Inhaltsverzeichnis
Werbung
Referenzhandbuch
8 Firewall
einzelne Regeln z. B. nicht gleichzeitig die gemeinsame Obergrenze abbilden. Soll jeder von z. B. drei Abteilungen eine
Bandbreite von maximal 512 kBit/s zugestanden werden, die gesamte Datenrate der drei Abteilungen aber ein Limit von
1024 kBit/s nicht überschreiten, so muss eine mehrstufige Prüfung der Datenpakete eingerichtet werden:
1
In der ersten Stufe wird geprüft, ob die aktuelle Datenrate der einzelnen Abteilung die Grenze von 512 kBit/s nicht
übersteigt.
1
In der zweiten Stufe wird geprüft, on die Datenrate aller Abteilungen zusammen die Grenze von 1024 kBit/s nicht
übersteigt.
Normalerweise wird die Liste der Firewall-Regeln der Reihe nach auf ein empfangenes Datenpaket angewendet. Trifft
eine Regel zu, wird die entsprechende Aktion ausgeführt. Die Prüfung durch die Firewall ist damit beendet, es werden
keine weiteren Regeln auf das Paket angewendet.
Um eine zwei- oder mehrstufige Prüfung eines Datenpaketes zu erreichen, wird die "Verknüpfungsoption" für die Regeln
aktiviert. Wenn eine Firewall-Regel mit aktivierter Verknüpfungsoption auf ein Datenpaket zutrifft, wird zunächst die
entsprechende Aktion ausgeführt, anschließend wird die Prüfung in der Firewall jedoch fortgesetzt. Trifft eine der weiteren
Regeln auch auf dieses Paket zu, wird auch die in dieser Regel definierte Aktion ausgeführt. Ist auch bei dieser folgenden
Regel die Verknüpfungsoption aktiviert, wird die Prüfung solange fortgesetzt, bis
1
entweder eine Regel auf das Paket zutrifft, bei der die Verknüpfung nicht aktiviert ist
1
oder die Liste der Firewall-Regeln ganz durchgearbeitet ist, ohne das eine weitere Regel auf das Paket zutrifft.
Zur Realisierung dieses Szenarios wird also für jedes Subnetz eine Firewall-Regel eingerichtet, die ab einer Datenrate
von 512 kBit/s zusätzliche Pakete der Protokolle FTP und HTTP verwirft. Für diese Regeln wird die Verknüpfungsoption
aktiviert. In einer weiteren Regel für alle Stationen im LAN werden alle Pakete verworfen, die über 1024 kBit/s hinausgehen.
VPN-Regeln
Eine VPN-Regel bezieht die Informationen über Quell- und Ziel-Netz u.a. aus den Firewall-Regeln.
Mit dem Aktivieren der Option "VPN-Regel" für eine Firewall-Regel wird festgelegt, dass aus dieser Firewall-Regel eine
VPN-Regel abgeleitet wird.
Bei der Verwendung von mehreren lokalen Netzwerken, siehe auch ARF, muss die automatische Erzeugung der VPN-Regeln
für jedes Netzwerk gezielt eingestellt werden. Zur Definition der Netzwerke mit automatischer VPN-Regel-Erzeugung
wird das Schnittstellen-Tag verwendet, das für jedes Netzwerk angegeben ist. Über dieses Tag ist eine Zuordnung von
lokalem Netz zur VPN-Route möglich: Jedes auf einem lokalen Interface empfangene Paket wird mit dem Schnittstellen-Tag
markiert und auf eine Route mit dem selben Tag oder dem Default-Tag (0) weitergeleitet.
Für die automatische VPN-Regel-Erzeugung werden nun alle Netzwerke aufgenommen, die
1
das Tag '0' haben oder
1
die beiden folgenden Bedingungen erfüllen:
2
Das Netzwerk hat das gleiche Schnittstellen-Tag wie der zur VPN-Verbindung gehörende Eintrag in der
IP-Routing-Tabelle (nicht zu verwechseln mit dem Routing-Tag für das remote Gateway)
2
Das Netzwerk ist vom Typ 'Intranet'
5
VPN-Regeln für eine DMZ müssen manuell ebenso erstellt werden wie für Netzwerke, deren Schnittstellen-Tag
nicht zum Routing-Tag der VPN-Route passt.
Anwendung der Firewall-Regel
Neben diesen Basisinformationen beantwortet eine Firewall-Regel die Fragen, wann bzw. worauf sie angewendet werden
soll und welche Aktionen ggf. ausgeführt werden:
1
Verbindung: Auf welche Stationen/Netzwerke und Dienste/Protokolle bezieht sich die Regel?
487
1
Bedingung: Ist die Wirksamkeit der Regel durch Bedingungen eingeschränkt?
1
Limit (Trigger): Beim Erreichen welcher Schwellwerte soll die Regel anspringen?
486
Verbindung
auf Seite
Bedingung
auf Seite 488
Limit (Trigger)
auf Seite 488
Werbung
Inhaltsverzeichnis
