Erstellen Sie Firewallregeln, um den Datenverkehr zwischen Zonen und Netzwerken zuzulassen oder zu verweigern, und wenden Sie Sicherheitsrichtlinien und -Maßnahmen an.
Name | Beschreibung |
---|---|
Regelname | Geben Sie einen Namen ein. |
Position der Regel | Geben Sie die Position der Regel in der Regeltabelle an.
XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung findet, wertet sie keine weiteren Regeln aus. Sie können die Reihenfolge der Regeln in der Regeltabelle ändern. |
Regelgruppe |
Wählen Sie eine Regelgruppe aus, oder erstellen Sie eine Regelgruppe. Die Firewallregel gehört zu dieser Gruppe. Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen. |
Maßnahme | Wählen Sie eine Maßnahme aus: Annehmen: Lässt Datenverkehr zu Verwerfen: Verwirft Datenverkehr ohne Benachrichtigung Ablehnen: Verwirft Datenverkehr und sendet eine ICMP port unreachable Nachricht an die Quelle. Mit Webserver-Schutz schützen: Wählen Sie diese Option aus und geben Sie die WAF-Details (Web Server Protection) an, um den Webanwendungsverkehr zu steuern. |
Vorkonfigurierte Vorlage |
Wenn Sie Webserverschutz ausgewählt haben, wählen Sie eine Vorlage aus, die Sie anwenden wollen: Keine: Geben Sie die Details zum Webserverschutz an. Exchange Autodiscover Exchange Outlook Anywhere Exchange General Microsoft Lync Microsoft Remote Desktop Gateway 2008 und R2 Microsoft Remote Desktop Web 2008 und R2 Microsoft Sharepoint 2010 und 2013 |
Firewallverkehr protokollieren |
Wählen Sie diese Option, um den gesamten Datenverkehr zu protokollieren, auf den diese Regel zutrifft. Standardmäßig werden Protokolle auf XG Firewall gespeichert. Um einen Syslog-Server hinzuzufügen und Protokolle auf dem Server zu speichern, gehen Sie zu Systemdienste > Protokolleinstellungen. Anmerkung Sitzungen werden protokolliert, wenn eine Verbindung ein „Destroy“-Verbindungsereignis empfängt und daraufhin beendet wird. Verbindungen, die beendet werden, ohne dass ein "Destroy"-Ereignis von XG Firewall gesehen wird, z.B. während des Verlusts der Internetverbindung, werden nicht protokolliert.
|
Automatisch erstellte Firewallregeln, z.B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden an die Spitze der Firewallregelliste gesetzt und zuerst ausgewertet. Wenn Sie später manuell eine Firewallregel mit Position der Regel gesetzt auf Oben oder einer anderen automatisch erstellten Regel erstellen, werden diese an der Spitze der Regeltabelle platziert und verändern dadurch die Regelpositionen. Wenn sich die Übereinstimmungskriterien für die neuen und vorhandenen Regeln überschneiden, gelten die Richtlinien und Aktionen der neuen Regel, was zu unerwarteten Ergebnissen führt, wie z.B. der Nichtzustellung von E-Mails oder Tunneln, die nicht aufgebaut werden.
