Inhaltsverzeichnis
Werbung
Referenzhandbuch
8 Firewall
1
Bestimmte Stationen im LAN (bezeichnet durch den Hostnamen)
1
Bestimmte MAC-Adressen
5
MAC steht für Media Access Control und ist Dreh- und Angelpunkt für die Kommunikation innerhalb eines
LAN. In jedem Netzwerkadapter ist eine MAC-Adresse fest eingespeichert. MAC-Adressen sind weltweit
eindeutig und unverwechselbar, ähnlich zu Seriennummern von Geräten. Über die MAC-Adressen lassen sich
die PCs im LAN zuverlässig auswählen, um ihnen gezielt Rechte auf IP-Paketebene zu gewähren oder zu
versagen. MAC-Adressen werden häufig außen auf den Netzwerkgeräten in hexadezimaler Darstellung (z.
B. 00:A0:57:01:02:03) angebracht.
1
Bereiche von IP-Adressen
1
Komplette IP-Netzwerke
Hostnamen können nur dann verwendet werden, wenn das Gerät die Namen in IP-Adressen auflösen kann. Dafür muss
das Gerät die Namen über DHCP oder NetBIOS gelernt haben, oder die Zuordnung muss statisch in der DNS- oder
IP-Routing-Tabelle eingetragen sein. Ein Eintrag in der IP-Routing-Tabelle kann dabei einem Hostnamen ein ganzes Netz
zuordnen.
5
Werden die Quelle oder Ziel für eine Firewall-Regel nicht näher bestimmt, gilt die Regel generell für Datenpakete
"von allen Stationen" bzw. "an alle Stationen".
Der Dienst wird bestimmt durch die Kombination eines IP-Protokolls mit entsprechenden Quell- und/oder Zielports. Für
häufig verwendete Dienste (WWW, Mail etc.) sind die entsprechenden Verknüpfungen im Gerät schon vordefiniert,
andere können je nach Bedarf zusätzlich angelegt werden.
Bedingung
Mit den zusätzlichen Bedingungen schränkt man die Wirksamkeit einer Firewall-Regel weiter ein. Folgende Bedingungen
stehen zur Auswahl:
1
Nur für Pakete mit bestimmten ToS- bzw. DiffServ-Markierungen
1
Nur wenn Verbindung noch nicht besteht
1
Nur für Defaultroute (Internet)
1
Nur für VPN-Routen
Limit (Trigger)
Das Limit (oder auch Trigger) bezeichnet einen quantifizierten Schwellwert, der auf der definierten Verbindung überschritten
werden muss, bevor der Filter ein Datenpaket erfasst. Ein Limit setzt sich zusammen aus folgenden Eckwerten:
1
Einheit (kBit, kByte oder Pakete)
1
Betrag, also Datenrate oder Anzahl
1
Bezugsgröße (pro Sekunde, pro Minute, pro Stunde oder absolut)
Zusätzlich kann für das Limit vereinbart werden, ob es sich auf eine logische Verbindung bezieht oder auf alle Verbindungen
gemeinsam, die zwischen den festgelegten Ziel- und Quell-Stationen über die zugehörigen Dienste bestehen. So wird
gesteuert, ob der Filter greift, wenn z. B. alle HTTP-Verbindungen der User im LAN in Summe das Limit überschreiten
oder ob es ausreicht, wenn eine einzige der parallel aufgebauten HTTP-Verbindungen den Schwellwert durchbricht.
Bei absoluten Werten kann außerdem definiert werden, dass der zugehörige Zähler beim Überschreiten des Limits
zurückgesetzt wird.
5
Die Daten werden bis zum Erreichen des Limits auf jeden Fall übertragen! Mit einem Betrag von "0" wird die
Regel sofort aktiv, wenn auf der definierten Verbindung Datenpakete zur Übertragung anstehen.
Paket-Aktion
Die Firewall hat drei Möglichkeiten, ein gefiltertes Paket zu behandeln:
1
Übertragen: Das Paket wird normal übertragen.
516
Werbung
Inhaltsverzeichnis
