Menü „Dienste“

Die Panda GateDefender-Appliance umfasst viele nützliche Dienste zum Schutz vor Bedrohungen sowie zur Überwachung von Netzwerken und Daemons. Die Aktivierung und Einrichtung dieser Dienste wird in diesem Abschnitt erläutert. Besonderes Augenmerk gilt hierbei den verschiedenen Proxy-Diensten wie der Antivirus Engine, dem Intrusion Detection System, der Hochverfügbarkeit und Traffic Monitoring. Die verfügbaren Dienste sind im Untermenü auf der linken Seite des Bildschirms aufgelistet.

• DHCP Server – DHCP-Server für die automatische Zuweisung von IP-Adressen
• Dynamic DNS – Client für Dynamic DNS-Provider wie DynDNS (für den Einsatz zu Hause oder in kleinen Büros)
• Antivirus Engine – Konfiguration der für die E-Mail-, Internet-, POP- und FTP-Proxys verwendeten Antivirus-Engine
• Zeitserver – Aktivierung und Konfiguration der NTP-Zeitserver, Festlegung der Zeitzone oder manuelle Aktualisierung der Zeit
• E-Mail-Quarantäne – E-Mails in Quarantäne verwalten
• Spam Training – Training des von den E-Mail-Proxys verwendeten Anti-Spam-Filters
• Eindringlingsabwehr – Konfiguration von SNORT, dem Intrusion Detection System (IPS)
• Hochverfügbarkeit – Konfiguration der Panda GateDefender-Appliance im Hochverfügbarkeitsmodus
• Traffic Monitoring – Aktivierung bzw. Deaktivierung der Datenverkehrsüberwachung mithilfe von ntop
• SNMP Server – Unterstützung für SNMP (Simple Network Management Protocol)
• Quality of Service – Priorisierung des IP-Verkehrs.

DHCP-Server

Der DHCP-Server ordnet den Clients (Workstations und Server) in den von der Panda GateDefender-Appliance kontrollierten Zonen eine IP-Adresse („Lease“) zu und ermöglicht eine zentralisierte Kontrolle der ihnen zugewiesenen Adressen. Kunden können zwei Arten von Leases zugewiesen werden: dynamisch und statisch. Die Seite „DHCP Server“ ist in zwei bzw. drei Felder unterteilt: das Feld DHCP, in dem Sie den DHCP-Server konfigurieren können; das Feld Aktuelle statische Zuordnungen, das die statischen IP-Adressen anzeigt; und gegebenenfalls das Feld Aktuelle dynamische Zuordnungen, das nur angezeigt wird, wenn mindestens einem Client eine dynamische IP-Adresse zugeordnet wurde. Dynamische IP-Adressen werden auf Netzwerkbasis innerhalb eines festgelegten Bereichs zugewiesen und im ersten Feld konfiguriert. Statische IP-Adressen hingegen werden auf Host-Basis zugewiesen und im zweiten Feld konfiguriert.

DHCP

Wenn ein Client (beispielsweise ein Host oder ein Gerät wie etwa ein Netzwerkdrucker) sich mit dem Netzwerk verbindet, erhält er vom DHCP-Dienst automatisch aus einer Reihe von IP-Adressen und anderen Parametern eine gültige Adresse. Der Client muss für die Verwendung von DHCP konfiguriert sein. Die entsprechende Einstellung wird manchmal als „automatische Netzwerkkonfiguration“ bezeichnet und ist für die meisten Workstations standardmäßig aktiviert. Dynamische IP-Adressen werden auf Grundlage der Zonenaufteilung konfiguriert: Es ist z. B. möglich, dynamische IP-Adressen ausschließlich für Clients in der GRÜNEN Zone zu aktivieren und für die restlichen aktiven Zonen nur statische IP-Adressen zuzulassen.

Es ist jedoch auch möglich, Geräten in der ORANGEN (DMZ) oder BLAUEN (WLAN) Zone dynamische IP-Adressen zuzuordnen.

Bemerkung

Wenn die BLAUE Zone aktiviert ist, aber vom Hotspot verwaltet wird, wird die Meldung DHCP Konfiguration wird vom Hotspot verwaltet angezeigt und eine Konfiguration an dieser Stelle verhindert.

Um die DHCP-Parameter für die einzelnen Zonen anzupassen, klicken Sie auf das kleine Symbol neben der Aufschrift Einstellungen. Folgende Optionen stehen zur Auswahl:

Aktiviert

Aktiviert den DHCP-Server in der Zone.

Anfangsadresse, Endadresse

Der für die Clients vorgesehene IP-Adressbereich. Diese Adressen müssen sich innerhalb des Subnetzes befinden, das der entsprechenden Zone zugewiesen wurde. Sollten einige Hosts eine statische IP-Adresse erhalten (siehe unten), stellen Sie sicher, dass ihre IP-Adressen weder in diesem Bereich noch im Bereich des OpenVPN-Adresspools vorhanden sind (siehe Menüleiste ‣ VPN ‣ OpenVPN-Server), um Konflikte zu vermeiden.

Bei Auslassen dieser beiden Felder wird der gesamte IP-Bereich der Zone der dynamischen Adressvergabe zugeschrieben.

Nur fixe Leases erlauben

Aktivieren Sie dieses Kontrollkästchen, um nur statische IP-Adressen zu verwenden. Es werden keine dynamischen IP-Adressen zugewiesen.

Standard Lease Zeit, Maximale Lease Zeit (Min)

Die standardmäßig definierte bzw. maximale Lease-Zeit in Minuten vor Ablauf des Leases und der erneuten Beantragung einer IP-Adresse vom DHCP-Server.

Domain-Name-Suffix

Das Suffix des Domänennamens, das an die Clients weitergegeben und für die lokale Suche nach Domänen verwendet wird.

Standardgateway

Das zu verwendende Standardgateway. Bei Auslassen des Feldes wird das aktuelle Gateway verwendet.

Primärer DNS, Sekundärer DNS

Der von den Clients verwendete Domain Name Server (DNS). Da die Panda GateDefender-Appliance einen Caching-DNS-Server umfasst, ist als Standardwert die IP-Adresse der Firewall in der entsprechenden Zone festgelegt, auch wenn ein sekundärer Server oder sogar der primäre Wert geändert werden können.

Erster NTP Server, Zweiter NTP Server

Die von den Clients zur Synchronisierung der Systemuhren verwendeten NTP-Server.

Erste WINS Server, Zweiter WINS Server

Die von den Clients verwendeten WINS-Server. Diese Option ist nur bei Netzwerken von Microsoft Windows notwendig, die WINS verwenden.

Fortgeschrittene Benutzer können benutzerdefinierte Konfigurationszeilen zur Datei dhcpd.conf hinzufügen (z. B. benutzerdefinierte Routen zu Subnetzen), indem sie sie unten in den Textbereich mit der Überschrift Benutzerdefinierte Konfigurationszeilen eintragen.

Warnung

Die Schnittstelle der Panda GateDefender-Appliance führt in diesen Zeilen keine Syntaxprüfung durch: Jegliche Fehler an dieser Stelle können den Start des DHCP-Servers verhindern!

