Beschreibung:
Dieses Dokument beschreibt die Konfigurationsschritte zur Einrichtung des P=
aket-Filters auf der LANCOM R&S=C2=AEUnified Firewall.
Diese grundlegende Funktionalit=C3=A4t wird zur Verwendung der UTM-Funktion=
en (z.B. Application F=
ilter, URL-/Conten=
t-Filter sowie Antivirus) der Unified Firewall ben=C3=B6tigt. Vor=
aussetzungen:
- LANCOM R&S=C2=AEUnifie=
d Firewall mit LCOS FX ab Version 10
- Bereits eingerichtete und funktionsf=C3=A4hige Internet-Verbindung auf =
der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall
Die folgenden Web-Browser werden unterst=C3=BCtzt:
- Google Chrome
- Chromium
- Mozilla Firefox
1. Vorgehensweise:
In diesem Konfigurationsbeispiel soll die Nutzung von Diensten (z.B. HTTP, =
HTTPS, FTP, usw.) vom lokalen Netzwerk ins Internet =C3=BCber die Unified F=
irewall reglementiert werden.
Dazu wurde in der Konfiguration der Unified Firewall bereits ein De=
sktop-Objekt des Typs Netzwerk erstellt, in welchem das physikalis=
che Firewall-Interface angegeben wurde, welches mit dem lokalen Netzwerk ve=
rbunden ist. Zudem wurde der IP-Adressbereich des lokalen Netzwerks=
in CIDR-Notation eingegeben.
1.1. Klicken Sie in dem Netzwerk-Objekt LAN auf das "Verbindungswerkzeug" und klicken anschlie=C3=9Fend auf das Internet-Objekt, welches f=C3=BCr die eingerichtete WAN Verbindung erstellt wurde.
1.2. Weisen Sie dem Netzwerk-Objekt LAN =C3=BCber die "Plu=
s-Zeichen" die gew=C3=BCnschten Dienste und Protokolle zu.
Wenn Sie lediglich Dienste hinzuf=C3=BCgen, erreichen Sie damit =
bereits eine grundlegende Funktionalit=C3=A4t des Paket-Filters. Im Kapitel 2 dieses Dokumentes wird auf weitere Konfig=
urationsm=C3=B6glichkeiten in den einzelnen Diensten eingegangen.
1.3. Klicken Sie auf Speichern, um die grundl=
egende Funktion des Paket-Filters zu =C3=BCbernehmen.
1.4. Klicken Sie in der Unified Firewall auf Aktivieren, d=
amit die Konfigurations-=C3=84nderungen umgesetzt werden.
2. Erweiterte Einstellungen zu den D=
iensten:
2.1 Sie k=C3=B6nnen erweiterte Einstellungen zu den Dienst-Regeln i=
n einem (Netzwerk)-Objekt konfigurieren, indem Sie auf das "Verbindungswerkzeug" und klicken anschlie=C3=9Fend auf das Internet-Objekt, welches f=C3=BCr die eingerichtete WAN Verbindung erstellt wurde.
2.2 In der Registerkarte "Regeln" k=C3=B6nnen Sie in den S=
palten Aktion, Zeitsteuerung und Optionen direkte =C3=84nderungen a=
n einer Regel durchf=C3=BChren, indem Sie auf den Link der entspre=
chenden Funktion klicken.
- In der Spalte Aktion wird bei jedem Klick sofo=
rt auf eine andere Aktion umgeschaltet (Aus, Bidirektional, von Li=
nks-nach-Rechts oder von Rechts-nach-Links).
Die jeweilige Kommunikationsrichtung ergibt sich aus der Anzeige i=
m Kopfbereich dieses Dialogs (z.B. LAN - WAN). In diesem Beispiel =
(siehe Abbildung) findet die Kommunikation vom LAN (Links) ins WAN (Rechts)=
statt. Da die Option NAT vergeben ist, wird die W=
AN-IP-Adresse zur Quelle.
