Firewall-Regeln prüfen die Steuerinformationen in einzelnen Paketen und sperren oder
erlauben sie gemäß den von Ihnen definierten Kriterien. Firewall-Regeln können einer
Richtlinie oder direkt einem Computer zugewiesen werden.
 |
HinweisDieser Artikel behandelt speziell, wie man eine Firewall-Regel erstellt. Informationen
zur Konfiguration des Firewall-Moduls finden Sie unter Einrichten der Server- und Workload Protection Firewall.
|
Um eine neue Firewall-Regel zu erstellen, müssen Sie:
- Fügen Sie eine neue Regel hinzu.
- Wählen Sie das Verhalten und das Protokoll der Regel aus.
- Wählen Sie eine Paketquelle und ein Paketziel aus.
Wenn Sie mit Ihrer Firewall-Regel fertig sind, können Sie auch lernen, wie man:
Neue Regel hinzufügen
Es gibt drei Möglichkeiten, eine neue Firewall-Regel auf der Seite hinzuzufügen. Sie können:
- Erstellen Sie eine neue Regel. Klicken Sie auf .
- Importieren Sie eine Regel aus einer XML-Datei. Klicken Sie auf .
- Kopieren Sie eine vorhandene Regel und ändern Sie sie. Klicken Sie mit der rechten Maustaste auf die Regel in der Firewall-Regelliste und klicken Sie dann auf Duplizieren. Um die neue Regel zu bearbeiten, wählen Sie sie aus und klicken Sie dann auf Eigenschaften.
Wählen Sie das Verhalten und das Protokoll der Regel aus
-
Geben Sie einen Name und einen Beschreibung für die Regel ein.
Hinweis
Es ist eine gute Praxis, alle Änderungen der Firewall-Regeln im Beschreibungsfeld der Firewall-Regel zu dokumentieren. Notieren Sie, wann und warum Regeln erstellt oder gelöscht wurden, um die Wartung der Firewall zu erleichtern. -
Wählen Sie das Aktion aus, das die Regel auf Pakete anwenden soll. Sie können eine der folgenden fünf Aktionen auswählen:
Hinweis
Auf ein Paket wird nur eine Regelaktion angewendet, und Regeln (mit derselben Priorität) werden in der unten aufgeführten Reihenfolge der Vorrangigkeit angewendet.- Die Regel kann den Datenverkehr erlauben, den bypass der Firewall zu übergehen. Eine Übergehregel erlaubt es dem Datenverkehr, die Firewall und die Intrusion-Prevention-Engine mit der schnellstmöglichen Geschwindigkeit zu passieren. Übergehregeln sind für Datenverkehr gedacht, der medienintensive Protokolle verwendet, bei denen Filter möglicherweise nicht erwünscht sind, oder für Datenverkehr aus vertrauenswürdigen Quellen.
Tipp
Ein Beispiel dafür, wie Sie eine Übergehungsregel für vertrauenswürdige Quellen in einer Richtlinie erstellen und verwenden, finden Sie unter Vertrauenswürdigen Datenverkehr die Firewall übergehen lassen.Hinweis
Bypass-Regeln sind unidirektional. Für jede Verkehrsrichtung sind explizite Regeln erforderlich.Tipp
Sie können die maximale Durchsatzleistung bei einer Übergehensregel mit den folgenden Einstellungen erreichen:- Priority: Highest
- Frame Type: IP
- Protokoll:TCP, UDP oder ein anderes IP-Protokoll. (Verwenden Sie nicht die Option "Beliebig".)
- Source and Destination IP and MAC: alle "Beliebig"
- Wenn das Protokoll TCP oder UDP ist und die Richtung des Datenverkehrs "eingehend" ist, müssen die Zielports ein oder mehrere angegebene Ports sein (nicht "Beliebig"), und die Quellports müssen "Beliebig" sein.
- Wenn das Protokoll TCP oder UDP ist und die Richtung des Datenverkehrs "ausgehend" ist, müssen die Quellports ein oder mehrere angegebene Ports sein (nicht "Beliebig"), und die Zielports müssen "Beliebig" sein.
- Zeitplan: Keine.
