Menü „Firewall“

In diesem Abschnitt wird das Einrichten von Regeln beschrieben, mit denen die Durchleitung des Netzwerkdatenverkehrs in der Panda GateDefender-Appliance gesteuert wird. Die Firewall der Panda GateDefender-Appliance ist in verschiedene Module unterteilt. Über diese werden die verschiedenen Datenverkehrstypen überwacht, zugelassen oder blockiert. Die folgenden Module sind verfügbar:

• Portweiterleitung / NAT: Portweiterleitung und abbr:NAT (Network Address Translation) (Network Address Translation)
• Ausgehender Datenverkehr: Datenverkehr in Richtung der ROTEN Schnittstelle
• Inter-Zone Datenverkehr: Datenverkehr zwischen den einzelnen Zonen
• VPN Datenverkehr: Datenverkehr von VPN-Benutzern
• Systemzugriff: Gewähren von Zugriff auf den Panda GateDefender-Appliance-Host
• Firewalldiagramme: Grafische Darstellung des von den jeweiligen Firewalltypen unterbrochenen Datenverkehrs

In den Untermenüs, in denen jeweils alle vorhandenen Regeln aufgeführt sind, können für jeden Diensttyp bzw. für alle Port/Protokoll- Kombinationen benutzerdefinierte Regeln hinzugefügt werden. Die verschiedenen Komponenten der Firewall sind für unterschiedliche Typen von Datenverkehr zuständig (z. B. OpenVPN für den Datenverkehr von VPN- Benutzern und Inter-Zone für den Datenverkehr zwischen Zonen). Sie sind so konzipiert, dass Regelüberschneidungen und -konflikte vermieden werden. Es ist somit ausgeschlossen, dass zwei Regeln in zwei unterschiedlichen Firewallmodulen erstellt werden, deren Zusammenwirken ein unerwünschtes Blockieren oder Erlauben von Paketen zur Folge hat.

Durch die Trennung der von der Panda GateDefender-Appliance gesteuerten Netzwerke wird auch die Verwaltung der Firewall vereinfacht, deren Konfiguration sehr komplex werden kann. Tatsächlich sollten die Module als eigenständige Firewalls betrachtet werden, durch deren Zusammenwirken alle durch die Panda GateDefender-Appliance geleiteten Paketströme abgedeckt werden.

Für jedes der oben aufgeführten Module existieren unter Umständen Regeln, die weder deaktiviert noch entfernt werden können. Diese sogenannten Regeln der Systemdienste (oder auch Systemregeln) dienen der Interoperabilität der auf der Panda GateDefender-Appliance ausgeführten Dienste mit der Infrastruktur der Panda Perimetral Management Console.

Die hier definierten Regeln werden in Befehle für iptables (Standard-Firewalltool von Linux ab Kernel 2.4) umgewandelt und in Tabellen, Ketten und Regeln gegliedert. Ausführlichere Beschreibungen der verschiedenen Firewall-Komponenten sowie Informationen zur Feinabstimmung und Verwaltung komplexer Firewalls können auf der Manpage zu iptables(8) auf jedem Linux-System oder in den zahlreichen Online-Ressourcen und Tutorials im Internet gefunden werden.

Gemeinsame Konfigurationselemente

Da alle Werte mithilfe von iptables eingerichtet werden, sind die meisten Werte, die beim Hinzufügen einer Regel in den verschiedenen Modulen konfiguriert werden müssen, desselben Typs (z. B. die Quell- und Zielschnittstellen). Daher werden aus Gründen der Lesefreundlichkeit alle gemeinsamen Konfigurationselemente der Firewallmodule an dieser Stelle nur einmal dargestellt. Zusätzliche Erläuterungen werden nur dann bereitgestellt, wenn wesentliche Unterschiede zu den hier aufgeführten Beschreibungen bestehen.

• Quelle oder Eingehende IP: Mit dieser Einstellung wird, meist aus einem Dropdown-Menü, die entsprechende Art der Quelle bzw. eingehenden Verbindung ausgewählt. Je nach Auswahl können in dem kleinen Feld darunter Verbindungen ausgewählt werden, auf die die Regel angewendet werden soll: Zone/VPN/Uplink für die Quellzone, den VPN-Client oder den Uplink, Netzwerk/IP/Bereich für die IP-Adresse, den IP-Adressbereich oder die Netzwerkadressen und OpenVPN User und L2TP Benutzer für die OpenVPN- bzw. L2TP-Benutzer.

