Mit Firewallregeln können Sie den Datenverkehr zwischen Zonen und Netzwerken zulassen oder verbieten. Sie können Richtlinien und Maßnahmen implementieren, um Sicherheitskontrollen und die Priorisierung des Datenverkehrs durchzusetzen.
Sie können Firewallregeln für IPv4- und IPv6-Netzwerke erstellen. Sie können die folgenden Maßnahmen mithilfe von Firewallregeln implementieren:
Zugriff und Protokollierung
Richtlinien und Scannen
Priorisierung des Datenverkehrs
Sie benötigen keine Firewallregel für systemgenerierten Verkehr oder um Zugriff auf Systemdienste zu ermöglichen. Um den Zugriff auf Systemdienste aus bestimmten Zonen festzulegen, gehen Sie zu
.Verwenden Sie diese Option, um DNAT-Regeln zu erstellen, um eingehenden Datenverkehr auf Server wie Web-, Mail-, SSH- oder andere Server zu übertragen und auf Remote-Desktops zuzugreifen. Der Assistent erstellt außerdem automatisch eine reflexive SNAT-Regel (für ausgehenden Datenverkehr von den Servern), eine Loopback-Regel (für interne Benutzer, die auf die Server zugreifen) und eine Firewallregel (um eingehenden Datenverkehr zu den Servern zuzulassen).
Sie können Firewallregeln erstellen und zu Regelgruppen hinzufügen.
XG Firewall wertet Firewallregeln, nicht Regelgruppen, aus, um Kriterien mit dem Datenverkehr abzugleichen. Sie verwendet die Übereinstimmungskriterien von Regelgruppen nur, um Firewallregeln zu gruppieren.
Standardregeln
XG Firewall erstellt Standardregelgruppen, die eine Firewallregel enthalten, um Datenverkehr mit dem Ziel WAN, DMZ und interne Zonen (LAN, Wi-Fi, VPN und DMZ) zu verwerfen. Diese Regeln sind standardmäßig deaktiviert.
Eine Firewallregel für E-Mail-MTA wird automatisch zusammen mit einer verknüpften NAT-Regel erstellt, wenn Sie den MTA-Modus aktivieren. Der MTA-Modus ist standardmäßig aktiviert.
Automatisch erstellte Firewallregeln, z.B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden an die Spitze der Firewallregelliste gesetzt und zuerst ausgewertet. Wenn Sie später manuell eine Firewallregel mit Position der Regel gesetzt auf Oben oder einer anderen automatisch erstellten Regel erstellen, werden diese an der Spitze der Regeltabelle platziert und verändern dadurch die Regelpositionen. Wenn sich die Übereinstimmungskriterien für die neuen und vorhandenen Regeln überschneiden, gelten die Richtlinien und Aktionen der neuen Regel, was zu unerwarteten Ergebnissen führt, wie z.B. der Nichtzustellung von E-Mails oder Tunneln, die nicht aufgebaut werden.
Der Standardregel Alle verwerfen ist die ID 0 zugeordnet. Die Regel verwirft Verkehr, auf den die Kriterien keiner Firewallregel zutreffen. Sie befindet sich am unteren Ende der Regeltabelle. Sie können diese Regel nicht bearbeiten, löschen oder verschieben. Sie zeigt keinen Nutzungszähler Filter gelten nicht für sie.
Regelgruppen
Sie können keine Regelgruppen ohne eine Firewallregel erstellen. Erstellen Sie also eine Regelgruppe, wenn Sie eine Regel aus der Regelvorlage erstellen oder mit einer vorhandenen Regel aus der Regeltabelle.
Sie können eine Firewallregel zu einer Regelgruppe hinzufügen oder von einer Gruppe lösen. Leere Regelgruppen kann es nicht geben. Wenn Sie die letzte Regel aus einer Regelgruppe löschen, wird die Regelgruppe gelöscht.
Um Regeln oder Regelgruppen ein- oder auszuschalten, wählen Sie sie aus, und wählen Sie Einschalten oder Deaktivieren aus.
Wenn Sie eine Kombination aus aktivierten und deaktivierten Regeln auswählen, können Sie diese Schaltflächen nicht verwenden.
Wenn Sie den Filter anwenden, können Sie keine Regelgruppe auswählen, da Gruppen eine Kombination aus aktivierten und deaktivierten Regeln enthalten können. Sie können jedoch einzelne Regeln auswählen.
Sie können die Position einer Regel innerhalb der Regelgruppe ändern. Wenn Sie die Position der Regel über die Gruppe hinaus ändern wollen, lösen Sie die Regel von der Gruppe oder ändern Sie die Position der Gruppe.
Klicken Sie auf Weitere Optionen , um die folgenden Regelaktionen durchzuführen:
Um die mit einer Regel übertragenen Daten anzuzeigen, gehen Sie zu Verkehrs-Dashboard und blättern Sie nach unten zu Zugelassene Richtlinien.
. Wählen SieAktionen der Regelgruppe: Klicken Sie neben einer Regel auf Weitere Optionen , um Aktionen für Regelgruppen durchzuführen.
Dies sind Quell-NAT-Regeln, die in der NAT-Regeltabelle aufgeführt sind. Sie können sie anhand der ID und des Namens der Firewallregel identifizieren.
XG Firewall wendet Firewallregeln an, bevor sie Quell-NAT-Regeln anwendet. Wenn eine NAT-Regel oberhalb der verknüpften Regel die Übereinstimmungskriterien erfüllt, wendet XG Firewall diese Regel an und sucht nicht weiter nach der verknüpften Regel. Verknüpfte NAT-Regeln gelten jedoch nur für Datenverkehr, der mit der Firewallregel übereinstimmt, mit der sie verknüpft sind.
