Support-Portal
keyboard_arrow_right keyboard_arrow_left

DNAT-/Full-NAT-/Lastverteilungs-Regel hinzufügen

Auf dieser Seite ist beschrieben, wie Sie eine DNAT-, Full-NAT- oder Lastverteilungs-Regel (nicht für Web) konfigurieren können.

Eine DNAT-, Full-NAT- oder Lastverteilungs-Regel wird verwendet, um Nicht-Web-Server, wie E-Mail- oder andere Server, die im Netzwerk bereitgestellt werden (LAN oder DMZ), zu schützen. Mit dieser Regel können Sie die Zugriffsrechte auf diese Server für Benutzer definieren, die Zugriff über das WAN oder Internet verlangen.
  1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.
  2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.
  3. Legen Sie die allgemeinen Regelinformationen fest.
    Anwendungsvorlage
    Wählen Sie DNAT/Full NAT/Lastverteilung, um eine Regel für allgemeine Anwendungen zu konfigurieren, die nicht webbasiert sind.
    Beschreibung
    Geben Sie eine Beschreibung für die Regel ein.
    Position der Regel
    Geben Sie die Position der Regel an.
    Verfügbare Optionen:
    • Oben
    • Unten
    Regelgruppe
    Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen.
    Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.
    Regelname
    Geben Sie einen Namen für die Regel ein.
  4. Geben Sie Details zur Quelle ein.
    Quellzonen
    Wählen Sie eine Quellzone oder klicken Sie auf Neues Element hinzufügen, um eine neue LAN- oder DMZ-Zone zu definieren.
    Zugelassene Client-Netzwerke
    Wählen Sie zugelassene Hosts aus oder fügen Sie neue hinzu, indem Sie auf Neues Element hinzufügen klicken.
    Blockierte Client-Netzwerke
    Wählen Sie das/die blockierte/n Host/s oder Netzwerk/e aus.
  5. Legen Sie die Details für Ziel & Dienst fest.
    Zielhost/-netzwerk
    Wählen Sie einen Zielhost oder ein Zielnetzwerk aus, um die Regel anzuwenden. Dies ist die öffentliche IP-Adresse, über welche die Benutzer auf den internen Server/Hosts über das Internet zugreifen können.
    Verfügbare Optionen:
    • IP-Adresse: Die angegebene IP-Adresse wird der zugehörigen einzelnen IP-Adresse oder einem IP-Adressbereich zugeordnet. Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendet die Appliance einen Round-Robin-Algorithmus, um die Last der Anfragen auszugleichen.
    • IP-Bereich: (Nur bei IPv4). Der angegebene IP-Adressbereich wird dem entsprechenden Bereich von zugeordneten IP-Adressen zugewiesen. Der IP-Bereich legt den Start und das Ende des Adressbereichs fest. Der Start des Bereichs muss kleiner als das Ende der IP-Adresse sein. Wählen Sie diese Option, wenn ein Port der Appliance, Alias oder eine virtuelle LAN (VLAN)-Subschnittstelle dem Zielhost oder Zielnetzwerk zugeordnet werden muss.
    Weiterleitungsart
    Wählen Sie aus den verfügbaren Optionen den Typ des externen Ports aus.
    Verfügbare Optionen:
    • Port
    • Portbereich
    • Portliste
    • Alles

    Wenn die Option Alle ausgewählt ist, werden alle Ports weitergeleitet. Wählen Sie andere Optionen aus, um die eigene Portweiterleitung zu aktivieren, und legen Sie die Details für die Portweiterleitung fest.

