Beschreibung:

In diesem Artikel wird beschrieben, welche Besonderheiten bei der Vererbung von Firewall-Regeln auf einer LANCOM R&S®Unified Firewall zu beachten sind.



Regeln:

  • Regeln in einem Netzwerk-Objekt werden an ein nachgelagertes Host-Objekt vererbt. 
  • Eine vererbte DENY-Regel gilt immer vor einer konfigurierten ALLOW-Regel.



Beispiel zu Vererbung:

1. Desktop:

In einem Netzwerk gibt es das Netzwerk-Objekt INTRANET und das Host-Objekt Workstation.


2. Netzwerk-Objekt:

Vom Netzwerk-Objekt INTRANET zum Internet (LANCOM_Internet-Access) sind HTTP und HTTPS erlaubt und ICMP verboten.

Da die Unified Firewall nach dem DENY-ALL-Prinzip arbeitet, ist zuerst jegliche Kommunikation verboten. In diesem Fall ist die Kommunikation per ICMP also auch ohne separate Regel bereits verboten. Es ist daher nicht erforderlich und in der Regel auch gar nicht sinnvoll ICMP über eine separate Regel extra zu verbieten.

Lediglich in Einzelfällen kann es sinnvoll sein einen bestimmten Port zu verbieten (etwa, wenn ein Port-Bereich erlaubt ist und sichergestellt sein soll, dass ein bestimmter Port aus diesem Bereich verboten ist).


3. Host-Objekt:

Vom Host-Objekt Workstation zum Internet ist die Kommunikation per ICMP erlaubt.


4. Resultat:

  • Die Kommunikation per HTTP und HTTPS vom Host-Objekt Workstation zum Internet ist aufgrund der Vererbung erlaubt.
  • Die Kommunikation per ICMP vom Host-Objekt Workstation zum Internet bleibt verboten, da eine DENY-Regel immer vor einer ALLOW-Regel greift. 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH