Firewall-Regeln prüfen die Steuerinformationen in einzelnen Paketen und sperren oder
erlauben sie gemäß den von Ihnen definierten Kriterien. Firewall-Regeln können einer
Richtlinie oder direkt einem Computer zugewiesen werden.
Weitere Informationen zur Konfiguration des Firewall-Moduls finden Sie unter Einrichten der Server- und Workload Protection Firewall.
Eine neue Firewall-Regel erstellen:
- Fügen Sie eine neue Regel hinzu.
- Wählen Sie das Verhalten und das Protokoll der Regel aus.
- Wählen Sie eine Paketquelle und ein Paketziel aus.
Wenn Sie mit Ihrer Firewall-Regel fertig sind, können Sie auch Folgendes tun:
Neue Regel hinzufügen
Es gibt drei Möglichkeiten, eine neue Firewall-Regel über hinzuzufügen. Sie können eine der folgenden Optionen wählen:
- Erstellen Sie eine neue Regel, indem Sie auf klicken.
- Importieren Sie eine Regel aus einer XML-Datei, indem Sie auf klicken.
- Kopieren und ändern Sie dann eine bestehende Regel. Dazu klicken Sie mit der rechten Maustaste auf die Regel in der Firewall Rules-Liste und klicken dann auf Duplizieren. Um die neue Regel zu bearbeiten, wählen Sie sie aus und klicken dann auf Eigenschaften.
Wählen Sie das Verhalten und das Protokoll der Regel aus
-
Geben Sie eine Name und Beschreibung für die Regel ein.Es ist eine gute Praxis, alle Änderungen der Firewall-Regeln im Beschreibungsfeld der Firewall-Regel zu dokumentieren. Notieren Sie, wann und warum Regeln erstellt oder gelöscht wurden, um die Wartung der Firewall zu erleichtern.
-
Wählen Sie das Aktion aus, das die Regel auf Pakete anwenden soll. Sie können aus fünf Aktionen wählen. Beachten Sie, dass nur eine Regelaktion auf ein Paket angewendet wird und Regeln (mit derselben Priorität) in der Reihenfolge der Priorität angewendet werden, wie folgt:
- Die Regel kann den Datenverkehr bypass der Firewall erlauben. Eine Übergehungsregel erlaubt es dem Datenverkehr, die Firewall
und die Intrusion-Prevention-Engine mit der schnellstmöglichen Geschwindigkeit zu
passieren. Übergehungsregeln sind für Datenverkehr gedacht, der medienintensive Protokolle
verwendet, bei denen Filter möglicherweise nicht erwünscht sind, oder für Datenverkehr
aus vertrauenswürdigen Quellen.
Umgehungsregeln sind unidirektional, daher sind explizite Regeln für jede Verkehrsrichtung erforderlich.Sie können die maximale Durchsatzleistung bei einer Übergehensregel mit den folgenden Einstellungen erreichen:
- !!Priority!!: Höchste
- Frame Type: IP
- Protokoll: TCP, UDP oder ein anderes IP-Protokoll. Verwenden Sie nicht "Any".
- Source and Destination IP and MAC: Alle, Beliebig.
- Wenn das Protokoll TCP oder UDP ist und die Richtung des Datenverkehrs eingehend ist, müssen die Zielports ein oder mehrere spezifizierte Ports sein (nicht Any), und die Quellports müssen Any sein.
- Wenn das Protokoll TCP oder UDP ist und die Richtung des Datenverkehrs ausgehend ist, müssen die Quellports ein oder mehrere angegebene Ports sein (nicht Any), und die Zielports müssen Any sein.
- Zeitplan: Keine.
Ein Beispiel dafür, wie Sie eine Übergehungsregel für vertrauenswürdige Quellen in einer Richtlinie erstellen und verwenden, finden Sie unter Vertrauenswürdigen Datenverkehr die Firewall übergehen lassen.
- Die Regel kann log only. Diese Aktion erstellt Einträge in den Protokollen, verarbeitet jedoch keinen Datenverkehr.
- Die Regel kann force allow definierten Datenverkehr (sie erlaubt den durch diese Regel definierten Datenverkehr, ohne anderen Datenverkehr auszuschließen).
- Die Regel kann den Datenverkehr deny (sie verweigert den durch diese Regel definierten Datenverkehr).
- Die Regel kann den Datenverkehr allow (sie erlaubt ausschließlich den durch diese Regel definierten Datenverkehr).