    Weitergeleitete(r) Service-Port(s) (nicht verfügbar, wenn als Weiterleitungsart Alles ausgewählt ist)
    Geben Sie die öffentliche Nummer des Ports an, den Sie für die Portweiterleitung konfigurieren möchten.
    Protokoll (nicht verfügbar wenn als Weiterleitungsart Alle ausgewählt ist)
    Wählen Sie aus, ob das Protokoll TCP oder UDP für weitergeleitete Pakete verwendet werden soll.
  6. Legen Sie die Details für Weiterleiten an fest.
    Geschützte(r) Server
    Wählen Sie aus den verfügbaren Optionen die Anwendungsserver aus, auf welchen der Webserver gehostet werden soll.
    Verfügbare Optionen:
    • IP-Adresse: Die externe IP-Adresse wird der angegebenen IP-Adresse zugeordnet.
    • IP-Bereich: Der externe IP-Adressbereich wird dem angegebenen IP-Adressbereich zugeordnet.
    • IP-Liste: Die externe IP-Adresse wird der angegebenen IP-Liste zugeordnet.
    • FQDN: Die externe IP-Adresse wird dem angegebenen FQDN zugeordnet. Der intern zugeordnete Server kann über den FQDN aufgerufen werden. Diese Option ist nur für virtuelle IPv4-Hosts verfügbar.
    Zugeordneter Port
    Geben Sie die Nummer des im Zielnetzwerk zugewiesenen Ports an, welchem die öffentliche Portnummer zugeordnet wird. Zugeordneter Port muss dieselbe Anzahl an Ports haben, wie sie im öffentlichen Dienst festgelegt ist, oder mindestens einen Port haben. Zugeordneter Port ist deaktiviert, wenn:
    • Kein TCP/UDP-Dienst ausgewählt ist
    • Mehrere Dienste ausgewählt sind
    • Dienstgruppe ausgewählt ist
    • Der ausgewählte Dienst eine TCP/UDP-Kombination ist.
    Geschützte Zone
    Wählen Sie die Zone, die der Webserverregel zugewiesen werden soll.
  7. Legen Sie die Details für Lastverteilung fest.
    Lastverteilung (nur verfügbar wenn der gewählte Geschützte Server IP-Bereich oder IP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)
    Wählen Sie aus den verfügbaren Optionen die Methode für den Lastausgleich aus.
    Verfügbare Optionen:
    • Round-robin: Bei dieser Methode werden die Anfragen sequenziell abgearbeitet, wobei die erste Anfrage an den ersten Server, die zweite Anfrage an den zweiten Server usw. weitergeleitet wird. Wenn eine Anfrage empfangen wird, prüft die Appliance, welchem Server zuletzt eine Anfrage zugewiesen wurde. Die neue Anfrage wird anschließend dem nächsten verfügbaren Server zugewiesen. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung notwendig ist.
    • First Alive: Alle eingehenden Anfragen werden vom ersten Server bedient (die erste IP-Adresse, die im IP-Bereich konfiguriert ist). Dieser Server wird als der primäre Server betrachtet, alle anderen Server als Backup. Nur, wenn der erste Server ausfällt, werden die Anfragen an den nächsten Server in der Reihe weitergeleitet. Diese Methode empfiehlt sich für Failover-Szenarien.
    • Zufällig: Anfragen werden zufällig an die Server weitergeleitet. Dennoch ist auch hier sichergestellt, dass die Last gleichmäßig auf alle konfigurierten Server verteilt wird. Daher wird dies auch Uniform Random Distribution (gleichmäßige zufällige Verteilung) genannt. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung noch eine bestimmte Reihenfolge der Verteilung notwendig ist.
    • Permanente IP: In Kombination mit der Round-Robin-Verteilung des Datenverkehrs wird der eingehende Verkehr gemäß der IP-Adresse der Quelle weitergeleitet. Der gesamte Datenverkehr von einer bestimmten Quelle wird ausschließlich an den ihr zugeordneten Server weitergeleitet. Das bedeutet, dass alle Anfragen von einer bestimmten Quellen-IP an dieselbe Instanz des Anwendungsservers gesendet werden. Diese Methode ist nützlich, wenn alle Anfragen oder Sitzungen von ein und demselben Server verarbeitet werden müssen. Zum Beispiel: Webseiten von Banken, E-Commerce-Webseiten.
    Zustandsprüfung (nur wenn Lastverteilung aktiviert ist)
    Anklicken, um die Zustandsprüfung bei Failover zu aktivieren. Geben Sie die Parameter an (siehe Beschreibung unten).
    • Port: Port, auf dem der Serverzustand überwacht wird.
    • Intervall: Zeit in Sekunden, nach welcher der Zustand überwacht wird.
    • Testverfahren: Verwendete Methode, um den Zustand des Servers zu prüfen.
    • Zeitüberschreitung: Zeit in Sekunden, innerhalb derer der Server antworten muss.
    • Erneute Versuche: Anzahl der Versuche den Serverzustand zu prüfen, bevor der Server als unerreichbar eingestuft wird.
  8. Geben Sie Details zur Identität an.
    Übereinstimmung mit bekannten Benutzern
    Mit der Option „Regel auf Basis der Benutzeridentität zuordnen“ können Sie prüfen, ob der/die angegebene Benutzer/Benutzergruppe aus der ausgewählten Zonen auf den gewählten Dienst zugreifen darf oder nicht.
    Anklicken, um die Benutzeridentität anzuhängen.
    Aktivieren Sie die Identitätsprüfung, um die folgenden Richtlinien auf die Benutzer anzuwenden.
    Unbekannten Benutzern das Captive-Portal anzeigen
    Aktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zuzulassen. Die Captive-Portal-Seite wird dem Benutzer angezeigt. Dort kann er sich anmelden, um auf das Internet zuzugreifen.
    Deaktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zu verwerfen.
    Benutzer oder Gruppen (verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
    Wählen Sie die Benutzer oder Gruppen aus der Liste der verfügbaren Optionen.
    Diese Benutzeraktivität von der Datenverarbeitung ausschließen (verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
    Anklicken, um den Benutzerverkehrsaktivität in die Datenverarbeitung ein- oder auszuschließen.