Name | Beschreibung |
---|---|
Quellzonen |
Wählen Sie die Zonen aus, aus denen der Datenverkehr stammt. |
Quellnetzwerke und Geräte |
Wählen Sie die Quellnetzwerke und -Geräte aus, oder erstellen Sie neue. |
Im geplanten Zeitraum |
Wählen Sie einen Zeitplan aus, oder erstellen Sie einen. XG Firewall entspricht den Regelkriterien für den von Ihnen ausgewählten Zeitraum und Wochentag. |
Name | Beschreibung |
---|---|
Zielzonen |
Wählen Sie die Zielzonen aus, in denen der Datenverkehr endet. |
Zielnetzwerke |
Wählen Sie die Zielnetzwerke aus, oder erstellen Sie neue. |
Dienste |
Wählen Sie die Dienste aus, oder erstellen Sie einen neuen Dienst. Dienste sind eine Kombination aus Protokollen und Ports. |
Name | Beschreibung |
---|---|
Übereinstimmung mit bekannten Benutzern |
Wählen Sie diese Option aus, um die Benutzeridentität als Übereinstimmungskriterien hinzuzufügen. |
Webauthentifizierung für unbekannte Benutzer verwenden |
Wählen Sie diese Option aus, um unbekannte Benutzer zu authentifizieren, die versuchen, auf das Internet zuzugreifen. Dies sind Benutzer, die sich bei ihren Endgeräten angemeldet haben, aber nicht authentifiziert wurden. Um Einstellungen für die Webauthentifizierung festzulegen, gehen Sie zu Authentifizierung > Webauthentifizierung. Sie können AD SSO (Kerberos und NTLM) oder Captive-Portal-Authentifizierung angeben. Um den Zugriff auf AD SSO und Captive Portal aus den erforderlichen Zonen zu aktivieren, gehen Sie zu Verwaltung > Appliance-Zugriff. |
Benutzer oder Gruppen |
Wählen Sie die Benutzer und Gruppen aus. Die Regel gilt dann nur für Datenverkehr, der von den angegebenen Benutzern und Gruppen stammt. |
Diese Benutzeraktivität von der Datenerfassung ausschließen |
Wählen Sie diese Option, um den Datenverkehr der angegebenen Benutzer von der Datenerfassung auszuschließen. Standardmäßig fügt XG Firewall der Datenübertragung einzelner Benutzer Datenverkehr hinzu, der den Regelkriterien entspricht. Verwenden Sie diese Option, wenn Sie kein Datennutzungslimit für die angegebenen Benutzer festlegen wollen. |
Verknüpfte NAT-Regeln sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle aufgeführt. Sie können sie anhand der ID und des Namens der Firewallregel identifizieren.
Sie können in einer verknüpften NAT-Regel nur die übersetzte Quelle und die für die ausgehende Schnittstelle spezifische Quellübersetzung ändern. Für den Rest wendet XG Firewall die Übereinstimmungskriterien der Firewallregel an, mit dem er verknüpft ist, einschließlich Benutzer und Gruppen.Wählen Sie die Internetrichtlinie, Schadprogramm- und Inhaltsscans sowie die Filtereinstellungen aus.
Schadprogramm- und Inhaltsscans: Es gelten die unter Internet > Allgemeine Einstellungen angegebenen Einstellungen.
Filterung: Wählen Sie die Einstellungen aus, um den Internetverkehr über gängige Internetports zu filtern. Wenn Sie Web-Proxy-Filterung auswählen wollen, müssen Sie zunächst eine Internetrichtlinie oder eine Richtlinie für Schadprogramm- und Inhaltsscans von HTTP und entschlüsselten HTTPS auswählen.
XG Firewall identifiziert Micro-Apps, wie z.B. das Hoch- und Herunterladen von Dropbox- und Gmail-Anhängen, basierend auf ihren URLs. Wenn Sie in der Firewallregel eine Anwendungsfilterrichtlinie für diese Micro-Apps festlegen und die entsprechende SSL/TLS-Überprüfungsregel auf Entschlüsseln festlegen, identifiziert das DPI-Modul Micro-Apps basierend auf der entschlüsselten URL. Dies gilt auch dann, wenn Sie Internetrichtlinie auf Keine setzen und Schadprogramm-Scans und erweiterten Schutz vor Bedrohungen deaktivieren. XG Firewall führt die in der Filterrichtlinie der Anwendung angegebene Maßnahme aus.
Wenn Sie die Web-Proxy-Filterung auf Bridge-Schnittstellen ohne eine IP-Adresse einrichten, wird der Datenverkehr verworfen.