• Ziel: Mit dieser Einstellung wird über ein Dropdown-Menü das entsprechende Ziel ausgewählt. Die drei verfügbaren Optionen sind grundsätzlich mit denen im Dropdown-Menü Quelle identisch: Zone/VPN/Uplink, Netzwerk/IP, OpenVPN User und L2TP Benutzer. Es bestehen jedoch geringfügige Unterschiede: So sind z. B. OpenVPN- oder L2TP-Benutzer für manche Regeltypen als Ziel nicht zulässig.

• Dienst, Port und Protokoll: Ein Dienst ist in der Regel als Kombination aus Port und Protokoll definiert. So wird beispielsweise der SSH-Dienst standardmäßig über Port 22 mithilfe des TCP- Protokolls ausgeführt. Mithilfe dieser drei Optionen werden Port und Protokoll bestimmt, auf die die Regel angewendet werden soll. Über die zwei Dropdown-Menüs wird entweder ein vordefinierter Dienst ausgewählt, wodurch auch Protokoll und Portbereich in das Textfeld eingetragen werden, oder ein Protokoll und optional ein Port oder Portbereich. Folgende Protokolle sind verfügbar: die am häufigsten verwendeten Protokolle TCP und UDP, das von Tunneln verwendete GRE, das von IPsec verwendete ESP und das von den Befehlen ping und traceroute verwendete ICMP.

  Hinweis

  Die Dropdown-Menüs enthalten eine große Auswahl vordefinierter Dienste, wodurch der Internetzugriff der am häufigsten verwendeten Dienste ermöglicht werden sollte. Benutzerdefinierte Kombinationen aus Port und Protokoll sollten nur verwendet werden, wenn Dienste nicht über ihre Standardports ausgeführt werden (z. B. ein SSH-Server mit Port 2345 oder ein Webserver mit Port 7981) oder ein ganz bestimmter Port benötigt wird (z. B. für Multiplayerspiele über das Internet).

• Untergeordnete Regel „Zugriff von“‘: Nahezu jede Regel kann mithilfe verschiedener „Zugriff von“-Regeln näher spezifiziert werden. So können Sie beispielsweise für einen Client verschiedene Zugriffsbeschränkungen je nach Zone einrichten, von der eine Verbindung mit der Panda GateDefender-Appliance hergestellt wird. „Zugriff von“-Regeln können im erweiterten Modus konfiguriert werden (weiter unten beschrieben). Als Folge kann sich eine Regel je nach Anzahl der definierten Zugriffsrichtlinien über zwei oder noch mehr Zeilen erstrecken. Die untergeordneten „Zugriff von“-Regeln können ohne Änderung der Hauptregel einzeln gelöscht werden. Auf jede untergeordnete Regel kann hierbei sogar eine unterschiedliche Filterrichtlinie Anwendung finden.

• Richtlinie und Filterrichtlinie: Die Aktion, die für die von der aktuellen Regel betroffenen Pakete ausgeführt werden soll. Im Dropdown-Menü stehen vier Optionen zur Auswahl: Mit der Option GESTATTEN mit IPS werden Pakete durchgelassen und mithilfe von Intrusion Prevention System analysiert. Mit GESTATTEN werden Pakete ohne Prüfung durchgelassen, und durch VERWERFEN werden sie verworfen. Durch die Option ZURÜCKWEISEN werden Pakete verworfen, und als Antwort wird ein Fehlerpaket gesendet.

• Aktiviert. Erstellte Regeln sind standardmäßig aktiv, können aber durch Deaktivieren des Kontrollkästchens auch in nicht aktiviertem Zustand gespeichert werden. Sie werden dann beim Filtern der Pakete nicht angewendet. Das Deaktivieren von Regeln kann für die Fehlerbehebung bei Verbindungsproblemen nützlich sein.

• Protokoll und Alle akzeptierten Pakete loggen: Standardmäßig ist das Protokollieren beim Filtern von Datenverkehr deaktiviert. Durch Aktivieren des Kontrollkästchens kann es für eine Regel aktiviert werden.

