Inhaltsverzeichnis
Werbung
15 Firewall
ein "Verweigern", bei dem keine Fehlermeldung an den Sender des zurückgewiesenen Pakets ausgege-
ben wird, als auch ein "Ablehnen", bei dem der Sender über die Ablehnung des Pakets informiert wird.
Die eingehenden Pakete werden folgendermaßen bearbeitet:
• Zunächst überprüft die SIF, ob ein eingehendes Paket einer bereits bestehenden Verbindung zuge-
ordnet werden kann. Ist dies der Fall, wird es weitergeleitet. Kann das Paket keiner bestehenden Ver-
bindung zugeordnet werden, wird überprüft, ob eine entsprechende Verbindung zu erwarten ist (z. B.
als Tochterverbindung einer bereits bestehenden). Ist dies der Fall, wird das Paket ebenfalls akzep-
tiert.
• Wenn das Paket keiner bestehenden und auch keiner zu erwartenden Verbindung zugeordnet werden
kann, werden die SIF-Filterregeln angewendet: Trifft auf das Paket eine Deny-Regel zu, wird es abge-
wiesen, ohne dass eine Fehlermeldung an den Sender des Pakets geschickt wird; trifft eine Reject-Re-
gel zu, wird das Paket abgewiesen und eine ICMPHost-Unreachable-Meldung an den Sender des
Paktes ausgegeben. Nur wenn auf das Paket eine Accept-Regel zutrifft, wird es weitergeleitet.
• Alle Pakete, auf die keine Regel zutrifft, werden nach Kontrolle aller vorhandenen Regeln ohne Feh-
lermeldung an den Sender abgewiesen (= Standardverhalten).
Konkrete Hinweise für die Konfiguration einer Stateful Inspection Firewall (SIF) finden Sie am Ende des
Kapitels unter
15.1 Richtlinien
15.1.1 IPv4-Filterregeln
Das Standard-Verhalten mit der Aktion =
eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine ent-
sprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird
das Paket zugelassen.
Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes
Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu Überschneidungen, d. h. trifft für ein Paket
mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgeführt. Wenn also die erste Filterre-
gel ein Paket zurückweist, während eine spätere Regel es zulässt, so wird es abgewiesen. Ebenso
bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen
Filterregel zugelassen wird.
Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswürdigen
und nicht vertrauenswürdigen Zonen besteht. Die beiden Sicherheitsrichtlinien
bzw.
Vertrauenswürdige Schnittstelle und Nicht vertrauenswürdige Schnittstellen , die standardmäßig
angelegt sind und nicht gelöscht werden können.
Falls Sie die Sicherheitsrichtlinie
tiert. Sie können nun zusätzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die glei-
che Weise können Sie für die Einstellung
geben.
Im Menü Firewall->Richtlinien->IPv4-Filterregeln wird eine Liste aller konfigurierten IPv4-Filterregeln
angezeigt.
212
SIF - Konfigurationsbeispiel
beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln
auf Seite 225.
besteht aus zwei impliziten Filterregeln: wenn ein
verwenden, werden alle Datenpakete akzep-
ausgewählte Datenpakete frei-
Digitalisierungsbox Standard
bintec elmeg GmbH
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
