Skip to end of metadata
Go to start of metadata


Beschreibung:

Die Erstellung von Firewall-Regeln in WEBconfig kann nicht in gleicher Weise vorgenommen werden, wie dies mit LANconfig möglich ist, sondern es muss eine Vorgehensweise und Syntax verwendet werden, welche in diesem Dokument beschrieben wird.

Info:
Die Vorgehensweise und Syntax zur Konfiguration von Firewall-Regeln in der LANCOM Management Cloud ist in diesem Knowledge Base-Artikel beschrieben.



Voraussetzungen:



Vorgehensweise:

Damit nicht in jeder Firewall-Regel die im Folgenden beschriebenen Aktions-IDs verwendet werden müssen, empfiehlt es sich, vor der Erstellung der einzelnen Regeln sog. Firewall-Objekte anzulegen, die in den Regeln dann immer wieder verwendet werden können.

Zudem sind im Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Firewall-Objekte bereits vorgefertigte Objekte für die gängigsten Aktionen und Protokolle bzw. Quell- und Ziel-Adressen (ACCEPT, REJECT, DROP, ANYHOST, LOCALNET, etc.) vorhanden, welche zur einfachen Konfiguration einer Firewall-Regel verwendet werden können.

Um die Vorgehensweise zu verdeutlichen, werden beispielhaft folgende Firewall-Regeln mit WEBconfig angelegt:

      • Datenverkehr von einer bestimmten Quell-IP-Adresse blockieren
      • HTTPS-Verbindungen global erlauben
      • Mindestbandbreite von 256 Kilobyte pro Sekunde garantieren (QoS)


Beispielregel 1: Datenverkehr von einer bestimmten Quell-IP-Adresse blockieren:

1.1 Öffnen Sie die Konfiguration des LANCOM Gerätes in WEBconfig im Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Firewall-Objekte → Objekt-Tabelle und klicken Sie auf die Schaltfläche Hinzufügen.

1.2 Vergeben Sie einen aussagekräftigen Namen für das Objekt und geben Sie als Syntax %A gefolgt von der IP-Adresse des Gerätes ein (z.B. %A10.10.10.1). Klicken Sie dann auf OK, um das Objekt zu speichern.

Info:
Im Feld Wert können nicht mehr als 64 Zeichen eingetragen werden. Um mehr als 64 Zeichen verwenden zu können, müssen Objekte verschachtelt werden. Eine Anleitung erhalten Sie in diesem Knowledge Base-Artikel.
1.3 Klicken Sie auf Setzenum die Änderung zu übernehmen.
1.4 Öffnen Sie das Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Regel-Tabelle und erstellen Sie eine neue Regel.
  • Vergeben Sie einen aussagekräftigen Namen für diese Regel.
  • Da alle Protokolle blockiert werden sollen, können Sie die vorgefertigte Regel ANY verwenden.
  • Als Quelle wird das im Schritt 1.2 erstellte Objekt PC_IM_LAGER ausgewählt werden. Wenn Sie kein vorgefertigtes Objekt verwenden möchten, müssten Sie an dieser Stelle die Syntax %A10.10.10.1 verwenden.
  • Das Ziel ANYHOST gibt an, dass die Regel für alle Ziele gilt.
  • Als Aktion können Sie das vorgefertigte Aktions-Objekt REJECT eintragen.

1.5 Klicken Sie auf Setzenum die Änderung zu übernehmen.



Beispielregel 2: HTTPS-Verbindungen global erlauben:

2.1 Öffnen Sie das Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Regel-Tabelle und erstellen Sie eine neue Regel.

  • Vergeben Sie einen aussagekräftigen Namen für diese Regel.
  • Da alle Protokolle erlaubt werden sollen, können Sie die vorgefertigte Regel ANY verwenden.
  • Alle Clients im Netzwerk sollen HTTPS-Verbindungen nutzen können, daher kann das vorgefertigte Objekt ANYHOST eingetragen werden.
  • Das Ziel HTTPS gibt an, dass die Regel für alle Ziele gilt. Wenn Sie das vorgefertigte Objekt HTTPS nicht verwenden möchten, müssten Sie an dieser Stelle die Syntax %S443 verwenden.
  • Als Aktion können Sie das vorgefertigte Aktions-Objekt ACCEPT eintragen.
2.2 Klicken Sie auf Setzenum die Änderung zu übernehmen.


