Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite ist beschrieben, wie Sie Regeln für E-Mail-Server (SMTP) konfigurieren können.
1. Gehen Sie zu Schutz > Firewall und wählen Sie mit Hilfe des Standardfilters entweder IPv4 oder IPv6 aus.
2. Klicken Sie auf +Firewallregel hinzufügen und wählen Sie Unternehmensregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage
Wählen Sie E-Mail-Server (SMTP), um Regeln für E-Mail-Anwendungen auf SMTP-Basis zu konfigurieren.
Beschreibung
Geben Sie eine Beschreibung für die Richtlinie ein.
Position der Regel
Geben Sie die Position der Regel an.
Verfügbare Optionen:
* Oben
* Unten
Regelname
Geben Sie einen Namen ein, um die Richtlinie zu identifizieren.
4. Geben Sie Details zur Quelle ein.
Quellzonen
Klicken Sie, um die Quellzone auszuwählen. Klicken Sie auf Neues Element hinzufügen, um eine neue LAN- oder DMZ-Zone zu definieren.
Zugelassene Client-Netzwerke
Wählen Sie den/die zugelassenen Host(s) aus oder fügen Sie einen neuen hinzu, indem Sie auf Neues Element hinzufügen klicken.
Blockierte Client-Netzwerke
Wählen Sie das/die blockierte/n Host/s oder Netzwerk/e aus.
5. Legen Sie die Details für Ziel & Dienst fest.
Zielhost/-netzwerk
Wählen Sie einen Zielhost oder ein Zielnetzwerk aus, um die Regel anzuwenden. Dies ist die öffentliche IP-Adresse, über welche die Benutzer auf den internen Server/Host über das Internet zugreifen können.
Verfügbare Optionen:
* IP-Adresse – Die angegebene IP-Adresse wird der entsprechenden einzelnen IP-Adresse oder einem IP-Adressbereich zugeordnet. Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendet die Appliance einen Round-Robin-Algorithmus, um die Last der Anfragen auszugleichen.
* IP-Bereich – Der angegebene IP-Adressbereich wird dem zugehörigen Bereich von zugeordneten IP-Adressen zugeordnet. Der IP-Bereich legt den Start und das Ende des Adressbereichs fest. Der Start des Bereichs muss kleiner als das Ende des Bereichs sein.
* Schnittstellen-IP (nur verfügbar für IPv4) – Wählen Sie diese Option, wenn eine Subschnittstelle eines Geräte-Ports, Alias oder virtuellen LAN (VLAN) dem Zielhost oder Zielnetzwerk zugeordnet werden muss.
Weiterleitungsart
Wählen Sie aus den verfügbaren Optionen den Typ des externen Ports aus.
Verfügbare Optionen:
* Port
* Portbereich
* Portliste
* Alles
Wenn die Option Alle ausgewählt ist, werden alle Ports weitergeleitet. Wählen Sie andere Optionen aus, um die eigene Portweiterleitung zu aktivieren, und legen Sie die Details für die Portweiterleitung fest.
Weitergeleitete(r) Service-Port(s) (nicht verfügbar wenn als Weiterleitungsart Alles ausgewählt ist)
Geben Sie die öffentliche Nummer des Ports an, den Sie für die Portweiterleitung konfigurieren möchten.
Protokoll (nicht verfügbar wenn als Weiterleitungsart Alles ausgewählt ist)
Wählen Sie aus, ob das Protokoll TCP oder UDP von weitergeleiteten Paketen verwendet werden soll.
6. Legen Sie die Details für Weiterleiten an fest.
Geschützte(r) Server
Wählen Sie aus den verfügbaren Optionen, auf welchem der E-Mail-Server bereitgestellt werden soll.
Verfügbare Optionen:
* IP-Adresse – Die externe IP-Adresse wird der angegebenen IP-Adresse zugeordnet.
* IP-Bereich – Der externe IP-Adressbereich wird dem angegebenen IP-Adressbereich zugeordnet.
* IP-Liste – Die externe IP-Adresse wird der angegebenen IP-Liste zugeordnet.
* FQDN (nur verfügbar für virtuelle IPv4 Hosts) – Die externe IP-Adresse wird dem angegebenen FQDN zugeordnet. Der intern zugeordnete Server kann über den FQDN aufgerufen werden.
Zugeordneter Porttyp (nur verfügbar wenn Ziel-Port(s) ändern ausgewählt ist)
Wählen Sie aus den verfügbaren Optionen den Typ des zugeordneten Ports aus.
