Inhaltsverzeichnis
Werbung
5
Das Aktivieren der Option "Authentifizierungs-Port tarnen" kann zu erheblichen Verzögerungen beim Versand
und Empfang z. B. von E-Mails oder News führen!
Ein Mail- oder News-Server, der mit Hilfe dieses Dienstes etwaige zusätzliche Informationen vom User anfordert, läuft
dann zunächst in einen störenden Timeout, bevor er beginnt, die Mails auszuliefern. Dieser Dienst benötigt also einen
eigenen Schalter um ihn zu verstecken bzw. "konform" zu halten.
Die Problematik dabei ist nun allerdings, dass eine Einstellung, die alle Ports versteckt, den ident-Port aber zurückweist,
unsinnig ist - denn allein dadurch, dass der Ident-Port zurückgewiesen wird, wäre das Gerät zu sehen.
Das Gerät bietet zur Lösung dieses Problems an, Ident-Anfragen nur von den Mail und News-Servern abzulehnen, und
bei Anfragen von allen anderen Rechnern diese einfach zu verwerfen. Hierzu werden bei der Abfrage eines Mail- (SMTP,
POP3, IMAP2) oder Newsservers (NNTP) für eine kurze Zeit (20 Sekunden) ident-Anfragen von den jeweiligen Servern
abgelehnt.
Ist die Zeit abgelaufen, so wird der Port wieder versteckt.
8.3.4 Die Parameter der Firewall-Regeln
In diesem Abschnitt stellen wir vor, aus welchen Komponenten eine Firewall-Regel besteht und welche Optionen zur
Einstellung der verschiedenen Parameter zur Verfügung stehen.
Die Komponenten einer Firewall-Regel
Eine Firewall-Regel wird zunächst bestimmt durch ihren Namen und einige weitere Optionen:
1
Ein-/Ausschalter: Ist die Regel aktiv?
1
VPN-Regel: Wird die Firewall-Regel auch zur Erzeugung von VPN-Regeln verwendet?
1
Verknüpfung: Sollen weitere Firewall-Regeln beachtet werden, wenn diese Regel für ein Datenpaket zutrifft?
Verknüpfung
1
Priorität: Mit welcher Priorität wird die Regel bearbeitet?
1
Quell-Tag: Über ein Quell-Tag ergänzen Sie das Routing-Tag um die Angabe, auf welches Quell-Netzwerk das Gerät
die Firewall-Regel anwendet. Geben Sie ein Quell-Tag an, um eine eindeutige Beziehung zwischen Quell- und Ziel-Hosts
in ARF-Kontexten festzulegen: Das Gerät leitet nur dann Datenpakete an ein ARF-Netzwerk weiter, wenn diese von
Hosts aus einem ARF-Netzwerk mit dem angegeben Quell-Tag stammen.
1
Routing-Tag: Mit dem Einsatz des Routing-Tags können über die Ziel-IP-Adressen weitere Informationen wie z. B.
der verwendete Dienst oder das verwendete Protokoll für die Auswahl der Zielroute genutzt werden. Durch das so
realisierte Policy-based Routing ist eine deutlich feinere Steuerung des Routing-Verhaltens möglich.
4
Das Routing-Tag 0 bedeutet hier 'nicht markieren'. Wenn das Gerät Datenpakete in ein mit 0 getaggtes Netz
leiten soll, tragen Sie hier bitte 65535 ein.
Priorität
Das Gerät nimmt beim Aufbau der Filterliste aus den Firewall-Regeln eine automatische Sortierung der Einträge vor.
Dabei wird der "Detallierungsgrad" berücksichtigt: Zunächst werden alle speziellen Regeln beachtet, danach die
allgemeinen (z. B. Deny-All).
Wenn sich durch die automatische Sortierung nicht das gewünschte Verhalten der Firewall einstellt, kann die Priorität
von Hand verändert werden. Je höher die Priorität der Firewall-Regel, desto eher wird der zugehörige Filter in der Filterliste
platziert.
5
Prüfen Sie bei komplexen Regelwerken die Filterliste, wie im Abschnitt
Verknüpfung
Es gibt Anforderungen an die Firewall, die mit einer einzelnen Regel nicht abgedeckt werden können. Wenn die Firewall
dazu eingesetzt wird, den Internet-Traffic verschiedener Abteilungen (in eigenen IP-Subnetzen) zu begrenzen, können
auf Seite 485
VPN-Regeln
Priorität
auf Seite 485
Firewall-Diagnose
Referenzhandbuch
8 Firewall
auf Seite 486
auf Seite 502 beschrieben.
485
Werbung
Inhaltsverzeichnis