Beispiele: Booten mit PXE und dhcpd.conf-Konfiguration.

Die Anpassung des DHCP-Servers hat sich bei abweichenden Netzwerkkonfigurationen als nützlich erwiesen.

Eine weitere typische Anwendung ist für VoIP-Telefone, die ihre Konfigurationsdateien von einem HTTP-Server beim Start abrufen müssen. In diesem Fall können sich die Dateien auch auf der Panda GateDefender-Appliance befinden. Dadurch kann die Konfiguration des TFTP-Servers als zusätzliche Zeilen wie folgt übertragen werden:

option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/snom/{mac}.html";

Hinweis: $GREEN_ADDRESS ist ein Makro, das in der Datei dhcpd.conf durch die GRÜNE IP-Adresse der Panda GateDefender-Appliance ersetzt wird.

Aktuelle statische Zuordnungen

Für bestimmte Ressourcen – z. B. Server, die Dienste wie VoIP-Boxes, SVN-Repositorys, Dateiserver oder Geräte wie Drucker oder Scanner bereitstellen – muss bei der Verwendung von DHCP manchmal stets dieselbe IP-Adresse verwendet werden. Fixe Leases werden in der Regel als statische IP-Adressen bezeichnet, da ein Gerät bei Anforderung eines Lease vom DHCP-Server stets dieselbe IP-Adresse erhält.

In diesem Feld werden sämtliche statischen IP-Adressen, die derzeit im lokalen Netzwerk aktiv sind, zusammen mit verschiedenen Informationen zu den entsprechenden Adressen aufgelistet. Durch Klicken auf den Link Fixe Lease hinzufügen können Sie Geräten neue statische IP-Adressen zuweisen sowie sämtliche Informationen hinzufügen, die in der Liste angezeigt werden sollen. Die Geräte werden anhand ihrer MAC-Adressen identifiziert.

Bemerkung

Die Zuweisung einer statischen IP-Adresse von einem DHCP-Server unterscheidet sich erheblich von der manuellen Einrichtung der IP-Adresse auf einem Gerät. Im letzteren Fall wird das Gerät den DHCP-Server auch weiterhin kontaktieren, um eine IP-Adresse zu erhalten und seine Präsenz im Netzwerk anzumelden. Wenn die vom Gerät angeforderte IP-Adresse bereits zugewiesen wurde, erhält das Gerät eine dynamische IP-Adresse.

Folgende Parameter können bei statischen IP-Adressen definiert werden:

MAC-Adresse

Die MAC-Adresse des Clients.

IP-Adresse

Die IP-Adresse, die dem Client grundsätzlich zugeordnet wird.

Beschreibung

Eine optionale Beschreibung des Geräts, dem die IP-Adresse zugewiesen wird.

Nächste Adresse

Die Adresse des TFTP-Servers. Diese und die folgenden zwei Optionen sind nur in wenigen Fällen nützlich (weiter unten finden Sie ein Beispiel).

Dateiname

Der Dateiname des Startimage. Diese Option ist nur bei Thin Clients oder Netzwerkstarts erforderlich.

Stammpfad

Der Pfad der Startimage-Datei.

Aktiviert

Wenn dieses Kontrollkästchen aktiviert ist, wird die statische IP-Adresse gespeichert, jedoch nicht in die Datei dhcpd.conf aufgenommen.

Anwendungsfall für statische IP-Adressen

Ein Beispiel für die Nützlichkeit statischer IP-Adressen sind Thin Clients oder festplattenlose Workstations im Netzwerk, die das Preboot Execution Environment PXE nutzen, d. h. das Betriebssystem von einem Image laden, das von einem TFTP-Server bereitgestellt wird. Wenn TFTP-Server und DHCP auf demselben Server gehostet werden, erhält der Thin Client den Lease und das Image vom selben Server. Häufiger wird jedoch der TFTP-Server auf einem anderen Server im Netzwerk gehostet. Infolgedessen muss der Client vom DHCP-Server zu diesem Server umgeleitet werden – ein Vorgang, der leicht durch Hinzufügen einer statischen IP-Adresse für den Thin Client auf dem DHCP-Server, der Adresse des TFTP-Servers („Nächste Adresse“) und dem Dateinamen des Startimages durchgeführt werden kann.

Neben den bei Erstellung der statischen IP-Adresse bereitgestellten Informationen bietet die Liste die Möglichkeit, Leases (durch Aktivierung des Kontrollkästchens) durch Klicken der jeweiligen Symbole in der Spalte Aktionen zu aktivieren bzw. zu deaktivieren, zu bearbeiten oder zu löschen. Das Bearbeiten einer IP-Adresse erfolgt in der gleichen Form wie das Erstellen einer neuen IP-Adresse. Beim Löschen einer IP-Adresse wird diese hingegen unmittelbar aus der Konfiguration gelöscht.

Aktuelle dynamische Zuordnungen

Wenn der DHCP-Server aktiv ist und mindestens einem Client eine (dynamische) IP-Adresse zugewiesen wurde, wird unten auf der Seite ein drittes Feld angezeigt, das die Liste der aktuell zugewiesenen dynamischen IP-Adressen enthält. In dieser Liste werden IP-Adresse, MAC-Adresse, Hostname und Ablaufdatum der IP-Adressen angegeben, die den einzelnen Clients zugeordnet sind.

Dynamic-DNS

Ein DNS-Server ermöglicht die Auflösung der (numerischen) IP-Adresse eines Hosts auf Basis seines Hostnamens und umgekehrt. Dieser Vorgang eignet sich besonders für Hosts mit statischen IP-Adressen und Hostnamen.

DDNS-Provider wie DynDNS oder No-IP bieten einen ähnlichen Dienst für dynamische IP-Adressen. Dies ist in der Regel bei lokalen ADSL-Verbindungen der Fall: Jeder Domänenname kann registriert und einem Server mit dynamischer IP-Adresse zugeordnet werden. So wird jede an einer IP-Adresse vorgenommene Änderung dem DDNS-Provider übermittelt. Um die Kompatibilität und Integration mit den DNS-Stammservern zu gewährleisten, muss bei jeder Änderung der IP-Adresse die Aktualisierung aktiv durch den DDNS-Provider propagiert werden.

Die Panda GateDefender-Appliance bietet einen Dynamic DNS-Client für 14 verschiedene Provider. Ist dieser aktiviert, verbindet er sich automatisch mit dem Dynamic DNS-Provider, um im Falle von Änderungen die neue IP-Adresse zu übermitteln.

Bemerkung

Wenn kein Dynamic DNS-Konto eingerichtet wurde, erhalten Sie detaillierte Anweisungen zur Registrierung eines neuen Kontos sowie detaillierte Online-Hilfen und -Anleitungen auf den Websites der jeweiligen Provider.

Auf dieser Seite wird die Liste der Dynamic DNS-Konten angezeigt. Sie können mehrere DDNS-Provider nutzen. Für jedes Konto werden in der Liste Informationen zum verwendeten Dienst und zum registrierten Host-/Domänennamen sowie die verfügbaren Aktionen bereitgestellt. Zudem wird angezeigt, ob der anonyme Proxy-Server und die Platzhalter aktiviert sind. Sie können neue Konten erstellen, indem Sie auf den Link Host hinzufügen klicken. Folgende Parameter werden daraufhin angezeigt:

Dienst

Zeigt die verfügbaren DDNS-Provider im Dropdown-Menü an.

