Skip to end of metadata
Go to start of metadata


Beschreibung:
Dieses Dokument beschreibt die Konfigurationsschritte zur Einrichtung des Paket-Filters auf der LANCOM R&S®Unified Firewall.
Diese grundlegende Funktionalität wird zur Verwendung der UTM-Funktionen (z.B. Application Filter, URL-/Content-Filter sowie Antivirus) der Unified Firewall benötigt.


Voraussetzungen:
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Beliebiger Browser für den Zugriff auf das Webinterface der Unified Firewall



1. Vorgehensweise:
In diesem Konfigurationsbeispiel soll die Nutzung von Diensten (z.B. HTTP, HTTPS, FTP, usw.) vom lokalen Netzwerk ins Internet über die Unified Firewall reglementiert werden.
Dazu wurde in der Konfiguration der Unified Firewall bereits ein Desktop-Objekt des Typs Netzwerk erstellt, in welchem das physikalische Firewall-Interface angegeben wurde, welches mit dem lokalen Netzwerk verbunden ist. Zudem wurde der IP-Adressbereich des lokalen Netzwerks in CIDR-Notation eingegeben.
1.1. Klicken Sie in dem Netzwerk-Objekt LAN auf das "Verbindungswerkzeug" und klicken anschließend auf das Internet-Objekt, welches für die eingerichtete WAN Verbindung erstellt wurde.
1.2. Weisen Sie dem Netzwerk-Objekt LAN über die "Plus-Zeichen" die gewünschten Dienste und Protokolle zu.
Info:
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.
Wenn Sie lediglich Dienste hinzufügen, erreichen Sie damit bereits eine grundlegende Funktionalität des Paket-Filters. Im Kapitel 2 dieses Dokumentes wird auf weitere Konfigurationsmöglichkeiten in den einzelnen Diensten eingegangen.
1.3. Klicken Sie auf Speichern,um die grundlegende Funktion des Paket-Filters zu übernehmen.
1.4. Klicken Sie in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.



2. Erweiterte Einstellungen zu den Diensten:
2.1 Sie können erweiterte Einstellungen zu den Dienst-Regeln in einem (Netzwerk)-Objekt konfigurieren, indem Sie auf das "Verbindungswerkzeug" und klicken anschließend auf das Internet-Objekt, welches für die eingerichtete WAN Verbindung erstellt wurde.
2.2 In der Registerkarte "Regeln" können Sie in den Spalten Aktion, Zeitsteuerung und Optionen direkte Änderungen an einer Regel durchführen, indem Sie auf den Link der entsprechenden Funktion klicken.
  • In der Spalte Aktion wird bei jedem Klick sofort auf eine andere Aktion umgeschaltet (Aus, Bidirektional, von Links-nach-Rechts oder von Rechts-nach-Links).

    Die jeweilige Kommunikationsrichtung ergibt sich aus der Anzeige im Kopfbereich dieses Dialogs (z.B. LAN - WAN). In diesem Beispiel (siehe Abbildung) findet die Kommunikation vom LAN (Links) ins WAN (Rechts) statt. Da die Option NAT vergeben ist, wird die WAN-IP-Adresse zur Quelle.
  • Beim Klick auf einem Link in der Spalte Zeitsteuerung, öffnet sich der Dialog zur Konfiguration dieser Funktion.
    • Mit den Schiebereglern legen Sie bestimmte Zeiten und Wochentage fest.
    • Klicken Sie auf „Immer an“ – die Regel ist immer aktiv.
    • Klicken Sie auf „Immer aus“ – die Regel ist immer inaktiv.

  • Wenn Sie auf einen Link in der Spalte Optionen klicken, öffnet sich ein Dialog, in welchem Sie erweiterte Einstellungen vornehmen können. In der Registerkarte Erweitert stehen die folgenden Optionen zur Verfügung:
    • Proxy:
      Für vordefinierte Firewall-Regeln mit vordefinierten Diensten, nur wenn die vordefinierten Dienste einen Proxy (HTTP, HTTPS, FTP, SMTP, SMTPS, POP3 oder POP3S) erlauben. Setzen Sie den Haken in diesem Kontrollkästchen, um den Proxy für diese Regel zu aktivieren.

      Für Firewall-Regeln mit ausschließlich benutzerdefinierten Diensten: Wählen Sie einen Proxy für diese Regel aus der Drop-down-Liste aus. Um den Proxy zu entfernen, klicken Sie auf auf der rechten Seite des ausgewählten Proxys.
    • NAT / Masquerading:
      Geben Sie für NAT/Masquerading die gewünschte Richtung an (bidirektional, links-nach-rechts oder rechts-nach-links) oder deaktivieren Sie die Funktion für diese Regel (Off), indem Sie die entsprechende Optionsschaltfläche auswählen. Die Standardeinstellung hängt von den für die Verbindung ausgewählten Quell- und Zielobjekten ab.
    • Neue Quell-IP:
      Optional: Wenn Sie mehrere ausgehende IP-Adressen haben, geben Sie die IP-Adresse an, die für Source-NAT verwendet werden soll. Wenn Sie keine IP-Adresse angeben, wählt das System automatisch die Haupt-IP-Adresse des ausgehenden Interface aus.
    • DMZ / Port-Weiterleitung für diesen Dienst aktivieren:
      Ist ein einzelnes Hostobjekt Ziel der Firewall-Regel, können Sie den Haken in diesem Kontrollkästchen setzen, um eine DMZ und Port-Weiterleitung für diese Regel zu aktivieren.
    • Externe IP-Adresse:
      Optional:
      Geben Sie die Ziel-IP-Adresse des zu bearbeitenden Datenverkehrs an. Die DMZ-Regel wird nur auf diesen Datenverkehr angewandt. Diese IP-Adresse muss eine der IP-Adressen der Firewall sein.
    • Externer Port:
      Zeigt den ursprünglichen Ziel-Port des zu bearbeitenden Datenverkehrs abhängig von dem im Tab „Ports/Protokolle“ festgelegten Port an.
    • Ziel-IP-Adresse:
      Zeigt die neue Ziel-IP-Adresse des Datenverkehrs (nach der Bearbeitung) an.
    • Ziel-Port:
      Optional:
      Geben Sie den Ziel-Port des Datenverkehrs (nach der Bearbeitung) an.


Info:
  • Wenn Sie in der Spalte Ändern auf das Bearbeiten-Symbol klicken, können Sie alle Einstellungen des Dienstes in einem Gesamtdialog vornehmen.
  • Ein Klick auf das Löschen-Symbol entfernt den Dienst aus der Liste.