar ist.14. Multi-function server ( 1 ) according to one of claims 1 to 13, characterized in that it is freely scalable.
DE10201655A 2002-01-17 2002-01-17 Multi-function server, in particular twin firewall server Expired - Fee Related DE10201655C1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10201655A DE10201655C1 (en) 2002-01-17 2002-01-17 Multi-function server, in particular twin firewall server
PCT/EP2003/000416 WO2003061238A2 (en) 2002-01-17 2003-01-16 Multifunctional server, in particular a twin-firewall server
AU2003218637A AU2003218637A1 (en) 2002-01-17 2003-01-16 Multifunctional server, in particular a twin-firewall server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10201655A DE10201655C1 (en) 2002-01-17 2002-01-17 Multi-function server, in particular twin firewall server

Publications (1)

Publication Number Publication Date
DE10201655C1 true DE10201655C1 (en) 2003-07-31

Family

ID=7712402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10201655A Expired - Fee Related DE10201655C1 (en) 2002-01-17 2002-01-17 Multi-function server, in particular twin firewall server

Country Status (3)

Country Link
AU (1) AU2003218637A1 (en)
DE (1) DE10201655C1 (en)
WO (1) WO2003061238A2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8463859B2 (en) 2010-07-02 2013-06-11 Research In Motion Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods
EP2405618B1 (en) * 2010-07-02 2013-11-20 BlackBerry Limited Email system including synchronization server(s) providing synchronization based upon synchronization indicators stored on mobile devices and related methods
EP2575313A1 (en) * 2011-09-27 2013-04-03 NorCom Information Technology AG Morphing firewall

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10016236A1 (en) * 2000-03-31 2001-10-11 Infineon Technologies Ag Server module for module-based server

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
EP1143663B1 (en) * 1999-06-10 2007-04-25 Alcatel Internetworking, Inc. System and method for selective LDAP database synchronisation
US6718383B1 (en) * 2000-06-02 2004-04-06 Sun Microsystems, Inc. High availability networking with virtual IP address failover

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10016236A1 (en) * 2000-03-31 2001-10-11 Infineon Technologies Ag Server module for module-based server

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Dept. of Comput. Sc. & Eng., Nebraska Univ., Lincoln, NE, USA, Proceedings of the Sixth IEEE International Symposium on High Assurance Systems Engineering, 2001, S. 139-148, 22-24 Oct. 2001 Boco Raton, FL., USA, ISBN 0-7695-1275-5, im Internet zu finden unter: http:// ieeexplore.org *
GODDARD, S. *
KIECKHAFER, R. *
YUPING, Zhang: An unavailability analysis of firewall sandwich configurations *

Also Published As

Publication number Publication date
WO2003061238A3 (en) 2003-12-18
AU2003218637A1 (en) 2003-07-30
WO2003061238A2 (en) 2003-07-24

Similar Documents

Publication Publication Date Title
DE60216218T2 (en) Personal firewall with space-dependent functionality
DE602005005134T2 (en) Fault tolerant network architecture
DE60213391T2 (en) Personal firewall with position detection
DE60308700T2 (en) DYNAMIC REMOTE CONFIGURATION OF A WEBSERVER FOR PROVIDING CAPACITY ON REQUEST
DE60111089T2 (en) Method and apparatus for analyzing one or more firewalls
EP1715395B1 (en) System for secure remote access
DE102006037499A1 (en) Method and system for discovering and providing near real-time updates of VPN topologies
DE10201655C1 (en) Multi-function server, in particular twin firewall server
DE102018214007A1 (en) Interaction of legacy devices in virtualized networks
WO2015139799A1 (en) Control device in a motor vehicle, a motor vehicle, and a method for operating a control device
EP2456133A1 (en) Modular switch network nodes for a communication network
DE102014107793B9 (en) Method of routing data between computer systems, computer network infrastructure and computer program product
EP1844598B1 (en) Method and apparatus for assigning packet addresses to a plurality of devices
EP2987279A1 (en) Device in a building system and building technology system
WO2006076752A1 (en) Computer security system
DE102010045256A1 (en) Method for operating a firewall device in automation networks
DE112004000125T5 (en) Secure client-server communication system
DE112017006045B4 (en) TRANSMISSION DEVICE AND METHOD OF ADDING A ROUTE
DE10346923A1 (en) A method of protecting the security of network intrusion detection sensors
EP3092747B1 (en) Method for incorporating a communication device in a network, and arrangement having at least one network filter component and at least one configuration server
EP2436166B1 (en) Service interface
WO2020065476A1 (en) System and method for accessing data in an internal region
EP2898635B1 (en) System and method for the maintenance of a machine tool
EP1748619B1 (en) Method for creating a direct and secure communication connection between two networks
EP2271058A1 (en) Device and method of distributing and forwarding requirements to a number of web servers in an industrial automation system

Legal Events

Date Code Title Description
8100 Publication of patent without earlier publication of application
8304 Grant after examination procedure
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee