Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
Phoenix Contact FL MGUARD RS Serie Anwenderhandbuch
  1. Anleitungen
  2. Marken
  3. Phoenix Contact Anleitungen
  4. Router
  5. FL MGUARD RS Serie
  6. Anwenderhandbuch
Phoenix Contact FL MGUARD RS Serie Anwenderhandbuch

Phoenix Contact FL MGUARD RS Serie Anwenderhandbuch

Vorschau ausblenden
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
AUTOMATION
Anwenderhandbuch
UM DE FL GUARD
Art.-Nr.: 2910499
Anwenderhandbuch zu Hard- und Software der
FL MGUARD RS ... und FL MGUARD PCI...

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Phoenix Contact FL MGUARD RS Serie

Inhaltszusammenfassung für Phoenix Contact FL MGUARD RS Serie

  • Seite 1 AUTOMATION Anwenderhandbuch UM DE FL GUARD Art.-Nr.: 2910499 Anwenderhandbuch zu Hard- und Software der FL MGUARD RS ... und FL MGUARD PCI...
  • Seite 3 FL MGUARD RS VPN 2989611 FL MGUARD RS VPN ANALOG 2989718 FL MGUARD RS VPN ISDN 2989815 FL MGUARD PCI/266 2989019 FL MGUARD PCI/266 VPN 2989514 FL MGUARD PCI/533 2989213 FL MGUARD PCI/533 VPN 2989417 FL MGUARD RS-B 2989899 7612_de_01 PHOENIX CONTACT...
  • Seite 4 Normen und sonstigen Vorschriften zur Elektrotechnik und insbesondere mit den einschlägigen Sicherheitskonzepten vertraut sind. Für Fehlhandlungen und Schäden, die an Produkten von Phoenix Contact und Fremdpro- dukten durch Missachtung der Informationen dieses Handbuchs entstehen, übernimmt Phoenix Contact keine Haftung.
  • Seite 5 Bitte beachten Sie folgende Hinweise Allgemeine Nutzungsbedingungen für Technische Dokumentation Die Phoenix Contact GmbH & Co. KG behält sich das Recht vor, die technische Dokumen- tation und die in den technischen Dokumentationen beschriebenen Produkte jederzeit ohne Vorankündigung zu ändern, zu korrigieren und/oder zu verbessern, soweit dies dem An- wender zumutbar ist.
  • Seite 6 Contact vorbehalten. Fremdprodukte werden stets ohne Vermerk auf Patentrechte ge- nannt. Die Existenz solcher Rechte ist daher nicht auszuschließen. Internet Aktuelle Informationen zu Produkten von Phoenix Contact finden Sie im Internet unter: www.phoenixcontact.com. Stellen Sie sicher, dass Sie immer mit der aktuellen Dokumentation arbeiten.

  • Seite 7: Inhaltsverzeichnis

    FL MGUARD RS und FL MGUARD PCI .............5-2 FL MGUARD PCI....................5-4 Lokale Konfigurationsverbindung herstellen............5-6 Probleme beim Verbindungsaufbau ............ 5-7 5.5.1 Fernkonfiguration ....................5-9 Konfiguration ...........................6-1 Bedienung ......................6-1 Bildschirmaufteilung ................6-1 6.1.1 Bei Eingabe unzulässiger Werte ............6-1 6.1.2 7612_de_01 PHOENIX CONTACT...
  • Seite 8 Authentifizierung/Lokale Benutzer ............6-75 6.5.1 Authentifizierung/Firewall-Benutzer ..........6-77 6.5.2 Authentifizierung/Zertifikate ..............6-79 6.5.3 Authentifizierung ................6-83 6.5.4 Menü Netzwerksicherheit .................6-92 Netzwerksicherheit/Paketfilter ............6-92 6.6.1 Werkseitige Voreinstellung der Firewall (Default): ......6-92 6.6.2 Eingangsregeln .................6-92 6.6.3 Ausgangsregeln ................6-94 6.6.4 Regelsätze ..................6-95 6.6.5 Regelsatz ..................6-96 6.6.6 PHOENIX CONTACT 7612_de_01...
  • Seite 9 6.11.1 Redundanz ..................6-156 6.11.2 Ring-/Netzkopplung ................6-158 6.11.3 6.12 Menü Logging....................6-158 Logging/Einstellungen ..............6-158 6.12.1 Logging / Logs ansehen ..............6-160 6.12.2 6.13 Menü Support....................6-164 Support/Werkzeuge ................6-164 6.13.1 Support/Erweitert ................6-166 6.13.2 CIDR (Classless Inter-Domain Routing) ............6-166 6.14 6.15 Netzwerk-Beispielskizze.................6-168 7612_de_01 PHOENIX CONTACT...
  • Seite 10 Voraussetzungen zum Flashen der Firmware: DHCP- und TFTP-Server ..............7-4 DHCP- und TFTP-Server unter Windows oder Linux installieren ..7-5 7.3.2 Unter Linux ..................7-6 7.3.3 Glossar ...........................8-1 Technische Daten ........................9-1 Bestelldaten .......................9-3 Produkte .................... 9-3 9.1.1 Zubehör ....................9-3 9.1.2 PHOENIX CONTACT 7612_de_01...

  • Seite 11: Security Appliance Fl Mguard

    Protokoll: IPsec (Tunnel und Transport Mode) – IPsec Verschlüsselung in Hardware mit DES (56 Bit), 3DES (168 Bit), AES (128, 192, 256 Bit) – Paket-Authentifizierung: MD5, SHA-1 – Internet Key Exchange (IKE) mit Main und Quick Mode 7612_de_01 PHOENIX CONTACT...
  • Seite 12 70 MBit/s bei FL MGUARD PCI Weitere Features – MAU Management – Remote Logging – Router/Firewall Redundanz – LLDP – Administration unter Benutzung von SNMP v1-v3 und Innominate Device Manager (IDM) – Quality of Service (QoS) – PKI-Unterstützung für HTTPS/SSH Remote Access PHOENIX CONTACT 7612_de_01...

  • Seite 13: Geräteversionen

    DIN EN 50 022) konzipiert und ist damit vor allem für den Einsatz im industriellem Umfeld geeignet. VPN-Tunnel können von der Maschine per Software- oder Hardware-Schalter initiiert wer- den. Eine redundante Spannungsversorgung (24-V-DC) ist möglich. Bild 1-1 Frontansicht vom FL MGUARD RS VPN ANALOG 7612_de_01 PHOENIX CONTACT...
  • Seite 14 Security Appliance im PCI-Format mit VPN-Unterstützung und mit 266 MHz-Takt- frequenz - FL MGUARD PCI/266 VPN – als Security Appliance im PCI-Format mit VPN-Unterstützung und mit 533 MHz-Takt- frequenz - FL MGUARD PCI/533 VPN Bild 1-2 Ansicht der FL MGUARD PCI PHOENIX CONTACT 7612_de_01...

  • Seite 15: Typische Anwendungsszenarien

    Der FL MGUARD kann für mehrere Rechner als Netzwerk-Router die Internet-Anbindung bereitstellen und das Firmennetz dabei mit seiner Firewall schützen. Intranet DSL-Modem/ Internet Router Firewall Bild 2-2 FL MGUARD als Router Dazu kann einer der folgenden Netzwerk-Modi des FL MGUARD genutzt werden: 7612_de_01 PHOENIX CONTACT...
  • Seite 16 Auf den externen Rechnern muss dazu eine IPsec fähige VPN-Client Software installiert werden, das Betriebssystem diese Funktionalität unterstützen, wie z. B. Windows 2000/XP oder der Rechner mit einem FL MGUARD ausgerüstet sein. Internet Außenstelle Bild 2-4 FL MGUARDs zur sicheren Anbindung entfernter Rechner PHOENIX CONTACT 7612_de_01...

  • Seite 17: Nebengebäude

    192.168.2.0/24 Die Default Route eines FL MGUARD führt normalerweise über den WAN Port. In diesem Fall jedoch ist das Internet über den LAN Port erreichbar: Tabelle 2-3 Defaultgateway im Hauptgebäude Auswahl Einstellung IP des Default Gateways 192.168.1.253 7612_de_01 PHOENIX CONTACT...
  • Seite 18 Mit Hilfe der FL MGUARD und ihrem 1:1 NAT Feature können diese Netze nun auf andere Netze umgeschrieben werden, so dass der Konflikt aufgelöst wird. (1:1 NAT kann im normalen Routing und in IPsec VPN Tunnel genutzt werden. Bild 2-6 NAT-Routing mit FL MGUARDs PHOENIX CONTACT 7612_de_01...

  • Seite 19: Bedienelemente Und Status-/Diagnose-Anzeigen

    Status- und Modem/Fault Modem/Fault Diagnose-Anzeigen State/Error State/Error LAN/WAN LAN/WAN Serielle Schnittstelle Serial LAN-Port WAN-Port "Secure" "Unsecure" Rescue- Taster Service Anschluss für Meldekontakt CMD ACK Taster, Modem ... FL MGUARD RS Ord.-No.: 2989310 76120007 Bild 3-1 Bedienelemente und Status-/Diagnose-Anzeigen 7612_de_01 PHOENIX CONTACT...
  • Seite 20 Dazu die Rescue-Taste kurz (1,5 Sek.) drücken oder – Das Gerät von der Stromversorgung kurz trennen und dann wieder anschließen. Falls der Fehler weiterhin auftritt, starten Sie die Recovery-Prozedur (siehe Kapitel „Re- covery-Prozedur ausführen“ auf Seite 7-2) oder wenden Sie sich an den Support. PHOENIX CONTACT 7612_de_01...

  • Seite 21: Fl Mguard Pci

    Tabelle 3-2 Lokale Diagnose- und Status-Anzeigen beim FL MGUARD PCI Farbe Status Bedeutung WAN + blinken Bootvorgang - Nach dem Start des Rechners blinkend Systemfehler - Neustart erforderlich (siehe Kapitel „Reco- very-Prozedur ausführen“ auf Seite 7-2) kein Systemfehler 7612_de_01 PHOENIX CONTACT...
  • Seite 22 FL MGUARD PHOENIX CONTACT 7612_de_01...

  • Seite 23: Inbetriebnahme

    Anschlusskabel nicht knicken. Den Netzwerkstecker nur zum Verbinden mit einem Netzwerk benutzen. FL MGUARD RS installieren 4.1.1 Montage/Demontage Montage Das Gerät wird in betriebsbereitem Zustand ausgeliefert. Für die Montage und die Vor- nahme der Anschlüsse ist folgender Ablauf zweckmäßig: 7612_de_01 PHOENIX CONTACT...
  • Seite 24 Um den FL MGUARD RS von der Hutschiene zu demontieren, fahren Sie mit einem Schraubendreher waagerecht unterhalb des Gehäuses in den Verriegelungsschieber, zie- hen diesen – ohne den Schraubendreher zu kippen – nach unten und klappen den FL MGUARD RS nach oben. PHOENIX CONTACT 7612_de_01...

  • Seite 25: Anschlüsse

    Redundante Versorgung des FL MGUARD ACHTUNG: Der FL MGUARD RS ist für den Betrieb mit Sicherheitskleinspannung aus- gelegt. Entsprechend dürfen an die Versorgungsspannungsanschlüsse sowie an den Meldekontakt nur PELV-Spannungskreise oder wahlweise SELV-Spannungskreise mit den Spannungsbeschränkungen gemäß IEC/EN 60950 angeschlossen werden. 7612_de_01 PHOENIX CONTACT...

  • Seite 26: Netzwerkverbindung

    Beide Netzwerkschnittstellen des FL MGUARD RS sind für den Anschluss an einen Rechner konfiguriert. 4.1.4 Anschlussmöglichkeiten des COMBICON unten Die Anschlussmöglichkeiten am unteren COMBICON sind von der jeweiligen Geräte-Vari- ante abhängig. Angeschlossen werden können: – Optionale Funktionserde – Meldekontakt – VPN-Freigabetaster – VPN-Signal-LED – Analoge Telefonleitung – ISDN-Telefonleitung PHOENIX CONTACT 7612_de_01...
  • Seite 27 Klemme 6 Anschluss für die VPN-Signal-LED Klemme 7 bis 10 Ohne Funktion 1 2 3 4 5 6 7 8 9 10 Service CMD ACK FL MGUARD RS Ord.-No.: 2989310 76120008 Bild 4-4 Beschaltung des 10-poligen COMBICONs 7612_de_01 PHOENIX CONTACT...
  • Seite 28 Klemme 9 und 10 Ohne Funktion 1 2 3 4 5 6 7 8 9 10 Analog Line Service CMD ACK TIP RING FL MGUARD RS VPN ANALOG Ord.-No.: 2989718 76120009 Bild 4-5 Anschluss der analogen Telefonleitung PHOENIX CONTACT 7612_de_01...
  • Seite 29 Verbindungsüberwachung. – Fehler beim Selbsttest. Während eines Neustarts ist der Meldekontakt unterbrochen, bis der FL MGUARD voll- ständig den Betrieb aufgenommen hat. Das gilt auch, wenn der Meldekontakt per Softwa- re-Konfiguration manuell auf Geschlossen gestellt ist. 7612_de_01 PHOENIX CONTACT...

  • Seite 30: Kontakte Für Die Vpn-Verbindung

    FL MGUARD RS über den Serial Port. In diesem Fall ist an den Serial-Port ein Modem anzuschließen. Beim FL MGUARD RS mit eingebautem Modem oder ISDN-Terminaladapter kann der Datenverkehr statt über die WAN-Schnittstelle über die Anschlüsse Analog Line bzw. ISDN Line erfolgen PHOENIX CONTACT 7612_de_01...

  • Seite 31: Fl Mguard Pci Installieren

    Treibermodus In diesem Modus muss später ein Treiber für die PCI-Schnittstelle des FL MGUARD PCI (verfügbar für Windows XP/2000 und Linux) auf dem Computer installiert werden. Im Trei- bermodus wird keine weitere Netzwerkkarte für den Computer benötigt. 7612_de_01 PHOENIX CONTACT...

  • Seite 32: Stealth-Modus Im Treibermodus (Auslieferungszustand)

    LAN Port), übernimmt der FL MGUARD PCI auch für seinen WAN-Port. Somit tritt der FL MGUARD PCI für den Datenverkehr vom und zum Rechner als eigenes Gerät mit eige- ner Adresse gar nicht in Erscheinung. Im Stealth-Modus ist es nicht möglich PPPoE oder PPTP zu verwenden. 4-10 PHOENIX CONTACT 7612_de_01...

  • Seite 33: Router-Modus Im Treibermodus

    (Dieser Zusammenhang wird in der obiger Zeichnung durch zwei schwarze Kugeln verdeut- licht.) Eine dritte IP-Adresse wird für die Schnittstelle des FL MGUARD PCI zum WAN verwendet. Über diese geht die Verbindung zu einem externen Netz (z. B. Internet). 4-11 7612_de_01 PHOENIX CONTACT...

  • Seite 34: Stealth-Modus Im Power-Over-Pci-Modus

    (= LAN Port) konfiguriert ist, vom FL MGUARD PCI auch für seinen WAN Port über- nommen. Somit tritt der FL MGUARD PCI für den Datenverkehr vom und zum Rechner als eigenes Gerät mit eigener Adresse gar nicht in Erscheinung. Im Stealth-Modus ist es nicht möglich PPPoE oder PPTP zu verwenden. 4-12 PHOENIX CONTACT 7612_de_01...

  • Seite 35: Router-Modus Im Power-Over-Pci-Modus

    Folgende Elemente befinden sich auf der FL MGUARD PCI-Karte: Rescue-Knopf Jumper zur Einstellung des Betriebsmodus LAN-Port - Ist im Treibermodus deaktiviert. Im Power-over-PCI-Modus wird hier die Netzwerkkarte desselben oder eines anderen zu schützenden Rechners oder das zu schützende Netzwerk angeschlossen. 4-13 7612_de_01 PHOENIX CONTACT...
  • Seite 36 Schnittstelle aufgebaut. Gemäß Firewall-Werkseinstellung sind hier eingehende Ver- bindungen gesperrt. Bild 4-11 Elemente der FL MGUARD PCI-Karte ACHTUNG: Vor dem Einbau den freien Metallrahmen des PCs berühren, in den Sie den FL MGUARD PCI einbauen wollen, um Ihren Körper elektrostatisch zu entladen. 4-14 PHOENIX CONTACT 7612_de_01...
  • Seite 37 PCI-Steckplatzes auf dem Motherboard aus und drücken Sie anschließend die Karte gleichmäßig in die Buchsenleiste hinein. Schrauben Sie das Slot-Blech der Karte fest. Schließen Sie die Abdeckung des Computers wieder. 10 Schließen Sie das Stromkabel des Computers wieder an und schalten Sie diesen ein. 4-15 7612_de_01 PHOENIX CONTACT...

  • Seite 38: Treiberinstallation

    (siehe Kapitel „Treibermodus“ auf Seite 4-9). Um den Treiber zu installieren, schalten Sie den Computer ein, melden sich mit Admi- nistratorrechten an und warten dann, bis das folgende Fenster erscheint: Bild 4-13 Startbildschirm bei der Treiberinstallation unter Windows XP 4-16 PHOENIX CONTACT 7612_de_01...
  • Seite 39 Nach Einlegen der FL MGUARD-CD wählen Sie Software von einer Liste oder be- stimmten Quelle installieren (für fortgeschrittene Benutzer) und klicken Sie auf Weiter. Bild 4-14 Festlegung der Quelle des Treibers Klicken Sie auf Weiter. Bild 4-15 Bestätigung der Installation 4-17 7612_de_01 PHOENIX CONTACT...
  • Seite 40 FL MGUARD Klicken Sie auf Installation fortsetzen. Bild 4-16 Installation beenden Klicken Sie auf Fertig stellen. 4-18 PHOENIX CONTACT 7612_de_01...
  • Seite 41 Nur wenn der FL MGUARD PCI im Treibermodus arbeitet, ist die Installation eines Trei- bers erforderlich und möglich (siehe „Treibermodus“ auf Seite 4-9). Warten Sie, bis nach Einschalten des Computers und nach dem Anmelden das folgen- de Fenster erscheint: Bild 4-17 Startbildschirm bei der Treiberinstallation unter Windows XP 4-19 7612_de_01 PHOENIX CONTACT...
  • Seite 42 Klicken Sie auf Weiter. Bild 4-18 Festlegung des nächsten Installationsschrittes Nach Einlegen der FL MGUARD-CD wählen Sie Suche nach einem passenden Treiber für das Gerät und klicken Sie auf Weiter. Bild 4-19 Festlegung der Quelle des Treibers 4-20 PHOENIX CONTACT 7612_de_01...
  • Seite 43 Inbetriebnahme Wählen Sie CD-ROM Laufwerke und klicken Sie auf Weiter. Bild 4-20 Bestätigung des Treibers Klicken Sie auf Weiter. Bild 4-21 Bestätigung der Installation 4-21 7612_de_01 PHOENIX CONTACT...

  • Seite 44: Linux

    Entpacken Sie die Treiber von der CD im Verzeichnis /usr/src/pci-driver Führen Sie die folgenden Kommandos aus - cd /usr/src/pci-driver - make LINUXDIR=/usr/src/linux - install -m0644 mguard.o /lib/modules/2.4.25/kernel/drivers/net/ - depmod -a Der Treiber kann nun mit dem folgenden Kommando geladen werden - modprobe mguard 4-22 PHOENIX CONTACT 7612_de_01...

  • Seite 45: Konfiguration Vorbereiten

    Rechner ausgeführt wird (z. B. MS Internet-Explorer ab Version 5.0, Mozilla Fire- fox ab Version 1.5 oder Safari). Der Web-Browser muss SSL (d.h. https) unterstützen. Der FL MGUARD ist gemäß Werkseinstellung unter folgender Adressen erreichbar: Tabelle 5-1 Werkseinstellungen beim FL MGUARD Betriebsart IP-Zugriff Stealth-Modus https://1.1.1.1/ Router-Modus: https://192.168.1.1/ 7612_de_01 PHOENIX CONTACT...

  • Seite 46: Fl Mguard Rs Und Fl Mguard Pci

    Rechner neu ist, dann ist seine Netzwerkschnittstelle im Allgemeinen nicht konfigu- riert. Das heißt, der Rechner „weiß“ noch nicht, dass der Netzwerkverkehr über diese Schnittstelle läuft. In diesem Fall müssen Sie das Standardgateway initialisieren, indem Sie ihm einen Dummy-Wert zuweisen. Gehen Sie dazu wie folgt vor: PHOENIX CONTACT 7612_de_01...
  • Seite 47 Dazu aktivieren Sie zunächst Folgende IP-Adressen verwenden und geben dann zum Beispiel folgende Adressen ein: Tabelle 5-2 IP-Parameter des Konfigurations-PCs Parameter Adresse IP-Adresse 192.168.1.2 Subnetzmaske 255.255.255.0 Standardgateway 192.168.1.1 Auf keinen Fall dem Konfigurations-Rechner eine Adresse wie 1.1.1.2 geben! 7612_de_01 PHOENIX CONTACT...

  • Seite 48: Fl Mguard Pci

    FL MGUARD PCI konfigurieren können. Unter Windows XP konfigurieren Sie die Netzwerkschnittstelle wie folgt: • Start, Systemsteuerung, Netzwerkverbindungen klicken. • Das Symbol des LAN-Adapters mit der rechten Maustaste klicken, so dass sich das Kontextmenü öffnet. Im Kontextmenü Eigenschaften klicken. PHOENIX CONTACT 7612_de_01...
  • Seite 49 Computer wie folgt vorgetäuscht werden: Standardgateway initialisieren Ermitteln Sie die zurzeit gültige Standardgateway-Adresse. Unter Windows XP folgen Sie dazu den oben (unter „Konfiguration der Netzwerk- schnittstelle“ auf Seite 5-4) beschriebenen Schritten, um das Dialogfeld Eigenschaf- ten von Internetprotokoll (TCP/IP) zu öffnen. 7612_de_01 PHOENIX CONTACT...

  • Seite 50: Lokale Konfigurationsverbindung Herstellen

    Der Web-Browser muss SSL (d. h. https) unterstützen. Der FL MGUARD wird im Netzwerk-Modus Stealth ausgeliefert und ist dem entsprechend unter der folgenden Adresse erreichbar: Tabelle 5-4 Werkseinstellungen beim FL MGUARD Betriebsart IP-Zugriff Stealth-Modus https://1.1.1.1/ Router-Modus: https://192.168.1.1/ PHOENIX CONTACT 7612_de_01...

  • Seite 51: Probleme Beim Verbindungsaufbau

    Sie gelangen zur Administrator-Webseite des FL MGUARD. Zuvor erscheint noch der fol- gende Sicherheitshinweis, den Sie bitte mit „Ja“ bestätigen. Bild 5-3 Sicherheitshinweis 5.5.1 Probleme beim Verbindungsaufbau Falls keine Verbindung zwischen dem PC und dem FL MGUARD aufgebaut werden kann, finden Sie nachfolgend einige mögliche Problemlösungen: 7612_de_01 PHOENIX CONTACT...
  • Seite 52 Nach erfolgreicher Verbindungsaufnahme erscheint dieser Sicherheitshinweis (MS Inter- dungsaufbau net-Explorer): Erklärung zum Sicherheitshinweis: Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst- unterzeichneten Zertifikat ausgeliefert. Bild 5-4 Sicherheitshinweis Quittieren Sie den entsprechenden Sicherheitshinweis mit Ja. PHOENIX CONTACT 7612_de_01...

  • Seite 53: Fernkonfiguration

    Safari; der Web-Browser muss SSL (d. h. https) unterstützen.) • Als Adresse geben Sie an: Die IP-Adresse, unter der der FL MGUARD von extern über das Internet bzw. WAN erreichbar ist, gegebenenfalls zusätzlich die Port-Nummer. 7612_de_01 PHOENIX CONTACT...
  • Seite 54 • Bei einer anderen Port-Nummer ist diese hinter der IP-Adresse anzugeben, z. B.: https://123.456.789.21:442 Zur Konfiguration machen Sie auf den einzelnen Seiten der FL MGUARD-Webseite die ge- wünschten bzw. erforderlichen Angaben. Siehe „Konfiguration“ auf Seite 6-1. 5-10 PHOENIX CONTACT 7612_de_01...

  • Seite 55: Konfiguration

    Reihenfolge geändert werden. Bei Tabellen können Sie – Zeilen einfügen, um einen neuen Datensatz mit Einstellungen anzulegen (z. B. die Fire- wall-Einstellungen für eine bestimmte Verbindung) – Zeilen verschieben (d. h. umsortieren) und 7612_de_01 PHOENIX CONTACT...

  • Seite 56: Verschieben Von Zeilen

    Folge: Die Zeilen sind verschoben. 6.1.3.3 Löschen von Zeilen 76120003 Bild 6-3 Löschen von Zeilen im WBM Markieren Sie die Zeilen, die Sie löschen wollen. Klicken Sie auf das Zeichen zum Löschen Folge: Die Zeilen sind gelöscht. PHOENIX CONTACT 7612_de_01...

  • Seite 57: Arbeiten Mit Unsortierbaren Tabellen

    76120006 Bild 6-4 Anfügen von Zeilen Klicken Sie auf den Pfeil, unter dem Sie eine neue Zeile einfügen wollen. Folge: Die neue Zeile wird unter der bestehenden Tabelle angefügt. Jetzt können Sie in der Zeile Werte eintragen. 7612_de_01 PHOENIX CONTACT...

  • Seite 58: Weitere Bedienhinweise

    Wirkt wie die Schaltfläche Übernehmen (s. o.), gilt aber seitenübergreifend. Diese Schaltfläche ist nur dann im Kopfbereich der Seite eingeblendet, wenn der Gültigkeitsbereich der Übernehmen-Schaltfläche auf seitenüber- greifend gestellt ist - siehe „Verwaltung/Web Einstellungen“ auf Seite 6-17. PHOENIX CONTACT 7612_de_01...

  • Seite 59: Menü Verwaltung

    Mit Hostnamen Modus und Hostname können Sie dem FL MGUARD einen Namen geben. Dieser wird dann z. B. beim Einloggen per SSH angezeigt (siehe „Verwaltung/Systemein- stellungen“ auf Seite 6-5, „Shell-Zugang“ auf Seite 6-11). Eine Namensgebung erleichtert die Administration mehrerer FL MGUARD. 7612_de_01 PHOENIX CONTACT...
  • Seite 60 Ein für Verwaltungszwecke frei vergebbarer Name für den FL MGUARD, z. B. „Hermes“, „Pluto“. (Unter SNMP: sysName) Standort Frei vergebbare Bezeichnung des Installationsortes, z. B. „Halle IV, Flur 3“. (Unter SNMP: sysLocation) Kontakt Angabe einer für den FL MGUARD zuständigen Kontaktperson, am besten mit Telefon- nummer. (unter SNMP: sysContact) PHOENIX CONTACT 7612_de_01...
  • Seite 61 Störung im FL MGUARD RS (interne 3,3 VDC-Span- nung, Versorgungsspannung < 9,6V, usw.). Linküberwachung Überwachung des Linkstatus der Ethernet-Ports. Mögliche Einstellungen sind: – Ignorieren – Nur Intern (trusted) überwachen – Nur Extern (untrusted) überwachen – Beide überwachen 7612_de_01 PHOENIX CONTACT...
  • Seite 62 Das Unterbrechen der Verbindung zu bestimmter Uhrzeit beim Netzwerk-Modus PP- PoE: Dies ist der Fall, wenn unter dem Menüpunkt Netzwerk/Interfaces, Allgemein der Netz- werk-Modus auf PPPoE gesetzt ist. (Siehe „Netzwerk/Interfaces“ auf Seite 6-43, „Netz- werk-Modus: PPPoE“ auf Seite 6-51.) PHOENIX CONTACT 7612_de_01...
  • Seite 63 Zeitzone in POSIX.1 Notation... Soll oben unter Aktuelle Systemzeit nicht die mittlere Greenwich-Zeit angezeigt werden sondern Ihre aktuelle Ortszeit (abweichend von der mittleren Greenwich-Zeit), dann tragen Sie hier ein, um wieviel Stunden bei Ihnen die Zeit voraus bzw. zurück ist. 7612_de_01 PHOENIX CONTACT...
  • Seite 64 Zeitangabe beziehen soll. Falls Sie mehrere Zeit-Server angeben, verbindet sich der FL MGUARD automatisch mit allen, um die aktuelle Zeit zu ermitteln. Wenn Sie statt einer IP-Adresse einen Hostnamen, z. B. pool.ntp.org, angeben, muss ein gültiger DNS-Server festgelegt sein - siehe „Netzwerk/DNS“ auf Seite 6-68. 6-10 PHOENIX CONTACT 7612_de_01...
  • Seite 65 Aktiviere SSH-Fernzugang: Ja / Nein Wollen Sie SSH-Fernzugriff ermöglichen, setzen Sie diesen Schalter auf Ja. Damit von außen auf den FL MGUARD zugegriffen werden kann, müssen auf dieser Sei- te unter Erlaubte Netzwerke die Firewall-Regeln entsprechend definiert werden. 6-11 7612_de_01 PHOENIX CONTACT...

  • Seite 66: Port Für Ssh-Verbindungen (Nur Fernzugang)

    Gibt an, ob die Regel für das externe Interface (= WAN Port) oder das interne Interface (= LAN Port) gelten soll. Werksseitige Voreinstellung: Beim externen Interface wird alles verworfen, beim internen alles angenommen. Aktion Möglichkeiten: • Annehmen • Abweisen • Verwerfen Annehmen bedeutet, die Datenpakete dürfen passieren. 6-12 PHOENIX CONTACT 7612_de_01...
  • Seite 67 ..wie sich der lokale FL MGUARD beim SSH-Client authentisiert SSH Server-Zertifikat Legt fest, wie sich der FL MGUARD beim SSH-Client ausweist. In der Auswahlliste eines der Maschinenzertifikate auswählen oder den Eintrag Keines (s. u.). Keines: 6-13 7612_de_01 PHOENIX CONTACT...
  • Seite 68 FL MGUARD installiert sind. Siehe „Authentifizierung/Zertifikate“ auf Seite 6-79. Ist unter Menüpunkt Authentifizierung/Zertifikate, Zertifikatseinstellungen die Verwen- dung von Sperrlisten (= CRL-Prüfung) aktiviert, wird jedes von einer CA signierte Zertifi- kat, das SSH-Clients „vorzeigen“, auf Sperrung geprüft. 6-14 PHOENIX CONTACT 7612_de_01...
  • Seite 69 Attribute mit der übereinstimmen, wie sie in den Zertifikaten gegeben ist, auf die der Filter angewendet werden soll. Auf Groß- und Kleinschreibung ist zu achten. Es können mehrere Filter gesetzt werden, die Reihenfolge ist irrelevant. 6-15 7612_de_01 PHOENIX CONTACT...
  • Seite 70 Nur wenn diese Angabe mit der übereinstimmt, die hier festgelegt wird, er- hält er Zugriff. Mit der Einstellung Alle Benutzer ist der Zugriff für jeden der vorgenannten Systembenutzer möglich. Die Einstellmöglichkeiten netadmin und audit beziehen sich auf Zugriffsrechte mit dem In- nominate Device Manager. 6-16 PHOENIX CONTACT 7612_de_01...

  • Seite 71: Verwaltung/Web Einstellungen

    Seite (Pro Seite) die Schaltfläche Übernehmen zu klicken haben, oder ob Sie einmalig Übernehmen für Änderungen auf mehren Seiten (Seitenübergreifend) kli- cken müssen, damit die Einstellungen vom FL MGUARD übernommen und in Kraft gesetzt werden. Zugriff Bild 6-12 Web-Seite „Zugriff“ 6-17 7612_de_01 PHOENIX CONTACT...
  • Seite 72 D. h. jeder FL MGUARD wird mit einem singulären selbstunterzeichneten Maschi- nenzertifikat ausgeliefert. Erlaubte Netzwerke Bild 6-13 Web-Seite „Erlaubte Netzwerke“ Listet die eingerichteten Firewall-Regeln auf. Sie gelten für eingehende Datenpakete eines HTTPS-Fernzugriffs. Bei den Angaben haben Sie folgende Möglichkeiten: 6-18 PHOENIX CONTACT 7612_de_01...
  • Seite 73 Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel • das Ereignis protokolliert werden soll - Log auf Ja setzen • oder das Ereignis nicht protokolliert werden soll - Log auf Nein setzen (werksseitige Voreinstellung). 6-19 7612_de_01 PHOENIX CONTACT...
  • Seite 74 Authentifizierungsverfahren anwenden kann. Dazu sind unten weitere Angaben zu ma- chen. Ob 1 oder 2 zur Anwendung kommt, hängt vom Web-Browser des von entfernt zugreifen- den Benutzers ab. Option 2 kommt dann zur Anwendung, wenn der Web-Browser dem FL MGUARD ein Zertifikat anbietet. 6-20 PHOENIX CONTACT 7612_de_01...
  • Seite 75 Filter verwendet Die Gegenstelle kann zusätzlich Sub-CA-Zertifikate anbieten. In diesem Fall kann der FL MGUARD mit den angebotenen CA-Zertifikaten und den bei ihm selber konfigurierten CA-Zertifikaten die Vereinigungsmenge bilden, um die Kette zu bil- 6-21 7612_de_01 PHOENIX CONTACT...
  • Seite 76 Im Zertifikat wird der Zertifikatsinhaber im Feld Subject als Wesenheit angegeben, die sich aus mehreren Attributen zusammensetzt. Diese Attribute werden entweder als Object Iden- tifier ausgedrückt (z. B.: 132.3.7.32.1) oder, geläufiger, als Buchstabenkürzel mit einem entsprechenden Wert. Beispiel: CN=Max Muster, O=Fernwartung GmbH, C=DE 6-22 PHOENIX CONTACT 7612_de_01...
  • Seite 77 Der Eintrag in diesem Feld legt fest, welches Gegenstellenzertifikat der FL MGUARD her- anziehen soll, um die Gegenstelle, den Browser des von entfernt zugreifenden Benutzers, zu authentifizieren. Dazu in der Auswahlliste eines der Gegenstellenzertifikate auswählen. 6-23 7612_de_01 PHOENIX CONTACT...

  • Seite 78: Verwaltung/Lizenzierung

    Das gilt für Major-Release Upgrades, also z. B. bei einem Upgrade von Version 4.x.x zu Version 5.x.x zu Version 6.x.x usw. Siehe „Flashen der Firmware“ auf Seite 7-3. Anti-Virus-Lizenz Anti-Virus-Lizenz instal- Zeigt an, ob eine Anti-Virus-Lizenz eingespielt ist. liert Ablaufdatum Bei eingespielter Anti-Virus-Lizenz wird hier das Ablaufdatum dieser Lizenz angezeigt. 6-24 PHOENIX CONTACT 7612_de_01...
  • Seite 79 Voucher Key: Der Voucherschlüssel auf ihrem Voucher Flash Id: Wird automatisch vorausgefüllt Email Address: Ihre E-Mail-Adresse für die Zustellung der Lizenzdatei Nach erfolgreichem Ausfüllen des Formulars wird Ihnen die Lizenzdatei zugesandt. Dann können Sie die Lizenzdatei installieren. 6-25 7612_de_01 PHOENIX CONTACT...

  • Seite 80: Verwaltung/Update

    Firmware installiert. Übersicht Sie können die erfolgreiche Freischaltung des Virenfilters überprüfen. Bild 6-17 Web-Seite „Übersicht“ Die Information über das Ablaufdatum Ihrer Anti-Virus-Lizenz: Siehe „Verwaltung/Lizenzie- rung“ auf Seite 6-24. System Information Version Die aktuelle Software-Version des FL MGUARD. 6-26 PHOENIX CONTACT 7612_de_01...
  • Seite 81 Update Um ein Firmware-Update durchzuführen, gibt es zwei Möglichkeiten: Bild 6-18 Web-Seite „Update“ – Sie haben die aktuelle Package-Set-Datei auf Ihrem Rechner (der Dateiname hat die Endung „.tar.gz“) und Sie führen ein lokales Update durch oder 6-27 7612_de_01 PHOENIX CONTACT...

  • Seite 82: Lokales Update

    Minor- und Major-Releases ergänzen den FL MGUARD um neue Eigenschaften oder ent- halten Änderungen am Verhalten des FL MGUARD. Ihre Versionsnummer ändert sich in der ersten oder zweiten Stelle. Z.B. ist 4.1.0 ein Major- bzw. Minor-Release zu den Versionen 3.1.0 bzw. 4.0.1. 6-28 PHOENIX CONTACT 7612_de_01...
  • Seite 83 Sie den gewünschten Wert. Die Gesamtgröße der Datenbank beträgt mehrere MByte. Es werden nur die auf dem Up- date-Server aktualisierten Dateien nachgeladen. Liste der AVP Update-Ser- Geben Sie hier den Namen von mindestes einem AVP Update-Server an. 6-29 7612_de_01 PHOENIX CONTACT...

  • Seite 84: Verwaltung/Konfigurationsprofile

    Beim Abspeichern eines Konfigurations-Profils werden Passwörter nicht mitgespeichert. Konfigurationsprofile Die Seite Konfigurationsprofile zeigt oben eine Liste von Konfigurationsprofilen, die im FL MGUARD gespeichert sind, z. B. das Konfigurationsprofil Werkseinstellung. Sofern vom Benutzer Konfigurationsprofile gespeichert worden sind, werden diese hier aufgeführt. 6-30 PHOENIX CONTACT 7612_de_01...
  • Seite 85 Liste der bereits im FL MGUARD gespeicherten Profile angezeigt. Hochladen eines Konfigurationsprofils, das auf dem Konfigurations-Rechner in ei- ner Datei gespeichert ist Voraussetzung: Sie haben nach dem oben beschriebenem Verfahren ein Konfigurations- Profil als Datei auf dem Konfigurations-Rechners gespeichert. 6-31 7612_de_01 PHOENIX CONTACT...

  • Seite 86: Verwaltung/Snmp

    SNMP-„Get“- oder „Walk“-Anfragen können länger als eine Sekunde dauern. Dieser Wert entspricht jedoch dem Standard-Timeout-Wert einiger SNMP-Management-Applikatio- nen. Bitte setzen Sie aus diesem Grund den Timeout-Wert Ihrer Management Applikation auf Werte zwischen drei und fünf Sekunden, falls Timeout-Probleme auftreten sollten. 6-32 PHOENIX CONTACT 7612_de_01...
  • Seite 87 Interface Gibt an, ob die Regel für das externe Interface (= WAN Port) oder das interne Interface (= LAN Port) gelten soll. Aktion Möglichkeiten: • Annehmen • Abweisen • Verwerfen Annehmen bedeutet, die Datenpakete dürfen passieren. 6-33 7612_de_01 PHOENIX CONTACT...
  • Seite 88 Bei bestimmten Ereignissen kann der FL MGUARD SNMP Traps (Glossar) versenden. Die Traps entsprechen SNMPv1. Im folgenden sind die zu jeder Einstellung zugehörigen Trap- Informationen aufgelistet, deren genaue Beschreibung in der zum FL MGUARD gehören- den MIB zu finden ist. 6-34 PHOENIX CONTACT 7612_de_01...
  • Seite 89 Client eingegangen ist. Hardwarebezogene Traps (nur FL MGUARD RS) – Chassis (Stromversorgung, Relais): Traps aktivieren Ja / Nein enterprise-oid: MGUARDTrapSenderIndustrial genericTrap: enterpriseSpecific specific-trap: MGUARDTrapIndustrialPowerStatus (2) additional: MGUARDTrapIndustrialPowerStatus Erläuterung: Wird gesendet, wenn das System einen Stromausfall registriert. 6-35 7612_de_01 PHOENIX CONTACT...
  • Seite 90 MGUARDTrapUserFirewall generic-trap: enterpriseSpecific specific-trap: MGUARDTrapUserFirewallLogout (2) additional MGUARDTResUserFirewallUsername, MGUARDTResUserFirewallSrcIP, MGUARDTResUserFirewallLogoutReason Erläuterung: Trap bei Ausloggen eines Benutzers der Benutzer-Firewall. – enterprise-oid: MGUARDTrapUserFirewall generic-trap: enterpriseSpecific specific-trap: MGUARDTrapUserFirewallAuthError TRAP-TYPE (3) additional MGUARDTResUserFirewallUsername, MGUARDTResUserFirewallSrcIP, MGUARDTResUserFirewallAuthenticationMethod Erläuterung: Trap bei Authentifizierungs-Fehler. 6-36 PHOENIX CONTACT 7612_de_01...

  • Seite 91: Snmp Trap Ziele

    Ziel IP IP-Adresse, an welche der Trap gesendet werden soll. Ziel Name Ein optionaler beschreibender Name für das Ziel. Hat keinen Einfluss auf die generierten Traps. Ziel Community Name der SNMP-Community, welcher der Trap zugeordnet ist. 6-37 7612_de_01 PHOENIX CONTACT...

  • Seite 92: Intern/Lan-Interface Und Extern/Wan-Interface

    Eine eindeutige ID des gefundenen Rechners; üblicherweise eine seiner MAC-Adressen. IP-Adresse IP-Adresse des gefundenen Rechners über die der Rechner per SNMP administriert wer- den kann. Portbeschreibung Ein Text, welcher die Netzwerkschnittstelle beschreibt, über welche der Rechner gefunden wurde. Systemname Hostname des gefundenen Rechners. 6-38 PHOENIX CONTACT 7612_de_01...

  • Seite 93: Verwaltung/Zentrale Verwaltung

    Die Zeitsteuerung setzt die ausgewählte Zeit in Bezug auf die eventuell konfigurierte Zeit- zone. Server IP-Adresse oder Hostname des Servers, welcher die Konfigurationen bereitstellt. Verzeichnis Das Verzeichnis (Ordner) auf dem Server, in dem die Konfiguration liegt. 6-39 7612_de_01 PHOENIX CONTACT...
  • Seite 94 Wenn das misslingt, erfolgt wieder ein Rollback, und für die weiteren Zyklen zum Laden einer neuen Konfiguration wird erneut das Auswahlkriterium in Kraft gesetzt - so oft, wie in diesem Feld (Anzahl der Zyklen...) festgelegt ist. 6-40 PHOENIX CONTACT 7612_de_01...
  • Seite 95 Wurzelzertifikat der CA (Certification Authority), welche das Zertifikat des Servers ausgestellt hat. Das gilt dann, wenn es sich beim Zertifikat des Konfigurations-Servers um ein von einer CA signiertes Zertifikat handelt (statt um ein selbst signiertes). 6-41 7612_de_01 PHOENIX CONTACT...

  • Seite 96: Verwaltung/Neustart

    Startet den FL MGUARD neu. Hat den selben Effekt, als wenn Sie die Stromzufuhr vorüber- gehend unterbrechen, so dass der FL MGUARD aus- und wieder eingeschaltet wird. Ein Neustart (= Reboot) ist erforderlich im Fehlerfall. Außerdem kann es erforderlich sein nach einem Software-Update. 6-42 PHOENIX CONTACT 7612_de_01...

  • Seite 97: Menü Netzwerk

    Netzwerk-Modus: Stealth / Router / PPPoE / PPTP / Modem / Eingebau- tes Modem Der FL MGUARD muss auf den Netzwerk-Modus gestellt werden, der seiner lokalen Rech- ner- bzw. Netzwerk-Anbindung entspricht. Siehe „Typische Anwendungsszenarien“ auf Seite 2-1. 6-43 7612_de_01 PHOENIX CONTACT...
  • Seite 98 Betriebssystem zur Netzwerkkarte - hier der FL MGUARD PCI - hat. Im Power-over-PCI Modus ist der LAN Port durch die LAN-Buchse des FL MGUARD PCI gegeben. Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall, Virenschutz und VPN zur Verfügung. 6-44 PHOENIX CONTACT 7612_de_01...
  • Seite 99 FL MGUARD deaktiviert, und der Datenverkehr vom und zum WAN läuft über das im FL MGUARD eingebaute Modem bzw. den eingebauten ISDN-Terminaladapter. Dieses bzw. dieser muss am Telefonnetz (Festnetz) angeschlossen sein. Die Anbindung ans Inter- net erfolgt dann über das Telefonnetz. 6-45 7612_de_01 PHOENIX CONTACT...

  • Seite 100: Netzwerk-Modus: Stealth

    Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die IP-Adresse seines LAN Ports und/oder die lokale Netzmaske ändern, achten Sie unbedingt darauf, dass Sie korrekte Werte angeben. Sonst ist der FL MGUARD unter Umständen nicht mehr erreichbar. 6.4.2 Netzwerk-Modus: Stealth Bild 6-27 Web-Seite „Allgemein“ 6-46 PHOENIX CONTACT 7612_de_01...
  • Seite 101 Client-PC seine Netzwerkkarte nicht aktiviert hat. IP-Adresse Die zusätzliche IP-Adresse, unter welcher der FL MGUARD erreichbar und administrierbar sein soll. Die IP-Adresse „0.0.0.0“ deaktiviert die Management IP-Adresse. Netzmaske Die Netzmaske zu obiger IP-Adresse. 6-47 7612_de_01 PHOENIX CONTACT...

  • Seite 102: Statische Routen (Stealth-Konfiguration = Statisch)

    Das Gateway, über welches dieses Netzwerk erreicht werden kann. Die hier festgelegten Routen gelten für Datenpakete, die der FL MGUARD selber erzeugt, als unbedingte Routen. Diese Festlegung hat Vorrang vor sonstigen Einstellungen. Siehe auch „Netzwerk-Beispielskizze“ auf Seite 6-168. 6-48 PHOENIX CONTACT 7612_de_01...
  • Seite 103 Client hindurchleiten kann, nachdem er die MAC-Adresse vom Client ermitteln konnte. Ist im statischen Stealth-Modus weder eine Stealth Management IP-Adresse noch die MAC-Adresse des Clients konfiguriert, werden DAD ARP Anfragen auf dem internen Inter- face versendet. Netzwerk-Modus: Router Bild 6-30 Web-Seite „Allgemein“ 6-49 7612_de_01 PHOENIX CONTACT...
  • Seite 104 Siehe auch „Netzwerk-Beispielskizze“ auf Seite 6-168. IP des Default Gateways Hier kann die IP-Adresse eines Gerätes im lokalen Netz (angeschlossen am LAN Port) oder die IP-Adresse eines Gerätes im externen Netz (angeschlossen am WAN Port) angegeben werden. 6-50 PHOENIX CONTACT 7612_de_01...
  • Seite 105 Bei Ja geben Sie im nachfolgenden Feld Reconnect täglich um die Uhrzeit an. Dieses Feature dient dazu, das von vielen Internet Providern sowieso erzwungene Trennen und Wiederverbinden mit dem Internet in eine Zeit zu legen, die den Geschäftsbetrieb nicht stört. 6-51 7612_de_01 PHOENIX CONTACT...
  • Seite 106 Setze lokale IP...: statisch / über DHCP Bei Über DHCP: Werden die Adressdaten für den Zugang zum PPTP-Server vom Internet Service Provider per DHCP geliefert, wählen Sie Über DHCP. Dann ist kein Eintrag unter Lokale IP zu machen. 6-52 PHOENIX CONTACT 7612_de_01...

  • Seite 107: Interne Netzwerke

    Fall, wenn als Netzwerk-Modus Modem oder Eingebautes Modem gewählt ist. Dieser Fall ist oben beschrieben. Für diese Verwendungsart sind ausschließlich die Einstellungen des Netzwerk-Modus Modem bzw. Eingebautes Modem relevant. (Die Einstellungen auf der Registerkarte Serielle Schnittstelle bleiben unberücksichtigt.) 6-53 7612_de_01 PHOENIX CONTACT...

  • Seite 108: Modem / Eingebautes Modem

    Weitere Einstellungen der Modemverbindung nehmen Sie vor auf der Registerkarte - siehe „Modem“ auf Seite 6-64. 6.4.4 Modem / Eingebautes Modem 6.4.4.1 Anzurufende Telefonnummer Telefonnummer des Internet Service Providers. Nach Herstellung der Telefonverbindung wird darüber die Verbindung ins Internet hergestellt. 6-54 PHOENIX CONTACT 7612_de_01...

  • Seite 109: Authentifizierung: Pap / Chap / Keine

    Verbindung ins Internet angeben muss, werden dem Benutzer vom Internet Service Provider mitgeteilt. Je nach dem, ob PAP oder CHAP oder Keine ausgewählt wird, erscheinen unterhalb die entsprechenden Felder. In diese tragen Sie die entsprechenden Daten ein 6-55 7612_de_01 PHOENIX CONTACT...

  • Seite 110: Wenn Die Authentifizierung Per Pap Erfolgt

    Benutzernamen/Passwort-Kombination liefert, erlaubt der FL MGUARD die Verbindung. 6.4.5.2 Nachfolgend aufgeführte Felder Siehe unter „Wenn als Authentifizierung „Keine“ festgelegt wird“ auf Seite 6-57 Wenn die Authentifizierung per CHAP erfolgt: Bild 6-35 Einstellungen für die CHAP-Authentifizierung 6-56 PHOENIX CONTACT 7612_de_01...

  • Seite 111: Wenn Als Authentifizierung "Keine" Festgelegt Wird

    Der FL MGUARD befiehlt dem Modem erst dann, eine Telefonverbindung aufzubauen, wenn auch wirklich Netzwerkpakete zu übertragen sind. Er weist dann auch das Modem an, die Telefonverbindung wieder abzubauen, sobald für eine bestimmte Zeit keine Netzwerk- 6-57 7612_de_01 PHOENIX CONTACT...
  • Seite 112 IP. Üblich ist, dass entweder alle drei Werte (Lokale IP, Entfernte IP, Netzmaske) fest eingestellt werden oder auf dem Wert 0.0.0.0 verbleiben. Weitere Einstellungen der Modemverbindung nehmen Sie vor auf der Registerkarte - siehe „Modem“ auf Seite 6-64. 6-58 PHOENIX CONTACT 7612_de_01...

  • Seite 113: Interne Netzwerke

    Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht wer- den. 6.4.6.2 Zusätzliche interne Routen Sind am lokal angeschlossen Netz weitere Subnetze angeschlossen, können Sie zusätzli- che Routen definieren. Netzwerk Das Netzwerk in CIDR-Schreibweise angeben - siehe „CIDR (Classless Inter-Domain Rou- ting)“ auf Seite 6-166. 6-59 7612_de_01 PHOENIX CONTACT...

  • Seite 114: Ethernet

    Die Einstellungen für die serielle Schnittstelle, die hier zu machen sind, haben nichts zu tun mit denen, die für den Netzwerk-Modus Modem vorgenommen werden können. Zur Erläu- terung siehe „Netzwerk/Interfaces“ auf Seite 6-43, „Modem / Eingebautes Modem“ auf Seite 6-54. 6-60 PHOENIX CONTACT 7612_de_01...
  • Seite 115 PC mit Terminalprogramm an der seriellen Schnittstelle angeschlossen wird. Nicht gültig, wenn ein externes Modem angeschlossen wird. Die Einstellung dafür erfolgt auf der Registerkarte Modem. Über die Auswahlliste können Sie festlegen, mit welcher Übertragungsgeschwindigkeit die serielle Schnittstelle arbeiten soll. 6-61 7612_de_01 PHOENIX CONTACT...

  • Seite 116: Ppp Einwahloptionen (Nur Fl Mguard Rs)

    Anmeldename, welchen die PPP-Gegenstelle angeben muss, um per PPP-Verbindung Zu- griff auf den FL MGUARD RS zu bekommen. PPP Passwort Das Passwort, welches die PPP-Gegenstelle angeben muss, um per PPP-Verbindung Zu- griff auf den FL MGUARD RS zu bekommen. 6-62 PHOENIX CONTACT 7612_de_01...

  • Seite 117: Eingangsregeln (Ppp)

    Log-Einträge für unbekannte Verbindungsversuche: Ja / Nein Bei Ja werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. 6.4.8.4 Ausgangsregeln (Port) Firewall-Regeln für ausgehende PPP-Verbindungen vom LAN Interface. Die Parameter entsprechen denen von Eingangsregeln (PPP) - s. o. 6-63 7612_de_01 PHOENIX CONTACT...
  • Seite 118 Standard: ’’AT OK Gegebenenfalls im Handbuch zum Modem nachschlagen, wie die Initialisierungsequenz für diese Modem lautet. Die Initialisierungssequenz ist die Folge von Befehlen, die an das Modem gegeben werden muss, damit das Modem eine Verbindung aufbauen kann. 6-64 PHOENIX CONTACT 7612_de_01...
  • Seite 119 Konfigurationsverbindungen per ppp-Einwahloption für Konfigurationszwecke (sie- he Registerkarte „Serielle Schnittstelle, PPP Einwahloptionen“) oder – für Datenverkehr im Netzwerk-Modus Eingebautes Modem. (In diesem Netzwerk- Modus erfolgt der Datenverkehr nicht über den WAN-Port des FL MGUARD sondern über das eingebaute Modem.) 6-65 7612_de_01 PHOENIX CONTACT...

  • Seite 120: Externes Modem

    Der FL MGUARD RS verfügt optional über ein eingebautes Modem (ISDN), auch ISDN- Terminaladapter genannt. Wird dieses Modem benutzt, muss es konfiguriert werden. Das eingebaute Modem kann wie folgt benutzt werden: – für Konfigurationsverbindungen per ppp-Einwahloption für Konfigurationszwecke (sie- he Registerkarte „Serielle Schnittstelle, PPP Einwahloptionen“) oder 6-66 PHOENIX CONTACT 7612_de_01...

  • Seite 121: Eingebautes Modem (Isdn)

    ISDN-Gegenstelle verständigt. Das ist im Allgemeinen das ISDN-Modem des Inter- net Service Providers, über das die Verbindung ins Internet hergestellt wird. Muss beim In- ternet Service Provider erfragt werden. Sehr häufig wird HDLC verwendet. Hardware Bild 6-42 Web-Seite „Hardware“ Konfiguration und Statusanzeige der Ethernet-Anschlüsse: 6-67 7612_de_01 PHOENIX CONTACT...

  • Seite 122: Mau-Konfiguration

    Die gewünschte Betriebsart, wenn Automatische Konfiguration auf Nein gestellt ist. Aktuelle Betriebsart Die aktuelle Betriebsart des Netzwerkanschlusses. Port On: Ja / Nein (nur FL MGUARD RS) Schaltet den Ethernet-Anschluss ein und aus. 6.4.12 Netzwerk/DNS DNS Server Bild 6-43 Web-Seite „DNS-Server“ 6-68 PHOENIX CONTACT 7612_de_01...
  • Seite 123 In dieser Liste können Sie die IP-Adressen von Domain Name Servern erfassen. Soll einer von diesen vom FL MGUARD RS benutzt werden, muss oben unter Zu benutzende Na- meserver die Option Benutzer definiert (unten stehende Liste) eingestellt sein. DynDNS Bild 6-44 Web-Seite „DynDNS“ 6-69 7612_de_01 PHOENIX CONTACT...

  • Seite 124: Netzwerk/Dhcp

    FL MGUARD RS angeschlossenen Clients automatisch die hier eingestellte Netzwerkkon- figuration zugeteilt werden. Unter Internes DHCP können Sie DHCP Einstellungen für das interne Interface (= LAN Port) vornehmen und unter Externes DHCP die DHCP Einstellun- gen für das externe Interface (= WAN Port). 6-70 PHOENIX CONTACT 7612_de_01...
  • Seite 125 Wird der FL MGUARD RS im Stealth-Modus betrieben und ist der DHCP-Modus Relay ausgewählt, wird diese Einstellung ignoriert. Aufgrund der Natur des Stealth-Modus wer- den DHCP-Anfragen des Client und die entsprechenden Antworten jedoch durchgeleitet. Steht der Schalter auf Deaktiviert, beantwortet der FL MGUARD RS keine DHCP Anfragen. 6-71 7612_de_01 PHOENIX CONTACT...

  • Seite 126: Dhcp-Modus/Server

    Anfang und Ende des Adressbereichs, aus dem der DHCP- Server des FL MGUARD RS den lokal angeschlossenen Cli- DHCP-Bereichsende: ents IP-Adressen zuweisen soll. Lokale Netzmaske: Legt die Netzmaske der Clients fest. Voreingestellt ist: 255.255.255.0 Broadcast-Adresse: Legt die Broadcast-Adresse der Clients fest. 6-72 PHOENIX CONTACT 7612_de_01...
  • Seite 127 Statische Zuweisungen dürfen sich nicht mit dem dynamischen IP-Adresspool über- schneiden. Eine IP darf nicht in mehreren statischen Zuweisungen verwendet werden, ansonsten wird diese IP-Adresse mehreren MAC-Adressen zugeordnet. Es sollte nur ein DHCP-Server pro Subnetz verwendet werden. 6-73 7612_de_01 PHOENIX CONTACT...

  • Seite 128: Dhcp-Modus/Relay

    Beim Weiterleiten können zusätzliche Informationen nach RFC 3046 für die DHCP Server angefügt werden, an welche weitergeleitet wird. 6.4.16 Netzwerk/Proxy-Einstellungen HTTP(S) Proxy- Einstellungen Bild 6-48 Web-Seite „HTTP(S) Proxy-Einstellungen“ Für folgende Verwaltungsverbindungen des FL MGUARD kann ein Proxy Server angege- ben werden: – CRL-Download 6-74 PHOENIX CONTACT 7612_de_01...

  • Seite 129: Proxy-Authentifizierung

    Passwort zur Anmeldung beim Proxy Server. Menü Authentifizierung 6.5.1 Authentifizierung/Lokale Benutzer Unter lokale Benutzer sind die Benutzer zu verstehen, die je nach Berechtigungsstufe das Recht haben, den FL MGUARD zu konfigurieren (Berechtigungsstufe Root und Administra- tor) oder zu benutzen (Berechtigungsstufe User). 6-75 7612_de_01 PHOENIX CONTACT...
  • Seite 130 Benutzer nach jedem Neustart des FL MGUARD bei Zugriff auf eine beliebige HTTP URL dieses Passwort an- geben, damit die VPN Verbindungen des FL MGUARD ak- tiviert werden. Wollen Sie diese Option nutzen, legen Sie im entsprechen- den Eingabefeld das Nutzerpasswort fest. 6-76 PHOENIX CONTACT 7612_de_01...

  • Seite 131: Authentifizierung/Firewall-Benutzer

    Firewall-Regeln definiert werden, z. B. dass für diese jede ausgehende Verbindung erlaubt ist. Diese Benutzerfirewall-Regel greift, sobald sich der oder die betreffende(n) Fire- wall-Benutzer angemeldet haben, für die diese Benutzerfirewall-Regel gilt. (siehe „Netz- werksicherheit/Benutzerfirewall“ auf Seite 6-106) Firewall-Benutzer Bild 6-50 Web-Seite „Firewall-Benutzer“ 6-77 7612_de_01 PHOENIX CONTACT...
  • Seite 132 RADIUS-Timeout Legt fest (in Sekunden), wie lange der FL MGUARD auf die Antwort des Radius-Servers wartet. Standard: 3 Sekunden RADIUS-Wiederholungen: Legt fest, wie oft bei Überschreitung des Radius-Timeout Anfragen an den Radius-Server wiederholt werden. Standard: 3 6-78 PHOENIX CONTACT 7612_de_01...

  • Seite 133: Authentifizierung/Zertifikate

    Diese Art der Authentifizierung sollte aber nur unter Kommuni- kationspartnern Verwendung finden, die sich „gut kennen“ und deswegen vertrauen. Sonst sind solche Zertifikate unter dem Sicherheitsaspekt genauso wertlos wie z. B. selber ge- machte Ausweispapiere, die keinen Behördenstempel tragen. 6-79 7612_de_01 PHOENIX CONTACT...
  • Seite 134 B bei A ausweisen wird. Anhand eines Vergleiches mit dieser Kopie kann A dann er- kennen, dass das von B vorgezeigte Zertifikat zu B gehört. Die Kopie des Zertifikats, das in diesem Beispiel Partner B an A übergeben hatte, nennt man (auf die Oberfläche des FL MGUARD bezogen) Gegenstellenzertifikat. 6-80 PHOENIX CONTACT 7612_de_01...

  • Seite 135: Erstellung Von Zertifikaten

    Webseite www.innominate.de aus dem Download-Bereich heruntergeladen werden kann. Es ist als Application Note unter dem Titel „How to obtain X.509 certificates“ veröffentlicht.) Ein zugehöriges von einer CA (Certificate Authority) signiertes Zertifikat muss bei einer CA beantragt werden. 6-81 7612_de_01 PHOENIX CONTACT...
  • Seite 136 (siehe „CA-Zertifikate“ auf Seite 6-87) und zusätzlich bei der Konfiguration der betreffenden Anwendung (SSH, HTTPS, VPN) referenziert werden müssen. Ob die beiden Verfahren alternativ oder kombiniert zu verwenden sind, wird bei VPN, SSH und HTTPS unterschiedlich gehandhabt. Siehe dazu die nachfolgenden Tabellen. 6-82 PHOENIX CONTACT 7612_de_01...

  • Seite 137: Authentifizierung

    Seite 6-17, „Zugriff” auf Seite 17) Die Gegenstelle kann zusätzlich Sub-CA-Zertifikate anbieten. In diesem Fall kann der FL MGUARD mit den angebotenen CA-Zertifikaten und den bei ihm selber konfigurierten CA-Zertifikaten die Vereinigungsmenge bilden, um die Kette zu bil- 6-83 7612_de_01 PHOENIX CONTACT...

  • Seite 138: Zertifikatseinstellungen

    Bild 6-53 Web-Seite „Zertifikatseinstellungen“ Zertifikatseinstellungen Die hier vollzogenen Einstellungen beziehen sich auf alle Zertifikate und Zertifikatsketten, die der FL MGUARD prüfen soll. Generell ausgenommen davon: – Selbst signierte Zertifikate von Gegenstellen – bei VPN alle Gegenstellenzertifikate 6-84 PHOENIX CONTACT 7612_de_01...

  • Seite 139: Maschinenzertifikate

    Mit einem Maschinenzertifikat, das in den lokalen FL MGUARD geladen ist, authentisiert sich dieser FL MGUARD bei der Gegenstelle. Das Maschinenzertifikat ist sozusagen der Personalausweis eines FL MGUARD, mit dem er sich bei der jeweiligen Gegenstelle aus- weist. 6-85 7612_de_01 PHOENIX CONTACT...
  • Seite 140 Gegenstellen, z. B. anderen VPN-Gateways, ausweist. Um ein (neues) Zertifikat zu importieren, gehen Sie wie folgt vor: Neues Maschinenzertifikat importieren Voraussetzung: Die PKCS#12 (Dateiname = *.p12 oder *.pfx) ist auf dem angeschlossenen Rechner ge- speichert. Gehen Sie wie folgt vor: 6-86 PHOENIX CONTACT 7612_de_01...

  • Seite 141: Ca-Zertifikate

    Die Überprüfung geschieht wie folgt: Im von der Gegenstelle übertragenen Zertifikat ist der Zertifikatsaussteller (CA) als Issuer angegeben. Diese Angabe kann mit dem lokal vorlie- genden CA-Zertifikat von dem selben Issuer auf Echtheit überprüft werden. Weitere Erläu- terungen siehe „Authentifizierung/Zertifikate“ auf Seite 6-79. Beispiel für importierte CA-Zertifikate: 6-87 7612_de_01 PHOENIX CONTACT...

  • Seite 142: Vertauenswürdige Ca-Zertifikate

    Namen müssen eindeutig sein, dürfen also nicht doppelt vergeben werden. Verwendung des Kurznamens: Bei der Konfiguration – von SSH (Menü Verwaltung / Systemeinstellungen, Shell-Zugang), – von HTTPS (Menü Verwaltung / Web-Einstellungen, Zugriff) und – von VPN-Verbindungen (Menü IPsec VPN / Verbindungen) 6-88 PHOENIX CONTACT 7612_de_01...

  • Seite 143: Zertifikats-Kopie Erstellen

    Das Gegenstellenzertifikat für das Authentifizieren einer VPN-Verbindung (bzw. der Ka- näle einer VPN-Verbindung) wird im Menü IPsec VPN/Verbindungen installiert. Weitere Erläuterungen siehe „Authentifizierung/Zertifikate“ auf Seite 6-79. Beispiel für importierte Gegenstellenzertifikate: Bild 6-54 Web-Seite „Gegenstellenzertifikate“ 6-89 7612_de_01 PHOENIX CONTACT...

  • Seite 144: Vertauenswürdige Gegenstellenzertifikate

    Gehen Sie dazu wie folgt vor: Beim betreffenden Gegenstellenzertifikat neben dem Zeilentitel Zertifikat herunterla- den auf die Schaltfläche Aktuelle Zertifikatsdatei klicken. Im sich daraufhin öffnen- den Dialogfeld die gewünschten Angaben machen. 6.5.4.9 Bild 6-55 Web-Seite „CRL“ 6-90 PHOENIX CONTACT 7612_de_01...
  • Seite 145 CRL stattfinden kann. Hochladen Falls die CRL als Datei vorliegt, kann sie auch manuell in den FL MGUARD geladen wer- den. Dazu auf die Schaltfläche Durchsuchen... klicken, die Datei selektieren und dann auf Im- portieren klicken. 6-91 7612_de_01 PHOENIX CONTACT...

  • Seite 146: Menü Netzwerksicherheit

    Regel gefunden wird. Diese wird dann an- gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert. 6.6.3 Eingangsregeln Bild 6-56 Web-Seite „Eingangsregeln“ 6-92 PHOENIX CONTACT 7612_de_01...
  • Seite 147 Ereignis protokolliert werden soll - Log auf Ja setzen • oder nicht - Log auf Nein setzen (werkseitige Voreinstellung). Log-Einträge für unbekannte Verbindungsversuche: Ja / Nein Bei Ja werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. (Werkseitige Voreinstellung: Nein) 6-93 7612_de_01 PHOENIX CONTACT...

  • Seite 148: Ausgangsregeln

    (z. B. 110:120) bezeichnet einen Portbereich. Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). Aktion Annehmen bedeutet, die Datenpakete dürfen passieren. 6-94 PHOENIX CONTACT 7612_de_01...

  • Seite 149: Regelsätze

    Regelsatz zu referenzieren, also diesen als Baustein im aktuellen Regelsatz einzu- setzen. Achten Sie darauf, keine Zirkelreferenzen zu bilden! Ihre Wirkung: Netzwerkpakete, die durch indirekte Selbstreferenzierung von Regelsätzen in eine Endlosschleife geraten, werden vom FL MGUARD verworfen. 6-95 7612_de_01 PHOENIX CONTACT...

  • Seite 150: Regelsatz

    Über diesen Namen kann ein Regelsatz aus der Liste der Eingangs- und Ausgangs- regeln referenziert werden. Dazu wird der betreffende Regelsatz-Name dort in der Spalte Aktion ausgewählt. Aktiv: Ja / Nein Aktiviert / deaktiviert den betreffenden Regelsatz. 6-96 PHOENIX CONTACT 7612_de_01...

  • Seite 151: Firewall-Regeln

    Regelsätze werden nur angewendet, wenn sie auf der Registerkarte Eingangangsregeln bzw. Ausgangsregeln referenziert sind. Eine Referenz auf einen Regelsatz bewirkt, dass die Liste seiner Regeln angewendet wird. Voraussetzung dafür ist, dass alle Kriterien der Zeile erfüllt werden, aus der der Re- gelsatz referenziert wird. 6-97 7612_de_01 PHOENIX CONTACT...

