Firewall -> Adressen -> Adressliste -> Neu
Konfiguration der Firewall |
Es wird nun die Firewall aktiviert um den Verkehr zwischen den einzelnen Zonen (LAN, DMZ und Internet) zu kontrollieren.
Dabei sollen vom LAN ausgehende Verbindungen überall hin, sowie von der DMZ ausgehende Verbindungen ins Internet generell erlaubt sein. Der übrige Verkehr ist standardmäßig blockiert.
Für die Dienste auf den Servern in der DMZ, die vom Internet aus erreichbar sein sollen, wird jeweils eine Filterregel erstellt. In unserem Beispiel sind dies ein Web-Server und zusätzlich ein E-Mail-Server, der E-Mails empfangen soll, und zusätzlich die Möglichkeit bietet, von außen über eine verschlüsselte Verbindung E-Mails mit pop3 oder imap abzurufen.
Die Grundeinstellung der Firewall ist es, den Verkehr auf allen Schnittstellen zu blockieren. Daher ist alles verboten, was nicht explizit erlaubt ist.
In der Standardeinstellung wird die Firewall aktiv wenn die erste Regel konfiguriert ist. Daher ist es wichtig, dass die erste Regel auch den Konfigurationszugriff auf den Router selbst erlaubt.
Um die Server bei der Konfiguration der Filterregeln identifizieren zu können, werden Alias-Namen für die IP-Adressen des Web- und E-Mail-Servers angelegt.
Gehen Sie in folgendes Menü, um Aliasnamen zu erstellen:
Gehen Sie zu Firewall -> Adressen -> Adressliste -> Neu.
Firewall -> Adressen -> Adressliste -> Neu
Gehen Sie folgendermaßen vor:
Tragen Sie bei Beschreibung den Namen des Aliases ein, z. B. WebServer .
Wählen Sie bei Adresstyp Adresse/Subnetz .
Tragen Sie bei Adresse/Subnetz die IP-Adresse und die zugehörige Subnetzmaske ein, hier z. B. 213.7.46.2 und 255.255.255.255 .
Bestätigen Sie mit OK.
Verfahren Sie analog für die Konfiguration des Aliasnamens für den E-Mail-Server.
Gehen Sie zu Firewall -> Adressen -> Adressliste -> Neu.
Tragen Sie bei Beschreibung den Namen des Aliases ein, z. B. EMailServer .
Wählen Sie bei Adresstyp Adresse/Subnetz .
Tragen Sie bei Adresse/Subnetz die IP-Adresse und die zugehörige Subnetzmaske ein, hier z. B. 213.7.46.3 und 255.255.255.255 .
Bestätigen Sie mit OK.
Die Server sollen jeweils mehrere Dienste zur Verfügung stellen. Um die Konfiguration der Filterregeln zu vereinfachen, können Sie mehrere Dienste zu Gruppen zusammenfassen.
Gehen Sie in folgendes Menü, um eine Gruppe zu erstellen:
Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu.
Firewall -> Dienste -> Gruppen -> Neu
Gehen Sie folgendermaßen vor, um eine Gruppe zu erstellen:
Tragen Sie bei Beschreibung einen Namen für die Gruppe ein, z. B. WebDienste .
Setzen Sie den Haken bei den Diensten, die Mitglieder dieser Gruppe sein sollen, hier http und http (SSL) .
Bestätigen Sie mit OK.
Verfahren Sie analog für die Konfiguration der Dienstgruppe für den E-Mail-Server.
Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu.
Tragen Sie bei Beschreibung einen Namen des Gruppe ein, z. B. EMailDienste .
Setzen Sie den Haken bei den Diensten, die Mitglieder dieser Gruppe sein sollen, hier smtp , pop3 (SSL) und imap (SSL) .
Bestätigen Sie mit OK.
|
Hinweis |
|---|---|
|
Die korrekte Konfiguration der Filterregeln und die richtige Anordnung in der Filterregelkette sind entscheidend für die Funktion der Firewall. Eine fehlerhafte Konfiguration kann unter Umständen dazu führen, dass keine Kommunikation mit dem Router mehr möglich ist! |
|
Nachdem die Konfiguration der Aliasnamen für IP-Adressen und Dienste abgeschlossen ist, können Sie nun die Filterregeln definieren.
Zur Konfiguration der ersten Regel gehen Sie folgendermaßen vor:
Gehen Sie zu Firewall -> Richtlinien ->IPv4- Filterregeln -> Neu.
Firewall -> Richtlinien ->IPv4- Filterregeln -> Neu
Gehen Sie folgendermaßen vor:
Wählen Sie die Quelle des Pakets aus, hier LAN_EN1-0 .
Wählen Sie als Ziel ANY aus. Weder Ziel-Schnittstelle noch Ziel-Adresse werden überprüft.
Bei Dienst wählen Sie any aus.
Wählen Sie die Aktion aus, die angewendet werden soll, hier Zugriff . Die Pakete werden entsprechend den Angaben weitergeleitet.
Bestätigen Sie mit OK.
Mit diesen Einstellungen sind ausgehende Verbindungen vom LAN zur DMZ und zum Internet erlaubt, einschließlich des LAN-seitigen Zugriffs auf den Router.
Konfigurieren Sie die zweite Filterregel analog zur Konfiguration der ersten Regel.
Gehen Sie zu Firewall -> Richtlinien ->IPv4- Filterregeln -> Neu.
Wählen Sie die Quelle des Pakets aus, hier LAN_EN1-1 .
Wählen Sie als Ziel LAN_EN1-4 aus. Quell- und Ziel-Schnittstelle werden überprüft.
Bei Dienst wählen Sie any aus.
Wählen Sie die Aktion aus, die angewendet werden soll, hier Zugriff . Die Pakete werden entsprechend den Angaben weitergeleitet.
Bestätigen Sie mit OK.
Mit diesen Einstellungen sind ausgehende Verbindungen von der DMZ zum Internet erlaubt.
Nun kann die Regel für den Zugriff vom Internet zum Web-Server erstellt werden.
Gehen Sie zu Firewall -> Richtlinien ->IPv4- Filterregeln -> Neu.
Wählen Sie die Quelle des Pakets aus, hier LAN_EN1-4 .
Wählen Sie als Ziel WebServer aus.
Bei Dienst wählen Sie WebDienste aus.
Wählen Sie die Aktion aus, die angewendet werden soll, hier Zugriff . Die Pakete werden entsprechend den Angaben weitergeleitet.
Bestätigen Sie mit OK.
Anschließend wird noch die Regel für den Zugriff vom Internet zum E-Mail-Server erstellt.
Gehen Sie zu Firewall -> Richtlinien ->IPv4- Filterregeln -> Neu.
Wählen Sie die Quelle des Pakets aus, hier LAN_EN1-4 .
Wählen Sie als Ziel EMailServer aus.
Bei Dienste wählen Sie EMailDienste aus.
Wählen Sie die Aktion aus, die angewendet werden soll, hier Zugriff . Die Pakete werden entsprechend den Angaben weitergeleitet.
Bestätigen Sie mit OK.
Die Liste der konfigurierten Filterregeln sollte nun wie folgt aussehen:
Gehen Sie zu Firewall -> Richtlinien ->IPv4- Filterregeln.
Firewall -> Richtlinien ->IPv4- Filterregeln
Die Konfiguration ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
| Copyright© Version 01/2020 bintec elmeg GmbH |