Firewall - Regel-Übersicht

Klicken Sie hier, um zu der Tabelle zu springen, die die in diesem Bildschirm verfügbaren Elemente beschreibt.

Wenn Sie einfach bestimmte Firewall-Regeln einrichten, ohne ihre eigentliche Funktionsweise genau verstanden zu haben, können Sie die Firewall durchlässig und Ihr Netzwerk verwundbar machen. Testen Sie die Regeln ausgiebig, nachdem Sie sie konfiguriert haben.

Sie können z.B. Regeln definieren, um:

¨     bestimmten Datenverkehr wie beispielsweise IRC (Internet Relay Chat) vom LAN zum Internet zu unterbinden.

¨     bestimmten Datenverkehr (z.B. Datenbanksynchronisationen von Lotus Notes) von spezifischen Host-Computern im Internet auf spezifische Host-Computer des LAN zuzulassen.

¨     alle Anwender mit Ausnahme der Konkurrenz auf Ihren Web-Server zugreifen lassen.

¨     die Verwendung bestimmter Protokolle, wie z.B. Telnet, durch Benutzer Ihres eigenen LAN-Netzwerks unterbindet.

Regellogik - Übersicht

Lesen Sie die folgenden Punkte achtsam durch, bevor Sie Regeln einrichten.

Regel-Checkliste

1.      Legen Sie den genauen Zweck der Regel fest. Zum Beispiel "Verhindert den IRC-Zugriff des LAN auf das Internet". Oder "Ermöglicht einem entfernten Lotus-Notes-Server im Internet die Synchronisation mit einem hauseigenen Server".

2.      Soll die Regel Datenverkehr durchlassen oder verhindern?

3.      Für welche Übertragungsrichtung soll die Regel gelten?

4.       Welche IP-Dienste sind davon betroffen?

5.      Welche am LAN-Port angeschlossenen Computer sind möglicherweise betroffen?

6.       Welche Computer im Internet sind davon betroffen? Je genauer Sie Ihre Angaben machen, desto besser. Wenn beispielsweise der Datenverkehr vom Internet zum LAN freigegeben wird, ist es immer besser, nur bestimmten Computern im Internet Zugriff zu geben.

Sicherheitsverzweigungen

Nachdem Sie die Logik einer Regel festgelegt haben, ist es von besonderer Bedeutung, die Sicherheitsverzweigung dieser Regel genau zu durchdenken:

1.      Verhindert die Regel LAN-Benutzern den Zugriff auf lebenswichtige Ressourcen im Internet? Wenn Sie z.B. den IRC-Zugriff verhindern, gibt es evtl. Benutzer, die diesen Dienst benötigen?

2.      Ist es möglich, die Regel so zu verändern, dass sie konkreter ist? Wenn z.B. der IRC-Zugriff allen Benutzern verweigert wird, ist evtl. eine andere Regel effizienter, die nur bestimmten Benutzern den Zugriff verweigert?

3.      Wird Ihr Netzwerk durch eine Regel, die Internet-Anwendern Zugriff auf LAN-Ressourcen gibt, verwundbar? Wenn Sie beispielsweise die FTP-Ports (TCP 20, 21) vom Internet zum LAN freischalten, können Internet-Benutzer auf Computer zugreifen, auf denen ein FTP-Server läuft.

4.       Verursacht diese Regel evtl. einen Konflikt mit anderen Regeln?

Nachdem Sie diese Fragen präzise beantwortet haben, ist das Hinzufügen neuer Regeln nur noch eine Frage des richtigen Ausfüllens der Bildschirme im Web Configurator.

Wichtige Felder zum Einrichten von Regeln

Aktion

Soll Datenverkehr verhindert (Abweisen) oder durchgelassen (Weiterleiten) werden?

Durch die Option "Abweisen" werden die Pakete stillschweigend abgewiesen.

Dienst

Wählen Sie im Listenfeld Dienste einen Dienst aus. Wenn Sie dies nicht tun, müssen Sie ihn zunächst definieren.

Ursprungsadresse

Geben Sie hier die Ursprungsadresse der Verbindung an. Handelt es sich hierbei um den LAN-, oder WAN-Anschluss? Ist es eine einfache IP-Adresse, eine ganze Gruppe oder sogar eine Subnet-Maske?

Zieladresse

Geben Sie hier die Zieladresse der Verbindung an. Handelt es sich hierbei um den LAN- oder WAN-Anschluss? Ist es eine einfache IP-Adresse, eine ganze Gruppe oder sogar eine Subnet-Maske?

Verbindungsrichtungen

Die Regeln "LAN-LAN/Router" und "WAN-WAN/Router" werden auf die an den betreffenden Ports (LAN, WAN) eingehenden Pakete angewandt. LAN-LAN/Router beinhaltet Regeln vom LAN zum Prestige (Regeln zur Verwaltung des Prestige über den LAN-Anschluss) sowie Regeln vom LAN ins LAN (Regeln, die das Routing zwischen zwei Subnetzen innerhalb des LAN-Netzwerks überwachen). Andererseits werden die Regeln vom Typ WAN-WAN/Router gleichartig auf den WAN-Port angewandt.

Regeln vom LAN ins WAN

Standardmäßig haben alle Anwender des LAN-Netzwerks uneingeschränkten Zugriff auf das WAN-Netzwerk. Wenn Sie die Zugriffsrechte des Typs "LAN-WAN" einrichten, müssen Sie entscheiden, ob Sie bestimmten oder allen Anwendern den Zugriff auf bestimmte WAN-Dienste verweigern möchten.

Regeln vom WAN ins LAN

Die vordefinierte Regel für Datenverkehr vom WAN ins LAN weist alle eingehenden Verbindungen (vom WAN ins LAN) ab. Wenn Sie den WAN-Anwendern Zugriff auf Ihr lokales Netzwerk gewähren möchten, müssen Sie benutzerdefinierte Regeln erstellen, die dies ermöglichen.

Regeln einrichten

Ihre benutzerdefinierten Regeln vergleichen die IP-Ursprungsadresse, IP-Zieladresse und den IP-Protokolltyp des Datenverkehrs des Netzwerks mit den Regeln, die der Administrator eingerichtet hat. Dabei haben die von Ihnen definierten Regeln Vorrang über den werksseitig eingerichteten des Prestige.

Benachrichtigungen

Benachrichtigungen sind Mitteilungen über Ereignisse, über die Sie sofort informiert sein sollten. Im Bildschirm Regel bearbeiten können Sie festlegen, ob eine Benachrichtigung erzeugt wird, wenn eine Regel zutrifft.

Richten Sie den Bildschirm Protokolleinstellungen so ein, dass der Prestige umgehend eine E-Mail-Nachricht verschickt, wenn ein Ereignis eine Benachrichtigung auslöst. Im Benutzerhandbuch finden Sie weiterführende Informationen im Kapitel zu Protokollen.


Bezeichnung

Beschreibung

Belegter Speicherplatz f. Firewall-Regeln Diese Leiste zeigt an, wie viel Speicherplatz des Prestige derzeit zur Aufzeichnung von Firewall-Regeln belegt wird. Die Anzeige lässt sich nicht bearbeiten.
Paket-ÜbertragungsrichtungWählen Sie aus der Pulldown-Liste die Übertragungsrichtung (LAN-LAN/Router, LAN-WAN, WAN-WAN/Router oder WAN-LAN) aus, für die die Firewall-Regeln gelten sollen.
StandardregelnDieses Feld zeigt die Maßnahme und Aufzeichnungsart an, die Sie im Bildschirm Standardregeln für die im vorigen Feld ausgewählte Übertragungsrichtung festgelegt haben.
Die folgenden Felder bieten eine Übersicht über die eingerichteten Regeln, die sich auf die ausgewählte Datenübertragungsrichtung beziehen. Sie können diese Felder nicht bearbeiten. Die konfigurierten Firewall-Regeln (siehe folgende Übersicht) erhalten Priorität gegenüber den allgemeinen Firewall-Einstellungen weiter oben.
RegelDies ist die Ordnungszahl der Firewall-Regel. Die Reihenfolge der Regeln ist besonders wichtig, da sie genau so ausgeführt werden. Klicken Sie auf eine Regelnummer, um diese Regel zu bearbeiten.
AktiviertHier wird angezeigt, ob eine Firewall ein- (J) oder ausgeschaltet (N) ist.
Ursprungs-IPIn diesem Listenfeld erscheinen die Ursprungsadressen bzw. -Adressbereiche, auf die sich die Firewall-Regel bezieht. Beachten Sie, dass ein leeres Feld für sowohl Ursprungs- als auch Zieladresse äquivalent zum Wert Beliebige ist.
Ziel-IPIn diesem Listenfeld erscheinen die Zieladressen bzw. -Adressbereiche, auf die sich die Firewall-Regel bezieht. Beachten Sie, dass ein leeres Feld für sowohl Ursprungs- als auch Zieladresse äquivalent zum Wert Beliebige ist.
DienstDieses Listenfeld zeigt die verschiedenen Dienste an, für die die Firewall-Regel gilt. Beachten Sie, dass ein leeres Feld für den Diensttyp äquivalent zum Wert Beliebige ist.
AktionHier wird die von der Regel auszuführende Aktion festgelegt: Abweisen oder Weiterleiten. Durch die Option Abweisen werden die Pakete stillschweigend abgewiesen.
ProgrammierungDieses Feld informiert Sie darüber, ob die Zeitprogrammierung aktiviert wurde (Ja) oder nicht (Nein).
ProtokollDieses Feld informiert darüber, ob ein Protokoll erstellt wird, wenn die Regel zutrifft (Aktiviert) oder nicht (Deaktiviert).
BenachrichtigungDieses Feld zeigt an, ob durch diese Regel, wenn sie erfüllt wird, eine Benachrichtigung ausgelöst wird (Ja) oder nicht (Nein).
Einfügen

Geben Sie die Ordnungszahl der Position ein, wo Sie eine Regel einfügen möchten. Wenn Sie beispielsweise "6" eingeben, wird die neue Regel an Position 6 eingefügt. Das heißt, die Regel, die zuvor an Position 6 war, erscheint jetzt bei Nummer 7.

Klicken Sie auf Einfügen, um diesen Bildschirm anzuzeigen. Siehe die folgende Tabelle für weitere Informationen zu den Feldern.

AnhängenKlicken Sie auf Anhängen, um eine neue Regel am Ende der Liste einzufügen.
VerschiebenGeben Sie die Ordnungszahl einer Regel und die Ziffer der Position ein, wohin Sie die Regel verschieben möchten. Klicken Sie auf Verschieben, um die Regel an die neue Position zu bringen. Die Reihenfolge der Regeln ist besonders wichtig, da sie genau so ausgeführt werden.
ZurückKlicken Sie auf Zurück, um zum Bildschirm Firewall-Funktionen zurückzukehren.
AnwendenKlicken Sie auf Anwenden, um die Änderungen zu speichern.
AbbrechenKlicken Sie auf Abbrechen, um alle Felder dieses Bildschirms zu löschen und sie erneut zu definieren.