  • Seite 152: Mac Filter

    %any steht für alle Ethernet Protokolle. Weitere Protokolle können mit dem Namen oder in HEX angegeben werden, zum Beispiel: • IPv4 oder 0800 • ARP oder 0806 Aktion Annehmen bedeutet, die Datenpakete dürfen passieren Verwerfen bedeutet, die Datenpakete werden verworfen 6-98 PHOENIX CONTACT 7612_de_01...

  • Seite 153: Erweiterte Einstellungen

    Router Modes (Router / PPTP / PPPoE) ICMP von extern zum FL MGUARD Mit dieser Option können Sie das Verhalten beim Empfang von ICMP-Nachrichten beein- flussen, die aus dem externen Netz an den FL MGUARD gesendet werden. Sie haben fol- gende Möglichkeiten: 6-99 7612_de_01 PHOENIX CONTACT...
  • Seite 154 Einsatz nie erreicht wird. Bei Angriffen kann sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zusätzlicher Schutz eingebaut ist. Sollten in Ihrer Be- triebsumgebung besondere Anforderungen vorliegen, dann können Sie den Wert erhöhen. 6-100 PHOENIX CONTACT 7612_de_01...
  • Seite 155 Das SIP (Session Initiation Protocol) dient zum Aufbau von Kommunika-tionssitzungen mit 2 oder mehr Teilnehmern. Wird häufig bei der IP-Telefonie verwendet. Mit Ja ist es dem FL MGUARD möglich, das SIP zu verfolgen und dynamisch notwendige Firewall-Regeln einzufügen, wenn weitere Kommunikationskanäle zu derselben Sitzung aufgebaut werden. 6-101 7612_de_01 PHOENIX CONTACT...

  • Seite 156: Netzwerksicherheit/Nat

    Bei den Angaben haben Sie folgende Möglichkeiten: Von IP 0.0.0.0/0 bedeutet alle Adressen, d. h. alle internen IP-Adressen werden dem NAT-Verfah- ren unterzogen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise - siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 6-166 6-102 PHOENIX CONTACT 7612_de_01...
  • Seite 157 Die Netzmaske als Wert zwischen 1 und 32 für die lokale und externe Netzwerkadresse (siehe auch „CIDR (Classless Inter-Domain Routing)“ auf Seite 6-166). Kommentar Kann mit kommentierendem Text gefüllt werden. 6.6.9.3 Portweiterleitung Bild 6-63 Web-Seite „Portweiterleitung“ 6-103 7612_de_01 PHOENIX CONTACT...
  • Seite 158 Er kann entweder über die Port-Nummer oder über den entsprechenden Servicenamen an- gegeben werden, z. B. pop3 für Port 110 oder http für Port 80. Weiterleiten an IP Interne IP-Adresse, an die die Datenpakete weitergeleitet werden sollen und auf die die Ori- ginal-Zieladressen umgeschrieben werden. 6-104 PHOENIX CONTACT 7612_de_01...

  • Seite 159: Netzwerksicherheit/Dos-Schutz

    Einsatz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht wer- den, so dass durch die Begrenzung ein zusätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhö- hen. 6-105 7612_de_01 PHOENIX CONTACT...

  • Seite 160: Netzwerksicherheit/Benutzerfirewall

    Erweiterte Einstellungen mit dem Schalter Auf Viren gescannte Ver- bindungen unterliegen Firewall-Regeln außer Kraft gesetzt werden - siehe „Erweiterte Einstellungen“ auf Seite 6-99, „Anti-Virus Scanner“ auf Seite 6-100. 6.6.11.1 Benutzerfirewall-Templates Bild 6-65 Web-Seite „Benutzerfirewall Templates“ 6-106 PHOENIX CONTACT 7612_de_01...

  • Seite 161: Benutzerfirewall / Template Editieren

    Firewall-Regeln zugeordnet sind. Es spielt keine Rolle, von welchem Rechner und unter welcher IP sich ein Benutzer anmeldet. Die Zuordnung Benutzer - Firewall-Re- geln erfolgt über die Authentifizierungsdaten, die der Benutzer bei seiner Anmeldung angibt (Benutzername, Passwort). 6-107 7612_de_01 PHOENIX CONTACT...

  • Seite 162: Template Benutzer

    Template Benutzer Bild 6-67 Web-Seite „Template Benutzer“ 6.6.13.1 Benutzer Benutzer Geben Sie die Namen von Benutzern an. Die Namen müssen denen entsprechen, die unter Menü Benutzerauthentifizierung / Firewall-Benutzer festgelegt sind - siehe „Authentifizie- rung/Firewall-Benutzer“ auf Seite 6-77 6-108 PHOENIX CONTACT 7612_de_01...

  • Seite 163: Firewall Regeln

    Ein frei wählbarer Kommentar für diese Regel. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel • das Ereignis protokolliert werden soll - Log auf Ja setzen • oder nicht - Log auf Nein setzen (werkseitige Voreinstellung). 6-109 7612_de_01 PHOENIX CONTACT...

  • Seite 164: Menü Web-Sicherheit

    6.7.2.1 Optionen Anti-Virus-Schutz für HTTP: Ja / Nein Bei Ja werden empfangene Dateien vom FL MGUARD auf Viren gescannt, sofern sie über HTTP-Verbindungen kommen, die unten in der Liste der HTTP-Server definiert sind. 6-110 PHOENIX CONTACT 7612_de_01...
  • Seite 165 Server haben Sie z. B. die Möglichkeit, eine Ausnahmeregel für eine darauf folgende umfassende Regel zu setzen. Dadurch ist die Angabe von „trusted“ Servern möglich - siehe unten abgebildetes Beispiel. Beispiele: Globale Aktivierung des Anti-Virus-Schutzes für HTTP: 6-111 7612_de_01 PHOENIX CONTACT...
  • Seite 166 Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert. Server Port Hier geben Sie bitte die Nummer des Ports für das HTTP-Protokoll an. Der HTTP-Standard- port 80 ist bereits voreingestellt. Kommentar Ein frei wählbarer Kommentar für diese Regel. 6-112 PHOENIX CONTACT 7612_de_01...

  • Seite 167: Web-Sicherheit/Ftp

    Der FL MGUARD kann nur zum Schutz des FTP-Client genutzt werden. 6.7.3.2 Optionen Anti-Virus-Schutz für FTP: Ja / Nein Bei Ja werden empfangene Dateien vom FL MGUARD auf Viren gescannt, sofern sie über FTP-Verbindungen kommen, die unten in der Liste der FTP-Server definiert sind. 6-113 7612_de_01 PHOENIX CONTACT...
  • Seite 168 Server haben Sie z. B. die Möglichkeit, eine Ausnahmeregel für eine darauf folgende umfassende Regel zu setzen. Dadurch ist die Angabe von „trusted“ Servern möglich - siehe unten abgebildetes Beispiel. Beispiele: Globale Aktivierung des Anti-Virus-Schutzes für FTP: Scan eines Subnetzes, Ausklammerung eines „trusted“ FTP-Servers: 6-114 PHOENIX CONTACT 7612_de_01...
  • Seite 169 Hier geben Sie bitte die Nummer des Ports für das FTP-Protokoll an. Der FTP-Standardport 21 ist bereits voreingestellt. Scannen Scannen Der Virenfilter ist für die in dieser Regel angegebenen Server aktiviert. Nicht scannen Der Virenfilter ist für die in dieser Regel angegebenen Server deaktiviert. 6-115 7612_de_01 PHOENIX CONTACT...

  • Seite 170: Menü E-Mail-Sicherheit

    Dateien, die größer sind, werden nicht gescannt. In diesem Fall wird - abhängig von der Ein- stellung „bei Überschreiten der Größenbegrenzung“ - eine Fehlermeldung an den E-Mail- Client gesendet und die E-Mail nicht empfangen oder automatisch in den Durchlassmodus geschaltet. 6-116 PHOENIX CONTACT 7612_de_01...

  • Seite 171: Bei Virusdetektion

    Durch Aktivierung bzw. Deaktivierung der Anti-Virus-Funktion bei jedem einzelnen Eintrag bzw. Server haben Sie z. B. die Möglichkeit, eine Ausnahmeregel für eine darauf folgende umfassende Regel zu setzen. Dadurch ist die Angabe von „trusted“ Servern möglich - siehe unten abgebildetes Beispiel. Beispiele: 6-117 7612_de_01 PHOENIX CONTACT...
  • Seite 172 Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert. Server Port Hier geben Sie bitte die Nummer des Ports für das POP3-Protokoll an. Der POP3-Standard- port 110 ist bereits voreingestellt. Kommentar Ein frei wählbarer Kommentar für diese Regel. 6-118 PHOENIX CONTACT 7612_de_01...

  • Seite 173: E-Mail-Sicherheit/Smtp

    Anti-Virus-Schutz für SMTP (E-Mail-Versand): Ja / Nein Bei Ja werden zu sendende Dateien vom FL MGUARD auf Viren gescannt, sofern sie über SMTP-Verbindungen übertragen werden sollen, die unten in der Liste der SMTP-Server de- finiert sind. 6-119 7612_de_01 PHOENIX CONTACT...

  • Seite 174: Bei Überschreiten Der Grössenbegrenzung

    Server haben Sie z. B. die Möglichkeit, eine Ausnahmeregel für eine darauf folgende umfassende Regel zu setzen. Dadurch ist die Angabe von „trusted“ Servern möglich - siehe unten abgebildetes Beispiel. Beispiele: Globale Aktivierung des Anti-Virus-Schutzes für SMTP: Scan eines Subnetzes, Ausklammerung eines SMTP-Servers: 6-120 PHOENIX CONTACT 7612_de_01...
  • Seite 175 25 ist bereits voreingestellt. Kommentar Ein frei wählbarer Kommentar für diese Regel. Scannen Scannen Der Virenfilter ist für die in dieser Regel angegebenen Server aktiviert. Nicht scannen Der Virenfilter ist für die in dieser Regel angegebenen Server deaktiviert. 6-121 7612_de_01 PHOENIX CONTACT...

  • Seite 176: Menü Ipsec Vpn

    Namen von VPN-Verbindungen (nur FL MGUARD RS) Der FL MGUARD RS verfügt über Anschlüsse, an die ein externer Taster und eine Signal- LED angeschlossen werden können. Siehe „FL MGUARD RS installieren“ auf Seite 4-1 unter „Service-Kontakte“. 6-122 PHOENIX CONTACT 7612_de_01...
  • Seite 177 Wird der Wert auf 1414 gesetzt, ist diese Einstellung nur wirksam, wenn die Gegenstelle ein FL MGUARD ist, auf dem die Firmware ab Version 5.1.0 installiert ist. In allen anderen Fällen bleibt die Einstellung unwirksam, schadet aber nicht. 6-123 7612_de_01 PHOENIX CONTACT...

  • Seite 178: Dyndns-Überwachung

    Befindet sich die Gegenstelle hinter einem NAT-Router, so muss die Gegenstelle NAT- T unterstützen. Oder aber der NAT-Router muss das IPsec-Protokoll kennen (IP- sec/VPN Passthrough). In beiden Fällen sind aus technischen Gründen nur IPsec Tun- nel-Verbindungen möglich. Verbindungen Liste aller VPN-Verbindungen, die definiert worden sind. 6-124 PHOENIX CONTACT 7612_de_01...

  • Seite 179: Vpn-Verbindung / Vpn-Verbindungskanäle Neu Definieren

    Das Starten und Stoppen einer Verbindung per URL macht nur Sinn, wenn in der Konfigu- ration die Verbindung deaktiviert ist (Aktiv: Nein) oder wenn die Verbindungsinitiierung auf "Warte" eingestellt ist. Ansonsten wird die Verbindung vom FL MGUARD selbständig (wieder) aufgebaut. 6-125 7612_de_01 PHOENIX CONTACT...

  • Seite 180: Vpn-Verbindung / Vpn-Verbindungskanäle Definieren

    Name das gesamte Set der VPN-Verbindungskanäle, die unter diesem Namen zusammen- gefasst sind. Gemeinsamkeiten bei VPN-Verbindungskanälen: • gleiches Authentifizierungsverfahren, festgelegt auf der Registerkarte Authentifizie- rung (siehe „Authentifizierung“ auf Seite 6-133) - gleiche Firewall-Einstellungen - gleiche Einstellung der IKE-Optionen. 6-126 PHOENIX CONTACT 7612_de_01...

  • Seite 181: Vpn-Gateway Der Gegenstelle

    %any muss gesetzt werden, wenn die Gegenstelle mit Hilfe von lokal hinterlegten CA- Zertifikaten authentifiziert werden soll. Wenn sich die Gegenstelle hinter einem NAT Gateway befindet, muss %any gewählt wer- den. Ansonsten wird das Aushandeln weiterer Verbindungsschlüssel nach der ersten Kontaktaufnahme fehlschlagen. 6-127 7612_de_01 PHOENIX CONTACT...
  • Seite 182 Aktiv: Ja / Nein Legen Sie fest, ob die Verbindung aktiv (= Ja) sein soll oder nicht (= Nein). Kommentar Frei einzugebender kommentierender Text. Kann leer bleiben. Es stehen zur Auswahl: • Tunnel (Netz / Netz) 6-128 PHOENIX CONTACT 7612_de_01...