Hinter einem Proxy

Diese Option wird nur beim Provider „no-ip.com“ angewandt. Bei einer Verbindung der Panda GateDefender-Appliance mit dem Internet über einen Proxy-Server muss dieses Kontrollkästchen aktiviert sein.

Wildcards erlauben

Einige Dynamic DNS-Provider erlauben die Zuordnung ein und derselben IP-Adresse an sämtliche Subdomänen einer Domäne. In diesem Fall sind zwei Hosts – beispielsweise www.example.myddns.org und second.example.myddns.org – derselben IP-Adresse zugeordnet. Bei Aktivierung dieses Kontrollkästchens werden alle möglichen Subdomänen an dieselbe IP-Adresse umgeleitet. Die Funktion muss auch im Konto des DDNS-Providers konfiguriert sein (falls verfügbar).

Hostname und Domäne

Der Hostname und die Domäne, die beim DDNS-Provider registriert sind, z. B. „example“ und „myddns.org“.

Benutzername und Passwort

Die vom Dynamic DNS-Provider zum Zugriff auf den Dienst zur Verfügung gestellten Zugangsdaten.

Hinter einem Router (NAT)

Aktivieren Sie diese Option, wenn die Panda GateDefender-Appliance nicht direkt mit dem Internet verbunden ist, d. h. wenn ein anderer Router oder ein Gateway dazwischen geschaltet sind. In diesem Fall können Sie den Dienst unter http://checkip.dyndns.org nutzen, um die IP-Adresse des Routers zu ermitteln.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird das Konto aktiviert. Dies ist die Standardeinstellung.

Bemerkung

Da der Dynamic DNS-Provider lediglich den Domänennamen, nicht aber die zugehörigen Services auflöst, ist es weiterhin erforderlich, einen Dienst in die ROTE Zone zu exportieren, um den Domänennamen für die Verbindung zur Panda GateDefender-Appliance aus dem Internet mithilfe ihrer dynamischen IP-Adresse nutzen zu können. Das Exportieren eines Dienstes setzt normalerweise die Einrichtung einer Portweiterleitung voraus (siehe Menüleiste ‣ Firewall ‣ Portweiterleitung/NAT).

Nach Änderung der Konfiguration bzw. zur sofortigen Aktualisierung von Dynamic DNS für alle definierten Konten klicken Sie auf die Schaltfläche Update durchführen. Dies ist insbesondere dann nützlich, wenn beispielsweise der Uplink getrennt wurde und die REDIP sich geändert hat. In diesem Fall ist es erforderlich, sämtliche DDNS-Konten zu aktualisieren. Andernfalls ist die Erreichbarkeit der über DDNS angebotenen Dienste nicht mehr gegeben.

Antivirus-Engine

Die Panda GateDefender-Appliance nutzt die Antivirus-Engine von Panda, um Ihr Netzwerk vor Malware zu schützen.

Um die Malware-/Virussignaturen stets auf dem neuesten Stand zu halten, können vier verschiedene Aktualisierungszyklen ausgewählt werden: stündlich, täglich, wöchentlich oder monatlich.

Die konfigurierbaren Scanoptionen sind in drei Bereiche unterteilt:

Dateiinhaltsanalyse

Infizierte Dateien bereinigen

Aktiviert/deaktiviert die Verwendung der Blacklist für Erweiterungen bei einer Anti-Malware-Prüfung. Die Aktivierung dieser Option bedeutet, dass versucht wird, gefundene Malware zu desinfizieren, wobei die Deaktivierung ein Löschen der Datei ohne Desinfektionsversuch bedeutet. Voreinstellung: Deaktiviert.

Nach bekannten Jokes scannen

Aktiviert/deaktiviert das Scannen nach Scherzen. Voreinstellung: Deaktiviert.

Nach bekannten Einwahlprogrammen scannen

Aktiviert/deaktiviert das Scannen nach Einwahlprogrammen. Voreinstellung: Deaktiviert.

Nach bekannter Spyware/Adware scannen

Aktiviert/deaktiviert das Scannen nach Spyware/Adware. Voreinstellung: Deaktiviert.

Nach bekannten Hacker-Tools scannen

Aktiviert/deaktiviert das Scannen nach Hackertools. Voreinstellung: Deaktiviert.

Nach Sicherheitsrisiken scannen

Aktiviert/deaktiviert das Scannen nach Sicherheitsrisiken. Voreinstellung: Deaktiviert.

Nach bekannten MIME-Schwachstellen scannen

Aktiviert/deaktiviert das Scannen nach MIME-Sicherheitslücken. Voreinstellung: Deaktiviert.

Heuristische Analyse aktivieren

Aktiviert/deaktiviert die heuristische Analyse von Malware. Voreinstellung: Deaktiviert.

Heuristik-Stufe

Empfindlichkeit der heuristischen Analyse. Der Wert muss mithilfe einer der folgenden Optionen definiert werden: niedrige Empfindlichkeit bei Erkennung, mittlere Empfindlichkeit bei Erkennung und hohe Empfindlichkeit bei Erkennung (Voreinstellung).

Gepackte und/oder komprimierte Dateien

Komprimierte/gepackte Dateien überprüfen

Aktiviert/deaktiviert die Überprüfung des Inhalts komprimierter/gepackter Dateien. Voreinstellung: Deaktiviert.

Maximale Rekursionsebene

Maximale Rekursionsebene innerhalb komprimierter Dateien. Voreinstellung: 20.

Kontrolliere Größe bei Dekomprimierung

Aktiviert/deaktiviert die Steuerung für die maximale Ebene der Dekomprimierung von Dateien. Voreinstellung: Deaktiviert.

Maximale Größe bei Dekomprimierung

Maximale Größe der Dekomprimierung in KB für nicht komprimierte Elemente. Voreinstellung: 150.000 KB.

Maximale Verschachtelungstiefe

Maximale Verschachtelungstiefe für komprimierte Dateien. Voreinstellung: 9990.

Dateierweiterungen

Whitelist-Erweiterungen

Aktiviert/deaktiviert die Verwendung der Whitelist für Erweiterungen bei einer Anti-Malware-Prüfung. Voreinstellung: Deaktiviert.

Whitelist mit Erweiterungen: Eine Liste mit Erweiterungen, die bei einer Anti-Malware-Prüfung berücksichtigt werden.

Blacklist-Erweiterungen

Aktiviert/deaktiviert die Verwendung der Blacklist für Erweiterungen bei einer Anti-Malware-Prüfung. Voreinstellung: Deaktiviert.

Blacklist mit Erweiterungen: Eine Liste mit Erweiterungen, die bei einer Anti-Malware-Prüfung NICHT berücksichtigt werden. Die Blacklist hat Vorrang vor der Whitelist.

Zeitserver

Die Panda GateDefender-Appliance nutzt das Network Time Protocol NTP, um die Systemzeit mit Zeitservern im Internet zu synchronisieren. Die verfügbaren Einstellungen werden in zwei Feldern zusammengefasst.

