Moin!

...aber wenn ich mir vorstelle, dass eine erste Wand ein Loch hat, hingegen die Wand hinter der ersten Wand dicht ist, dann sind doch die Clients besser geschützt wenn sie sich hinter der zweiten Wand befinden?

Diese Vorstellung ist doch aber falsch, denn die zweite Wand wäre ja genauso wenig dicht, wie die erste. Eine Wand würde gar nichts durchlassen, ein NAT-Router ist aber doch genau dafür da, etwas durchzulassen.

Er generiert aufgrund der von den Clients aufgebauten Verbindungen auf TCP und UDP dynamisch Regeln, wie wieder hereinkommende Pakete nach innen weiterzuleiten sind. Im Falle von TCP kann der NAT-Router auch das Ende der Verbindung feststellen und die dynamisch erstellte Regel so wieder löschen - bei UDP hingegen bleibt die Regel nach der letzten Benutzung einfach noch eine Zeit lang aktiv. In dieser Zeit würden UDP-Datenpakete mit derselben Absender-IP also problemlos an den Client weitergeleitet werden, er ist also keinesfalls so abgeschottet, wie du glaubst.

Deine Weiterleitung von Port 80 an den Webserver ist nur eine einzige statische Regel zusätzlich. Also im Vergleich zur Tatsache, dass überhaupt Daten durchgeleitet werden, nur eine winzige Erweiterung.

Also entweder vertraust du dem Hersteller deines Routers so weit, dass er in der Lage ist, ein fehlerfreies NAT-Routing hinzukriegen. Dann ist das standardmäßige Durchleiten von Port 80 hin zum Webserver kein wirkliches Zusatzrisiko, denn an die Clients wird derartig weitergeleiteter Datenverkehr niemals gelangen (außer du stellst wirklich ganz seltsame Dinge zuhause an).

Wenn dein Sicherheitskonzept eine entmilitarisierte Zone zwingend erfordert, brauchst du natürlich noch eine zweite Stufe. Das sehe ich aber nicht, denn das Vorhandensein eines Sicherheitskonzeptes würde bedeuten, dass du hinsichtlich des Datenverkehrs eine pessimistische Grundhaltung hast und an deiner Firewall (die du dann sowohl außen, als auch innen brauchst) nur Verbindungen zu definierten Ports erlaubst, also z.B. nur die Ports 80, 443, 22, 25 und 110 (für HTTP, HTTPS, SSH, SMTP und POP3). Das wiederum bedeutet eine relativ hohe Einschränkung der Benutzer, denn eine Verbindung zu Webservern auf anderen Ports ist damit dann nicht mehr möglich. Der Einsatz eines Proxys wäre auch dringend anzuraten.

Mit anderen Worten: Du versuchst eigentlich, einen Sicherheitslevel zu erreichen bzw. dir vorzumachen, der aufgrund deiner unzureichenden Mittel und dem Fehlen eines Konzeptes gar nicht erreicht werden kann.

- Sven Rautenberg