- Beim Klick auf einem Link in der Spalte Zeitst=
euerung, =C3=B6ffnet sich der Dialog zur Konfiguration die=
ser Funktion.
- Mit den Schiebereglern legen Sie bestimmte Zeiten und Wochentage fest.<=
/li>
- Klicken Sie auf =E2=80=9EImmer an=E2=80=9C =E2=80=93 d=
ie Regel ist immer aktiv.
- Klicken Sie auf =E2=80=9EImmer aus=E2=80=9C =E2=80=93 =
die Regel ist immer inaktiv.
- Wenn Sie auf einen Link in der Spalte Optionen klicken=
, =C3=B6ffnet sich ein Dialog, in welchem Sie erweiterte Einstellun=
gen vornehmen k=C3=B6nnen. In der Registerkarte Erweitert =
stehen die folgenden Optionen zur Verf=C3=BCgung:=
- Proxy:
F=C3=BCr vordefinierte Firewall-Regeln mit vordefinierten Diensten, nur we=
nn die vordefinierten Dienste einen Proxy (HTTP, HTTPS, FTP, SMTP, SMTPS, P=
OP3 oder POP3S) erlauben. Setzen Sie den Haken in diesem Kontrollk=C3=A4stc=
hen, um den Proxy f=C3=BCr diese Regel zu aktivieren.
F=C3=
=BCr Firewall-Regeln mit ausschlie=C3=9Flich benutzerdefinierten Diensten:<=
/strong> W=C3=A4hlen Sie einen Proxy f=C3=BCr diese Regel aus der Drop-down=
-Liste aus. Um den Proxy zu entfernen, klicken Sie auf auf der rechten Seit=
e des ausgew=C3=A4hlten Proxys.
- NAT / Masquerading:
Geben Sie f=C3=BCr NAT/Masquerading die gew=C3=BCnschte Richtung an (bidir=
ektional, links-nach-rechts oder rechts-nach-links) oder deaktivieren Sie d=
ie Funktion f=C3=BCr diese Regel (Off), indem Sie die entsprechende Options=
schaltfl=C3=A4che ausw=C3=A4hlen. Die Standardeinstellung h=C3=A4ngt von de=
n f=C3=BCr die Verbindung ausgew=C3=A4hlten Quell- und Zielobjekten ab.
- Neue Quell-IP:
Optional: Wenn Sie =
mehrere ausgehende IP-Adressen haben, geben Sie die IP-Adresse an, die f=C3=
=BCr Source-NAT verwendet werden soll. Wenn Sie keine IP-Adresse angeben, w=
=C3=A4hlt das System automatisch die Haupt-IP-Adresse des ausgehenden Inter=
face aus.
- DMZ / Port-Weiterleitung f=C3=BCr diesen Dienst aktivieren:
Ist ein einzelnes Hostobjekt Ziel der Firewall-Regel, k=C3=B6nnen Sie den =
Haken in diesem Kontrollk=C3=A4stchen setzen, um eine DMZ und Port-Weiterle=
itung f=C3=BCr diese Regel zu aktivieren.
- Externe IP-Adresse:
Optional: Geben Sie die Ziel-IP-Adresse des zu bearbeitenden Date=
nverkehrs an. Die DMZ-Regel wird nur auf diesen Datenverkehr angewandt. Die=
se IP-Adresse muss eine der IP-Adressen der Firewall sein.
- Externer Port:
Zeigt den urspr=C3=BCnglichen Ziel-P=
ort des zu bearbeitenden Datenverkehrs abh=C3=A4ngig von dem im Tab =E2=80=
=9EPorts/Protokolle=E2=80=9C festgelegten Port an.
- Ziel-IP-Adresse:
Zeigt die neue Ziel-IP-Adresse des=
Datenverkehrs (nach der Bearbeitung) an.
- Ziel-Port:
Optional: Geben Sie den Ziel-Port des Datenverkehrs (nach der Bea=
rbeitung) an.
|