Netzwerk-Timeserver verwenden

Eine Reihe von Zeitserver-Hosts im Internet sind vorkonfiguriert und werden vom System genutzt. Sie haben jedoch die Möglichkeit, benutzerdefinierte Zeitserver festzulegen, nachdem Sie das Kontrollkästchen Standard NTP Server überschreiben aktiviert haben. Dies kann nützlich sein, wenn Sie ein Setup verwenden, das eine Verbindung der Panda GateDefender-Appliance mit dem Internet nicht erlaubt. Es können mehrere Adressen von Zeitservern (eine pro Zeile) in dem angezeigten Kurzformular angegeben werden.

In diesem Feld wird die aktuelle Einstellung für die Zeitzone angezeigt. Die Einstellung kann im Dropdown-Menü geändert werden. Sie können eine sofortige Synchronisation durchführen, indem Sie auf die Schaltfläche Jetzt synchronisieren klicken.

Manuelle Anpassung

Im zweiten Feld haben Sie die Möglichkeit, die Systemzeit manuell zu ändern. Obwohl davon abgeraten wird, kann diese Aktion nützlich sein, wenn die Zeitangabe auf der Systemuhr der Panda GateDefender-Appliance stark abweicht und eine sofortige Korrektur der Systemzeit erforderlich ist.

Eine automatische Synchronisation mithilfe von Zeitservern wird nicht unverzüglich durchgeführt. Die Systemuhr wird zur Wiederherstellung und Anpassung an die korrekte Zeit ein Stück weit „verlangsamt“ oder „beschleunigt“. Bei einem System, dessen Zeitangabe signifikant abweicht, wird möglicherweise ein längerer Zeitraum benötigt, um den Zeitfehler zu korrigieren. In solchen Fällen stellt die manuelle Synchronisation eine drastische, aber sofortige Lösung dar.

E-Mail-Quarantäne

Die E-Mail-Quarantäne ist ein besonderer Ort auf der Festplatte der Panda GateDefender-Appliance. Hier werden durch den SMTP-Proxy erkannte E-Mails gespeichert, die Spam, Malware, Viren oder verdächtige Anhänge enthalten, anstatt sie zuzustellen. Hier können solche E-Mails sicher analysiert und Aktionen zu deren Verwaltung durchgeführt werden. So aktivieren Sie die E-Mail-Quarantäne: Gehen Sie zu Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration. Wählen Sie in den Feldern für Spam-, Viren- und Dateieinstellungen aus den Dropdown-Menüs die Option „In die Standard-Quarantäne verschieben“ aus.

Die Seite „E-Mail-Quarantäne“ enthält eine Tabelle mit einer Liste aller E-Mails in der Quarantäne. Darüber befindet sich eine Navigationsleiste, um die E-Mails zu durchsuchen.

Die Tabelle enthält die folgenden Informationen über die in der Quarantäne gespeicherten E-Mails.

Auswählen

Ein Kontrollkästchen, mit dem Sie eine oder mehrere Nachrichten gleichzeitig auswählen und eine Aktion mit diesen ausführen können.

Grund

Der Grund, warum die Zustellung der E-Mail blockiert wurde: Malware – die E-Mail enthält Viren oder andere Arten von Bedrohungen, Spam – die E-Mail enthält Spam, Gesperrt – Die E-Mail weist einen Anhang auf, der nicht gesendet werden kann, und Ungültiger Header – die Informationen in der Kopfzeile sind ungültig.

Datum

Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.

Größe

Die Größe der E-Mail.

Von

Der Absender der E-Mail.

Betreff

Der Betreff der E-Mail.

Anhang

Die Anzahl der Anhänge der E-Mail.

Aktionen

Die vier Symbole in dieser Spalte stellen die verfügbaren Aktionen dar: Nachricht anzeigen, Nachricht herunterzuladen, Nachricht freigeben und an den ursprünglichen Empfänger senden sowie E-Mail löschen. Ausführlichere Informationen erhalten Sie im nachfolgenden Abschnitt.

Zwei Schaltflächen unterhalb der Tabelle gestatten es, Aktionen durchzuführen, wenn dort mehr als eine Nachricht ausgewählt ist.

Freigabe

Gibt die ausgewählten Nachrichten zur sofortigen Zustellung frei.

Löschen

Entfernt die ausgewählten E-Mails dauerhaft.

Beim Klicken auf das Symbol Nachricht anzeigen wird die E-Mail-Liste durch eine Seite mit drei Feldern ersetzt, auf der verschiedene Details zur ausgewählten E-Mail angezeigt werden.

E-Mail in Quarantäne

Dieses Feld zeigt eine detailliertere Ansicht der E-Mail-Daten aus der E-Mail-Liste: Der Grund, warum die E-Mail in die Quarantäne verschoben wurde, Absender und Empfänger mit Cc, Betreff, Datum und Uhrzeit des Empfangs sowie die Größe der E-Mail.

Header

Der vollständige, ursprüngliche Header der E-Mail, der nützliche Informationen enthalten kann, beispielsweise der Pfad, dem die E-Mail gefolgt ist.

Payload

Hier werden die Anhänge der E-Mail (falls vorhanden) mit ihren Details angezeigt. Darüber hinaus wird jeder HTML-Anhang mit seinem vollständigen Quellcode angezeigt.

Im unteren Bereich ist folgende Option verfügbar:

Löschen aus Quarantäne nach Freigabe

Die E-Mail wird aus der Quarantäne entfernt, nachdem sie für den ursprünglichen Empfänger freigegeben wurde.

Spam Training

Die Panda GateDefender-Appliance nutzt für die Suche nach Spam-Mails und deren Bekämpfung die Antispam-Engine „SpamAssassin“. Auch wenn sich SpamAssassin in vielen Fällen bewährt hat, müssen die Fähigkeiten der Engine optimiert werden, um Spam-Mails effektiv abzufangen. Sie können das Training der Anti-Spam-Engine auf dieser Seite konfigurieren: SpamAssassin lernt automatisch, welche E-Mails als Spam klassifiziert werden und welche nicht (die so genannten „Ham“-Mails). Für die Ausführung des Trainings wird eine Verbindung zu einem IMAP-Host benötigt, um die Spam- und Ham-Mails in den vordefinierten Ordnern zu prüfen.

Ein Feld enthält die für den Lernmodus verwendete Liste der IMAP-Hosts, die auf verschiedenen Ebenen verwaltet werden können. Im anderen Feld können Sie die geplanten Aktualisierungen ändern.

Aktuelle Spam Trainingsquellen

Im ersten Feld können die Trainingsressourcen mittels zweier Links konfiguriert werden. Wenn Sie auf diese Links klicken, werden zwei Abschnitte angezeigt, in denen Sie die verschiedenen Konfigurationswerte angeben können. Die Standardkonfiguration ist zu Beginn nicht definiert und wird nicht für das Training verwendet. Es werden nur Werte bereitgestellt, die anschließend tatsächlich in die Trainingsressourcen übernommen werden. Diese können Sie im Folgenden hinzufügen. Sie können diese Einstellung konfigurieren, indem Sie auf den Link Standardkonfiguration bearbeiten klicken:

Standard IMAP Host

Der IMAP-Host, der die Trainingsordner enthält.

