Benutzer-/Netzwerkregel hinzufügen (IPv6)

Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der das IPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externen Netzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt die Regel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregel konfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Sie diese Benutzern zuweisen.
1. Gehen Sie zu Schutz > Firewall und wählen Sie IPv6 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Benutzer-/Netzwerkregel.
3. Legen Sie die Details für die Richtlinieneinführung fest.
Regelname
Geben Sie einen Namen für die Regel ein.
Beschreibung
Geben Sie eine Beschreibung für die Regel ein.
Position der Regel
Wählen Sie aus den verfügbaren Optionen die Position der Regel aus.
Verfügbare Optionen:
* Oben
* Unten
Aktion
Wählen Sie aus den verfügbaren Optionen eine Aktion für den Datenverkehr der Regel aus.
* Annehmen – Zugriff zulassen
* Verwerfen – Still verwerfen
* Ablehnen – Zugriff verweigern (an die Quelle wird die Meldung „ICMP port unreachable“ gesendet)
Wenn eine Antwort gesendet wird, ist es möglich, dass diese über eine andere Schnittstelle versendet wird als die Anfrage erhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.
Zum Beispiel: Wenn die Anfrage auf einem LAN-Port über eine gefälschte IP-Adresse empfangen wurde (öffentliche IP-Adresse oder eine IP-Adresse außerhalb des LAN-Netzwerks) und keine bestimmte Route festgelegt ist, sendet die Appliance eine Antwort an diese Hosts über die Standard-Route. Das bedeutet, dass die Antwort über den WAN-Port versendet wird.
4. Legen Sie Details der Quelle fest.
Quellzonen
Wählen Sie, welche Quellzonen dem Benutzer erlaubt sind.
Quellnetzwerke und Geräte
Wählen Sie, welche Netzwerke/Geräte dem Benutzer erlaubt sind.
Ein neuer Netzwerkhost kann direkt auf dieser Seite erstellt werden, indem Sie auf Neue erstellen klicken, oder auf der Seite System > Hosts und Dienste.
Innerhalb der geplanten Zeit
Wählen Sie, welcher Zeitplan dem Benutzer erlaubt ist.
Ein neuer Zeitplan kann direkt auf dieser Seite oder über die Seite System > Profile > Zeitplan erstellt werden.
5. Legen Sie Ziel- und Dienstdetails fest.
Zielzonen
Wählen Sie, welche Zielzonen dem Benutzer erlaubt sind.
Zielnetzwerke
Wählen Sie, welche Zielnetzwerke dem Benutzer erlaubt sind.
Ein neuer Netzwerkhost kann direkt auf dieser Seite erstellt werden, indem Sie auf Neue erstellen klicken, oder auf der Seite System > Hosts und Dienste.
Dienste
Wählen Sie, welche/r Dienst(e) dem Benutzer erlaubt ist/sind.
Ein neuer Dienst kann direkt auf dieser Seite oder über die Seite System > Hosts und Dienste > Dienste erstellt werden.
6. Geben Sie Details zur Identität an.
Übereinstimmung mit bekannten Benutzern
Wählen Sie diese Option, um eine Regel auf Basis der Benutzeridentität zu aktivieren.
Captive Portal unbekannten Benutzern anzeigen
Aktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zuzulassen. Die Captive Portal Seite wird dem Benutzer angezeigt, wo er sich anmelden kann, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zu verwerfen.
Benutzer oder Gruppen (nur wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Wählen Sie die Benutzer oder Gruppen aus der Liste der verfügbaren Optionen.
Schließen Sie diese Benutzeraktivität von der Datenverarbeitung aus. (nur wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
Wählen Sie die Option, um den Traffic der Benutzeraktivität in die Datenverarbeitung ein- oder auszuschließen.
Standardmäßig wird Der Netzwerkdatenverkehr des Benutzers bei der Datenverarbeitung berücksichtigt. Aktivieren Sie diese Option, um bestimmten Traffic von der Verarbeitung der Benutzerdaten auszuschließen. Der Datenverkehr, der von dieser Regel zugelassen wird, wird für den Datentransfer dieses Benutzer nicht erfasst.
7. Legen Sie die Details zum Schadsoftware-Scan fest. (nur, wenn die Aktion für den Datenverkehr Annehmen ist)
HTTP scannen
Aktiviert das Scannen von HTTP-Verkehr.
HTTPS entschlüsseln und scannen
Aktiviert das Entschlüsseln und Scannen von HTTPS-Verkehr.
Zero-Day-Bedrohungen erkennen mit Sandstorm
Mittels HTTP oder HTTPS heruntergeladene Dateien zur Analyse an Sandstorm senden. Sandstorm Schützt Ihr Netzwerk vor unbekannten und unveröffentlichten Bedrohungen („Zero-Day“-Bedrohungen).
8. Legen Sie die Details für die erweiterten Einstellungen fest (nur, wenn die Aktion für den Verkehr Annehmen ist).
a. Legen Sie die Richtlinien für Benutzeranwendungen fest.
Intrusion Prevention (IPS)
Wählen Sie eine IPS-Richtlinie für die Regel aus. Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Schutz > Intrusion Prevention > IPS-Richtlinien erstellt werden.