  Warnung

  Bei großen Mengen von Daten und zu analysierenden Paketen erreichen Protokolldateien in kurzer Zeit eine enorme Größe. Deshalb sollten Protokollverzeichnisse regelmäßig geprüft werden, um sicherzustellen, dass genügend Speicherplatz verfügbar ist.

• Anmerkung: Eine Beschreibung oder Anmerkung zum Zweck der Regel.

• Position: Beachten Sie, dass die iptables-Regeln gemäß der Reihenfolge in der Liste verarbeitet werden, und dass manche Regeln „endgültigen“ Charakter haben, d. h. dass sie Pakete verwerfen oder ablehnen, wodurch die Verarbeitung nachfolgender Regeln entfällt. Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, an welcher Position eine Regel gespeichert werden soll.

• Aktionen: Für Regeln können stets mehrere Aktionen ausgeführt werden:

  • – Regeln in der Liste nach oben oder unten verschieben.

    Tipp

    Beachten Sie, dass die Reihenfolge wichtig ist. Die Firewall-Regeln werden in der Reihenfolge verarbeitet, in der sie auf der Seite von oben nach unten erscheinen.

  • – Die Regel aktivieren oder deaktivieren.

  • – Die Regel bearbeiten.

  • – Die Regel entfernen.

Nach dem Speichern aller Änderungen in den Firewallregeln muss die Firewall neu gestartet werden, damit die geänderte Konfiguration geladen wird. Zur Erinnerung wird ein Hinweis mit der Schaltfläche Übernehmen angezeigt.

Portweiterleitung / NAT

Das Modul „Portweiterleitung / NAT“ besteht aus drei Registerkarten: „Port forwarding / DNAT“, „Source NAT“ und „Eingehender gerouteter Datenverkehr“. Das Modul verwaltet den gesamten Uplink-Datenverkehr aus der ROTEN Zone zur Panda GateDefender-Appliance sowie den eingehenden und ausgehenden NAT-Datenverkehr.

Portweiterleitung / Destination NAT

Destination NAT wird in der Regel zur Zugriffsbeschränkung für nicht vertrauenswürdige Netzwerke oder zum Umleiten von Datenverkehr aus einem solchen Netzwerk zu einem festgelegten Port oder einer festgelegten Adresse-Port-Kombination verwendet. Es kann definiert werden, welcher Port an welcher Schnittstelle zu welchem Host und Port weitergeleitet werden soll.

Die Liste der konfigurierten Regeln zeigt mehrere Informationen an: Die ID (#), die für die Reihenfolge der auf den Datenverkehr angewendeten Regeln steht, die Adresse für die Eingehende IP, der Dienst (Port und Protokoll), zu dem der Datenverkehr geleitet wird, die auf den Datenverkehr angewendete Richtlinie, die Übersetze zu-Adresse (Zielhost und -port für die Umleitung des Datenverkehrs), eine benutzerdefinierte Anmerkung, sowie die verfügbaren Aktionen.

Beim Bearbeiten einer Regel wird das gleiche Formular geöffnet wie beim Hinzufügen einer neuen Regel durch Klicken auf Neue Port forwarding / Destination NAT Regel hinzufügen. Mithilfe eines Links rechts oben auf der Formularseite kann zwischen Einfacher Modus und Erweiterter Modus gewechselt werden. Im erweiterten Modus können auch die Option Zugriff von, die Richtlinie und der Typ Übersetze zu exakt eingestellt werden.

Zusätzlich zu den gemeinsamen Optionen können folgende Einstellungen konfiguriert werden:

Übersetze zu

Die Optionen in diesem Formularbereich sind davon abhängig, ob zur Bearbeitung der einfache oder der erweiterte Modus aktiviert ist. Neben dem Hinzufügen von untergeordneten Zugriff von-Regeln können im erweiterten Modus aus dem zusätzlichen Dropdown-Menü Typ vier unterschiedliche Arten von Übersetzungen ausgewählt werden:

1. Diese entspricht der einzigen Option, die unter Einfacher Modus verfügbar ist. Hier müssen die Ziel-IP-Adresse (neben Port und NAT) sowie der Port oder Portbereich angegeben werden, zu dem die Weiterleitung erfolgt, und ob auf eingehende Pakete NAT angewendet werden soll oder nicht.

2. OpenVPN User: Auswahl eines OpenVPN-Benutzers als Ziel für den Datenverkehr.

3. Lastverteilung: Angabe eines IP-Adressbereichs, auf den der Datenverkehr zur Vermeidung von Engpässen oder der Überlastung einer einzelnen IP-Adresse aufgeteilt wird.

4. Netzwerk umwandeln: Einfügen eines Subnetzwerks, in das der eingehende Datenverkehr übersetzt werden soll.

   Hinweis

   Durch die Übersetzung mithilfe von Netzwerk umwandeln werden die gesamten Adressen eines Netzwerks statisch in Adressen eines anderen Netzwerks umgewandelt. Dies kann für Unternehmen nützlich sein, in denen alle Niederlassungen dasselbe interne Netzwerk verwenden. In einem solchen Fall können alle Netzwerke mithilfe der Netzwerkumwandlung untereinander verbunden werden.

   Beispiel:

   Ursprüngliches Netzwerk 1: 192.168.0.0/24 zugeordnetes Netzwerk 1: 192.168.1.0/24 ursprüngliches Netzwerk 2: 192.168.0.0/24 zugeordnetes Netzwerk 2: 192.168.2.0/24
   

5. L2TP Benutzer: Auswahl eines L2TP-Benutzers als Ziel für den Datenverkehr.

Sofern nicht die Option Netzwerk umwandeln ausgewählt wird, kann stets der Port oder Portbereich angegeben werden, zu dem die Weiterleitung des Datenverkehrs erfolgt, sowie ob auf diesen NAT angewendet werden soll oder nicht. Bei Auswahl von Kein NAT darf unter Zugriff von (im erweiterten Modus) keine Filterrichtlinie angegeben werden.

Warnung

Bei Auswahl von IP, OpenVPN User, L2TP Benutzer oder Lastverteilung erfolgt für Portbereiche keine 1:1-Umwandlung, sondern eine Verteilung nach dem Round-Robin-Verfahren. Eine Umwandlung der eingehenden Ports 137 bis 139 in die Zielports 137 bis 139 führt beispielsweise zu einer zufälligen Verwendung dieser Ports: Eingehender Datenverkehr für Port 138 kann unvorhersehbar zu Port 137, 138 oder 139 umgeleitet werden. Um dies zu vermeiden, sollte das Feld Port/Bereich für Übersetzungen leer gelassen werden.

Fehlerbehebung für die Portweiterleitung

Für eine nicht funktionierende Portweiterleitung gibt es zwei Hauptursachen:

1. Die Panda GateDefender-Appliance befindet sich hinter einem NAT-Gerät.

   In diesem Fall werden direkte eingehende Verbindungen durch ein Gerät verhindert, das sich zwischen der Panda GateDefender-Appliance und dem Internet befindet. Die Lösung des Problems besteht in der Konfiguration einer Portweiterleitung an die ROTE IP-Adresse („RED IP“) der Panda GateDefender-Appliance, sofern möglich auch auf diesem Gerät.

2. Der Standardgateway des Zielservers ist fehlerhaft.

   Für den als Ziel einer Portweiterleitungsregel eingestellten Server ist ein falsches oder kein Standardgateway konfiguriert. Verbindungen werden zwar an die Ziel-IP-Adresse geleitet, aber Pakete werden aufgrund eines fehlerhaften Standardgateways nicht durch die Panda GateDefender-Appliance geleitet. Die Lösung des Problems besteht in der korrekten Konfiguration des Servergateways.

Source NAT

Auf dieser Seite können Regeln definiert werden, mit denen SNAT (Source NAT) auf ausgehende Verbindungen angewendet wird. Zudem wird die Liste bereits definierter Regeln angezeigt, die für jede Regel die Quell- und Ziel-IP-Adressen, den Dienst, den NAT-Status, eine benutzerdefinierte Beschreibung sowie verfügbare Aktionen enthält.