Verfügbare Optionen:
* Port
* Portbereich
* Portliste
Zugeordneter Port (nur wenn Ziel-Port(s) ändern ausgewählt ist)
Geben Sie die Nummer des im Zielnetzwerk zugewiesenen Ports an, welchem die öffentliche Portnummer zugeordnet wird.
Geschützte Zone
Wählen Sie die Zone, für welche die E-Mail-Serverregel gilt.
Ziel-Port(s) ändern
Aktivieren Sie das Auswahlkästchen, um einen anderen zugeordneten Port auszuwählen. Deaktivieren Sie das Auswahlkästchen, um den-/dieselben Weitergeleitete(r) Service-Port(s) als zugeordneten Port zu verwenden.
7. Legen Sie die Details für Lastverteilung fest.
Lastverteilung (nur verfügbar wenn der gewählte Geschützte Server IP-Bereich oder IP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)
Wählen Sie aus den verfügbaren Optionen die Methode für den Lastausgleich aus.
Verfügbare Optionen:
* Round Robin – Bei dieser Methode werden die Anfragen sequenziell abgearbeitet, wobei die erste Anfrage an den ersten Server, die zweite Anfrage an den zweiten Server usw. weitergeleitet wird. Wenn eine Anfrage empfangen wird, prüft die Appliance, welchem Server zuletzt eine Anfrage zugewiesen wurde. Die neue Anfrage wird anschließend dem nächsten verfügbaren Server zugewiesen. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung notwendig ist.
* First Alive – Bei dieser Methode werden alle eingehenden Anfragen vom ersten Server bedient (die erste IP-Adresse, die im IP-Bereich konfiguriert ist). Dieser Server wird als der primäre Server betrachtet, alle anderen Server als Backup. Nur, wenn der erste Server ausfällt, werden die Anfragen an den nächsten Server in der Reihe weitergeleitet. Diese Methode empfiehlt sich für Failover-Szenarien.
* Zufällig – Bei dieser Methode werden die Anfragen zufällig an die Server weitergeleitet. Dennoch ist auch hier sichergestellt, dass die Last gleichmäßig auf alle konfigurierten Server verteilt wird. Daher wird diese Methode auch Uniform Random Distribution (gleichmäßige zufällige Verteilung) genannt. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung noch eine bestimmte Reihenfolge der Verteilung notwendig ist.
* Sticky IP – Bei dieser Methode wird in Kombination mit der Round-Robin-Verteilung des Datenverkehrs der eingehende Traffic gemäß der IP-Adresse der Quelle weitergeleitet. Der gesamte Datenverkehr von einer bestimmten Quelle wird ausschließlich an den ihr zugeordneten Server weitergeleitet. Das bedeutet, dass alle Anfragen von einer bestimmten Quellen-IP an dieselbe Instanz des Anwendungsservers gesendet werden. Diese Methode ist nützlich, wenn alle Anfragen oder Sitzungen von ein und demselben Server verarbeitet werden müssen. Zum Beispiel: Webseiten von Banken, E-Commerce-Webseiten.
Zustandsprüfung (nur wenn Lastverteilung aktiviert ist)
Klicken Sie, um die Statusprüfung bei Failover zu aktivieren. Geben Sie die Parameter an (siehe Beschreibung unten).
Port (nur verfügbar wenn die gewählte Zustandsprüfmethode TCP-Test ist)
Geben Sie die Nummer des Ports an, an welchem der Serverzustand überwacht wird.
Zulässiger Bereich: 1 bis 65535
Intervall
Geben Sie das Zeitintervall der Zustandsüberwachung in Sekunden an.
Zulässiger Bereich: 5 bis 65535 Sekunden
Standard: 60
Testverfahren
Wählen Sie aus den verfügbaren Optionen, welches Testverfahren zur Prüfung des Serverzustands verwendet werden soll.
Verfügbare Optionen:
ICMP
TCP
Zeitüberschreitung
Geben Sie das Zeitintervall, innerhalb welchem der Server antworten muss, in Sekunden an.
Zulässiger Bereich: 1 bis 10 Sekunden
Standard: 2
Erneute Versuche
Geben Sie an, wie oft die Prüfung des Serverzustands wiederholt werden soll, bevor der Server als unerreichbar deklariert wird
Zulässiger Bereich: 1 bis 10
Standard: 3
8. Geben Sie Details zur Identität an.
Übereinstimmung mit bekannten Benutzern
Mit der Option Übereinstimmung mit bekannten Benutzern können Sie prüfen, ob der/die angegebene Benutzer/Benutzergruppe aus der ausgewählten Zone auf den gewählten Dienst zugreifen darf oder nicht.
Klicken Sie, um die Benutzeridentität anzuhängen.
Captive Portal unbekannten Benutzern anzeigen
Aktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zuzulassen. Die Captive Portal Seite wird dem Benutzer angezeigt, wo er sich anmelden kann, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zu verwerfen.
Benutzer oder Gruppen (nur verfügbar wenn Übereinstimmung mit bekannten Benutzern aktiviert ist)
Wählen Sie die Benutzer oder Gruppen aus der Liste der verfügbaren Optionen.
Diese Benutzeraktivität von der Datenverarbeitung ausschließen (nur verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Klicken Sie, um den Traffic der Benutzeraktivität in die Datenverarbeitung ein- oder auszuschließen.
Standardmäßig wird der Netzwerkdatenverkehr des Benutzers bei der Datenverarbeitung berücksichtigt. Aktivieren Sie diese Option, um bestimmten Traffic von der Verarbeitung der Benutzerdaten auszuschließen. Der Datenverkehr, der von dieser Firewall-Regel zugelassen wird, wird für den Benutzer nicht als Datentransfer betrachtet.
9. Legen Sie die Details zum Malware-Scan fest.
SMTP scannen
Klicken, um das Scannen von SMTP-Traffic zu aktivieren/deaktivieren.
SMTPS scannen
Klicken, um das Scannen von SMTPS-Traffic zu aktivieren/deaktivieren.
10. Legen Sie die Details für die erweiterten Einstellungen fest.
a. Geben Sie Richtlinien für Unternehmensanwendungen an.
Intrusion Prevention
Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die IPS-Richtlinie des Benutzers automatisch angewendet, aber erst wirksam, wenn das entsprechende Modul abonniert wird.
Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Schutz > Intrusion Prevention > IPS-Richtlinien erstellt werden.
Traffic-Shaping-Richtlinie (nicht verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die QoS-Richtlinie automatisch angewendet.
Eine neue Traffic-Shaping-Richtlinie kann direkt auf dieser Seite oder über die Seite System > Profile > Traffic Shaping erstellt werden.
b. Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 aktiviert ist).
Minimal zulässige Quell-HBs
Wählen Sie, welchen Systemzustand eine Quell-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Zustand kann entweder Grün, Gelb oder Ohne Beschränkung sein. Wenn ein Statuskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
Clients ohne Heartbeat blockieren
Mit Heartbeat kompatible Appliances können so konfiguriert werden, dass sie Informationen zu ihrem Status in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
Auf Basis dieser Informationen können Sie den Zugriff einer Quell-Appliance auf bestimmte Dienste und Netzwerke beschränken.
Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
Minimal zulässige Ziel-HBs (nicht verfügbar wenn als Geschützte Zone WAN ausgewählt ist)
Wählen Sie, welchen Systemzustand eine Ziel-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Zustand kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Statuskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
Anfrage an Ziel ohne Heartbeat blockieren (nicht verfügbar wenn als Geschützte Zone WAN ausgewählt ist)
Mit Heartbeat kompatible Appliances können so konfiguriert werden, dass sie Informationen zu ihrem Zustand in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
Basierend auf dieser Information können Sie Anfragen zu Richtungen blockieren, die keinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
c. Leben Sie die Details für das Routing fest.
Quelladresse umschreiben (Maskieren)
Aktivieren/deaktivieren Sie das Umschreiben der Quelladresse oder geben Sie eine NAT-Richtlinie an.
Reflexive Regel generieren
Wählen Sie „AN“, um für den geschützten Host automatisch eine reflexive Firewall-Regel zu erstellen.
Die reflexive Regel verfügt über dieselben Richtlinien, wie sie für den gehosteten Server konfiguriert worden. Sie werden jedoch nicht auf den Datenverkehr von Quellzone zu Zielzone, sondern auf den Datenverkehr von Zielzone zu Quellzone angewendet.
Die reflexive Regel wird standardmäßig nicht erstellt.
Ausgehende Adresse verwenden (nur verfügbar wenn Quelladresse umschreiben aktiviert ist)
Wählen Sie, welche NAT-Richtlinie angewendet werden soll. Nutzen Sie die Liste der verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt auf dieser Seite oder über die Seite System > Profile > Netzwerkadressumsetzung erstellt werden.
Die NAT-Standardrichtlinie heißt Maskieren.
MASQ (Standard Schnittstellen-IP): Die IP-Adresse der ausgewählten geschützten Zone wie unter Konfigurieren > Netzwerk > Schnittstellen konfiguriert, wird anstelle der Standard Schnittstellen-IP angezeigt.
11. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
Firewall-Verkehr protokollieren
Klicken Sie, um die Protokollierung des zugelassenen und abgelehnten Datenverkehrs zu aktivieren.