Standardbenutzername

Der Benutzername für den IMAP-Host.

Standardpasswort

Das Benutzerpasswort.

Standard-Hamordner

Der Name eines Ordners, der ausschließlich Ham-Nachrichten enthält. Dabei kann es sich beispielsweise um einen speziell hierfür vorgesehenen Ordner handeln, in dem ausschließlich „saubere“ Nachrichten gespeichert werden, oder sogar um den Posteingang.

Standard-Spamordner

Der Name eines Ordners, der ausschließlich Spam-Nachrichten enthält.

Für automatisches Spamfilter-Training vormerken

Das Zeitintervall zwischen zwei aufeinander folgenden Prüfungen – stündlich, täglich, wöchentlich oder monatlich. Diese Option kann deaktiviert werden. Wenn Sie den Mauszeiger über die Fragezeichen bewegen, wird der genaue planmäßige Zeitpunkt angezeigt. Wenn diese Option deaktiviert ist, muss die Antispam-Engine manuell trainiert werden.

Weitere Quellen für das Spam-Training können im Abschnitt hinzugefügt werden, der nach Klicken auf den Link IMAP Spam Trainingsquelle hinzufügen angezeigt wird. Die Optionen für die zusätzlichen für das Training verwendeten Hosts entsprechen den Optionen für die Standardkonfiguration. Eine Ausnahme bilden der Zeitplan (hier wird stets die Standardkonfiguration übernommen) und die folgenden drei neu verfügbaren Optionen:

Aktiviert

Die Trainingsquelle wird jedes Mal verwendet, wenn SpamAssassin trainiert wird. Wenn diese Option deaktiviert ist, wird die Quelle nur beim manuellen, jedoch nicht beim automatischen Training verwendet.

Anmerkung

Ein Kommentar zu dieser Quelle.

Bearbeitete Mails löschen

Mithilfe dieser Option wird festgelegt, ob verarbeitete E-Mails gelöscht werden sollen.

Die anderen Optionen können wie in der Standardkonfiguration definiert werden und überschreiben, wenn angegeben, die Standardwerte. Nachdem alle gewünschten Werte festgelegt wurden, klicken Sie auf die Schaltfläche Trainingsquelle hinzufügen, um die Konfiguration einer Quelle zu speichern. Mehrere Aktionen können mit einer Quelle durchgeführt werden: Durch Klicken auf das entsprechende Symbol können Sie die Quelle aktivieren, deaktivieren, bearbeiten, entfernen oder die Verbindung zur Quelle überprüfen.

Zwei weitere Aktionen sind verfügbar und werden auf sämtliche Verbindungen angewendet, wenn Sie auf eine der Schaltflächen rechts oben im Feld klicken.

Alle Verbindungen testen

Gleichzeitige Überprüfung aller Verbindungen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, wenn eine große Anzahl an Trainingsquellen definiert wurde oder die Verbindung zum IMAP-Server langsam ist.

Training jetzt starten

Training wird umgehend gestartet. Beachten Sie, dass das Training längere Zeit in Anspruch nehmen kann. Dies hängt von verschiedenen Faktoren ab: der Anzahl der Quellen, der Verbindungsgeschwindigkeit und insbesondere von der Zahl der heruntergeladenen E-Mails.

Bemerkung

Die Antispam-Engine kann auch auf andere Weise trainiert werden, wenn der SMTP-Proxy sowohl für eingehende als auch ausgehende E-Mails aktiviert ist. Dies geschieht durch das Senden von Spam-Mails an spam@spam.spam. Nicht-Spam-Mails können an ham@ham.ham gesendet werden. Damit dies funktioniert, muss es möglich sein, die Hostnamen spam.spam und ham.ham aufzulösen. Ist dies nicht möglich, können Sie die beiden Hostnamen unter Menüleiste ‣ Netzwerk ‣ Hosts bearbeiten ‣ Host hinzufügen auf der Panda  GateDefender-Appliance zur Hostkonfiguration hinzufügen.

Zeitplan für SpamAssassin Regelupdates

In diesem Feld können Sie eine der vier folgenden Optionen für den automatischen Download von SpamAssassin-Signaturen festlegen: Stündlich, täglich, wöchentlich und monatlich.

Eindringlingsabwehr

Die Panda GateDefender-Appliance umfasst das bekannte Intrusion Detection (IDS) und Intrusion Prevention System (IPS) SNORT. Es ist direkt in iptables integriert, um Verbindungen von unerwünschten bzw. nicht vertrauenswürdigen Quellen abzufangen und zu unterbrechen.

Die Seite enthält drei Registerkarten: Intrusion Prevention System, Regeln und Editor.

Intrusion Prevention System

Ist SNORT nicht aktiviert, wird auf der Seite neben der Bezeichnung Eindringlingsabwehrsystem aktivieren ein grauer Schalter angezeigt, über den Sie den Dienst starten können. Sie werden in einer Nachricht darüber informiert, dass ein Neustart des Dienstes durchgeführt wird. Kurze Zeit später werden im Feld einige Optionen zur Konfiguration des Dienstes angezeigt.

SNORT Regeln automatisch herunterladen

Durch Aktivieren dieses Kontrollkästchens werden die SNORT-Regeln durch die Panda GateDefender-Appliance von der Panda Perimetral Management Console automatisch heruntergeladen.

Updateintervall wählen

Die für die Regeln festgelegte Download-Häufigkeit: Mithilfe eines Dropdown-Menüs können Sie die einzelnen Optionen – stündlich, täglich, wöchentlich oder monatlich – auswählen. Diese Option ist nur verfügbar, wenn die vorherige Option aktiviert wurde.

Benutzerdefinierte SNORT Regeln

Datei mit benutzerdefinierten SNORT-Regeln, die hochgeladen werden sollen. Wählen Sie aus dem Fenster, das nach Klicken auf die Schaltfläche Durchsuchen angezeigt wird, eine Datei aus, und laden Sie sie hoch, indem Sie auf die Schaltfläche Benutzerdefinierte Regeln hochladen klicken.

Regeln

Auf der Registerkarte Regeln finden Sie eine Liste der Regeln, die auf der Panda GateDefender-Appliance gespeichert sind. In dieser Liste werden die Anzahl der Regeln sowie die Aktionen angezeigt, die bei diesen Regeln Anwendung finden. Folgende Aktionen sind möglich: Aktivieren bzw. Deaktivieren von Regelsätzen, Ändern der entsprechenden Richtlinien, Bearbeiten und Löschen von Regelsätzen. Alle Aktionen außer Bearbeiten können für mehrere Regelsätze gleichzeitig ausgeführt werden. Wählen Sie dazu die Regelsätze (durch Aktivieren des Kontrollkästchens links neben dem Dateinamen) aus, und klicken Sie auf die Schaltfläche unterhalb der Liste.

Die Richtlinie Alarm ist für alle Regelsätze standardmäßig aktiviert. Sie können diese Einstellung ändern, indem Sie auf das Alarmsymbol klicken. Für die Richtlinie ist nun die Einstellung blockieren konfiguriert, und das Alarmsymbol wird als rotes Schildsymbol angezeigt. Nach Klicken auf die Schaltfläche Übernehmen wird durch die betreffende Regel kein Alarm mehr ausgelöst. Der gesamte von der Regel betroffene Datenverkehr wird blockiert.

Sie können Regeln löschen, indem Sie auf das Papierkorbsymbol klicken. Wenn Sie auf das Stiftsymbol klicken, werden Sie hingegen zur Editor-Seite umgeleitet, auf der Sie die Regeln unabhängig voneinander bearbeiten können.

Editor

Im oberen Bereich der Seite Editor werden die Regelsätze angezeigt, die Sie bearbeiten können. Sie können mehrere Regelsätze gleichzeitig auswählen, indem Sie während des Anklickens der Regeln die Taste STRG gedrückt halten.

Bemerkung

Wenn Sie auf der Registerkarte Regeln bestimmte Regeln bearbeiten, werden diese beim Öffnen der Seite Editor automatisch angezeigt.

Nachdem Sie die Regelsätze ausgewählt und auf die Schaltfläche Bearbeiten geklickt haben, werden in einer Liste die ausgewählten Regeln angezeigt. Sie können die Liste durch Eingabe einiger Begriffe im Textfeld neben der Bezeichnung Suche einschränken. Wie auf der Seite Regeln können auch hier die Richtlinien zu den einzelnen Einträgen geändert werden.

Warnung

Wenn Sie das IPS-System aktivieren, wird SNORT zwar ausgeführt, aber der Datenverkehr wird noch nicht gefiltert. Damit SNORT Pakete filtern kann, müssen Sie für die Regeln, die auf den verschiedenen Konfigurationsseiten der Firewall definiert wurden, die Filterrichtlinie Gestatten mit IPS auswählen.

Hochverfügbarkeit

Die Panda GateDefender-Appliance kann im HA-Modus ausgeführt werden. Für dessen unkomplizierte Einrichtung werden mindestens zwei Panda GateDefender-Appliances benötigt, von denen eine die Rolle der aktiven (Master) Firewall übernimmt. Die restlichen Firewalls (Slaves) sind im Standby-Betrieb.

Wenn die Master-Firewall ausfällt, wird eine der Slave-Firewalls als neue Master-Firewall ausgewählt. So wird ein transparentes Failover gewährleistet. Wenn nur eine Slave-Firewall verfügbar ist, übernimmt sie im Falle eines Hardwarefehlers auf der primären Appliance unverzüglich die Aufgaben der Master-Firewall und sorgt für einen nahtlosen Übergang zur sekundären Panda GateDefender-Appliance. Dies gewährleistet eine beispiellose Verfügbarkeit und Redundanz der Hardware, die für kritische Netzwerkvorgänge und für die Sicherheit unerlässlich ist.

Um den Hochverfügbarkeitsdienst zu starten, muss den folgenden Richtlinien entsprechend mindestens eine Panda GateDefender-Appliance als Master und eine als Slave konfiguriert werden.

Bemerkung

Das Hochverfügbarkeitsmodul benötigt mindestens zwei vollkommen identische Panda GateDefender-Appliances.

Achten Sie darauf, dass beim Einrichten des Hochverfügbarkeitsmoduls für jede Verbindung zur Panda-Appliance eine Duplizierung ermöglicht werden muss. Jede Verbindung auf der primären Einheit (beispielsweise WAN, LAN etc.) muss auf den einzelnen Standby-Einheiten repliziert werden, um eine vollständige Replikation gewährleisten zu können.

In diesem Beispiel ist jedes Netzwerk auf der Panda GateDefender-Appliance (WAN, LAN etc.) mit einem extern verwalteten Switch verbunden. Dieses verfügt über ein eindeutiges VLAN, das den einzelnen Netzwerken zugewiesen ist. Bei dieser Bereitstellungsoption werden am wenigsten Netzwerkports benötigt, wodurch höhere Erweiterungskapazitäten vorhanden sind. Eine andere Möglichkeit besteht darin, einen zentral verwalteten (VLAN-fähigen) Switch durch kleinere, separate Switches für die einzelnen Netzwerke (WAN, LAN etc.) zu ersetzen. Diese Vorgehensweise ist u. U. kostspielig und weniger zuverlässig, da der Ausfall eines einzigen Switches den Failover ganz oder teilweise zunichtemachen kann.

Warnung

Der Hochverfügbarkeitsdienst wird automatisch über das GRÜNE Netzwerk ausgeführt. Sie können die Einstellung jedoch so konfigurieren, dass der Dienst über die Switch-Verbindung ausgeführt wird. Alternativ können Sie dem GRÜNEN Netzwerk auch einen Ethernet-Port zuweisen, um das Master-Gerät direkt mit der Slave-Einheit zu verbinden. Der Vorteil einer direkten Verbindung besteht darin, dass der Switch nicht mehr für den Failover benötigt wird. Mögliche Problemquellen werden somit beseitigt, was zu einer höheren Zuverlässigkeit führt. Die Wahl dieser Option hängt größtenteils von der Zuverlässigkeit des verwalteten Switches ab (doppelte Stromversorgung, Ausfallrate der Ports, Garantiebestimmungen etc.). Je zuverlässiger/redundanter die Switch-Konfiguration ist, desto unbedenklicher wird die Verwendung einer direkten Verbindung sein.

Auf dieser Seite wird nur ein Feld angezeigt, in dem zunächst eine Option verfügbar ist:

Hohe Verfügbarkeit (HA) aktivieren

Aktivierung des HA-Dienstes auf der Panda GateDefender-Appliance. Der Dienst ist standardmäßig deaktiviert.

Nach Aktivierung wird ein zweites Dropdown-Menü mit der Bezeichnung Hochverfügbarkeit Seite angezeigt. Hier können Sie die Panda GateDefender-Appliance als Master oder Slave konfigurieren. Je nach Auswahl sind unterschiedliche Konfigurationsoptionen verfügbar. Für die Konfiguration einer Slave-Einheit wird eine bereits eingerichtete Master-Einheit benötigt.

Die folgenden Optionen sind für Master-Seite verfügbar:

Management Netzwerk

Spezielles Subnetz, mit dem alle Panda GateDefender-Appliances verbunden werden müssen, die am eingerichteten Hochverfügbarkeitsdienst beteiligt sind. Die Standardkonfiguration des Subnetzes lautet 192.168.177.0/24. Sofern dieses Subnetz nicht bereits für andere Zwecke verwendet wird, muss es nicht modifiziert werden.

Master IP Adresse

Erste IP-Adresse des Management-Netzwerks. Es wird im gewählten Netzwerk automatisch auf 1 gesetzt. Die Standardkonfiguration lautet 192.168.177.1.

Benachrichtigung: E-Mail-Adresse des Empfängers, Benachrichtigung: E-Mail-Adresse des Absenders, Benachrichtigung: E-Mail-Betreff, Benachrichtigung: Der zu verwendende SMTP-Server

Diese Optionsfelder können ausgefüllt werden, um per E-Mail über Ausfälle benachrichtigt zu werden. Diese Optionen werden auf dieselbe Weise konfiguriert wie die Optionen für andere Ereignisbenachrichtigungen unter Menüleiste ‣ System ‣ Ereignisbenachrichtigung. Folgende Angaben werden für den E-Mail-Versand benötigt: ein benutzerdefinierter Absender, Empfänger, E-Mail-Betreff und ein SMTP-Smarthost.