Name | Beschreibung |
---|---|
Internetrichtlinie |
Wählen Sie eine Internetrichtlinie aus, oder erstellen Sie eine. |
Webkategorie-basiertes Traffic-Shaping anwenden |
Wählen Sie diese Option aus, um die Bandbreiteneinstellungen anzuwenden, die für die Webkategorien innerhalb der Richtlinie festgelegt wurden. |
QUIC-Protokoll blockieren |
Blockiert das QUIC-Protokoll, indem ausgehende UDP-Pakete an die Ports 80 und 443 für Datenverkehr verworfen werden, der den Kriterien der Regel entspricht. Es ist standardmäßig ausgewählt, wenn Sie eine Internetrichtlinie auswählen oder das Scannen von HTTP und entschlüsselten HTTPS aktivieren. Chrome nutzt das Protokoll standardmäßig, um Sitzungen mit Google-Diensten herzustellen. QUIC-Datenverkehr kann nicht gescannt werden und umgeht die Webfilterung. |
HTTP und entschlüsseltes HTTPS scannen |
Wählen Sie diese Option, um den Internetverkehr auf Schadprogramme zu überprüfen. Diese Option aktiviert HTTPS-Entschlüsselung nicht. Um sicherzustellen, dass der HTTPS-Datenverkehr zum Scannen entschlüsselt wird, verwenden Sie SSL/TLS-Inspektionsregeln im DPI-Modus, oder wählen Sie HTTPS während der Web-Proxy-Filterung entschlüsseln. |
Zero-Day-Bedrohungen mit Sandstorm erkennen |
Wenn Sie die Scannen von HTTP und entschlüsseltem HTTPS ausgewählt haben, wählen Sie diese Option, um Dateien, die über HTTP oder HTTPS heruntergeladen wurden, zur Sandstorm-Analyse zu senden. Sandstorm schützt Ihr Netzwerk vor Zero-Day-Bedrohungen (unbekannte und unveröffentlichte Bedrohungen). |
FTP auf Schadprogramme scannen |
Wählen Sie diese Option, um FTP-Verkehr auf Schadprogramme zu überprüfen. |
Web-Proxy anstelle des DPI-Moduls verwenden | Wählen Sie diese Option, um den Web-Proxy nur für die Ports 80 (HTTP) und 443 (HTTPS) zu verwenden. Das DPI-Modul filtert weiterhin HTTP- und SSL/TLS-Verkehr auf anderen Ports. Sie benötigen den Proxy-Modus, um SafeSearch- und YouTube-Beschränkungen zu erzwingen und Anmeldungen bei Google Apps (Beispiel: Gmail, Drive) auf bestimmte Domänenkonten zu beschränken, um Schutz vor Pharming und das Zwischenspeichern von Webinhalten zu aktivieren und eine Verbindung zu einem übergeordneten Proxy herzustellen. Um das DPI-Modul für die Webfilterung zu verwenden, deaktivieren Sie das Kontrollkästchen. Das DPI-Modul filtert HTTP- und SSL/TLS-Verkehr auf allen Ports. Bei dieser Einstellung verwendet XG Firewall den direkten Modus. Sie wendet SSL/TLS-Inspektionsregeln an, um verschlüsselten Datenverkehr basierend auf den Regel-Übereinstimmungskriterien und den Entschlüsselungsprofilen abzufangen, zu entschlüsseln und zu inspizieren. Um sicherzustellen, dass SSL/TLS-Inspektionsregeln aktiviert sind und um SSL/TLS-Inspektionsregeln zu erstellen, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln. |
HTTPS während der Web-Proxy-Filterung entschlüsseln |
Wenn Sie diese Option aktivieren, wird auch HTTPS-Datenverkehr im direkten Proxy-Modus entschlüsselt. |
Mit synchronisierter Sicherheit konfigurierte Endgeräte und Dienste senden in vordefinierten Intervallen einen Heartbeat, der Informationen über ihren Integritätsstatus an XG Firewall enthält.