  • Seite 183: Lokales Netz

    Bei dieser wird sämtlicher Datenverkehr, für den keine anderen Tunnel oder Routen exis- tieren, durch diesen VPN Tunnel geleitet. Eine Default Route über das VPN sollte nur für einen Tunnel angegeben werden. Im Stealth-Modus kann eine Default Route über das VPN nicht verwendet werden. 6-129 7612_de_01 PHOENIX CONTACT...
  • Seite 184 Im Stealth-Modus wird das lokale Netz des VPNs durch den FL MGUARD simuliert. Inner- halb dieses virtuellen Netzes ist der Client unter der hier einzutragenden virtuellen IP- Adresse bekannt und ansprechbar. Weitere Einstellungen nach Klicken auf Mehr... • - Verbindungstyp Tunnel Bild 6-80 Web-Seite „Allgemein“ 6-130 PHOENIX CONTACT 7612_de_01...

  • Seite 185: Allgemein

    Aktiviere 1:1-NAT des lokalen Netzwerkes in ein internes Netz: Ja / Nein Das unter Lokal angegebene lokale Netzwerk auf ein tatsächlich vorhandenes lokales Netz- werk umschreiben. Die Voreinstellung ist Nein. Interne Netzwerkadresse für lokales 1:1-NAT (nur wenn oben Ja gewählt wurde) 6-131 7612_de_01 PHOENIX CONTACT...

  • Seite 186: Einstellung Für Tunneleinstellung Ipsec / L2Tp

    Einstellung für Tunneleinstellung IPsec / L2TP Wenn sich Clients per IPsec/L2TP über den FL MGUARD verbinden sollen, dann aktivieren Sie den L2TP Server und machen in den nachfolgend aufgelisteten Feldern die jeweils da- hinter stehenden Angaben: 6-132 PHOENIX CONTACT 7612_de_01...

  • Seite 187: Authentifizierung

    Schlüssel in Form eines X.509 Zertifikats, welches weitere Informationen über seinen Eigentümer und einer Beglaubigungsstelle (Certification Autority, CA) enthält.) Es muss Folgendes festgelegt werden: a) wie sich der lokale FL MGUARD bei der Gegenstelle authentisiert b) wie der lokale FL MGUARD die entfernte Gegenstelle authentifiziert. 6-133 7612_de_01 PHOENIX CONTACT...
  • Seite 188 VPN-Gegenstelle zur Verfügung stehen müssen, wenn die VPN-Gegenstelle bei Verbin- dungsaufnahme eines der folgenden Zertifikatstypen vorzeigt: • ein von einer CA signiertes Maschinenzertifikat • ein selbst signiertes Maschinenzertifikat Zum Verständnis der nachfolgenden Tabelle siehe Kapitel „Authentifizierung/Zertifikate“ auf Seite 6-79. 6-134 PHOENIX CONTACT 7612_de_01...
  • Seite 189 Wenn sich die VPN-Gegenstelle mit einem von einer CA signierten Maschinenzertifikat authentisiert: Es gibt die Möglichkeit, das von der Gegenstelle vorgezeigte Maschinenzertifikat wie folgt zu authentifizieren; A) durch CA-Zertifikate B) durch das entsprechende Gegenstellenzertifikat 6-135 7612_de_01 PHOENIX CONTACT...

  • Seite 190: Gegenstellenzertifikat

    Gehen Sie wie folgt vor: Durchsuchen... klicken, um die Datei zu selektieren Hochladen klicken. Danach wird der Inhalt der Zertifikatsdatei angezeigt. 6.9.6.3 VPN Identifier Die nachfolgende Erklärung gilt, wenn die Authentifizierung der VPN-Gegenstelle anhand von CA-Zertifikaten erfolgt. 6-136 PHOENIX CONTACT 7612_de_01...

  • Seite 191: Freigabe Für Alle Subjects

    Wird ein Subject-Filter gesetzt, muss die Anzahl und auch die Reihenfolge der angege- benen Attribute mit der übereinstimmen, wie sie in den Zertifikaten gegeben ist, auf die der Filter angewendet werden soll. Auf Groß- und Kleinschreibung ist zu achten. Lokal Standard: leeres Feld 6-137 7612_de_01 PHOENIX CONTACT...

  • Seite 192: Bei Authentisierungsverfahren Pre-Shared Secret (Psk)

    Über VPN Identifier erkennen die VPN Gateways, welche Konfigurationen zu der gleichen VPN Verbindung gehören. Bei PSK sind folgende Einträge gültig: • leer (die IP Adresse wird verwendet, dies ist die Voreinstellung) • eine IP Adresse • ein Hostname mit vorangestelltem ’@’ Zeichen (z.B. „@vpn1138.example.com“) 6-138 PHOENIX CONTACT 7612_de_01...

  • Seite 193: Firewall

    Im Stealth-Modus ist in den Firewallregeln die vom Client wirklich verwendete IP-Adresse zu verwenden oder aber auf 0.0.0.0/0 zu belassen, da nur ein Client durch den Tunnel an- gesprochen werden kann. Bei den Angaben haben Sie folgende Möglichkeiten: Protokoll Alle bedeutet: TCP, UDP, ICMP und andere IP-Protokolle. 6-139 7612_de_01 PHOENIX CONTACT...
  • Seite 194 Ereignis protokolliert werden soll - Log auf Ja setzen • oder nicht - Log auf Nein setzen (werkseitige Voreinstellung). Log-Einträge für unbekannte Verbindungsversuche Bei Ja werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. 6-140 PHOENIX CONTACT 7612_de_01...

  • Seite 195: Ike-Optionen

    Jedoch könnte dieser Aspekt für die Gegenstelle eine Rolle spielen. Der zur Auswahl stehende mit „Null“ bezeichnete Algorithmus beinhaltet keinerlei Ver- schlüsselung. Prüfsummenalgorithmus/Hash Lassen Sie die Einstellung auf Alle Algorithmen stehen. Dann spielt es keine Rolle, ob die Gegenstelle mit MD5 oder SHA-1 arbeitet. 6-141 7612_de_01 PHOENIX CONTACT...

  • Seite 196: Ipsec Sa (Datenaustausch)

    Maximum in Prozent, um das Rekey Margin zufällig vergrößert werden soll. Dies dient dazu, den Schlüsselaustausch auf Maschinen mit vielen VPN-Verbindungen zeitversetzt stattfin- den zu lassen. Werkseinstellung: 100 Prozent. Keying Versuche Anzahl der Versuche, die unternommen werden sollen, neue Schlüssel mit der Gegenstelle zu vereinbaren. 6-142 PHOENIX CONTACT 7612_de_01...

  • Seite 197: Ipsec Vpn / L2Tp Über Ipsec

    PPP werden den Clients automatisch IP Adressen zugewiesen. Um IPsec/L2TP zu nutzen muss der L2TP Server aktiviert werden sowie eine oder mehrere IPsec Verbindungen mit den folgenden Eigenschaften eingerichtet werden: • Typ: Transport • Protokoll: UDP 6-143 7612_de_01 PHOENIX CONTACT...
  • Seite 198 Anfang / Ende IP Bereich der Gegenstellen Nach dem obigen Screenshot teilt der FL MGUARD der Gegenstelle eine IP Adresse zwi- schen 10.106.106.2 und 10.106.106.254 mit. Status Informiert über den L2TP-Status, wenn dieser als Verbindungstyp gewählt ist. 6-144 PHOENIX CONTACT 7612_de_01...

  • Seite 199: Ipsec Vpn / Ipsec Status

    ISAKMP Status (Internet security association and key management protocol) ist mit „esta- blished“ angegeben, wenn die beiden beteiligten VPN-Gateways einen Kanal zum Schlüs- selaustausch aufgebaut haben. In diesem Fall konnten sie einander kontaktieren, und alle Einträge bis einschließlich „ISAKMP SA“ auf der Konfigurationsseite der Verbindung waren korrekt. 6-145 7612_de_01 PHOENIX CONTACT...

  • Seite 200: Menü Qos

    FL MGUARD immer mit hoher Wahrscheinlichkeit erfolgen kann. Die Paketverarbeitung auf dem FL MGUARD ist im Wesentlichen durch das Handling des einzelnen Datenpakets geprägt, so dass die Verarbeitungsleistung nicht von der Band- breite sondern von der Zahl der zu verarbeitenden Pakete abhängt. 6-146 PHOENIX CONTACT 7612_de_01...

  • Seite 201: Aktivierung

    Ja: Das Feature ist eingeschaltet. Datenpakete dürfen nur dann passieren und werden der Weitervermittlung und -verarbeitung des FL MGUARD zugeführt, wenn sie den nachfol- gend festgelegten Filterregeln entsprechen. Filter können für den LAN-Port (Registerkarte Intern) und den WAN-Port (Registerkarte Ex- tern) gesetzt werden. 6-147 7612_de_01 PHOENIX CONTACT...
  • Seite 202 Differentiated Services Code Point.) Hier wird angegeben, zu welcher Art von Traffic das Datenpaket gehört. So wird z. B. ein IP-Telefon in dieses Feld der von ihm ausgehenden Datenpakete etwas anderes hineinschreiben als ein FTP-Programm, das Datenpakete auf einen Server hochlädt. 6-148 PHOENIX CONTACT 7612_de_01...

  • Seite 203: Egress Queues

    Paketrate nützlich sein, z. B. um einen langsamen Rechner im geschützten Netz vor Überlast zu schützen. Beim FL MGUARD kann das Feature Egress Queues für die LAN-Schnittstelle (= Intern) und für die WAN-Schnittstelle (= Extern) eingesetzt werden. 6-149 7612_de_01 PHOENIX CONTACT...
  • Seite 204 – die Registerkarte VPN via Extern für die WAN-Schnittstelle bei VPN-Verbindungen. In allen Fällen beziehen sich die Einstellungen auf die Daten, die von der jeweiligen Schnitt- stelle gesehen vom FL MGUARD nach außen ins Netz gehen. 6-150 PHOENIX CONTACT 7612_de_01...
  • Seite 205 Der Wert muss größer sein als die garantierte Bandbreite oder dieser gleich sein. Priorität: Niedrig / Mittel / Hoch Legt fest, mit welcher Priorität die betreffende Warteschlange, sofern vorhanden, abgear- beitet werden muss, falls die zur Verfügung stehende Gesamtbandbreite aktuell nicht aus- geschöpft ist. Kommentar Optional: kommentierender Text. 6-151 7612_de_01 PHOENIX CONTACT...

  • Seite 206: Egress Zuordnungen

    – die Registerkarte VPN via Extern für die WAN-Schnittstelle bei VPN-Verbindungen. In allen Fällen beziehen sich die Einstellungen auf die Daten, die von der jeweiligen Schnitt- stelle gesehen vom FL MGUARD nach außen ins Netz gehen. 6-152 PHOENIX CONTACT 7612_de_01...

  • Seite 207: Zuordnungen

    Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). Nach IP IP-Adresse des Netzes/Geräts, wohin die Daten gehen. Angabe entsprechend wie oben unter Von IP. Nach Port Benutzter Port bei der Quelle, wohin die Daten gehen. Angabe entsprechend wie oben unter Von Port. 6-153 7612_de_01 PHOENIX CONTACT...

  • Seite 208: Menü Redundanz

    Name der Egress Queue, welcher der Traffic zugeordnet werden soll. Kommentar Optional: kommentierender Text. 6.11 Menü Redundanz 6.11.1 Firewall-Redundanz Mit Hilfe der Redundanzfähigkeit ist es möglich, zwei FL MGUARDs zu einem einzigen vir- tuellen Router zusammenzufassen. Master Switch Switch Internet 76120019 Backup Bild 6-98 Firewall-Redundanz 6-154 PHOENIX CONTACT 7612_de_01...
  • Seite 209 NAT (IP-Masquerading, d. h. ausgehender Netzwerkverkehr wird auf die externe virtu- elle IP umgeschrieben.) • 1:1 NAT • Port Weiterleitung (für Eingehend auf IP muss die externe virtuelle IP konfiguriert wer- den) • MAC-Filter Bild 6-99 Web-Seite „Redundanz“ 6-155 7612_de_01 PHOENIX CONTACT...

  • Seite 210: Redundanz

    Eine ID zwischen 1 und 255, die auf beiden FL MGUARDs gleich sein muss. Diese ID iden- tifiziert den virtuellen Router am LAN Port. Interne IP des 2ten Gerätes IP-Adresse des LAN Ports des zweiten FL MGUARDs. 6-156 PHOENIX CONTACT 7612_de_01...
  • Seite 211 Sind auch diese nicht erreichbar, deaktiviert sich der Master. Zu überprüfende Hosts im externen Netzwerk Zu überprüfende Hosts im internen Netzwerk Geben Sie jeweils die IP-Adresse an. Die Hosts müssen ICMP Echo Requests beantworten. 6-157 7612_de_01 PHOENIX CONTACT...

  • Seite 212: Ring-/Netzkopplung

    Einstellungen, über Greifen von Firewall-Regeln, über Fehler usw. Log-Einträge werden unter verschiedenen Kategorien erfasst und können nach Kategorie sortiert angezeigt werden - siehe „Logging / Logs ansehen“ auf Seite 6-160. 6.12.1 Logging/Einstellungen 6.12.1.1 Remote Logging Bild 6-102 Web-Seite „Remote Logging“ 6-158 PHOENIX CONTACT 7612_de_01...
  • Seite 213 Ausfall eines DNS-Servers nicht protokolliert werden könnte. Log Server Port (normalerweise 514) Geben Sie den Port des Log Servers an, zu dem die Log-Einträge per UDP übertragen wer- den sollen. Standard: 514 6-159 7612_de_01 PHOENIX CONTACT...

