Dieser Leitfaden erklärt das Konzept von Objekten, Zonen, Gruppen, Schnittstellen, NAT, Firewall und Routing.
Objekte
Es ist wichtig zu verstehen, wie unsere Firewalls funktionieren; im Kern der Konfiguration stehen Objekte.
Wenn Sie verstehen, wie die Objekte funktionieren, wird die Verwaltung unserer Geräte einfach und effizient.
Zum Beispiel ist es bei der Konfiguration von NAT praktisch, dass Sie Objekte verwenden können, sodass Sie eine IP-Adresse nicht mehrfach angeben müssen, sondern das Objekt wiederverwenden können, das Sie nur einmal erstellen müssen. In diesem Szenario erstellen wir ein Adressobjekt für einen Host, das in NAT verwendet wird.
Gehen Sie zu:
Configuration > Object > Address > Add
Nachdem Sie den Host als Objekt angegeben haben, können Sie ihn bei der Erstellung einer NAT-Regel verwenden, anstatt die IP manuell anzugeben. Wenn Sie dann den Datenverkehr von der Firewall zu diesem bestimmten Host zulassen müssen, können Sie das Objekt erneut verwenden. Weitere Informationen zur Erstellung von NAT finden Sie unten:
NAT-Regel-Konfiguration auf einem USG (Portweiterleitung)
Zonen
Zur einfacheren Verwaltung können Zonen sehr nützlich sein. Zum Beispiel können ein VLAN und ein LAN miteinander kommunizieren, wenn sie sich in derselben Zone befinden, wodurch der Prozess zur separaten Gewährung des Zugriffs entfällt.
Dies funktioniert auch umgekehrt: Wenn Sie den Zugriff zwischen einem LAN und einem VLAN trennen möchten, ist dies ebenfalls möglich.
Zonen können konfiguriert werden unter:
Configuration > Object > Zone
Zonen können als Gruppierung verwendet werden, die in Firewall-Regeln, Sicherheitsrichtlinien und Schnittstellen genutzt werden kann.
Zusammenfassend: Verwalten Sie Schnittstellen in verschiedene Zonen entsprechend Ihren Anforderungen. Sie können Firewall-Regeln für den Datenverkehr zwischen Zonen oder sogar zwischen Schnittstellen und/oder VPN-Tunneln in einer Zone konfigurieren.
Für weitere Informationen zum Beispiel der Trennung von VLANs und Zonen siehe unten:
VLANs auf einer ZyWALL/USG trennen
Gruppen
Ähnlich wie Zonen können Gruppen verwendet werden, um Benutzer, Adressen, Hosts oder generell Objekte zusammenzufassen.
Das beste Beispiel ist die Service-Gruppe "Default allow WAN to Zywall", in der wir konfigurieren können, welche Dienste vom WAN zur Zywall zugelassen sind.
Gehen Sie zu:
Configuration > Object > Service > Service Group
Wählen Sie die entsprechende Gruppe aus und klicken Sie auf Bearbeiten. Hier können gewünschte Änderungen vorgenommen werden, z. B. das Entfernen des SSH- oder HTTPS-Zugangs vom WAN.
Wie erwähnt, ist es auch möglich, Benutzer, Adressen und Zeitpläne zu gruppieren.
Für weitere Informationen zu Gruppen siehe den untenstehenden Artikel zu Service-Gruppen:
Schnittstellen
Dieser Abschnitt kann verwendet werden, um Port-Rollen, VLANs zu konfigurieren und grundlegende Änderungen am Netzwerk vorzunehmen, z. B. die Änderung der LAN-Adresse und DHCP-bezogener Einstellungen.
Zum Beispiel kann eine Subnetzänderung über folgenden Pfad vorgenommen werden:
Configuration > Network > Interface > Ethernet
Wählen Sie das entsprechende LAN / WAN aus und klicken Sie auf Bearbeiten, nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Übernehmen.
Für weitere Informationen zu diesem Thema siehe bitte die VLAN-Anleitung unten:
Wie man VLAN auf einem USG-Gerät konfiguriert
NAT
Network Address Translation (NAT), manchmal auch als Portweiterleitung bezeichnet, wird verwendet, wenn Sie beispielsweise einen Server haben und von außen Zugriff darauf gewähren möchten.
Die Konfiguration von NAT erfolgt hier:
Configuration > Network > NAT
Für detaillierte Anleitungen siehe unten:
NAT-Regel-Konfiguration auf einem USG (Portweiterleitung)
Firewall
Dieser Abschnitt dient zur Steuerung der eigentlichen Firewall des Geräts, auch als Sicherheitsrichtlinie – Policy Control in unseren Geräten bezeichnet. Die Sicherheitsrichtlinie finden Sie unter:
Configuration > Security Policy > Policy Control
In diesem Abschnitt können Sie Firewall-Regeln erstellen, löschen und ändern. Weitere Informationen finden Sie unten:
Routing
In diesem Abschnitt können Sie statische Routen, Policy-Routen und mehr erstellen, um den tatsächlichen Datenverkehr in Ihrem Netzwerk zu routen. Um auf diesen Abschnitt zuzugreifen, navigieren Sie zu:
Configuration > Network > Routing
Je nach Kriterium können die Routen so konfiguriert werden, dass spezifischer Datenverkehr geroutet wird. Für weitere Informationen siehe hier: Policy Routes (USG/VPN/ATP) – Verschiedene Szenarien und Konfigurationen
VPN
Mit der Zyxel-Firewall haben Sie die Möglichkeit, verschiedene Arten von VPNs zu erstellen, z. B. SSL VPN, L2TP über IPsec oder beispielsweise Site-to-Site VPN. Sie können das VPN entweder mit unserem integrierten Assistenten oder manuell erstellen. Um auf diesen Abschnitt zuzugreifen, navigieren Sie zu:
Configuration > VPN
Für eine Anleitung zur Erstellung von L2TP über IPsec für den Fernzugriff mit dem Assistenten siehe unten:
Wie man den VPN-Einrichtungsassistenten verwendet, um ein L2TP VPN auf der ZyWALL/USG zu erstellen
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.