Hallo,

[..]

Der Ansatz, Browser mit Internet-Zugang in (virtuelle) Maschinen in einer DMZ zu sperren, den Zugriff auf die Browser-Maschinen auf VNC, RDP o.ä. zu beschränken, und Daten von dort wenn überhaupt nur über einen Filter aus dem LAN abholbar zu machen (z.B. über FTP), ist zwar schon einige Male beschrieben worden, aber in der Praxis habe ich das noch nicht gesehen. Dabei hat gerade dieser Ansatz den großen Vorteil, dass LAN und Internet sehr stark getrennt sind. Mit einer Maschine, die für jeden neuen User erneut von einem schreibgeschützten Medium bootet, ist selbst Virenbefall kein großes Problem, mit einem Reboot ist der Virus weg (von Parasiten, die sich selbst ins BIOS flashen, mal abgesehen).

vielen Dank euch beiden, das hört sich sehr interessant an, mit diesem Thema werde ich mich die nächsten Wochen noch einwenig beschäftigen und mich etwas einlesen. Davor frische ich jedoch nochmals allgemein die Netzwerkarchitektur auf.

Grüße