„Source NAT“ kann nützlich sein, wenn ein Server hinter der Panda GateDefender-Appliance über eine eigene externe IP-Adresse verfügt, die von ausgehenden Paketen anstelle der ROTEN IP-Adresse der Firewall verwendet werden soll. Klicken Sie zum Hinzufügen einer neuen Regel auf Neue Quell-NAT-Regel hinzufügen, und fahren Sie wie beim Hinzufügen einer Portweiterleitungsregel fort. Neben den gemeinsamen Optionen kann nur eine weitere Einstellung konfiguriert werden:

NAT

Auswählen der Anwendung von NAT, Kein NAT oder Netzwerk umwandeln. Bei der Auswahl von SNAT kann die zu verwendende IP-Adresse aus den im Dropdown-Menü verfügbaren Adressen ausgewählt werden. Durch die Einträge Auto wird automatisch die IP-Adresse ausgewählt, die der ausgehenden Schnittstelle entspricht.

SNAT und SMTP-Server in der ORANGEN Zone

In bestimmten Fällen ist es empfehlenswert, für „Source NAT“ ausdrücklich Kein NAT anzugeben, beispielsweise für einen SMTP- Server in der DMZ (Demilitarized Zone), der mit einer externen IP- Adresse konfiguriert wurde, aber dessen ausgehende Verbindungen die ROTE IP-Adresse als Quelle verwenden sollen. Ein SMTP-Server in der DMZ mit der IP-Adresse „123.123.123.123“ (wobei dies eine weitere IP- Adresse des Uplinks ist) kann auf folgende Weise mit „Source NAT“ konfiguriert werden:

1. Konfigurieren Sie die ORANGE Zone mit einem beliebigen Subnetz (z. B. 192.168.100.0).
2. Richten Sie den SMTP-Server zum Abhören von Port 25 an einer IP- Adresse in der ORANGEN Zone ein (z. B. 129.168.100.13).
3. Fügen Sie in dem Abschnitt unter Menüleiste ‣ Netzwerk ‣ Schnittstellen der Panda GateDefender-Appliance einen statischen Ethernet-Uplink mit der IP-Adresse „123.123.123.123“ hinzu.
4. Fügen Sie eine Source-NAT-Regel hinzu, und geben Sie die ORANGE IP-Adresse des SMTP-Servers als Quelladresse an. Stellen Sie sicher, dass NAT verwendet wird und „123.123.123.123“ als Quell- IP-Adresse für NAT eingerichtet ist.

Eingehender gerouteter Datenverkehr

Mithilfe dieser Registerkarte kann durch die Panda GateDefender- Appliance gerouteter Datenverkehr umgeleitet werden. Dies ist sehr nützlich, wenn mehrere externe IP-Adressen vorhanden sind und einige der Adressen in der DMZ verwendet werden sollen, ohne dass NAT erforderlich ist. Für jede Regel werden als Listenfelder Quelle und Ziel für den Datenverkehr, der Dienst, die anzuwendende Richtlinie, eine Anmerkung sowie die verfügbaren Aktionen angezeigt.

Außer den gemeinsamen Optionen können keine weiteren Einstellungen konfiguriert werden.

Ausgehender Datenverkehr

In der Panda GateDefender Appliance sind für ausgehenden Datenverkehr vordefinierte Regeln vorhanden, mit denen der Datenfluss der jeweiligen Dienste, Ports und Anwendungen von den verschiedenen Zonen zur ROTEN Schnittstelle und damit ins Internet erlaubt wird. Diese Regeln sind erforderlich, damit die am häufigsten verwendeten Dienste stets auf das Internet zugreifen und ordnungsgemäß funktionieren können. Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die ausgehende Firewall.

Hinweis

In der ausgehenden Firewall definierte Regeln werden ignoriert, wenn die Panda GateDefender Appliance im Modus Kein Uplink ist. Beim Betrieb im Uplink-Tarnmodus wird nur ein Teil des Verkehrs aus der Zone hinter der Panda GateDefender Appliance nach außen als ausgehend angesehen. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus.

Panda GateDefender Appliance und Anwendungsfirewall (Anwendungssteuerung):

Anwendungsfirewalls sind eine neue Entwicklung und Verbesserung der zustandsbehafteten Firewalls, welche die Funktionen der ersteren zur Verfolgung des Verbindungsursprungs und Pfades mit den Funktionen von Intrusion Prevention Systems zur Inhaltserkennung von Paketen zu dem Zweck kombinieren, einen besseren Schutz vor Würmern, Viren, Malware und allen Bedrohungsarten zu bieten. Das finale Ergebnis aus Sicht der Benutzerfreundlichkeit ist, dass Firewalls nicht nur den Verkehr zwischen Ports und IP-Adressen sondern auch den Verkehr blockieren können, der von einzelnen Anwendungen erzeugt wird. Dies erfordert jedoch einen größeren Firewall-Aufwand: Obwohl für den Verkehr zwischen IP-Adressen nur das erste Paket geprüft werden muss, um den gesamten Datenfluss zu blockieren oder zuzulassen und so den korrekt generierten Datenverkehr einer Anwendung zu erkennen, ist manchmal eine Analyse mehrerer Pakete erforderlich, meistens jedoch nicht mehr als 3.