Nach Aktivierung des Hochverfügbarkeitsdienstes wird ein weiteres Feld mit einer Liste der Slaves und der zugehörigen IP-Adressen angezeigt. Des Weiteren haben Sie hier die Möglichkeit, über einen Link auf die entsprechende Management-GUI zuzugreifen und Slaves zu entfernen.

Management-Netzwerk des Hochverfügbarkeitsdienstes

Die Panda GateDefender-Appliance nutzt für die Verbindung von Master- und Slave-Einheiten ein spezielles Netzwerk: 192.168.177.0/24. Wenn dieses Netzwerk bereits in anderen Zonen verwendet wurde, wird keines der bereits definierten Netzwerke gelöscht und es ist keine Modifizierung der Netzwerke erforderlich. Weisen Sie in diesem Fall dem HA-Management-Netzwerk einfach einen anderen IP-Adressbereich zu, beispielsweise 172.19.253.0/24 oder 10.123.234.0/28. Wichtig hierbei ist, dass das Management-Netzwerk ausreichend Platz für die Master-Einheit und sämtliche Slave-Einheiten bietet. Wenn jeweils nur ein Master- und ein Slave-Gerät vorhanden ist, sollte selbst ein kleineres Netzwerk der Größe 192.168.177.0/29 ausreichen. Das Management-Netzwerk wird als Schnittstelle im GRÜNEN Netzwerk eingerichtet, und wird auf dem Gerät bzw. beim Anzeigen des Netzwerkstatus als solche angezeigt.

Warnung

Stellen Sie sicher, dass das Management-Netzwerk über das aktuelle LAN erreichbar ist. Andernfalls ist eine Anmeldung bei der Master-Einheit nicht möglich!

Nach Konfiguration der Master-Einheit können Sie die zweite Panda GateDefender-Appliance einrichten, die als Slave benutzt wird. Auf dieselbe Weise werden alle weiteren Slave-Einheiten konfiguriert.

Warnung

Es wird dringend empfohlen, vor der Konfiguration eine Sicherheitskopie der Slave-Einheit zu erstellen und sie an einem sicheren Ort zu speichern, da eine Slave-Einheit u. U. wiederhergestellt werden muss, nachdem sie aus ihrer Rolle entfernt wurde.

Für die Slave-Einheiten sind folgende Optionen verfügbar:

Master IP Adresse

IP-Adresse der Master-Einheit. Wenn das Management-Netzwerk nicht modifiziert wurde, lautet die Standardkonfiguration 192.168.177.1/24. Dieser Wert muss mit dem Wert übereinstimmen, der auf der Master-Einheit unter Master IP Adresse angezeigt wird.

Master Rootpasswort

Das Passwort des Konsolen root benutzers (nicht der grafischen Administrationsoberfläche) auf der Master-Einheit.

Diese Daten werden von der Slave-Einheit verwendet, um alle erforderlichen Daten von der Master-Einheit abzurufen und die Synchronisation zu gewährleisten.

Nach Speichern der Einstellungen wird im Laufe der Erstellung des Management-Netzwerks die Verbindung zum Gerät vorübergehend unterbrochen. Anschließend werden beide Geräte (die Master- und aktuell definierte Slave-Einheit) synchronisiert.

Nach Abschluss des Synchronisationsvorgangs ist die Slave-Einheit nicht mehr über die alte IP-Adresse (die werksseitig eingestellte oder vorherige GRÜNE IP-Adresse) erreichbar, da die Einheit sich nun im Standby-Modus befindet und nur über das Management-Netzwerk mit der Master-Einheit verbunden ist. Alle Änderungen an der primären Einheit (wie das Aktivieren von Diensten, Ändern von Einstellungen, Löschen eines VPN-Benutzers usw.) werden automatisch an die Slave-Einheit(en) übermittelt – mit Ausnahme von Aktualisierungen, Upgrades oder Datensicherungen (diese müssen manuell auf der Slave-Einheit durchgeführt werden).

Zudem wird die Slave-Einheit der Panda-Appliance automatisch in der Slave-Liste der Master-Einheit angezeigt und nur noch als informative Weboberfläche verwendet, auf die Sie von der Master-Einheit über den Link Zur Management-GUI wechseln neben den einzelnen Einträgen in der Slave-Liste zugreifen können.

ROTE MAC-Adresse

Während des HA-Failovers wird die MAC-Adresse der ROTEN Schnittstelle auf der Slave-Einheit nicht repliziert. Dies kann ein Problem darstellen, wenn der Internetdienstanbieter die Einstellungen für die statische IP-Adresse benötigt. In diesem Fall wird die vom Internetdienstanbieter zugewiesene IP-Adresse von der MAC-Adresse der Client-Netzwerkschnittstelle bestimmt, ähnlich wie bei einer statischen IP-Adresse, die von einem DHCP-Server an den Client vergeben wird. Eine Wiederherstellung der Verbindung mit der Slave-Einheit in u. U. nicht möglich. Um diese Situation zu vermeiden, müssen Sie für ein ordnungsgemäßes Funktionieren des Hochverfügbarkeitsdienstes für die ROTE Schnittstelle eine gespoofte MAC-Adresse verwenden. Dies erreichen Sie auf der Slave-Einheit (vor dem Aktivieren), indem Sie unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ Haupt-Uplink bearbeiten ‣ Erweiterte Einstellungen die Option Benutzerdefinierte MAC Adresse verwenden auswählen und die MAC-Adresse der ROTEN Schnittstelle auf der Master-Einheit angeben. Alternativ können Sie in Schritt 4 des Netzwerkinstallationsassistenten im Optionsfeld Verwende diese MAC Adresse die MAC-Adresse der Master-Einheit eingeben.

Traffic Monitoring

Der Dienst Traffic Monitoring wird von ntop ausgeführt und kann durch Betätigen des Hauptschalters auf dieser Seite aktiviert bzw. deaktiviert werden. Nach Aktivieren des Überwachungsdienstes wird im unteren Bereich der Seite ein Link zur entsprechenden Administrationsoberfläche angezeigt. Diese Administrationsoberfläche wird von ntop bereitgestellt und auf Port 3001 ausgeführt. Sie enthält detaillierte Statistiken zum Datenverkehr. ntop bietet Zusammenfassungen sowie ausführlichere Informationen. Zur Analyse des Datenverkehrs stehen folgenden Kriterien zur Verfügung: Host, Protokol, lokale Netzwerkschnittstelle usw. Es sind mehrere Konfigurationsoptionen verfügbar. Weitere Informationen zu ntop finden Sie auf der Administrationsoberfläche unter Über ntop ‣ Online-Dokumentation, oder auf der entsprechenden Webseite von ntop.

SNMP-Server

Der SNMP-Dienst dient der Überwachung von mit dem Netzwerk verbundenen Geräten. Er wird unter anderem zur Überprüfung des Status der internen Infrastruktur verwendet.

