...
| Seiteneigenschaften |
|---|
Description:
In diesem Artikel werden Best-Practice Empfehlungen zur Erstellung von Firewall-Regeln auf einer Unified Firewall beschriebenThis article describes best practices for creating firewall rules on a Unified Firewall.
Recommendations:
1. Pfeil-Richtung bei der Konfiguration von NAT beachten:
Bei der Konfiguration von NAT auf einer Unified Firewall gibt es mehrere Möglichkeiten. Bei der gängigsten Variante wird der Datenverkehr lediglich in Richtung Internet maskiert.
Dazu muss die Option Links-nach-rechts verwendet werden. Der Pfeil zeigt in diesem Fall vom Netzwerk-Symbol in Richtung Internet-Symbol.
| Info |
|---|
Eine beidseitige Maskierung mittels der Option Bidirektional führt zwar auch zu einer funktionierenden Internet-Verbindung. Allerdings wird bei einem eingerichteten Portforwarding als Absende-Adresse dann immer die Unified Firewall anstatt die Adresse des ursprünglichen Absenders angezeigt. Mit der Option Rechts-nach-links ist die Internet-Kommunikation nicht möglich, da die Kommunikation aus dem lokalen Netzwerk zum Internet nicht maskiert wird. Lediglich eingehende Kommunikation wird maskiert. |
2. Für ganzes Netzwerk das Objekt "Netzwerk" anstatt das Objekt "IP-Bereich" verwenden:
) Note the direction of the arrow when configuring NAT:
A Unified Firewall offers numerous options for NAT configuration. Most commonly, only data traffic in the direction of the Internet is masked.
The option for this is from left-to-right. Here, the arrow points from the network icon towards the Internet icon.
| Info |
|---|
Using the option bidirectional also produces to a functional Internet connection. However, if you operate port forwarding, the sender address displayed is that of the Unified Firewall and not that of the original sender. The option right-to-left prevents any Internet communication, since communication from the local network to the Internet is unmasked. Only incoming communication is masked. |
2) Use the “Network” object instead of the “IP range” object for the entire network:
Using an IP range means that, in the background, a specific rule is created for each IP address. This should therefore only be used for contiguous IP addresses and not for large address ranges or even an entire networkBei Verwendung eines IP-Bereichs wird im Hintergrund für jede IP-Adresse eine eigene Regel erstellt. Dies sollte daher nur für einige zusammenhänge IP-Adressen verwendet werden und nicht für große Adressbereiche oder gar ein ganzes Netzwerk.
Bei Verwendung eines Netzwerks wird lediglich eine einzelne Regel erstellt.
3. Verwendung gleicher Protokolle bei Kaskadierung vermeiden:
Wird das gleiche Protokoll für ein Netzwerk-Objekt (in diesem Beispiel INTERN) und für ein nachgelagertes Host-Objekt (in diesem Beispiel Admin-PC) erlaubt, führt dies zu einer doppelten Regelerzeugung. Dies sollte daher vermieden werden.
Eine Ausnahme stellt die Verwendung eines Proxy dar, wenn für einzelne Hosts eine Ausnahme erstellt werden soll (etwa wenn für das Netzwerk INTERN der HTTP-Proxy für das Protokoll HTTPS verwendet wird und auf dem nachgelagerten Host Admin-PC HTTPS ohne aktivierten Proxy).
Die Kaskadierung eines Netzwerks, eines IP-Bereichs und eines Hosts mit dem gleichen Protokoll sollte unbedingt vermieden werden, da dies sonst zu einer dreifachen Regelerzeugung führt.
4. Erstellen von Regeln mit doppelten Ports/Protokollen vermeiden:
) Avoid using the same protocols when cascading:
If the same protocol is allowed for a network object (in this example INTRANET) and for a downstream host object (in this example Admin PC), this leads to a twofold rule generation. This should be avoided.
An exception would be when using a proxy and exceptions are required for individual hosts (for example, if the HTTP proxy for the HTTPS protocol is used for the INTRANET network and HTTPS without an activated proxy is used on the downstream host Admin PC).
Cascading a network, an IP range and a host using the same protocol should be avoided at all costs, as otherwise this would result in the threefold generation of rules.
4) Avoid creating rules with duplicate ports/protocols:
If you operate a custom service and you add an additional service that is already a part of the custom service, this leads to a twofold rule generation. This should be avoided.
Example:
The custom service Port_Range contains the TCP and UDP ports 1–1000. The protocol HTTPS (TCP port 443) is added, even though this is already included in the service Port_Range. This leads to a twofold generation of rulesWird ein benutzerdefinierter Dienst verwendet und zusätzlich ein weiterer Dienst hinzugefügt, der bereits in dem benutzerdefinierten Dienst enthalten ist, führt dies zu einer doppelten Regelerzeugung. Dies sollte daher vermieden werden.
Beispiel:Der benutzerdefinierte Dienst Port-Range enthält die TCP- und UDP-Ports 1 - 1000. Zusätzlich wird das Protokoll HTTPS (TCP-Port 443) hinzugefügt, welches in dem Dienst Port-Range aber bereits enthalten ist. Dadurch kommt es zu einer doppelten Regelerzeugung.