Ab Version 5.50 ist jede Panda GateDefender Appliance mit nDPI ausgestattet, einer OpenSource-Bibliothek mit Deep Paket Inspection, welche die Regelbereitstellung für Anwendungsfirewalls zulässt. nDPI wird als Kernel-Modul bereitgestellt und interagiert für die Paketanalyse mit den IP-Tabellen.

Deshalb gibt es nun zwei Regelarten, die in der ausgehenden Firewall definiert werden können:

• Zustandsbehaftete Firewall-Regeln, die den Verkehr zwischen IP-Adressen und Ports filtern.
• Anwendungsregeln, d. h. Regeln, die den von einer Anwendung generierten Verkehr filtern.

Wenn keine Anwendungsregeln definiert wurden, entspricht das Verhalten der Firewall genau der vorherigen Version. Wenn jedoch eine Anwendungsregel definiert wurde, verhalten sich die vorausgehenden zustandsbehafteten Regeln normal, während alle nachfolgenden Regeln nDPI unterliegen.

Es muss beachtet werden, dass die Verwendung von nDPI einige Feinheiten aufweist, die im folgenden Beispiel dargestellt sind und zu einigen unerwünschten Nebenwirkungen führen können.

Nehmen wir an, dass ein Unternehmen den gesamten HTTP-Verkehr zulassen möchte, mit der Ausnahme von YouTube und Gmail. Die erste in der Panda GateDefender Appliance definierte Standardregel erlaubt den gesamten HTTP-Verkehr ohne Einschränkungen. Deshalb muss diese Regel zunächst deaktiviert werden. Anschließend müssen zwei Regeln definiert werden:

1. eine Anwendungsregel zur Blockierung der Gmail- und YouTube-Protokolle
2. eine zustandsbehaftete Regel für den gesamten HTTP-Verkehr.

Wenn die zweite Regel eine Anwendungsregel mit dem HTTP-Protokoll wäre, würde nur der von nDPI als HTTP erkannte Verkehr zugelassen werden, aber andere Protokolle, die HTTP verwenden (wie Yahoo und Facebook) würden passieren, da nDPI sie nicht als HTTP ansieht, sondern als unabhängige Protokolle.

Aktuelle Regeln

Die folgenden Dienste und Protokolle dürfen standardmäßig aus der jeweiligen Zone auf die ROTE IP-Adresse zugreifen und werden im oberen Bereich angezeigt:

GRÜN: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ICMP; BLAU: HTTP, HTTPS, DNS, ICMP; ORANGE: DNS, ICMP

Außer den Systemregeln, durch die der Zugriff auf Dienste in der Panda Perimetral Management Console ermöglicht wird, ist standardmäßig nichts weiter erlaubt. Die Systemregeln sind auch dann definiert, wenn die entsprechenden Zonen nicht aktiv sind.

Die für die Regeln möglichen Aktionen sind Aktivieren bzw. Deaktivieren, Bearbeiten und Löschen. Weitere Regeln können durch Klicken auf den Link Neue Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sollte beachtet werden, dass die Reihenfolge der Regeln wichtig ist: Unabhängig von der Anzahl der nachfolgenden zutreffenden Regeln wird durch die erste zutreffende Regel entschieden, ob ein Paket erlaubt oder abgelehnt wird. Die Reihenfolge der Regeln kann mithilfe der Nach-oben- und Nach-unten-Symbole neben den Regeln geändert werden.

Folgende Einstellungen weichen vom Standard der gemeinsamen Optionen ab:

Quelle

Mögliche Auswahl von einem oder mehreren der Elemente „Zone/Netzwerk-Schnittstelle“, „Netzwerk/IP“ oder „MAC Adresse“.

Ziel

Mögliche Auswahl der ROTEN Zone, eines oder mehrerer Uplinks oder einer Netzwerk/Host-Adresse bzw. mehrerer Netzwerk/Host-Adressen, auf die außerhalb der ROTEN Schnittstelle zugegriffen werden kann.

Anwendung

Dieses Such-Widget ermöglicht die Auswahl der Anwendungen, die Teil der Regel sein sollen. Anwendungen werden in Kategorien (z. B. Datenbank, Dateifreigabe usw.) unterteilt.

Tipp

Geben Sie mindestens einen Buchstaben ein, um alle Anwendungen mit diesem Anfangsbuchstaben anzuzeigen.

Ausgehende Firewalleinstellungen

Die ausgehende Firewall kann durch Klicken auf den Schalter Ausgehende Firewall aktivieren deaktiviert oder aktiviert werden. Bei deaktivierter ausgehender Firewall wird der gesamte ausgehende Datenverkehr erlaubt, und Pakete werden nicht gefiltert. Es wird ausdrücklich empfohlen, diese Einstellung nicht zu verwenden und die ausgehende Firewall aktiviert zu lassen.

Alle akzeptierten ausgehenden Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zur ROTEN Schnittstelle protokolliert.

Proxy und ausgehende Firewall

Wird für einen bestimmten Dienst der Proxy aktiviert (z. B. für HTTP, POP, SMTP oder DNS), werden die Firewallregeln in der ausgehenden Firewall aufgrund der allgemeinen Proxyeigenschaften nicht angewendet.

Geht bei aktiviertem Proxy eine Verbindung von einem Client zum Internet aus, wird diese entweder vom Proxy der Panda GateDefender- Appliance unterbrochen (im transparenten Modus) oder direkt an die Firewall geleitet, passiert diese jedoch nie. Vom Proxy wird dann eine neue Verbindung zum tatsächlichen Ziel hergestellt, woraufhin die Daten abgerufen und an den Client gesendet werden. Verbindungen dieser Art gehen stets von der Panda GateDefender-Appliance aus, wodurch die interne IP-Adresse des Clients nicht sichtbar wird. Da es sich tatsächlich um lokale Verbindungen handelt, wird die ausgehende Firewall auch nicht von ihnen passiert.

Inter-Zone-Datenverkehr

Mithilfe dieses Moduls können Regeln für den Datenverkehr zwischen den lokalen Netzwerkzonen eingerichtet werden. Datenverkehr durch die damit ausgeschlossene ROTE Zone kann unter Ausgehender Datenverkehr und Portweiterleitung / NAT gefiltert werden. Klicken Sie zur Aktivierung der Zwischenzonen-Firewall auf den grauen Schalter . Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die Inter-Zone-Firewall.

Hinweis

Wenn die Panda GateDefender Appliance im Modus Kein Uplink konfiguriert ist, wird der gesamte Netzwerkverkehr mithilfe der Zwischenzonen-Firewall gefiltert. Wenn im Uplink-Tarnmodus mehr als eine Zone definiert ist, wird der gesamte Verkehr, der nicht über den Gateway geleitet wird, mithilfe der Zwischenzonen-Firewall gefiltert. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus <stealth>.

Aktuelle Regeln

In der Panda GateDefender-Appliance sind einige einfache vordefinierte Regeln vorhanden: Datenverkehr aus der GRÜNEN Zone in eine andere Zone (ORANGE oder BLAU) sowie Datenverkehr innerhalb der einzelnen Zonen ist erlaubt, während jeder andere Datenverkehr standardmäßig verboten ist.

Wie bei der Firewall für ausgehenden Datenverkehr können Regeln mithilfe der entsprechenden Symbole auf der rechten Seite der Tabelle deaktiviert bzw. aktiviert, bearbeitet oder gelöscht werden. Neue Regeln können durch Klicken auf den Link Eine neue Inter-Zone Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sind nur die gemeinsamen Optionen konfigurierbar.

Inter-Zone Firewalleinstellungen

Die Inter-Zone-Firewall kann mithilfe des Schalters Inter-Zone Firewall aktivieren deaktiviert bzw. aktiviert werden. Bei deaktivierter Inter- Zone-Firewall wird sämtlicher Datenverkehr zwischen den BLAUEN, GRÜNEN und ORANGEN Zonen erlaubt. Von einer Deaktivierung wird ausdrücklich abgeraten.

