Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Sicherheitsrichtlinien für USG FLEX/ATP/VPN - Hilfreiche Tricks und Tipps Firewall icon

Avatar
  • Aktualisiert
Zurück nach oben

Da wir in diesem Artikel erklärt haben, wie Sie generische Sicherheitsrichtlinien/Firewallregeln erstellen, möchten wir Ihnen in diesem Artikel hier hilfreiche Einblicke und Tipps und Tricks zum Einrichten der perfekten Firewall-Strategie geben, um Sie und Ihre Kunden zu schützen!

1. Von oben nach unten!

Sicherheitsrichtlinien oder Richtlinien im Allgemeinen in unserem Sicherheits-Gateway-Portfolio werden zyklisch ausgeführt, d. h. die erste Regel wird angewendet, gefolgt von der zweiten usw.

Dies ermöglicht einen einfachen und logischen Einblick in die Sicherheitsrichtlinien, sobald Sie die Richtlinientabelle sehen.

mceclip0.png

Ganz unten sehen Sie eine Standardregel, die standardmäßig im Grunde alles verweigert. Dies bedeutet, dass der gesamte Datenverkehr blockiert wird, es sei denn, es ist eine Ausnahme über dieser Standardregel definiert. Standardmäßig haben wir viele Regeln bereits vorkonfiguriert, um eine reibungslose Kommunikation aus internen Netzwerken zu gewährleisten, aber dennoch einen guten Schutz zu bieten.

 

2. Tabellensortierung und -filterung

Sie sind überwältigt von der Menge an Richtlinienregeln, die Sie eingerichtet haben, und suchen nach einer ganz bestimmten Regel? Keine Sorge, über die Filterkategorien finden Sie die gesuchte Regel (bzw. fehlende Regel) auf einen Blick. Drücken Sie dazu ganz oben im Richtliniensteuerungsmenü auf "Filter anzeigen" - dadurch wird das Filtermenü ausgeblendet:

mceclip1.png

mceclip3.png

Im Filtermenü können Sie nun nach Regeln suchen, die den oben definierten Parametern entsprechen. Im obigen Beispiel möchten wir herausfinden, ob wir auf Port 443 Regeln haben, die den WAN-Zugriff auf unser Gerät (die ZyWall) definieren. Da wir 443 zur Service-Objektgruppe "Default_Allow_WAN_to_ZyWall" hinzugefügt haben, können wir alle Regeln sehen, die folgen Sie diesen Parametern. Bei genauerem Hinsehen können wir feststellen, dass wir tatsächlich 443 aus dem WAN zugelassen haben - es liegt nun an uns zu entscheiden, ob dies erwünscht ist oder als Sicherheitsproblem angesehen wird, das wir lösen möchten. Aber dieses Beispiel zeigt die Leistungsfähigkeit der schnellen Filterung.

 

3. Machen Sie sich das Leben leichter, verwenden Sie Zonen!

Normalerweise werden Zugriffskontrolllisten oder Firewall-Regeln oder in unserem Fall Sicherheitsrichtlinien über die IP-Quell- und Zieladressen in Kombination mit anderen Faktoren wie Ports usw. definiert.

Stellen Sie sich jedoch vor, Sie haben fünf Netzwerke mit verstreuten Subnetzen und möchten den Zugriff zwischen allen ermöglichen. Mit einem generischen, starren Firewall-Setup müssten Sie 5 Regeln für das erste Netzwerk erstellen, 4 verbleibende für das nächste Subnetz, 3 für das dritte Subnetz, 2 für das vierte Subnetz und eine weitere Regel für das fünfte Subnetz, um jedes einzelne abzudecken mögliche Aufstellung. Damit bleiben Ihnen 15 Firewall-Regeln zu erstellen! Das Hinzufügen eines weiteren Subnetzes würde sogar noch größere Probleme bedeuten ... nicht sehr machbar, oder?
Mit unseren Firewall-Appliances kein Problem! Unsere Firewall hat sogenannte Zonen - das sind Objektreferenzen, in denen Sie Schnittstellen hinzufügen können. Indem Sie beispielsweise neu erstellte VLAN10 und VLAN20 in ihre eigene Zone einfügen, können Sie dieselben Firewall-Regeln auf beide Netzwerke anwenden.

Dies kann durch Erstellen einer neuen Zone und Ziehen über die Netzwerke, die Sie innerhalb der Zone sein möchten, erfolgen

Configuration > Object > Zone

mceclip4.png

Danach können Sie die Zone Firewall-Regeln zuweisen:

mceclip5.png

In diesem Beispiel erlauben wir beiden VLANs, beide selbst, das andere VLAN, jedes andere LAN, das Gerät selbst und das Internet nach zwei einfachen Regeln zuzulassen. Bequem, nicht wahr?

 

4. Die Macht der Sicherheit – UTM-Funktionen hinzufügen

Die wahre Magie unserer Firewall-Appliances liegt jedoch nicht im normalen Firewall-Setup, sondern in den UTM-Profilen. Viele UTM-Features folgen jedoch auch einem objektorientierten Programmierfluss, werden also wie Adress-, Service- und Zonenobjekte im Grunde an einem Ort erstellt und warten darauf, in eine Firewall-Regel eingebettet zu werden:

mceclip6.png

Mehr zu diesem Thema finden Sie in den Knowledgebase-Artikeln, die explizit auf diese Dienste zugeschnitten sind, wie (unter vielen anderen):

Erstellen eines grundlegenden Inhaltsfilterprofils auf der USG
App Patrol Profile - Grundkonfiguration

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Contact Us
War dieser Beitrag hilfreich?
2 von 5 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.