Name | Beschreibung |
---|---|
Minimal zulässiger Quell-HB |
Wählen Sie den minimalen Integritätsstatus aus, den ein Gerät, von dem der Datenverkehr stammt, beibehalten muss. Wenn ein Gerät nicht den Mindest-Heartbeat sendet, erhält der Benutzer nicht den in dieser Regel hinterlegten Zugriff. Grün: Nur Endgeräte, die diesen Integritätsstatus senden, erhalten Zugriff. Gelb: Nur Endgeräte, die einen grünen oder gelben Integritätsstatus senden, erhalten Zugriff. Keine Beschränkung: Alle Endgeräte erhalten Zugriff, einschließlich derjenigen, die keinen Heartbeat oder einen roten Status senden. |
Clients ohne Heartbeat sperren |
Wählen Sie diese Option, um die Geräte zu sperren, die keinen Heartbeat senden. |
Minimal zulässiger Ziel-HB | Wählen Sie den minimalen Integritätsstatus aus, den ein Gerät, das Datenverkehr empfängt, beibehalten muss. Wenn ein Gerät nicht den Mindest-Heartbeat sendet, erhält der Benutzer nicht den in dieser Regel hinterlegten Zugriff. Grün: Nur Endgeräte, die diesen Integritätsstatus senden, erhalten Zugriff.Gelb: Nur Endgeräte, die einen grünen oder gelben Integritätsstatus senden, erhalten Zugriff. Keine Beschränkung: Alle Endgeräte erhalten Zugriff, einschließlich derjenigen, die keinen Heartbeat oder einen roten Status senden. Sie können die Ziel-Heartbeat-Steuerung auf Geräte im internen Netzwerk anwenden, nicht in der WAN-Zone. |
Anfrage zu einem Ziel ohne Heartbeat blockieren |
Wählen Sie diese Option, um die Geräte zu sperren, die keinen Heartbeat senden. |
Name | Beschreibung |
---|---|
Anwendungen identifizieren und kontrollieren (App Control) |
Wählen Sie eine Anwendungsfilter-Richtlinie aus. |
Anwendungsbasierte Traffic-Shaping-Richtlinie anwenden |
Wählen Sie diese Option aus, um die Bandbreiteneinstellungen anzuwenden, die für die Anwendungen innerhalb der Anwendungskategorie festgelegt wurden. |
Exploits erkennen und verhindern (IPS) |
Wählen Sie eine IPS-Richtlinie aus. |
Datenverkehr regeln |
Wählen Sie eine Traffic-Shaping-Richtlinie aus, um eine Bandbreitengarantie oder -Beschränkung einzusetzen. Wenn Sie Übereinstimmung mit bekannten Benutzern ausgewählt haben, wird die Traffic-Shaping-Richtlinie der angegebenen Benutzer angewendet. Wenn keine Benutzerrichtlinie vorhanden ist, wird die Gruppenrichtlinie angewendet. |
DSCP-Markierung |
Wählen Sie die Stufe von DSCP-Markierung aus, um Pakete für die Priorisierung zu markieren. Weitere Informationen finden Sie unter DSCP-Wert. Beschleunigte Weiterleitung (Expedited Forwarding, EF): Warteschlangen basierend auf Priorität, die eine geringe Verzögerung und geringen Paketverlust gewährleisten. Geeignet für Echtzeitdienste. Gesicherte Weiterleitung (Assured Forwarding, AF): Sichere Lieferung, jedoch mit Paketverlust bei Überlastung. Weist eine höhere Priorität zu als „Best Effort“. Klassenauswahl (Class Selector, CS): Abwärtskompatibilität mit Netzwerkgeräten, die IP-Priorität in Type of Service verwenden. |
Wenn Sie hier ein Protokoll auswählen und seine Standardports nicht zu Dienste in dieser Regel hinzugefügt haben, wählen Sie Ports hinzufügen. Die Standardports für die ausgewählten Protokolle werden zu den Diensten hinzugefügt.