Regeln

Auf der Registerkarte Network Protection > Firewall > Regeln wird das Firewallregelwerk verwaltet. Beim Öffnen der Registerkarte werden standardmäßig nur benutzerdefinierte Firewallregeln angezeigt. Mit Hilfe der Auswahlliste oberhalb der Liste können Sie stattdessen einstellen, dass nur automatische Firewallregeln oder beide Typen von Regeln angezeigt werden. Automatische Firewallregeln werden mit einer eigenen Hintergrundfarbe dargestellt. Automatische Firewallregeln werden von UTM auf der Basis von ausgewählten Auswahlkästchen Automatische Firewallregeln in einer Ihrer Konfigurationen generiert, z.B. beim Anlegen von IPsec- oder SSL-Verbindungen.

Neu definierte Firewallregeln sind direkt nach der Erstellung standardmäßig deaktiviert. Automatische Firewallregeln und aktive benutzerdefinierte Firewallregeln werden der Reihe nach angewendet, bis die erste Regel zutrifft. Automatische Firewallregeln stehen immer oben auf der Liste. Die Reihenfolge der Abarbeitung von benutzerdefinierten Firewallregeln richtet sich dabei nach der Positionsnummer, d.h., wenn Sie über die Positionsnummer die Reihenfolge der Regeln ändern, ändern Sie gleichzeitig die Reihenfolge der Abarbeitung.

Warnung – Sobald eine Firewallregel zutrifft, werden die nachfolgenden Regeln nicht mehr beachtet. Die Reihenfolge ist daher sehr wichtig. Setzen Sie nie eine Regel mit den Einträgen Any (Quelle)Any (Dienst)Any (Ziel)Zulassen (Aktion) an den Beginn Ihres Regelwerks, da diese Regel alle Pakete in beide Richtungen durch das Gateway lassen würde, ohne nachfolgende Regeln zu beachten.

Um eine Firewallregel anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Regeln auf Neue Regel.

    Das Dialogfeld Regel hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Auswahlliste über der Liste können Sie die Regeln nach Ihrer Gruppe filtern. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss auf die Abarbeitung der Regeln. Um eine Gruppe anzulegen, wählen Sie den Eintrag << Neue Gruppe >> und geben Sie einen aussagekräftigen Namen in der Feld Name ein.

    Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen. Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.

    Quellen: Fügen Sie Quellnetzwerkdefinitionen hinzu bzw. wählen Sie sie aus, die angeben, von welchem Host/welchen Hosts oder Netzwerken die Pakete stammen.

    Tipp – Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Dienste: Fügen Sie Dienstdefinitionen zur Beschreibung der Protokolle und bei TCPClosed oder UDPClosed die Quell- und Zielports der Pakete hinzu bzw. wählen Sie sie aus.

    Ziele: Fügen Sie die Netzwerkdefinition des Ziels hinzu, die Zielhost(s) oder Zielnetzwerk(e) der Pakete angibt, oder wählen Sie sie aus.

    Hinweis – Wenn Sie mehr als eine Quelle, einen Dienst oder ein Ziel auswählen, gilt die Regel für alle möglichen Quelle-Dienst-Ziel-Kombinationen. Eine Regel mit zwei Quellen, zwei Diensten und zwei Zielen entspricht beispielsweise acht individuellen Regeln: von jeder Quelle an jedes Ziel über beide Dienste.

    Aktion: Die Aktion, die angibt, wie mit Datenverkehr verfahren wird, auf den die Regel zutrifft. Die folgenden Aktionen können ausgewählt werden:

    • Zulassen: Die Verbindung wird zugelassen und Datenverkehr wird weitergeleitet.
    • Verwerfen: Alle Pakete, die diese Bedingung erfüllen, werden ohne Rückmeldung an den Absender verworfen.
    • Ablehnen: Verbindungsanfragen, die diese Bedingung erfüllen, werden abgewiesen. Der Absender erhält eine entsprechende ICMPClosed-Nachricht.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Optional können Sie die folgende erweiterte Einstellung vornehmen:

    Zeitraum: Standardmäßig ist keine Zeitraumdefinition ausgewählt. Das bedeutet, dass die Regel immer gültig ist. Wenn Sie eine Zeitraumdefinition auswählen, wird die Regel nur innerhalb der Zeitspanne gültig, die durch diese Zeitraumdefinition festgelegt ist. Weitere Informationen finden Sie unter Zeitraumdefinitionen.

    Verkehr protokollieren: Wenn Sie diese Option wählen, wird die Protokollierung aktiviert und Pakete, auf die eine Regel zutrifft, werden im Firewallprotokoll mitgeschrieben.

