Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der das IPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externen Netzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt die Regel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregel konfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Sie diese Benutzern zuweisen.
1. Gehen Sie zu Schützen > Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Benutzer-/Netzwerkregel.
3. Geben Sie die Details für die Regeleinführung ein.
Regelname
Geben Sie einen Namen für die Regel ein.
Beschreibung
Geben Sie eine Beschreibung für die Regel ein.
Position der Regel
Wählen Sie aus den verfügbaren Optionen die Position der Regel aus.
Verfügbare Optionen:
* Oben
* Unten
Maßnahme
Wählen Sie aus den verfügbaren Optionen eine Maßnahme für den Datenverkehr der Regel aus.
* Annehmen – Zugriff zulassen
* Verwerfen – Still verwerfen
* Ablehnen – Zugriff verweigern (an die Quelle wird die Meldung „ICMP port unreachable“ gesendet)
Wenn eine Antwort gesendet wird, ist es möglich, dass diese über eine andere Schnittstelle versendet wird als die Anfrage erhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.
Zum Beispiel: Wenn die Anfrage auf einem LAN-Port über eine gefälschte IP-Adresse empfangen wurde (öffentliche IP-Adresse oder eine IP-Adresse außerhalb des LAN-Netzwerks) und keine bestimmte Route festgelegt ist, sendet die Appliance eine Antwort an diese Hosts über die Standard-Route. Das bedeutet, dass die Antwort über den WAN-Port versendet wird.
4. Geben Sie die Quell-Details ein.
Quellzonen
Wählen Sie, welche Quellzonen dem Benutzer erlaubt sind.
Eine neue Zone kann direkt auf dieser Seite oder über die Seite Konfigurieren > Netzwerk > Zonen erstellt werden.
Quellnetzwerke und Geräte
Wählen Sie, welche Netzwerke/Geräte dem Benutzer erlaubt sind.
Ein neuer Netzwerk-Host kann direkt auf dieser Seite oder über die Seite System > Hosts und Dienste erstellt werden.
Innerhalb der geplanten Zeit
Wählen Sie, welcher Zeitplan dem Benutzer erlaubt ist.
Ein neuer Zeitplan kann direkt auf dieser Seite oder über die Seite System > Profile > Zeitplan erstellt werden.
5. Legen Sie die Ziel- und Dienstdetails fest.
Zielzonen
Wählen Sie, welche Zielzonen dem Benutzer erlaubt sind.
Zielnetzwerke
Wählen Sie, welche Zielnetzwerke dem Benutzer erlaubt sind.
Ein neuer Netzwerk-Host kann direkt auf dieser Seite oder über die Seite System > Hosts und Dienste erstellt werden.
Dienste
Wählen Sie, welche Dienste dem Benutzer erlaubt sind.
Ein neuer Dienst kann direkt auf dieser Seite oder über die Seite System > Hosts und Dienste > Dienste erstellt werden.
6. Geben Sie die Details der Identität ein. Folgen Sie diesem Schritt, wenn Sie eine Benutzerregel konfigurieren möchten.
Übereinstimmung mit bekannten Benutzern
Wählen Sie diese Option, um eine Regel auf Basis der Benutzeridentität zu aktivieren.
Captive-Portal unbekannten Benutzern anzeigen (nur wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Aktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zuzulassen. Die Captive Portal Seite wird dem Benutzer angezeigt, wo er sich anmelden kann, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zu verwerfen.
Benutzer oder Gruppen (nur verfügbar wenn Übereinstimmung mit bekannten Benutzern aktiviert ist)
Wählen Sie die Benutzer oder Gruppen aus der Liste der verfügbaren Optionen.
Schließen Sie diese Benutzeraktivität von der Datenverarbeitung aus. (nur wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Wählen Sie die Option, um Datenverkehrsaktivitäten des Benutzers aus der Datenerfassung auszuschließen. Mit anderen Worten, der Datenverkehr, der von dieser Regel zugelassen wird, wird für den Datentransfer dieses Benutzer nicht erfasst.