Um den SNMP-Server zu aktivieren, müssen Sie nur auf den grauen Schalter neben der Option Aktiviere SNMP Server klicken: Daraufhin werden im Feld Einstellungen verschiedene Optionen angezeigt.

Community String

Schlüssel zum Lesen von Daten mithilfe des SNMP-Clients.

Standort

Frei bestimmbare Zeichenfolge, die für Identifikationszwecke verwendet wird. Es wird empfohlen, an dieser Stelle den Standort der Panda GateDefender-Appliance zu beschreiben.

Überschreibe globale Benachrichtigunsemailadresse

Der SNMP-Server muss eine E-Mail-Adresse als Kontaktstelle mit dem System konfigurieren. Die im Laufe der Installation bereitgestellte globale E-Mail-Adresse wird standardmäßig verwendet. Um eine benutzerdefinierte E-Mail-Adresse zu verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie unten im aktivierten Feld System Kontakt Emailadresse die benutzerdefinierte E-Mail-Adresse ein.

Quality of Service

Aufgabe des QoS-Moduls ist es, den IP-Verkehr innerhalb der Panda GateDefender-Appliance je nach jeweiligem Dienst zu priorisieren. Mithilfe von QoS lässt sich ein Teil der verfügbaren (eingehenden und ausgehenden) Bandbreite für einen spezifischen Dienst bequem reservieren. Anwendungen, die für gewöhnlich höher als der übliche Datenverkehr priorisiert werden müssen, sind interaktive Dienste wie SSH oder VoIP.

Die Konfigurationsoptionen des Moduls sind in drei Registerkarten angeordnet: Geräte, Klassen und Regeln.

Geräte

Die Registerkarte Geräte ist gleichzeitig die Startseite des Moduls und zu Beginn leer. Nach der Eingabe von Daten wird eine Tabelle mit der Liste sämtlicher definierter Geräte angezeigt. Für jedes Gerät werden einige Parameter sowie die verfügbaren Aktionen dargestellt.

Sie können neue QoS-Geräte hinzufügen, indem Sie auf den Link Neues Objekt erzeugen über der Liste klicken und einige Optionen konfigurieren.

Zielgerät

Netzwerkschnittstelle, die von diesen Geräten verwendet wird. Sie können im Dropdown-Menü aus verschiedenen, auf dem System aktivierten Netzwerkschnittstellen oder Zonen auswählen.

Downstream Bandbreite (kbit/s)

Downstream-Geschwindigkeit der Schnittstelle.

Upstream Bandbreite (kbit/s)

Upstream-Geschwindigkeit der Schnittstelle.

Aktiviert

Aktivierung die Dienstqualität (Standard)-

Folgende Aktionen sind auf den Geräten verfügbar: Bearbeiten, Aktivieren/Deaktivieren oder Entfernen eines Geräts. Sie können die Aktionen ausführen, indem Sie auf das entsprechende Symbol klicken. Beim Bearbeiten eines Geräts wird das gleiche Formular geöffnet wie beim Hinzufügen eines neuen Geräts. In diesem Formular können Sie die aktuellen Parameter des Geräts ändern.

Für jedes Gerät, das neu hinzugefügt wird, werden auf der Registerkarte Klassen vier Elemente angezeigt: Drei Symbole stehen für hohe, mittlere und niedrige Priorität, das letzte Symbol für den übrigen Verkehr (siehe unten).

Klassen

Auf dieser Registerkarte wird eine Liste mit sämtlichen Dienstqualitätsklassen angezeigt, die erstellt wurden (falls vorhanden). Zu jedem Eintrag werden verschiedene Daten angezeigt. Sie können neue Elemente hinzufügen, indem Sie auf den Link Neues Objekt erzeugen über der Klassenliste klicken. Die zu konfigurierenden Parameter sind die gleichen wie in der Liste:

Name

Name der QoS-Klasse.

Gerät

QoS-Gerät, für das die Klasse erstellt wurde.

Reserviert

Prozentsatz der Bandbreite, der von der gesamten verfügbaren Bandbreite des Geräts für diese Klasse reserviert wurde.

Limit

Maximaler Prozentsatz der Bandbreite, die von dieser Klasse genutzt werden kann.

Priorität

Priorität der Klasse.

Bemerkung

Die Summe der reservierten Prozentsätze pro Gerät kann nicht größer als 100 sein. Zudem kann die reservierte Bandbreite nicht höher sein als die begrenzte Bandbreite.

Folgende Aktionen sind verfügbar: Bearbeiten, Verschieben oder Löschen von Klassen durch Klicken auf das entsprechende Symbol. Klassen können in der Liste nach oben oder unten verschoben werden: Elemente, die sich weiter oben in der Liste befinden, werden zuerst bearbeitet, wenn die Bandbreite für den gesamten Datenverkehr nicht ausreicht und bestimmt werden muss, welcher Datenverkehr von der Panda GateDefender-Appliance priorisiert werden soll.

Regeln

Auf der dritten Registerkarte wird eine Liste der bereits definierten Dienstqualitätsregeln angezeigt. Hier können Sie bestimmen, welche Arten von Datenverkehr welcher Klasse zugeordnet werden sollen. Klicken Sie auf den Link Quality of Service Regel hinzufügen, um eine neue Regel hinzuzufügen. Im daraufhin angezeigten Formular, das dem Formular zur Definition der Firewall-Regeln ähnelt, müssen verschiedene Werte konfiguriert werden. Eine Reihe von Dropdown-Menüs soll die Auswahl und den Konfigurationsprozess erleichtern.

Quelle

Wählen Sie aus dem Dropdown-Menü die Quelle für den Datenverkehr aus: Zone, Schnittstelle, Netzwerk, IP- oder MAC Adresse. Je nach Auswahl können unterschiedliche Werte angegeben werden: eine der verfügbaren Zonen oder Schnittstellen, die angezeigt werden; eine oder mehrere IP- bzw. MAC- Adressen oder ein bzw. mehrere Netzwerke.

Zielgerät/Datenverkehrsklasse

Auswahl des Geräts/der Klasse sowie der Ziel-IP-Adresse bzw. Zielnetzwerke aus dem Dropdown-Menü.

Service/Port, Protokoll

Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>, wobei Letzteres für alle Dienste, Protokolle und Ports steht. Unter Ziel-Port können eine oder mehrere Portnummern bereitgestellt werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.

TOS/DSCP

Mithilfe dieser Option wird der passende TOS- oder DSCP-Wert ausgewählt. Klicken Sie hier , um eine Beschreibung zu erhalten.

Wert bei Datenverkehr anwenden

Durch Auswahl von TOS oder der DSCP-Klasse im vorherigen Dropdown-Menü kann nun aus einem anderen Dropdown-Menü ein geeigneter Wert für den passenden Datenverkehr ausgewählt werden. Wurde DSCP-Wert ausgewählt, kann ein benutzerdefinierter Wert eingegeben werden, welcher der Regel entspricht.

Kommentar

Kommentar zur Identifizierung dieser Regel.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert.

Bemerkung

Wenn mehr als ein Dienst für eine Dienstqualitätsklasse verfügbar ist, wird die reservierte Bandbreite auf alle Dienste aufgeteilt.