    Standardmäßig wird der Netzwerkdatenverkehr des Benutzers bei der Datenverarbeitung berücksichtigt. Aktivieren Sie diese Option, um bestimmten Traffic von der Verarbeitung der Benutzerdaten auszuschließen. Der Datenverkehr, der von dieser Firewallregel zugelassen wird, wird für den Benutzer nicht als Datentransfer betrachtet.

  9. Legen Sie die Details für die Erweiterten Einstellungen fest.
    1. Legen Sie Richtlinien für Geschäftsanwendungen fest.
      Angriffsvorbeugung
      Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die IPS-Richtlinie des Benutzers automatisch angewendet, aber erst wirksam, wenn das entsprechende Modul abonniert wird. Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Angriffsvorbeugung > IPS-Richtlinien erstellt werden.
      Traffic-Shaping-Richtlinie
      Wählen Sie die erforderliche Traffic-Shaping-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die Traffic-Shaping-Richtlinie automatisch angewendet.
      Sie müssen die Traffic-Shaping-Richtlinie für die Regel auswählen, wenn Übereinstimmung mit bekannten Benutzern nicht ausgewählt ist.
      Eine neue Traffic-Shaping-Richtlinie kann direkt auf dieser Seite oder über die Seite Profile > Traffic Shaping erstellt werden.
    2. Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 ausgewählt ist)
      Minimal zulässige Quell-HBs
      Wählen Sie, welchen Systemzustand eine Quell-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Integritätsstatus kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Statuskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
      Clients ohne Heartbeat blockieren
      Mit Heartbeat kompatible Geräte können so konfiguriert werden, dass sie Informationen zu ihrem Status in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
      Auf Basis dieser Informationen können Sie den Zugriff eines Geräts, von dem der Datenverkehr stammt, auf bestimmte Dienste und Netzwerke beschränken.
      Aktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
      Anfrage an Ziel ohne Heartbeat blockieren (nicht verfügbar wenn als Geschützte Zone WAN ausgewählt ist)
      Mit Heartbeat kompatible Geräte können so konfiguriert werden, dass sie Informationen zu ihrem Status in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
      Basierend auf dieser Information können Sie Anfragen zu Richtungen blockieren, die keinen Heartbeat senden.

      Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.

    3. Leben Sie die Details für das Routing fest.
      Quelladresse umschreiben (Maskieren)
      Aktivieren/deaktivieren Sie das Umschreiben der Quelladresse oder geben Sie eine NAT-Richtlinie an.
      Ausgehende Adresse verwenden (nur verfügbar, wenn Quelladresse umschreiben aktiviert ist)
      Wählen Sie, welche NAT-Richtlinie angewendet werden soll. Nutzen Sie die Liste der verfügbaren NAT-Richtlinien.
      Eine neue NAT-Richtlinie kann direkt auf dieser Seite oder über die Seite Profile > NAT erstellt werden.
      Die Standard-NAT-Richtlinie ist Maskieren.

      MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewählten geschützten Zone wie sie unter Netzwerk > Schnittstellen konfiguriert ist, wird anstelle der Schnittstellen-Standard-IP angezeigt.

      Reflexive Regel erzeugen
      Aktivieren, um automatisch eine reflexive Firewallregel für den geschützten Host zu erstellen.
      Eine reflexive Regel verfügt über dieselben Richtlinien, wie sie für den gehosteten Server konfiguriert worden. Sie werden jedoch nicht auf den Datenverkehr von Quellzone zu Zielzone, sondern auf den Datenverkehr von Zielzone zu Quellzone angewendet.
      Die reflexive Regel wird standardmäßig nicht erstellt.
  10. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
    Firewallverkehr protokollieren
    Anklicken, um die Protokollierung des zugelassenen und abgelehnten Datenverkehrs zu aktivieren.
  11. Klicken Sie auf Speichern.
Die nicht webbasierte Richtlinie wurde erstellt und erscheint auf der Seite Firewall, wenn ein entsprechender Filter eingestellt ist.