IPv6-zu-IPv4-Firewallregeln mit explizitem Proxy
Wenn Ihr reines IPv6-Netzwerk mit reinen IPv4-Zielen kommuniziert und Ihre Bereitstellungen im expliziten Modus erfolgen, benötigt die Firewall IPv6- und IPv4-Regeln, um den Datenverkehr zu verarbeiten.
Im expliziten Proxy-Modus müssen die Clients (Browser) der Benutzer so konfiguriert sein, dass sie Anfragen direkt an den Webproxy senden. Die Clients kennen den Proxy.
-
IPv6-Regel: Wertet den IPv6-Verkehr vom internen Endpunkt zur Firewall aus und leitet ihn an die Webproxy-Komponente weiter, die dann die DNS-Auflösung durchführt.
Der Webfilterung Die Einstellungen in dieser Regel gelten für den Datenverkehr.
-
IPv4-Regel: Wenn die Domäne nur in eine IPv4-Adresse aufgelöst wird, leitet der Webproxy den Datenverkehr mithilfe einer IPv4-Regel an das Ziel weiter.
Der Weitere Sicherheitsfunktionen, wie etwa Anwendungssteuerung und Angriffsschutz, gelten in dieser Regel für diesen Datenverkehr.
Notiz
Die Firewall wertet die Übereinstimmung mit bekannten Benutzern Einstellungen in beiden Firewall-Regeln. Geben Sie für Benutzer mit reinen IPv6-Endpunkten die Einstellungen in der IPv6-Firewall-Regel an.
Beispielszenario
In diesem Artikel wird das folgende Beispielszenario verwendet: Nur-IPv6-LAN-Benutzer versuchen, auf die Website zuzugreifen example.com
, das sich in der WAN-Zone befindet.
Die folgenden Regelkonfigurationen verwenden Beispieleinstellungen.
Hinzufügen einer IPv6-Firewallregel
Die Regel lässt Datenverkehr vom internen Netzwerk zur WAN-Schnittstelle der Firewall zu. Die Regel wendet die Webfilterung und Benutzereinstellungen auf den Datenverkehr an.
- Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Sie auf IPv6.
- Klicken Firewallregel hinzufügen und klicken Sie auf Neue Firewall-Regel.
- Geben Sie einen Namen ein.
-
Unter QuellzonenWählen Sie eine Zone aus, zum Beispiel UND.
Für Quellhosts in den DMZ- oder VPN-Zonen können Sie diese Zonen auswählen oder Beliebig.
-
Unter Quellnetzwerke und -geräte, wählen Sie das LAN-Subnetz aus, um dessen ausgehenden Datenverkehr zuzulassen.
-
Unter Zielzonen, wählen VAN.
Um den Datenverkehr an die Webproxy-Komponente zu senden, muss die Firewall ihn als WAN kennzeichnen. Sie müssen also nur die Zielzone auf VAN oder Beliebig, auch wenn sich der Zielserver in den LAN- oder DMZ-Zonen befindet.
-
Unter ZielnetzwerkeWählen Sie den IP- oder FQDN-Host für den Server oder die Website aus, z. B.
example.com
.Alternativ wählen Sie Beliebig.
-
Unter Leistungen, wählen Beliebig.
Notiz
Um den expliziten Proxy-Port anstelle von Any auszuwählen, fügen Sie einen Service-Host für den Port hinzu, der auf Web > Allgemeine Einstellungen, unter Webproxy-AbhörportDer Standardport ist TCP 3128.
Stellen Sie sicher, dass die Betriebssystem- oder Browsereinstellungen der Endpunkte mit diesem Protokoll und Port konfiguriert sind.
-
(Optional) Wählen Sie Übereinstimmung mit bekannten Benutzern und fügen Sie die Benutzer oder Gruppen hinzu.
Wählen Sie für reine IPv6-Endpunkte diese Einstellungen in dieser Regel aus.
-
(Optional) Klicken Sie auf Webfilterungund wählen Sie eine Webrichtlinie aus.
- Klicken Speichern.
Hinzufügen einer IPv4-Firewallregel
Fügen Sie eine IPv4-Firewallregel für den Datenverkehr von der Firewall zum IPv4-Ziel hinzu. Diese Regel wendet die Sicherheitsrichtlinien auf den Datenverkehr an.
- Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Sie auf IPv4.
- Klicken Firewallregel hinzufügen und klicken Sie auf Neue Firewall-Regel.
- Geben Sie einen Namen ein.
- Unter Quellzonen, wählen Beliebig.
- Unter Quellnetzwerke und -geräte, wählen Beliebig.
-
Unter Zielzonen, wählen VAN.
Sie können basierend auf dem Standort des Zielservers eine beliebige Zone auswählen.
-
Unter ZielnetzwerkeWählen Sie den IPv4-Host oder die Domäne des Zielservers aus, beispielsweise
example.com
.Alternativ wählen Sie Beliebig.
-
Unter LeistungenWählen Sie die Dienste des Zielservers aus, beispielsweise HTTP Und HTTPS.
Alternativ wählen Sie Beliebig.
-
(Optional) Unter Weitere Sicherheitsfunktionendie folgenden Richtlinien aus:
- Wählen Sie ein App-Steuerung Politik.
- Wählen Sie ein Einbruchschutz Politik.
- Unter Verkehr gestaltenWählen Sie eine Traffic-Shaping-Richtlinie aus.
-
Klicken Speichern.
Weitere Ressourcen