- Die Regel kann log only. Diese Aktion wird Einträge in den Protokollen erstellen, aber den Datenverkehr nicht verarbeiten.
- Die Regel kann den definierten Datenverkehr force allow (sie wird den durch diese Regel definierten Datenverkehr zulassen, ohne anderen Datenverkehr auszuschließen.)
- Die Regel kann den Datenverkehr deny (sie wird den durch diese Regel definierten Datenverkehr verweigern.)
- Die Regel kann den Datenverkehr allow (sie wird ausschließlich den durch diese Regel definierten Datenverkehr zulassen.)
Hinweis
Wenn Sie auf einem Computer keine Erlaubnisregeln in Kraft haben, ist der gesamte Datenverkehr erlaubt, es sei denn, er wird durch eine Verweigerungsregel speziell gesperrt. Sobald Sie eine einzelne Erlaubnisregel erstellen, wird der gesamte andere Datenverkehr gesperrt, es sei denn, er erfüllt die Anforderungen der Erlaubnisregel. Es gibt eine Ausnahme: ICMPv6-Datenverkehr ist immer erlaubt, es sei denn, er wird durch eine Verweigerungsregel speziell gesperrt. -
Wählen Sie den !!Priority!! der Regel aus. Die Priorität bestimmt die Reihenfolge, in der Regeln angewendet werden. Wenn Sie "erzwingen erlauben", "verweigern" oder "übergehen" als Regelaktion ausgewählt haben, können Sie eine Priorität von 0 (niedrig) bis 4 (höchste) festlegen. Durch das Festlegen einer Priorität können Sie die Aktionen von Regeln kombinieren, um einen kaskadierenden Regel-Effekt zu erzielen.
Hinweis
Nur protokollieren-Regeln können nur eine Priorität von 4 haben, und Zulassen-Regeln können nur eine Priorität von 0 haben.Hinweis
Regeln mit hoher Priorität werden vor Regeln mit niedriger Priorität angewendet. Zum Beispiel wird eine eingehende Verweigerungsregel für Port 80 mit einer Priorität von 3 ein Paket verwerfen, bevor eine eingehende Erzwingungserlaubnisregel für Port 80 mit einer Priorität von 2 darauf angewendet wird.Weitere Informationen darüber, wie Aktionen und Prioritäten zusammenarbeiten, finden Sie unter Firewall-Regelaktionen und -prioritäten. -
Wählen Sie einen Paketrichtung aus. Wählen Sie, ob diese Regel auf eingehenden (vom Netzwerk zum Computer) oder ausgehenden (vom Computer zum Netzwerk) Datenverkehr angewendet wird.
Hinweis
Eine einzelne Firewall-Regel gilt nur für eine Richtung des Datenverkehrs. Möglicherweise müssen Sie eingehende und ausgehende Firewall-Regeln paarweise für bestimmte Arten von Datenverkehr erstellen. -
Wählen Sie ein Ethernet Frame Type aus. Der Begriff "Frame" bezieht sich auf Ethernet-Frames, und die verfügbaren Protokolle geben die Daten an, die der Frame trägt. Wenn Sie "Andere" als Frame-Typ auswählen, müssen Sie eine Frame-Nummer angeben.
Hinweis
IP umfasst sowohl IPv4 als auch IPv6. Sie können auch IPv4 oder IPv6 einzeln auswählen.Hinweis
Auf Solaris werden Agenten nur Pakete mit einem IP-Frame-Typ untersuchen, und Linux-Agenten werden nur Pakete mit IP- oder ARP-Frame-Typen untersuchen. Pakete mit anderen Frame-Typen werden durchgelassen.Wenn Sie den Internet-Protokoll (IP)-Rahmentyp auswählen, müssen Sie das Transportprotokoll auswählen. Wenn Sie "Andere" als Protokoll auswählen, müssen Sie auch eine Protokollnummer eingeben.
Wählen Sie eine Paketquelle und ein Paketziel
Wählen Sie eine Kombination aus IP und MAC Adressen und, falls für den Rahmentyp verfügbar, Port und Specific Flags für die Paketquelle und das Paketziel.