Akzeptierte Inter-Zone Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zwischen den Zonen protokolliert.

VPN-Datenverkehr

Mithilfe der Firewall für VPN-Datenverkehr können anzuwendende Firewallregeln für Benutzer und Hosts hinzugefügt werden, die über OpenVPN verbunden sind.

Die Firewall für VPN-Datenverkehr ist standardmäßig nicht aktiv. Dies bedeutet zum einen, dass Datenverkehr zwischen VPN-Hosts und Hosts in der GRÜNEN Zone uneingeschränkt erlaubt ist, und zum anderen, dass von VPN-Hosts auf alle anderen Zonen zugegriffen werden kann. VPN-Hosts sind nicht von den Firewalls für ausgehenden Datenverkehr und Inter-Zone- Datenverkehr betroffen. Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die VPN-Firewall.

Aktuelle Regeln

Handhabung und Definition der Regeln erfolgen genau wie bei der Firewall für ausgehenden Datenverkehr. Deshalb erhalten Sie Anleitungen für dieses Modul in dem entsprechenden Abschnitt und unter gemeinsame Optionen.

VPN Firewalleinstellungen

Die VPN-Firewall kann mithilfe des Schalters VPN-Firewall aktivieren aktiviert oder deaktiviert werden.

Akzeptierte VPN Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen von VPN-Benutzern protokolliert.

Systemzugriff

In diesem Bereich werden die Regeln festgelegt, durch die der Zugriff auf die Panda GateDefender-Appliance gewährt oder verweigert wird.

Es ist eine Liste vorkonfigurierter Regeln vorhanden, durch die das ordnungsgemäße Funktionieren der Firewall sichergestellt wird und die nicht geändert werden können. Für einige Dienste, die von der Panda GateDefender-Appliance bereitgestellt werden, ist es erforderlich, dass von Clients in den verschiedenen lokalen Zonen auf sie zugegriffen werden kann: Beispielsweise für DNS zum Auflösen von Remote-Hostnamen (wofür Port 53 geöffnet sein muss) oder zur Verwendung der Webschnittstelle für die Administration (die Port 10443 verwendet): Bei Aktivierung solcher Dienste werden automatisch Regeln erstellt, um die Effizienz dieser Dienste zu gewährleisten.

Die Liste der vordefinierten Regeln wird durch Klicken auf die Schaltfläche Regeln der Systemdienste anzeigen unten auf der Seite angezeigt.

Weitere Systemzugangsregeln können durch Klicken auf den Link Eine neue Systemzugangsregel hinzufügen hinzugefügt werden. Für dieses Firewallmodul sind die folgenden spezifischen Einstellungen vorhanden:

Pakete protokollieren

Wenn dieses Kontrollkästchen aktiviert ist, werden alle Pakete protokolliert, von denen auf die Panda GateDefender-Appliance zugegriffen wird bzw. werden soll. Diese Option ist nützlich, um Zugriffe bzw. Zugriffsversuche auf ihren Ursprung zurückführen zu können.

Quelladresse

Die MAC-Adressen von eingehenden Verbindungen.

Quellschnittstelle

Die Schnittstelle, von der auf das System zugegriffen werden kann.

Hinweis

Eine Adresse für Ziel ist nicht vorhanden, da es sich um die IP-Adresse der Schnittstelle handelt, von der der Zugriff gewährt oder versucht wird.

Die verfügbaren Aktionen sind Deaktivieren bzw. Aktivieren, Bearbeiten und Löschen von Regeln in der Liste.

Firewalldiagramme

An dieser Stelle wird für alle auf dieser Seite beschriebenen Module jeweils ein Diagramm angezeigt, in dem der Datenverkehr zwischen den Zonen gemeinsam mit dem zuständigen Firewallmodul dargestellt ist. Durch die grünen Pfeillinien wird angezeigt, welcher Datenverkehr in welchen Richtungen in den Zonen jeweils erlaubt ist. Für VPN sind die Pfeile zur ROTEN Schnittstelle und von dieser weg mit einem roten „X“ gekennzeichnet, da Datenverkehr zwischen diesen Punkten nicht möglich ist.

Durch Klicken auf eine Abbildung wird diese in einer Galerie geöffnet, in der alle vorhandenen Abbildungen wie in einer Slideshow durchsucht werden können.