  • Seite 214: Logging / Logs Ansehen

    Log-Einträge, die sich auf die nachfolgend aufgelisteten Firewall-Regeln beziehen, haben eine Log ID und eine Nummer. Anhand dieser Log ID und Nr. ist es möglich, die Firewall- Regel ausfindig zu machen, auf die sich der betreffende Log-Eintrag bezieht und die zum betreffenden Ereignis geführt hat. 6-160 PHOENIX CONTACT 7612_de_01...
  • Seite 215 Schaltfläche Aktualisiere Logs das Suchfeld Gehe zur Firewallregel angezeigt. Gehen Sie wie folgt vor, wenn Sie die Firewall-Regel ausfindig machen wollen, auf die sich ein Log-Eintrag der Kategorie Netzwerksicherheit bezieht und die zum betreffenden Ereig- nis geführt hat: 6-161 7612_de_01 PHOENIX CONTACT...
  • Seite 216 FL MGUARD detected a virus. The mail could not be delivered. found Virus Email-Worm.Win32.NetSky.q /[From sick@example.com][Date Fri, 13 Aug 2004 11:33:53++0200]/about_you.zip/document.txt.exe [000012a7.00000077.00000000] Message Details: From: sick@example.com Subject: Private document Date: Fri, 13 Aug 2004 11:33:53 +0200 6-162 PHOENIX CONTACT 7612_de_01...
  • Seite 217 Das Update-Log enthält Meldungen über den Start und Verlauf des Update-Prozesses der Virensignaturdateien. SNMP/LLDP Meldungen der unter Verwaltung --> SNMP konfigurierbaren Dienste. IPsec VPN Listet alle VPN-Ereignisse auf. Das Format entspricht dem unter Linux gebräuchlichen Format. 6-163 7612_de_01 PHOENIX CONTACT...

  • Seite 218: Menü Support

    Falls die auf der Route gelegenen Stellen mit IP-Adresse statt mit Hostnamen (falls vorhan- den) ausgegeben werden sollen, aktivieren Sie das Kontrollkästchen Do not resolve IP addresses to hostnames (= Häkchen setzen). Dann auf die Schaltfläche Trace klicken. 6-164 PHOENIX CONTACT 7612_de_01...
  • Seite 219 Sie wollen ermitteln, ob die VPN-Software eines VPN-Gateways in der Lage ist, eine VPN- Verbindung aufzubauen, oder ob z. B. eine Firewall das verhindert. Vorgehen: In das Feld Hostname/IP Address den Namen bzw. die IP-Adresse des VPN-Gateways eingeben. Auf die Schaltfläche Ping klicken. Sie erhalten eine entsprechende Meldung. 6-165 7612_de_01 PHOENIX CONTACT...

  • Seite 220: Support/Erweitert

    Stellen Sie die Datei dem Support zur Verfügung, wenn dies erforderlich ist. 6.14 CIDR (Classless Inter-Domain Routing) IP Netzmasken und CIDR sind Notationen, die mehrere IP-Adressen zu einem Adressraum zusammenfassen. Dabei wird ein Bereich von aufeinanander folgenden Adressen als ein Netzwerk behandelt. 6-166 PHOENIX CONTACT 7612_de_01...
  • Seite 221 11111000 00000000 00000000 00000000 240.0.0.0 11110000 00000000 00000000 00000000 224.0.0.0 11100000 00000000 00000000 00000000 192.0.0.0 11000000 00000000 00000000 00000000 128.0.0.0 10000000 00000000 00000000 00000000 0.0.0.0 00000000 00000000 00000000 00000000 Beispiel: 192.168.1.0 / 255.255.255.0 entspricht im CIDR: 192.168.1.0/24 6-167 7612_de_01 PHOENIX CONTACT...

  • Seite 222: Netzwerk-Beispielskizze

    76120020 = zusätzliche interne Route Bild 6-111 Netzwerk-Beispielskizze Netz A Rechner IP-Adresse 192.168.11.3 192.168.11.4 192.168.11.5 192.168.11.6 192.168.11.7 Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Netz B Rechner IP-Adresse 192.168.15.2 192.168.15.3 192.168.15.4 192.168.15.5 Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 6-168 PHOENIX CONTACT 7612_de_01...
  • Seite 223 Konfiguration Zusätzliche interne Routen: Netzwerk: 192.168.15.0/24 Gateway: 192.168.11.2 Netz C Rechner IP-Adresse 192.168.27.1 192.168.27.2 192.168.27.3 192.168.27.4 Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Zusätzliche interne Routen: Netzwerk: 192.168.27.0/24 Gateway: 192.168.11.2 6-169 7612_de_01 PHOENIX CONTACT...
  • Seite 224 FL MGUARD 6-170 PHOENIX CONTACT 7612_de_01...

  • Seite 225: Die Rescue-Taste Für Neustart, Recovery-Prozedur Und Flashen Der Firmware

    FL MGUARD RS: bis die "Error" LED leuchtet • FL MGUARD PCI: bis beide roten LEDs aufleuchten oder • Die Stromzufuhr vorübergehend unterbrechen. • FL MGUARD PCI: Den Computer, welcher die FL MGUARD PCI-Kar- te enthält, neu starten. 7612_de_01 PHOENIX CONTACT...

  • Seite 226: Recovery-Prozedur Ausführen

    - Bei Misserfolg leuchtet die WAN LED rot Drücken Sie anschließend erneut die Resuce-Taste langsam 6-mal. Bei Erfolg vollzieht das Gerät nach 2 Sekunden einen Neustart und schaltet sich dabei auf den Stealth-Modus. Es ist dann wieder unter folgender Adresse zu erreichen:https://1.1.1.1/ PHOENIX CONTACT 7612_de_01...

  • Seite 227: Flashen Der Firmware

    Spätestens 1 Sekunde nach Eintritt des Recovery-Status die Rescue-Taste loslassen. (Falls Sie die Rescue-Taste nicht loslassen, wird der FL MGUARD neu gestartet.) Der FL MGUARD startet nun das Recovery-System: Er sucht über die LAN Schnittstel- le nach einem DHCP-Server, um von diesem eine IP-Adresse zu beziehen. 7612_de_01 PHOENIX CONTACT...

  • Seite 228: Voraussetzungen Zum Flashen Der Firmware: Dhcp- Und Tftp-Server

    (DHCP = Dynamic Host Configuration Protocol; TFTP = Trivial File Transfer Protocol) Installieren Sie den DHCP- und TFTP-Server, falls notwendig (siehe unten). ACHTUNG: Falls Sie einen zweiten DHCP-Server in einem Netzwerk installieren, könnte dadurch die Konfiguration des gesamten Netzwerks beeinflusst werden! PHOENIX CONTACT 7612_de_01...

  • Seite 229: Dhcp- Und Tftp-Server Unter Windows Oder Linux Installieren

    Upgrade erworbene Lizenz-Datei unter dem Namen licence.lic eben- falls dort abgelegt werden. Bitte stellen Sie sicher, daß es sich um die Lizenzdatei han- delt, welche wirklich zum Gerät gehört. (Siehe „Verwaltung/Update“ auf Seite 6-26). 7612_de_01 PHOENIX CONTACT...

  • Seite 230: Unter Linux

    Der benötigte TFTP-Server wird in folgender Datei konfiguriert: /etc/inetd.conf Fügen Sie in diese Datei die entsprechende Zeile ein oder setzen Sie die notwendigen Pa- rameter für den TFTP-Service. (Verzeichnis für Daten ist: /tftpboot) tftp dgram udp wait root /usr/sbin/in.tftpd -s /tftpboot/ PHOENIX CONTACT 7612_de_01...
  • Seite 231 Gerät gehört. (Siehe „Verwaltung/Update“ auf Seite 6-26) Starten Sie dann den inetd-Prozess neu, um die Konfigurationsänderungen zu überneh- men. Sollten Sie einen anderen Mechanismus verwenden, z. B. xinetd, dann informieren Sie sich bitte in der entsprechenden Dokumentation. 7612_de_01 PHOENIX CONTACT...
  • Seite 232 FL MGUARD PHOENIX CONTACT 7612_de_01...

  • Seite 233: Glossar

    Wenn darüber Zweifel bestehen, kann das CA-Zertifikat selber überprüft werden. Wenn es sich um ein Sub-CA-Zertifikat handelt, also ein CA-Zertifikat ausgestellt von einer Sub-CA (Sub Certificate Authority) - was normalerweise der Fall ist -, kann das CA-Zertifikat 7612_de_01 PHOENIX CONTACT...
  • Seite 234 Ist ein Rechner an ein Netzwerk angeschlossen, erstellt das Betriebssystem intern eine Routing-Tabelle. Darin sind die IP-Adressen aufgelistet, die das Betriebssystem von den angeschlossenen Rechnern und den gerade verfügbaren Verbindungen (Routen) ermittelt hat. Die Routing-Tabelle enthält also die mögliche Routen (Ziele) für den Versand von IP- PHOENIX CONTACT 7612_de_01...
  • Seite 235 Protocol). Die IP-Adresse ist 32 Bit (= 4 Byte) lang und wird geschrieben als 4 Zahlen (je- weils im Bereich 0 bis 255), die durch einen Punkt voneinander getrennt sind. Eine IP-Adresse besteht aus zwei Teilen: die Netzwerk-Adresse und die Host-Adresse. Netzwerk-Adresse Host-Adresse 7612_de_01 PHOENIX CONTACT...
  • Seite 236 Verfahren und dessen Implikationen wie z. B. Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP-Datagramm zwischen IP-Header und TCP- bzw. UDP- Header ein IPsec-Header eingesetzt. Da dadurch der IP-Header unverändert bleibt, ist die- ser Modus nur für eine Host- zu-Host-Verbindung geeignet. PHOENIX CONTACT 7612_de_01...
  • Seite 237 7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07: 50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62: 8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9: f0:b4:95:f5:f9:34:9f:f8:43 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:xyz@anywhere.com Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption 12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b: 3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7: 82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9: cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1: 4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d: d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21: 44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf: ff:8e 7612_de_01 PHOENIX CONTACT...
  • Seite 238 Beim Empfang eines Antwort-Datagramms erkennt der NAT-Router anhand des angege- benen Zielports, dass das Datagramm eigentlich für einen internen Rechner bestimmt ist. Mit Hilfe der Tabelle tauscht der NAT-Router die Ziel-IP-Adresse und den Ziel-Port aus und schickt das Datagramm weiter ins interne Netz. PHOENIX CONTACT 7612_de_01...
  • Seite 239 Daten belegt. Damit der Benutzer eines zum Verschlüsseln dienenden öffentlichen Schlüssels sicherge- hen kann, dass der ihm übermittelte öffentliche Schlüssel wirklich von seinem tatsächlichen Aussteller und damit der Instanz stammt, die die zu versendenden Daten erhalten soll, gibt 7612_de_01 PHOENIX CONTACT...
  • Seite 240 Unter Anti-Spoofing versteht man Mechanismen, die Spoofing entdecken oder verhindern. Symmetrische Verschlüs- Bei der symmetrischen Verschlüsselung werden Daten mit dem gleichen Schlüssel ver- selung und entschlüsselt. Beispiele für symmetrische Verschlüsselungsalgorithmen sind DES und AES. Sie sind schnell, jedoch bei steigender Nutzerzahl nur aufwendig administrierbar. PHOENIX CONTACT 7612_de_01...
  • Seite 241 Netzwerke (Teilnetze) über ein öffentliches Netz, z. B. das Internet, zu einem gemeinsamen Netzwerk zusammen. Durch Verwendung kryptographischer Protokolle wird dabei die Ver- traulichkeit und Authentizität gewahrt. Ein VPN bietet somit eine kostengünstige Alternative gegenüber Standleitungen, wenn es darum geht, ein überregionales Firmennetz aufzu- bauen. 7612_de_01 PHOENIX CONTACT...
  • Seite 242 FL MGUARD 8-10 PHOENIX CONTACT 7612_de_01...

  • Seite 243: Technische Daten

    Versorgungsspannung FL MGUARD PCI Anschluss über PCI-Bus Nennwert 5 V DC Schnittstellen Anzahl der Ethernet-Ports (LAN / WAN) Anschlussformat 8-polige RJ45-Buchse am Access Point Anschlussmedium Twisted-Pair-Leitung mit einem Leiterquerschnitt von 0,14 mm bis 0,22 Leitungsimpedanz 100 Ohm 7612_de_01 PHOENIX CONTACT...

  • Seite 244: Mechanische Prüfungen

    Power-Supply-Lines: 0,5 kV; Kriterium B Stoßspannungen (Surge) nach IEC 61000-4-5 Data-Lines: ± 1 kV unsym.; Kriterium B Power-Supply-Lines: ± 0,5 kV sym./unsym.; Kriterium B Unterschiede zu vorhergehenden Versionen Rev. 00: Erste Version Rev. 01: FL MGUARD RS-B integriert PHOENIX CONTACT 7612_de_01...

  • Seite 245: Bestelldaten

    FL CAT5 PATCH 7,5 2832616 Patch-Kabel, CAT 5, vorkonfektioniert, 10,0 m lang, FL CAT5 PATCH 10 2832629 PHOENIX CONTACT GmbH & Co. KG Flachsmarktstr. 8 32825 Blomberg Germany + 49 - (0) 52 35 - 3-00 + 49 - (0) 52 35 - 3-4 12 00 www.phoenixcontact.com...
  • Seite 246 This equipment generates, uses, and can radiate radio frequency en- ergy and, if not installed and used in accordance with the instruction manual, may cause PHOENIX CONTACT 7612_de_01...
  • Seite 247 Technische Daten harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense. 7612_de_01 PHOENIX CONTACT...
  • Seite 248 FL MGUARD PHOENIX CONTACT 7612_de_01...

Diese Anleitung auch für:

Fl mguard pci serieFl mguard rsFl mguard rs vpnFl mguard rs vpn analogFl mguard rs vpn isdnFl mguard pci/266 ... Alle anzeigen

Inhaltsverzeichnis