Beispielregel 3: Mindestbandbreite von 256 Kilobyte pro Sekunde garantieren (QoS):

3.1 Öffnen Sie die Konfiguration des Routers in WEBconfig im Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Firewall-Objekte → Aktionen-Tabelle und klicken Sie auf die Schaltfläche Hinzufügen.

3.2 Vergeben Sie einen aussagekräftigen Namen für die Aktion und geben Sie als Syntax %Qgds256 ein. Klicken Sie dann auf Setzen, um das Objekt zu speichern.

3.3 Öffnen Sie das Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Regel-Tabelle und erstellen Sie eine neue Regel.

  • Vergeben Sie einen aussagekräftigen Namen für diese Regel.
  • Da alle Protokolle erlaubt werden sollen, können Sie die vorgefertigte Regel ANY verwenden.
  • Die garantierte Mindestbandbreite soll für alle Quellen und alle Ziele gelten, daher kann hier jeweils das vorgefertigte Objekt ANYHOST eingetragen werden.
  • Als Aktion können Sie das im Schritt 3.2 erstellte Aktionen-Objekt eintragen. Wenn Sie das erstellte Aktionen-Objekt nicht verwenden möchten, müssten Sie an dieser Stelle die Syntax %Qgds256 verwenden.
3.4 Klicken Sie auf Setzenum die Änderung zu übernehmen.



Syntax zum Anlegen von Aktionen:

Alle Aktionen sind beliebig miteinander kombinierbar. Bei Aktionen, welche sich gegenseitig aufheben (z.B.: "Accept" + "Drop") wird automatisch die sicherere Variante (in diesem Fall "Drop") gewählt.

Aktion
Beschreibung
Zu verwendende Aktions-ID
AcceptDas Paket wird angenommen
%a
RejectDas Paket wird mit einer passenden Fehlermeldung zurückgewiesen
%r
DropDas Paket wird stillschweigend verworfen
%d
Connect-FilterDer Filter ist aktiv, wenn keine physikalische Verbindung zum Ziel des Pakets besteht
@c
Internet-FilterDer Filter ist aktiv, wenn das Paket über die Default Route empfangen wurde, oder gesendet werden soll
@i
SyslogGibt eine detaillierte Meldung über Syslog aus
%s
MailSendet eine E-Mail an den Administrator
%m
SNMPSendet einen SNMP-Trap
%n
Close-PortSchließt den Zielport des Pakets für eine vorgebbare Zeit
%p
Deny-HostSperrt die Absender-Adresse des Pakets für eine vorgebbare Zeit
%h
DisconnectTrennt die physikalische Verbindung zur Gegenstelle, über die das Paket empfangen wurde oder gesendet werden sollte
%t
Zero-LimitSetzt den Limit-Counter (s.u) bei Überschreiten der Trigger-Schwelle wieder auf 0
%z

Wichtige Informationen zu Aktionen:

1.) Close-Port
  • Betroffener Port wird in eine Sperrliste eingetragen
  • Weitere Pakete an Rechner und Port werden verworfen
  • Sperrzeit wir in Stunde (h), Minute (m) oder Sekunde (s) hinter der Aktions-ID angegeben (Beispiel: %pm10 sperrt den Port für 10 Minuten)

2.) Deny-Host
  • Absender des Pakets wird in eine Sperrliste eingetragen
  • Gleiche Syntax zur Zeitangabe wie bei der Close-Port Aktion

3.) Connect-Filter / Internet-Filter
  • Ohne weitere Aktion geht die Firewall von einer Kombination mit Reject aus.



Syntax zum Anlegen von Limits:

Jede Aktion kann mit einem Limit verknüpft werden. Das Überschreiten des Limits, ist der Auslöser für die folgende Aktion.