Wenn Sie keine Erlaubnisregeln auf einem Computer in Kraft haben, ist jeglicher Datenverkehr erlaubt, es sei denn, er wird durch eine Verweigerungsregel speziell gesperrt. Sobald Sie eine einzelne Erlaubnisregel erstellen, wird jeglicher anderer Datenverkehr gesperrt, es sei denn, er erfüllt die Anforderungen der Erlaubnisregel. Es gibt eine Ausnahme von dieser Regel: ICMPv6-Datenverkehr ist immer erlaubt, es sei denn, er wird durch eine Verweigerungsregel speziell gesperrt. - Die Regel kann den Datenverkehr bypass der Firewall erlauben. Eine Übergehungsregel erlaubt es dem Datenverkehr, die Firewall
und die Intrusion-Prevention-Engine mit der schnellstmöglichen Geschwindigkeit zu
passieren. Übergehungsregeln sind für Datenverkehr gedacht, der medienintensive Protokolle
verwendet, bei denen Filter möglicherweise nicht erwünscht sind, oder für Datenverkehr
aus vertrauenswürdigen Quellen.
-
Wählen Sie das !!Priority!! der Regel aus. Die Priorität bestimmt die Reihenfolge, in der Regeln angewendet werden. Wenn Sie als Regelaktion Erzwingen erlauben, Verweigern oder Umgehen auswählen, können Sie eine Priorität von 0 (niedrig) bis 4 (höchste) festlegen. Durch das Festlegen einer Priorität können Sie die Aktionen von Regeln kombinieren, um einen kaskadierenden Regel-Effekt zu erzielen.Nur protokollieren-Regeln können nur eine Priorität von 4 haben, und Zulassen-Regeln können nur eine Priorität von 0 haben.Regeln mit hoher Priorität werden vor Regeln mit niedriger Priorität angewendet. Zum Beispiel wird eine eingehende Verweigerungsregel für Port 80 mit einer Priorität von 3 angewendet, bevor eine eingehende Erzwingungsregel für Port 80 mit einer Priorität von 2 darauf angewendet wird.Weitere Informationen darüber, wie Aktionen und Prioritäten zusammenarbeiten, finden Sie unter Firewall-Regelaktionen und -prioritäten.
-
Wählen Sie ein Paketrichtung aus, um festzulegen, ob diese Regel auf eingehenden (vom Netzwerk zum Computer) oder ausgehenden (vom Computer zum Netzwerk) Datenverkehr angewendet werden soll.Eine einzelne Firewall-Regel gilt nur für eine Richtung des Datenverkehrs. Möglicherweise müssen Sie eingehende und ausgehende Firewall-Regeln paarweise für bestimmte Arten von Datenverkehr erstellen.
-
Wählen Sie eine User List aus—Dies bestimmt, auf welche Benutzerliste diese Regel für den Datenverkehr angewendet wird. Der Datenverkehr wird basierend auf User Identity gefiltert. Sie können eine zuvor erstellte Benutzerliste verwenden.Benutzername ist Teil einer kontrollierten Veröffentlichung und befindet sich in der Vorschau. Der zugehörige Inhalt kann sich ändern.Es gibt eine Reihe von Einschränkungen und Richtlinien, die bei der Auswahl der Benutzerliste zu beachten sind:
-
Das Protokoll muss auf TCP oder UDP eingestellt sein und die Richtung des Datenverkehrs muss ausgehend sein.
-
Um das versehentliche Blockieren von kritischem Datenverkehr zu vermeiden, sollten Sie zuerst die Aktion log only auswählen und das Verhalten sowie die Benutzeridentität überprüfen. Danach können Sie die Aktion auf allow oder deny. ändern
-
Um einem Benutzer den Zugriff zu erlauben, wandelt die Firewall-Regel den ausgehenden Zugriff von einer permissiven zu einer restriktiven Firewall um. Daher sind alle Benutzer gesperrt, außer einem bestimmten Benutzer. Für weitere Informationen siehe Restriktives oder permissives Firewall-Design.
-
Benutzeridentitäten werden definiert, wenn eine neue Richtlinie an den Deep Security Agent gesendet wird. Wenn sich die Benutzerinformationen ändern, muss die Konfiguration erneut gesendet werden, um die Benutzeridentitäten zu aktualisieren.
-
Die Benutzerliste wird auf Windows- und Linux-Betriebssystemen unterstützt.
-
-
Wählen Sie ein Ethernet Frame Type aus. Der Begriff Frame bezieht sich auf Ethernet-Frames, und die verfügbaren Protokolle geben die Daten an, die der Frame trägt. Wenn Sie Andere als Frame-Typ auswählen, müssen Sie eine Frame-Nummer angeben.IP umfasst sowohl IPv4 als auch IPv6. Sie können auch IPv4 oder IPv6 einzeln auswählen.Auf Solaris untersuchen Agenten nur Pakete mit einem IP-Frame-Typ, und Linux-Agenten untersuchen nur Pakete mit IP- oder ARP-Frame-Typen. Pakete mit anderen Frame-Typen werden durchgelassen.Wenn Sie den IP-Rahmentyp auswählen, müssen Sie das Transportprotokoll auswählen. Wenn Sie Andere als Protokoll auswählen, müssen Sie auch eine Protokollnummer eingeben.