Sie können die Verknüpfung einer verknüpften NAT-Regel mit der NAT-Regeltabelle aufheben. Sobald Sie die Verknüpfung der Regel mit der ursprünglichen Firewallregel aufgehoben haben, können Sie die NAT-Regel bearbeiten. Sie wird nun unabhängig von der ursprünglichen Firewallregel anhand ihrer Kriterien und nicht anhand der ursprünglichen Firewallregelkriterien ausgewertet.
Status |
Beschreibung |
---|---|
Ungenutzt |
Keinen zutreffenden Verkehr in den letzten 24 Stunden gefunden. |
Deaktiviert |
Manuell ausgeschaltet. |
Geändert |
In den letzten 24 Stunden aktualisiert. |
Neu |
In den letzten 24 Stunden erstellt. |
Symbole |
Beschreibung |
---|---|
Benutzerregel |
|
Übereinstimmung mit bekannten Benutzern nicht ausgewählt. |
|
Regel deaktiviert. |
|
Maßnahme gesetzt auf Annehmen. |
|
Regel deaktiviert. |
|
Aktion auf Verwerfen oder Ablehnen gesetzt. |
|
Regel aktiviert. |
|
Maßnahme gesetzt auf Annehmen. |
|
Regel aktiviert. |
|
Aktion auf Verwerfen oder Ablehnen gesetzt. |
|
Deaktiviert: Scannen von Internet-, FTP- und E-Mail-Verkehr. Web-Proxy. Protokollierung des Datenverkehrs. |
|
Richtlinie gesetzt auf Keine: Internetrichtlinie, Anwendungssteuerung, Angriffsvorbeugung, Traffic-Shaping. |
|
Ausgeschaltet oder keine Beschränkung: Security Heartbeat. |
|
Aktiviert. Scannen von Internet-, FTP- oder E-Mail-Verkehr. Web-Proxy. Ausschlüsse bei Firewallregel. Protokollierung des Datenverkehrs. |
|
Richtlinie festgelegt: IPS, Traffic-Shaping |
|
Richtlinie gesetzt auf Annehmen: Internetrichtlinie, Anwendungssteuerung |
|
Richtlinie auf Schadprogramm- und PUA-Erkennung gesetzt: Security Heartbeat |
|
Keine Beschränkung und auf Schadprogramm- und PUA-Erkennung gesetzt: Security Heartbeat |
|
Richtlinie gesetzt auf Verwerfen: Internetrichtlinie, Anwendungssteuerung |
|
Richtlinie auf PUA-Erkennung gesetzt: Security Heartbeat |
|
Keine Beschränkung und auf PUA-Erkennung gesetzt: Security Heartbeat |
|
Richtlinie auf Verweigern gesetzt: Internetrichtlinie, Anwendungssteuerungsrichtlinie |
|
Keine Beschränkung und kein Heartbeat: Security Heartbeat |
NAT-Konfiguration
Wenn Sie von einer früheren Version zu SFOS 18.0 migrieren, migriert XG Firewall die NAT-Einstellungen der Firewallregeln als NAT-Regeln und listet sie in der NAT-Regeltabelle auf. Sie bietet keine Gateway-basierte NAT-Konfiguration mehr.
XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten NAT-Regeln abzugleichen. Einzelheiten zur NAT-Migration von Versionen vor SFOS 18.0 finden Sie unter NAT-Regeln.
Routing-Konfiguration
In SFOS 18.0 und neueren Versionen müssen Sie Routing-Richtlinien im SD-WAN-Richtlinienrouting festlegen. Firewallregeln enthalten keine Routing-Einstellungen mehr. Wenn Sie von einer früheren Version migrieren, migriert XG Firewall die Routing-Einstellungen in Firewallregeln als Migrierte SD-WAN-Richtlinienrouten. Sie können sie in der SD-WAN-Richtlinienrouting-Tabelle sehen. Sie können diese migrierten Richtlinienrouten anhand der ID und des Namens der Firewallregel identifizieren.
XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten Routen abzugleichen. Einzelheiten zur Migration von Richtlinienrouten von Versionen vor SFOS 18.0 finden Sie unter Migrierte SD-WAN-Richtlinienrouten
In SFOS 17.5 und früheren Versionen wurden die Geschäftsanwendungsregeln und Benutzer-Netzwerk-Regeln zwar in einer einzigen Regeltabelle aufgeführt, XG Firewall wertete diese Regeltypen jedoch unabhängig voneinander aus, um Übereinstimmungskriterien zu finden.
Für Datenverkehr, der an das System gerichtet ist, (z.B. Zugriff auf XG Firewall Dienste) und eingehenden Datenverkehr (z.B. Verkehr zu internen Servern), auf den eine NAT-Zielregel zutraf, wurden Benutzer-Netzwerk-Regeln ignoriert und der Verkehr mit den Geschäftsanwendungsregeln abgeglichen.
Seit SFOS 18.0 hat XG Firewall die Unterscheidung zwischen Geschäftsanwendungsregeln und Benutzer-Netzwerk-Regeln aufgehoben. Es bietet jetzt beides als Firewallregeln an. Um sicherzustellen, dass die Konsolidierung das Regelabgleichverhalten früherer Versionen nicht beeinträchtigt, ignoriert es weiterhin migrierte Benutzer-Netzwerk-Regeln, die sich über migrierten Geschäftsanwendungsregeln für an das System gerichteten und eingehenden Datenverkehr befinden.
Webserverregeln und -Schutzrichtlinien: XG Firewall hat einige Schutzkategorien in einer einzigen Kategorie zusammengeführt, Filterregeln neuen Regel-IDs zugeordnet und Filterstärkestufen eingeführt. Weitere Informationen finden Sie unter Schutzrichtlinien für Webserver.