Die Unterstützung für IP-basierte Rahmentypen ist wie folgt:
|
IP
|
MAC
|
Port
|
Flags
|
|
|
Alle
|
✔
|
✔
|
||
|
ICMP
|
✔
|
✔
|
✔
|
|
|
ICMPV6
|
✔
|
✔
|
✔
|
|
|
IGMP
|
✔
|
✔
|
||
|
GGP
|
✔
|
✔
|
||
|
TCP
|
✔
|
✔
|
✔
|
✔
|
|
PUP
|
✔
|
✔
|
||
|
UDP
|
✔
|
✔
|
✔
|
|
|
IDP
|
✔
|
✔
|
||
|
ND
|
✔
|
✔
|
||
|
RAW
|
✔
|
✔
|
||
|
TCP+UDP
|
✔
|
✔
|
✔
|
✔
|
|
HinweisARP- und REVARP-Frame-Typen unterstützen nur die Verwendung von MAC-Adressen als Paketquellen
und -ziele.
|
Sie können Any Flags auswählen oder die folgenden Flags einzeln auswählen:
- URG
- ACK
- PSH
- RST
- SYN
- FIN
Regelereignisse und Warnungen konfigurieren
Wenn eine Firewall-Regel ausgelöst wird, protokolliert sie ein Ereignis im Server- und Workload Protection und zeichnet die Paketdaten auf.
|
HinweisRegeln, die die Aktionen "Erlauben", "Erzwingen" und "Übergehen" verwenden, protokollieren
keine Ereignisse.
|
Warnungen
Sie können Regeln so konfigurieren, dass sie auch eine Warnung auslösen, wenn sie
ein Ereignis protokollieren. Öffnen Sie dazu die Eigenschaften einer Regel, klicken
Sie auf Optionen und wählen Sie dann Alert when this rule logs an event aus.
|
HinweisNur Firewall-Regeln mit einer Aktion, die auf "Verweigern" oder "Nur protokollieren"
gesetzt ist, können so konfiguriert werden, dass sie einen Alarm auslösen.
|
Legen Sie einen Zeitplan für die Regel fest
Wählen Sie, ob die Firewall-Regel nur während einer geplanten Zeit aktiv sein soll.
Weitere Informationen dazu finden Sie unter Definieren Sie einen Zeitplan, den Sie auf Regeln anwenden können.
Der Regel einen Kontext zuweisen
Regelkontexte ermöglichen es Ihnen, Firewall-Regeln einzigartig für verschiedene Netzwerkumgebungen
festzulegen. Kontexte werden häufig verwendet, um unterschiedliche Regeln für Laptops
zu ermöglichen, wenn sie vor Ort oder außerhalb sind.
Weitere Informationen zum Erstellen eines Kontexts finden Sie unter Kontexte für die Verwendung in Richtlinien definieren.
|
TippEin Beispiel für eine Richtlinie, die Firewall-Regeln mithilfe von Kontexten implementiert,
finden Sie in den Eigenschaften der Richtlinie "Windows Mobile Laptop".
|
Richtlinien und Computer anzeigen, denen eine Regel zugewiesen ist
Sie können auf der Registerkarte Assigned To sehen, welche Richtlinien und Computer einer Firewall-Regel zugewiesen sind. Klicken
Sie auf eine Richtlinie oder einen Computer in der Liste, um deren Eigenschaften anzuzeigen.
Eine Regel exportieren
Sie können alle Firewall-Regeln in eine .csv- oder .xml-Datei exportieren, indem Sie
auf Exportieren klicken und die entsprechende Exportaktion aus der Liste auswählen. Sie können auch
spezifische Regeln exportieren, indem Sie diese zuerst auswählen, auf Exportieren klicken und dann die entsprechende Exportaktion aus der Liste auswählen.
Eine Regel löschen
Um eine Regel zu löschen, klicken Sie mit der rechten Maustaste auf die Regel in der
Firewall-Regelliste, klicken Sie auf Löschen und dann auf OK.
|
HinweisFirewall-Regeln, die einem oder mehreren Computern zugewiesen sind oder Teil einer
Richtlinie sind, können nicht gelöscht werden.
|