Standardmäßig wird Der Netzwerkdatenverkehr des Benutzers bei der Datenverarbeitung berücksichtigt.
7. Legen Sie die Details für Internet-Schadprogramm-/ und Inhalts-Scan fest (nur verfügbar wenn die gewählte Maßnahme für den Datenverkehr Annehmen ist).
HTTP scannen
Aktiviert das Scannen von HTTP-Verkehr.
HTTPS entschlüsseln und scannen
Aktiviert das Entschlüsseln und Scannen von HTTPS-Verkehr.
Zero-Day-Bedrohungen erkennen mit Sandstorm
Mittels HTTP oder HTTPS heruntergeladene Dateien zur Analyse an Sandstorm senden. Sandstorm schützt Ihr Netzwerk vor unbekannten und unveröffentlichten Bedrohungen („Zero-Day“-Bedrohungen).
FTP auf Schadprogramme scannen
Aktiviert das Scannen von FTP-Verkehr.
8. Legen Sie die Details für die Erweiterten Einstellungen fest (nur verfügbar wenn die gewählte Maßnahme für den Datenverkehr Annehmen ist).
a. Legen Sie die Richtlinien für Benutzeranwendungen fest.
Intrusion Prevention
Wählen Sie eine IPS-Richtlinie für die Regel aus. Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Schützen > Angriffsvorbeugung > IPS-Richtlinien erstellt werden.
Traffic Shaping-Richtlinie
Die Traffic-Shaping-Richtlinie des Benutzers wird automatisch angewendet, wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist.
Sie müssen die Traffic-Shaping-Richtlinie für die Regel auswählen, wenn Übereinstimmung mit bekannten Benutzern nicht ausgewählt ist.
Richtlinien für Web
Wählen Sie für die Regel eine Webrichtlinie.
Eine neue Webrichtlinie kann direkt auf dieser Seite oder über die Seite Schützen > Web > Richtlinien erstellt werden.
Traffic-Shaping-Richtlinie basierend auf Webkategorie übernehmen
Klicken, um die Bandbreite für URLs, die in die Webkategorie eingeordnet sind, zu beschränken.
Folgende Konfiguration in drei Schritten ist erforderlich:
a. Erstellen Sie auf der Seite System > Profile > Traffic Shaping eine Traffic-Shaping-Richtlinie. Geben Sie hier als Richtlinienzugehörigkeit Webkategorien an.
b. Weisen Sie auf dieser Seite die erstellte Richtlinie anschließend der Webrichtlinie zu.
c. Wählen Sie Traffic-Shaping-Richtlinie basierend auf Webkategorie übernehmen aus um die Regel anzuwenden.
Application Control
Wählen Sie für die Regel eine Anwendungsfilter-Richtlinie aus. Eine neue Anwendungsfilter-Richtlinie kann direkt auf dieser Seite oder über die Seite Schützen > Anwendungen > Anwendungsfilter erstellt werden.
Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen
Klicken, um die Bandbreite für Anwendungen, die in die Anwendungskategorie eingeordnet sind, zu beschränken.
Folgende Konfiguration in drei Schritten ist erforderlich:
a. Erstellen Sie auf der Seite System > Profile > Traffic Shaping eine Traffic-Shaping-Richtlinie. Geben Sie als Richtlinienzugehörigkeit Anwendungen an.
b. Weisen Sie auf dieser Seite die erstellte Richtlinie anschließend der Application Control zu.
c. Wählen Sie Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen aus um die Regel anzuwenden.
b. Einstellungen der synchronisierten Sicherheit konfigurieren.
Minimal zulässige Quell-HBs
Wählen Sie, welchen Integritätsstatus eine Quell-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Integritätsstatus kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Integritätskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
Clients ohne Heartbeat blockieren
Mit Heartbeat kompatible Appliances können so konfiguriert werden, dass sie Informationen zu ihrem Integritätsstatus in definierten Intervallen versenden. Diese werden Heartbeat (Herzschlag) genannt.
Auf Basis dieser Informationen können Sie den Zugriff eines Geräts, von dem der Datenverkehr stammt, auf bestimmte Dienste und Netzwerke beschränken.
Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
Minimal zulässige Ziel-HBs (nicht verfügbar wenn als einzige Geschützte Zone WAN ausgewählt ist)
Wählen Sie, welchen Integritätsstatus eine Ziel-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Integritätsstatus kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Integritätskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
* Sie können die Option verwenden, wenn Sie mehrere Zonen zusammen mit WAN ausgewählt haben.
Anfrage zu einem Ziel ohne Heartbeat blockieren (nicht verfügbar wenn als einzige Zielzone WAN ausgewählt ist)
Mit Heartbeat kompatible Appliances können so konfiguriert werden, dass sie Informationen zu ihrem Integritätsstatus in definierten Intervallen versenden. Diese werden Heartbeat (Herzschlag) genannt.
Basierend auf dieser Information können Sie Anfragen zu Richtungen blockieren, die keinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
* Sie können die Option verwenden, wenn Sie mehrere Zonen zusammen mit WAN ausgewählt haben.
c. Geben Sie NAT- und Routing-Details ein.
Quelladresse umschreiben (Maskieren)
Wählen Sie aus, ob Sie die Quelladresse umschreiben oder die NAT-Richtlinie festlegen möchten.
Standard: Deaktiviert
Gateway-spezifische NAT-Standardrichtlinie verwenden (nur verfügbar wenn Maskieren ausgewählt ist)
Wählen Sie, um die NAT-Standardrichtlinie durch eine Gateway-spezifischen Richtlinie aufzuheben.
NAT-Standardrichtlinie durch eine Gateway-spezifische Richtlinie aufheben (nur verfügbar wenn Gateway-spezifische NAT-Standardrichtlinie verwenden ausgewählt ist)
Wählen Sie diese Option, um ein Gateway und eine dazugehörige NAT-Richtlinie festzulegen. Es können mehrere Gateways und NAT-Richtlinien hinzugefügt werden.
Ausgehende Adresse verwenden (nur verfügbar wenn Quelladresse umschreiben ausgewählt ist.
Wählen Sie, welche NAT-Richtlinie angewendet werden soll. Nutzen Sie die Liste der verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt auf dieser Seite oder über die Seite System > Profile > Netzwerkadressumsetzung erstellt werden.
Standard: MASQ
MASQ (Schnittstellen-Standard-IP)
Die IP-Adresse der Zielzone wie unter Konfigurieren > Netzwerk > Schnittstellen konfiguriert, wird anstelle der (Schnittstellen-Standard-IP) angezeigt, wenn eine einzelne Zielzone ausgewählt ist.
(Schnittstellen-Standard-IP) wird angezeigt, wenn mehrere Zielzonen ausgewählt sind.
Primäres Gateway
Legen Sie das primäre Gateway fest. Diese Option ist nur anwendbar, wenn mehr als ein Gateway definiert wurden.
* Wenn das Gateway gelöscht wird, zeigt Primäres Gateway WAN-Link Lastverteilung für die WAN Zielzone an und Keine für andere Zonen. In diesem Fall trifft die Firewall keine Routing-Entscheidungen.
Reserve-Gateway
Legen Sie das Reserve-Gateway fest. Diese Option ist nur anwendbar, wenn mehr als ein Gateway definiert wurden.
* Wenn das Gateway gelöscht wird, zeigt das Reserve-Gateway Keine an.
DSCP-Markierung
Wählen Sie die DSCP-Markierung.
DSCP (DiffServ Code Point) klassifiziert den Strom der Pakete bei Eintritt in das lokale Netzwerk je nach QoS. Der Strom wird über fünf Elemente definiert: IP-Adresse der Quelle, IP-Adresse des Ziels, Quellport, Zielport und Transportprotokoll.
Die verfügbaren Optionen finden Sie unter DSCP-Werte.
9. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.
Firewallverkehr protokollieren
Wählen Sie die Option, um die Protokollierung des zugelassenen und abgewiesenen Datenverkehrs zu aktivieren.
10. Klicken Sie auf Speichern.