Wählen Sie eine Paketquelle und ein Paketziel aus
Wählen Sie eine Kombination aus IP und MAC-Adressen und, falls für den Rahmentyp verfügbar, Port und Specific Flags für die Paketquelle und das Paketziel.
Die Unterstützung für IP-basierte Rahmentypen ist wie folgt:
|
IP
|
MAC
|
Port
|
Flags
|
|
|
Alle
|
✔
|
✔
|
||
|
ICMP
|
✔
|
✔
|
✔
|
|
|
ICMPV6
|
✔
|
✔
|
✔
|
|
|
IGMP
|
✔
|
✔
|
||
|
GGP
|
✔
|
✔
|
||
|
TCP
|
✔
|
✔
|
✔
|
✔
|
|
PUP
|
✔
|
✔
|
||
|
UDP
|
✔
|
✔
|
✔
|
|
|
IDP
|
✔
|
✔
|
||
|
ND
|
✔
|
✔
|
||
|
RAW
|
✔
|
✔
|
||
|
TCP+UDP
|
✔
|
✔
|
✔
|
✔
|
ARP- und REVARP-Frame-Typen unterstützen nur die Verwendung von MAC-Adressen als Paketquellen
und -ziele.
Sie können Any Flags auswählen oder die folgenden Flags einzeln auswählen:
- URG
- ACK
- PSH
- RST
- SYN
- FIN
Regelereignisse und Warnungen konfigurieren
Wenn eine Firewall-Regel ausgelöst wird, protokolliert sie ein Ereignis im Server- und Workload Protection und zeichnet die Paketdaten auf.
Rules using the Allow, Force Allow, and Bypass actions do not log any events.
Warnungen
Sie können Regeln so konfigurieren, dass sie auch eine Warnung auslösen, wenn sie
ein Ereignis protokollieren. Öffnen Sie dazu die Eigenschaften einer Regel, klicken
Sie auf Optionen und wählen Sie dann Alert when this rule logs an event aus.
Nur Firewall-Regeln mit einer Aktion, die auf Verweigern oder Nur protokollieren gesetzt
ist, können so konfiguriert werden, dass sie einen Alarm auslösen.
Legen Sie einen Zeitplan für die Regel fest
Definieren Sie, ob die Firewall-Regel nur während einer geplanten Zeit aktiv sein
soll.
Weitere Informationen finden Sie unter Definieren Sie einen Zeitplan, den Sie auf Regeln anwenden können.
Der Regel einen Kontext zuweisen
Regelkontexte ermöglichen es Ihnen, Firewall-Regeln einzigartig für verschiedene Netzwerkumgebungen
festzulegen. Kontexte werden häufig verwendet, um unterschiedliche Regeln für Laptops
zu ermöglichen, wenn sie vor Ort oder außerhalb sind.
Weitere Informationen zum Erstellen eines Kontexts finden Sie unter Kontexte für die Verwendung in Richtlinien definieren.
Ein Beispiel für eine Richtlinie, die Firewall-Regeln mithilfe von Kontexten implementiert,
finden Sie in den Eigenschaften der Windows Mobile Laptop-Richtlinie.
Richtlinien und Computer anzeigen, denen eine Regel zugewiesen ist
Sie können sehen, welche Richtlinien und Computer einer Firewall-Regel über die Assigned To-Registerkarte zugewiesen sind. Klicken Sie auf eine Richtlinie oder einen Computer
in der Liste, um deren Eigenschaften anzuzeigen.
Eine Regel exportieren
Sie können alle Firewall-Regeln in eine
.csv- oder .xml-Datei exportieren, indem Sie auf Exportieren klicken und die entsprechende Exportaktion aus der Liste auswählen. Sie können auch
spezifische Regeln exportieren, indem Sie diese zuerst auswählen, auf Exportieren klicken und dann die entsprechende Exportaktion aus der Liste auswählen.Eine Regel löschen
Um eine Regel zu löschen, klicken Sie mit der rechten Maustaste auf die Regel in der
Firewall Rules-Liste, klicken Sie auf Löschen und dann auf OK.
Firewall-Regeln, die einem oder mehreren Computern zugewiesen sind oder Teil einer
Richtlinie sind, können nicht gelöscht werden.