Limits werden allgemein mit %l eingeleitet. Als nächstes wird der Bezug angegeben [d.h. Verbindungsbezogen (c) oder global (g)]. Es folgt die Art des Limits [damit ist die Datenrate (d), die Anzahl der Pakete (p) oder die Paketrate (b) gemeint].

Zuletzt werden zusätzliche Parameter wie Zeitraum und Größe angegeben.


Beispiel: %lcds8

Das Limit tritt in diesem Beispiel in Kraft, wenn mehr als 8 Kilobyte/s für die bestehende Verbindung übertragen werden.

Limit
Beschreibung
Zu verwendende Aktions-ID
Data (abs)Absolute Anzahl von Kilobytes auf der Verbindung nach denen die Aktion ausgeführt wird
%lcd
Data (rel)Anzahl von Kilobytes pro Sekunde / Minute / Stunde auf der Verbindung nach denen die Aktion ausgeführt wird
%lcds
%lcdm
%lcdh
Packet (abs)Absolute Anzahl von Paketen auf der Verbindung nach denen die Aktion ausgeführt wird
%lcp
Packet (rel)Anzahl von Paketen pro Sekunde / Minute / Stunde, oder absolut auf der Verbindung nach denen die Aktion ausgeführt wird
%lcps
%lcpm
%lcph
global Data (abs)Absolute Anzahl von Kilobytes, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird
%lgd
global Data (rel)Anzahl von Kilobytes pro Sekunde / Minute / Stunde die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird
%lgds
%lgdm
%lgdh
global Packet (abs)Absolute Anzahl von Paketen, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgelöst wird
%lgp
global Packet (rel)Anzahl von Paketen pro Sekunde / Minute / Stunde die an den Zielrechner gesendet oder von diesem empfangen wurden, nach denen die Aktion ausgeführt wird
%lgps
%lgpm
%lgph
Receive OptionBeschränkung des Limits auf die Empfangsrichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben
%lgdsr
%lcdsr
transmit OptionBeschränkung des Limits auf die Senderichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben
%lgdst
%lcdst


Information zur Verwendung von "Quality-of-Service"

  • Quality-of-Service-Objekte (QoS-Objekte) stellen besondere Limits dar, durch die eine minimale Bandbreite garantiert werden kann.
  • Es gelten die gleichen Konventionen wie bei den Limit Objekten.
  • QoS-Objekte werden durch %q eingeleitet und unterscheiden sich von Limit-Objekten nur dadurch, dass nach überschreiten der Schwelle die folgenden Pakete weiterhin akzeptiert werden.
  • Hier kann die Angabe der Accept-Aktion sowohl als Haupt-Aktion als auch als getriggerte Aktion wegfallen und die Beschreibung entsprechend abgekürzt werden.

    Beispiel: %a %qcds8%a %lgds32%d = %qcds8 %lgds32%d



Syntax zum Anlegen von Firewall-Objekten:

ObjektBeschreibungZu verwendende Objekt-IDBeispiel
LOCALNETAlle lokalen Netzwerke%L
ANYHOSTBeliebige Netzwerke%A0.0.0.0 %M0.0.0.0
GegenstelleInternet-/VPN-/PPTP/ISDN/L2TP-Gegenstelle%H%HINTERNET
HostnameDNS-Name eines Netzwerk-Teilnehmers%D%DServer01
MAC-AdresseMAC-Adresse eines Netzwerk-Teilnehmers%E%E00:A0:57:12:34:56
IP-AdresseIP-Adresse eines Netzwerk-Teilnehmers%A%A10.0.0.1
NetzmaskeSubnetzmaske%M%M255.255.255.0
Protokoll TCP, UDP, Ping usw. %P%P6 für TCP
Dienst (Port)Dienste wie HTTPS sowie selbst definierte Ports und Port-Ranges%S%S443 für HTTPS

Gleiche Objekte können in Listen zusammengefasst werden, indem die Einträge durch ein Komma separiert werden (z.B. %A10.0.0.1, 10.0.0.2) oder durch einen Bindestrich getrennt werden (z.B. %S20-25).

Die Angabe einer "0" oder eines Leerzeichens bezeichnet das Objekt ANY.