Firewall; Grundlagen; Basiskonfiguration - Draytek Vigor3100 Serie Benutzerhandbuch

3.4 Firewall

3.4 Firewall

3.4.1 Grundlagen

3.4.1 Grundlagen
Während die Benutzer im LAN immer mehr Bandbreite für multimediale interaktive
Anwendungen fordert, sollte dennoch auf die Sicherheit ein großer Wert gelegten. Die
Firewall hilft, Ihr Netzwerk vor Angriffe von unautorisierten Außenstehenden zu verhindern.
Sie kann weiterhin den Zugang zum Internet für manche Benutzer oder Anwendungen
einschränken oder unterbinden. Selbstverständlich könne Sie auch verhindern, dass
Programme ungewollt auf das Internet zugreift.
Neben den Firewall Regeln ist die größte Grundsicherheit die Vergabe eines Passworts. Denn
sobald ein Angreifer auf Ihren Vigor Zugriff hat, kann er alle Konfigurationen ändern!
Vergeben Sie daher immer ein Administrator Passwort.

3.4.2 Basiskonfiguration

3.4.2 Basiskonfiguration
Anruf-Filter
Daten-Filter
Log Flag
Stateful Packet
Inspection (SPI) aktiv
Filter auf alle
eingehenden VPN ...
Trenne Verbindungen
auf TCP-Port 80 ...
Fragmentierte UDP-
Pakete akzeptieren
22
Aktivieren Sie die Anruf-Filter Funktion und weisen Sie einen Start
Filter zu, mit dessen Regeln der Verbindungsaufbau ins WAN bzw.
Internet eingeschränkt werden.
Aktivieren Sie die Daten-Filter Funktion und weisen Sie einen Start
Filter zu, mit dessen Regeln das LAN vor Angriffen von außen
geschützt wird.
Zur Fehleranalyse ist eine Übersicht der Filterfunktion hilfreich.
Aus – Die Log Funktion ist inaktiv.
Alle durchgelassenen Pakete – Alle Pakete, die aufgrund einer
Filterregel durchgelassen wurde, werden geloggt.
Alle blockierten Pakete – Alle Pakete, die durch eine Filterregel
verworfen wurde, werden geloggt.
Alle Pakete ohne Übereinstimmung – Alle Pakete, auf die keine
Filterregel angewendet wurde, werden geloggt.
Beachte Sie, dass das Log nur über Telnet mit dem Befehl log –f
eingesehen werden kann.
SPI ist eine zustandsgesteuerte Filterung, welche sich den Zustand
einer Verbindung merkt und dadurch neue Datenpakete logisch einer
Verbindung zuordnen kann. Ein einfacher Paketfilter dagegen muss
jedes neue Datenpaket komplett analysieren. Aktivieren Sie diese
Funktion, um SPI zu nutzen.
Aktivieren Sie diese Funktion, um die definierten Filterregeln auch
auf VPN Verbindungen anzuwenden.
Aktivieren Sie diese Funktion, um den TCP-Port 80 für http zu
reservieren und somit keinen andere Diensten den Zugriff hierauf zu
gewähren.
Einige Online Spiele (z.B. Half Life) bzw. Sprach- oder
Videotransmissionen verwenden für die Datenüberragung große
Mengen von unfragmentierten UDP Paketen. Da dies auch eine
bekannte Angriffsmethode ist, betrachtet der Vigor diese Pakete
generell als Sicherheitsrisiko und verwirft sie. Aktivieren Sie diese
Funktion, um angesprochenen Anwendungen benutzen zu können.
Vigor3100 Serie - Router
Vigor3100 Serie Benutzerhandbuch