Hinzufügen einer Firewall-Regel/Sicherheitsrichtlinie auf Ihrem ATP/USG FLEX/USG/ZyWall-Gateway

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Die Firewall oder „Sicherheitsrichtlinie“, wie wir sie bei unseren Geräten der neueren Generation nennen, ist der Kern unserer Geräte. Dieses Tutorial soll Ihnen ein grundlegendes Verständnis für die Funktionsweise unserer Firewall Appliance vermitteln und Sie auf die ersten Schritte zur Erstellung Ihrer eigenen Firewall-Regeln vorbereiten!

 

Schnittstellen, Zonen und Sicherheitsrichtlinien

Schnittstellen

Bevor wir tief in die Konfiguration eintauchen, müssen wir zunächst kurz darauf eingehen, wie wir unsere Firewalls strukturieren – die wir der besseren Lesbarkeit halber nur noch „USG“ oder „ATP“ nennen. Unsere USG besteht aus mehreren Schnittstellen, von WAN-Ports über LAN-Ports bis hin zu allen anderen virtuellen Schnittstellen, die Sie auf dem Gerät erstellen.

Schnittstellen sind grundsätzlich eigenständige Netzwerksegmente auf dem Gateway und im Menüpfad zu finden

Configuration > Network > Interface

In diesem Beispiel ein Screenshot der Standard-Ethernet-Schnittstellen auf einem ATP200:

mceclip0.png

 

Zonen

Nachdem wir nun das Kernkonzept der Schnittstellen verstanden haben, gehen wir zu den Zonen über, da insbesondere die Zonen für unsere Firewall-Regeln / Sicherheitsrichtlinien wichtig werden. In den meisten Fällen besteht eine USG oder ATP auch aus mehreren LANs, mehreren VLANs und/oder mehreren WANs. Wenn es um Firewall-Regeln geht, haben Sie möglicherweise eine Gruppe von Schnittstellen, für die dieselben Regeln gelten sollen – höchstwahrscheinlich möchten Sie, dass alle LAN-Gruppen im gesamten Netzwerk dieselben Rechte haben, oder Sie möchten, dass Ihre mehreren WAN-Ports behandelt werden das Gleiche. In diesem Fall sind die Zonen ein perfekter Behälter für Schnittstellen. Falls Sie sich fragen, was mit dieser Aussage gemeint ist – das sollte hoffentlich sehr bald klar werden.

Im Zone-Menü über

Configuration > Object > Zone

Sie finden die verschiedenen Standardzonen und die Schnittstellenzuweisungen zu diesen Zonen:

mceclip1.png

Genauso wie Sie mehrere sogenannte "Objekte" in der Zone haben, können Sie auch mehrere Adressobjekte, Serviceobjekte und viele weitere verschiedene Arten von Objekten erstellen.

 

Objekte

Da dieses Tutorial eher ein Bild zum Erstellen von Firewall-Regeln / Sicherheitsrichtlinien geben soll, halten wir dieses Kapitel kurz: Die USG / ATP-Serien arbeiten mit sogenannten Objekten. Objekte sind, wie der Name schon sagt, Objekte innerhalb einer Datenbank, zB Adressobjekte, Serviceobjekte (Ports und Protokolle) und viele andere Objekte. Diese Objekte haben per se keine Funktion und sind nur eine Datenbank. Die wahre Magie passiert, wenn wir diese Objekte in Richtlinien platzieren, wie z. B. die Sicherheitsrichtlinie (Firewall-Regel).

Nur als Beispiel hier ein Screenshot der Dienstobjektliste, die über zu finden ist

Configuration > Object > Service

mceclip2.png

Wie Sie vielleicht sehen, gibt es bereits viele Objekte, die für die direkte Verwendung in den Richtlinien vorbereitet sind.

 

Sicherheitsrichtlinien / Firewall Regeln

Nachdem wir nun die Voraussetzungen für das Verständnis von Schnittstellen, Zonen und Objekten durchgegangen sind, können wir nun zum eigentlichen Erstellen von Firewall-Regeln übergehen. Das Menü dazu finden Sie unter

Configuration > Security Policy > Policy Control

und es sieht so aus:

mceclip3.png

Die überwiegende Mehrheit der Firewall-Regeln, die Sie normalerweise in Ihr Netzwerk integrieren würden, sind standardmäßig bereits vorkonfiguriert, beispielsweise ist der vollständige Zugriff von außen (WAN) auf das Innere (LAN) Ihres Netzwerks natürlich blockiert, um bösartigen Angriffen entgegenzuwirken das Internet. Außerdem ist beispielsweise Ihr LAN-zu-WAN-Zugriff auf der anderen Seite uneingeschränkt, da es eine Benutzereinstellung ist, wenn Sie einige Ports für Ihre LAN-Clients blockieren möchten.