    Quell-MAC-Adressen: Wählen Sie eine MAC-Adressdefinition aus, die die MAC-Adressen enthält, von denen die Pakete stammen. Wenn die Option ausgewählt ist, entsprechen Pakete nur dann dieser Regel, wenn ihre Quell-MAC-Adresse in der Definition aufgelistet ist. Beachten Sie, dass Sie nicht gleichzeitig eine MAC-Adressdefinition und die Quelle Any verwenden können. MAC-Adresslistendefinitionen werden auf der Registerkarte Definitionen & Benutzer > Netzwerkdefinitionen > MAC-Adressdefinitionen definiert.

  4. Klicken Sie auf Speichern.

    Die neue Regel wird in der Liste Regeln angezeigt.

  5. Aktivieren Sie die Firewallregel.

    Die neue Regel ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler, um die Regel zu aktivieren.

    Die Regel ist jetzt aktiv (Schieberegler ist grün).

Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Live-Protokoll öffnen: Über diese Schaltfläche wird ein Pop-up-Fenster mit einem Echtzeit-Protokoll der gefilterten Pakete geöffnet. Die Hintergrundfarbe gibt an, welche Aktion angewendet wurde:

  • Rot: Das Paket wurde verworfen (drop).
  • Gelb: Das Paket wurde abgelehnt (reject).
  • Grün: Das Paket wurde zugelassen (allow).
  • Grau: Die Aktion konnte nicht bestimmt werden.

Das Live-Protokoll enthält auch Informationen darüber, welche Firewallregel dafür gesorgt hat, dass ein Paket abgelehnt wurde. Solche Informationen sind wichtig für die Fehlersuche im Regelwerk. Mit der Suchfunktion können Sie das Firewallprotokoll nach bestimmten Einträgen durchsuchen. Die Suchfunktion erlaubt es sogar, Ausdrücke auszuschließen, indem Sie ein Minus vor den Ausdruck schreiben, z.B. -WebAdmin, wodurch alle Zeilen ausgeblendet werden, die diesen Ausdruck enthalten.

Bei Aktivierung der Funktion Autoscroll wird im Fenster automatisch nach unten gescrollt, sodass stets die aktuellsten Ergebnisse angezeigt werden.

Nachfolgend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall:

  • Verworfene Broadcasts: Alle Broadcasts werden standardmäßig verworfen. Diese Aktion wird auch nicht protokolliert (weitere Informationen hierzu unter Erweitert). Dies ist für NetBIOS-Netzwerke (z.B. Microsoft-Windows-Betriebssysteme) mit vielen Computern hilfreich, da die Broadcasts das Firewallprotokoll schnell volllaufen lassen. Um eine Regel für das Verwerfen von Broadcasts manuell zu definieren, gruppieren Sie die Definitionen der Broadcast-Adressen aller angeschlossenen Netzwerke und fügen Sie eine „global_broadcast“-Definition 255.255.255.255/255.255.255.255 hinzu. Fügen Sie dann eine Regel hinzu, die sämtlichen Verkehr zu diesen Adressen verwirft, und platzieren Sie die Regel ganz oben in Ihrer Firewall-Konfiguration. In Netzwerken mit viel Broadcast hat das auch positive Auswirkungen auf die Systemleistung.
  • IDENT-Verkehr ablehnen: Wenn Sie den IDENTClosed-Reverse-Proxy nicht nutzen möchten, können Sie Datenpakete an den Port 113 (IDENT) des internen Netzwerks ablehnen. Dies kann bei Diensten, die IDENT verwenden (z.B. FTP, SMTP und IRC), längere Zeitüberschreitungen verhindern.

    Hinweis – Bei der Nutzung von Maskierung kommen die IDENT-Anfragen für die maskierten Netzwerke auf den Maskierungsschnittstellen an.

  • NAT verändert die Adressen der Datenpakete und hat somit Auswirkungen auf die Firewall-Funktionalität.

    • DNAT wird vor der Firewall ausgeführt. Die Firewall bearbeitet daher die bereits umgeschriebenen Datenpakete. Das müssen Sie bedenken, wenn Sie Regeln für DNAT-bezogene Dienste anlegen.
    • SNAT und Maskierung werden nach der Firewall ausgeführt. Die Firewall bearbeitet daher noch die Datenpakete mit der originalen Quelladresse.

Mit den Funktionen im Kopfbereich der Tabelle können Firewallregeln nach bestimmten Kriterien gefiltert und so übersichtlich dargestellt werden. Wenn Sie Gruppen angelegt haben, können Sie eine Gruppe aus der Auswahlliste wählen und sehen so alle Regeln, die zu dieser Gruppe gehören. Mit dem Suchfeld können Sie nach Stichworten oder auch nur Wortteilen suchen, zu denen die Regeln angezeigt werden sollen. Die Suche umfasst Quelle, Ziel, Dienst, Gruppenname und Kommentar einer Regel.