Traffic Shaping-Richtlinie
Die Traffic Shaping-Richtlinie des Benutzers wird automatisch angewendet wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist.
Sie müssen die Traffic-Shaping-Richtlinie für die Regel auswählen, wenn Übereinstimmung mit bekannten Benutzern nicht ausgewählt ist.
Richtlinien für Web
Wählen Sie für die Regel eine Webrichtlinie.
Eine neue Webrichtlinie kann direkt auf dieser Seite oder über die Seite Schutz > Web > Richtlinien erstellt werden.
Traffic-Shaping-Richtlinie basierend auf Webkategorie übernehmen
Klicken, um die Bandbreite für URLs, die in die Webkategorie eingeordnet sind, zu beschränken.
Folgende Konfiguration in drei Schritten ist erforderlich:
a. Erstellen Sie auf der Seite System > Profile > Traffic Shaping eine Traffic-Shaping-Richtlinie. Geben Sie hier als Richtlinienzugehörigkeit Webkategorien an.
b. Weisen Sie auf dieser Seite die erstellte Richtlinie anschließend der Webrichtlinie zu.
c. Wählen Sie Traffic-Shaping-Richtlinie basierend auf Webkategorie übernehmen aus um die Richtlinie anzuwenden.
Application Control
Wählen Sie für die Regel eine Anwendungsfilter-Richtlinie aus. Eine neue Anwendungsfilter-Richtlinie kann direkt auf dieser Seite oder über die Seite Schutz > Anwendungen > Anwendungsfilter erstellt werden.
Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen
Klicken, um die Bandbreite für Anwendungen, die in die Anwendungskategorie eingeordnet sind, zu beschränken.
Folgende Konfiguration in drei Schritten ist erforderlich:
a. Erstellen Sie auf der Seite System > Profile > Traffic Shaping eine Traffic-Shaping-Richtlinie Geben Sie als Richtlinienzugehörigkeit Anwendungen an.
b. Weisen Sie auf dieser Seite die erstellte Richtlinie anschließend der Application Control zu.
c. Wählen Sie webbasierte Traffic-Shaping-Richtlinie übernehmen aus um die Richtlinie anzuwenden.
b. Geben Sie die Routing-Details an.
Quelladresse umschreiben (Maskieren)
Deaktivieren Sie die Option, wenn Sie die Quelladresse nicht umschreiben oder die NAT-Richtlinie festlegen möchten.
Standard: Aktiviert
Gateway-spezifische NAT-Standardrichtlinie verwenden (nur, wenn Maskieren ausgewählt ist)
Klicken Sie, um die NAT-Standardrichtlinie durch eine Gateway-spezifischen Richtlinie aufzuheben.
NAT-Standardrichtlinie durch eine Gateway-spezifischen Richtlinie aufheben (nur, wenn Gateway-spezifische NAT-Standardrichtlinie verwenden ausgewählt ist)
Aktivieren Sie diese Option, um einen Gateway und eine dazugehörige NAT-Richtlinie festzulegen. Es können mehrere Gateways und NAT-Richtlinien hinzugefügt werden.
Ausgehende Adresse verwenden (nur, wenn Quelladresse umschreiben ausgewählt ist)
Wählen Sie, welche NAT-Richtlinie angewendet werden soll. Nutzen Sie die Liste der verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt auf dieser Seite oder über die Seite System > Profile > Netzwerkadressumsetzung erstellt werden.
Standard: MASQ.
MASQ (Standard-Schnittstellen-IP)
Die IP-Adresse der Zielzone wie unter Konfigurieren > Netzwerk > Schnittstellen konfiguriert, wird anstelle der (Standard-Schnittstellen-IP) angezeigt, wenn eine einzelne Zielzone ausgewählt ist.
(Standard-Schnittstellen-IP) wird angezeigt wenn mehrere Zielzonen ausgewählt sind.
Primäres Gateway
Geben Sie den primären Gateway an. Diese Option ist nur anwendbar, wenn mehr als ein Gateway definiert wurden.
* Wenn das Gateway gelöscht wird, zeigt Primäres Gateway WAN-Link Lastverteilung für die WAN Zielzone an und Keine für andere Zonen. In diesem Fall trifft die Firewall keine Routing-Entscheidungen.
Backup-Gateway
Geben Sie den Backup-Gateway an. Diese Option ist nur anwendbar, wenn mehr als ein Gateway definiert wurden.
* Wenn das Gateway gelöscht wird, zeigt das Backup-Gateway Keine an.
DSCP-Markierung
Wählen Sie die DSCP-Markierung.
DSCP (DiffServ Code Point) klassifiziert den Strom der Pakete bei Eintritt in das lokale Netzwerk je nach QoS. Der Strom wird über fünf Elemente definiert: IP-Adresse der Quelle, IP-Adresse des Ziels, Quellport, Zielport und Transportprotokoll.
Die verfügbaren Optionen finden Sie unter DSCP-Werte.
9. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.
Firewall-Verkehr protokollieren
Klicken Sie, um die Protokollierung des erlaubten und abgewiesenen Datenverkehrs zu aktivieren.
10. Klicken Sie auf Speichern.