Wir sehen jetzt in den Richtlinienregeln verschiedene Spalten:

  • Priorität: Reihenfolge der Firewall-Regel – Firewall-Regeln werden in dieser bestimmten Reihenfolge von oben nach unten ausgeführt
  • Status: Zeigt an, ob die Regel aktiv ist – Gelb ist an, Grau ist aus
  • Name: Name der Firewall-Regel
  • Von: Bezieht sich auf die Zone, aus der Verkehr kommt
  • To: Bezieht sich auf die Zone, in die der Datenverkehr fließt
  • IPv4-Quelle: Bezieht sich auf ein Adressobjekt, erleichtert die Feinabstimmung von Firewall-Regeln auf bestimmte IPv4-Quellen
  • IPv4-Ziel: Bezieht sich auf ein Adressobjekt, erleichtert die Feinabstimmung von Firewall-Regeln auf bestimmte IPv4-Ziele
  • Service: Bezieht sich auf ein Service-Objekt, ermöglicht das Erstellen einer Regel, die nur auf einen einzelnen Port/Protokoll oder eine Gruppe von Ports/Protokollen anwendbar ist
  • Benutzer: Ermöglicht die Feinabstimmung der Firewall-Regel, sodass sie nur auf Benutzerobjekte/Benutzergruppen anwendbar ist
  • Zeitplan: Damit kann die Firewall so eingerichtet werden, dass sie nur während eines bestimmten Zeitplans aktiv wird (nützlich für die Kindersicherung, Schulanwendungen usw.).
  • Aktion: Definiert, ob der Verkehr, der alle oben genannten Parameter erfüllt, passieren darf oder verweigert wird
  • Protokoll: Hier können Sie einstellen, ob Sie einen Protokolleintrag wünschen, falls passender Datenverkehr durch die Firewall fließt
  • Profil: In diesem Segment können Sie UTM-Dienste und ihre jeweiligen Profile (z. B. Inhaltsfilterprofile usw.) hinzufügen.

Nachdem wir nun die verschiedenen Dinge entdeckt haben, die man innerhalb der Richtliniensteuerung einrichten kann, lassen Sie uns einfach ein Beispiel für eine Konfiguration erstellen:

Ziel: Wir wollen LAN1 zu LAN2 blockieren, aber alles andere, was sowohl LAN1 als auch LAN2 erreichen, soll nicht blockiert werden.

Standardmäßig dürfen LAN1 und LAN2 einfach auf alles zugreifen: Von LAN1 (oder LAN2, für diese Angelegenheit) bis zu jedem (außer ZyWall ) können beide LAN-Netzwerke aufeinander zugreifen. Um dies zu verhindern, können wir die Erlaubnis einfach über eine ganz oben gesetzte Firewall-Regel "abschneiden", die eine bestimmte Richtung verbietet. In unserem Beispiel verbieten wir LAN2 für LAN1. Da die Kommunikation keine Einbahnstraße ist, sollte dies auch jeden Zugriffsversuch von LAN1 auf LAN2 unterbrechen:

mceclip0.png

Wir stellen die Aktion auf Verweigern ein. Diese Aktion wird das Paket einfach verwerfen, anders als die Ablehnungsoption , wird Informationen an das zugreifende Gerät zurückgesendet, warum es nicht auf das Netzwerk zugreifen darf. Die auf der Ablehnungsaktion basierenden Informationen können leicht zum Abfangen und Hacken des Geräts verwendet werden, daher wird dies in den meisten Fällen nicht empfohlen.

Als Log-Alarm setzen wir auch "Log Denied Traffic", dieser zeigt uns in roter Schrift einen Eintrag im Log an, wenn jemand versucht, trotzdem auf das Netzwerk zuzugreifen.

Nachdem Sie diese Regel eingerichtet haben, sollten Sie in der Lage sein, Protokolleinträge zu sehen, sobald jemand gemäß Ihrer Firewall-Regel versucht, einzudringen.

Hier ein Beispiel, wie diese Protokolle aussehen könnten (andere Regel als unsere LAN1 --> LAN2-Regel, die wir oben erstellt haben, nur für demonstration-Zwecke:

Monitor > Log


mceclip1.png

 

Diese Anleitungen für den ersten Schritt sollten Ihnen dabei helfen, Ihre ersten Firewall-Regeln auf Ihren Sicherheits-Gateway-Appliances zu erstellen!

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
14 von 20 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.