Ansichten:
Der Server- und Workload Protection zustandsbehaftete Firewall-Konfigurationsmechanismus analysiert jedes Paket im Kontext der Verkehrshistorie, der Korrektheit der TCP- und IP-Header-Werte und der TCP-Verbindungszustandsübergänge. Bei zustandslosen Protokollen wie UDP und ICMP wird ein pseudo-zustandsbehafteter Mechanismus basierend auf der Analyse des historischen Datenverkehrs implementiert. Pakete werden vom zustandsbehafteten Mechanismus wie folgt behandelt:
  1. Ein Paket wird an die zustandsbehaftete Routine übergeben, wenn es durch die statischen Firewall-Regelbedingungen zugelassen wurde.
  2. Das Paket wird überprüft, um festzustellen, ob es zu einer bestehenden Verbindung gehört, und
  3. Der TCP-Header wird auf Korrektheit überprüft (z. B. Sequenznummern, Flag-Kombinationen usw.).
Um eine neue zustandsbehaftete Konfiguration zu erstellen, müssen Sie:

Prozedur

  1. Fügen Sie eine zustandsbehaftete Konfiguration hinzu.
  2. Geben Sie zustandsbehaftete Konfigurationsinformationen ein.
  3. Wählen Sie die Optionen für die Paketinspektion aus.

Nächste Schritte

Wenn Sie mit Ihrer zustandsbehafteten Konfiguration fertig sind, können Sie auch lernen, wie Sie

Fügen Sie eine zustandsbehaftete Konfiguration hinzu Übergeordnetes Thema

Es gibt drei Möglichkeiten, eine zustandsbehaftete Konfiguration auf der RichtlinienCommon ObjectsSonstigeFirewall Stateful Configurations-Seite zu definieren:
  • Erstellen Sie eine neue Konfiguration. Klicken Sie auf NeuNew Firewall Stateful Configuration.
  • Importieren Sie eine Konfiguration aus einer XML-Datei. Klicken Sie auf NeuImport From File.
  • Kopieren Sie eine vorhandene Konfiguration und ändern Sie sie. Klicken Sie mit der rechten Maustaste auf die Konfiguration in der Liste der Stateful-Konfigurationen der Firewall und klicken Sie dann auf Duplizieren. Um die neue Konfiguration zu bearbeiten, wählen Sie sie aus und klicken Sie dann auf Eigenschaften.

Geben Sie zustandsbehaftete Konfigurationsinformationen ein Übergeordnetes Thema

Geben Sie ein Name und ein Beschreibung für die Konfiguration ein.

Wählen Sie Paketinspektionsoptionen aus Übergeordnetes Thema

Sie können Optionen für die Inspektion von IP-, TCP-, UDP- und ICMP-Paketen definieren und aktives oder passives FTP aktivieren.

IP-Paketinspektion Übergeordnetes Thema

Wählen Sie unter der Registerkarte Allgemein den Deny all incoming fragmented packets aus, um alle fragmentierten Pakete zu verwerfen. Verworfen Pakete werden die Fragmentierungsanalyse übergehen und einen "IP fragmentiertes Paket" Protokolleintrag erzeugen. Pakete mit einer Gesamtlänge, die kleiner als die IP-Header-Länge ist, werden stillschweigend verworfen.
Warnung
Warnung
Angreifer erstellen und senden manchmal fragmentierte Pakete, um Firewall-Regeln zu übergehen.
Hinweis
Hinweis
Die Firewall-Engine führt standardmäßig eine Reihe von Überprüfungen an fragmentierten Paketen durch. Dies ist das Standardverhalten und kann nicht umkonfiguriert werden. Pakete mit den folgenden Merkmalen werden verworfen:
  • Invalid fragmentation flags/offset: Ein Paket wird verworfen, wenn entweder die DF- und MF-Flags im IP-Header auf 1 gesetzt sind oder der Header das DF-Flag auf 1 gesetzt und einen Offset-Wert ungleich 0 enthält.
  • First fragment too small: Ein Paket wird verworfen, wenn sein MF-Flag auf 1 gesetzt ist, sein Offset-Wert bei 0 liegt und es eine Gesamtlänge von weniger als 120 Byte (die maximale kombinierte Headerlänge) aufweist.
  • IP fragment out of boundary: Ein Paket wird verworfen, wenn der Wert des Offset-Flags in Kombination mit der Gesamtlänge des Pakets die maximale Datagrammlänge von 65535 Byte überschreitet.
  • IP fragment offset too small: Ein Paket wird verworfen, wenn es ein ungleich null Offset-Flag mit einem Wert kleiner als 60 Byte hat.

TCP-Paketinspektion Übergeordnetes Thema

Unter dem TCP-Tab wählen Sie, welche der folgenden Optionen Sie aktivieren möchten:
  • Deny TCP packets containing CWR, ECE flags: Diese Flags werden gesetzt, wenn es zu Netzwerküberlastungen kommt.
    Hinweis
    Hinweis
    RFC 3168 definiert zwei der sechs Bits aus dem reservierten Feld zur Verwendung für ECN (Explicit Congestion Notification), wie folgt:
    • Bits 8 bis 15: CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
    • TCP-Header-Flags-Bit-Name-Referenz:
      • Bit 8: CWR (Verkleinertes Stau-Fenster) [RFC3168]
      • Bit 9: ECE (ECN-Echo) [RFC3168]
    Warnung
    Warnung
    Automatisierte Paketübertragung (wie sie beispielsweise durch einen Denial-of-Service-Angriff erzeugt wird) erzeugt häufig Pakete, in denen diese Flags gesetzt sind.
  • Enable TCP stateful inspection: Aktivieren Sie die zustandsbehaftete Inspektion auf TCP-Ebene. Wenn Sie die zustandsbehaftete TCP-Inspektion aktivieren, stehen die folgenden Optionen zur Verfügung:
    • Enable TCP stateful logging: TCP-Zustandsüberwachungsereignisse werden protokolliert.
    • Limit the number of incoming connections from a single computer to: Die Begrenzung der Anzahl von Verbindungen von einem einzelnen Computer kann die Auswirkungen eines Denial-of-Service-Angriffs verringern.
    • Limit the number of outgoing connections to a single computer to: Die Begrenzung der Anzahl ausgehender Verbindungen zu einem einzelnen Computer kann die Auswirkungen von Nimda-ähnlichen Würmern erheblich reduzieren.
    • Limit the number of half-open connections from a single computer to: Das Festlegen eines Limits hier kann Sie vor DoS-Angriffen wie SYN-Flooding schützen. Obwohl die meisten Server über Timeout-Einstellungen zum Schließen halb-offener Verbindungen verfügen, kann das Festlegen eines Werts hier verhindern, dass halb-offene Verbindungen zu einem erheblichen Problem werden. Wenn das festgelegte Limit für SYN-SENT (remote) Einträge erreicht wird, werden nachfolgende TCP-Pakete von diesem bestimmten Computer verworfen.
      Hinweis
      Hinweis
      Wenn Sie entscheiden, wie viele offene Verbindungen von einem einzelnen Computer erlaubt werden sollen, wählen Sie eine Zahl, die zwischen der Anzahl liegt, die Sie für eine angemessene Anzahl von halb-offenen Verbindungen von einem einzelnen Computer für den verwendeten Protokolltyp halten, und der Anzahl von halb-offenen Verbindungen, die Ihr System von einem einzelnen Computer aufrechterhalten kann, ohne überlastet zu werden.
    • Enable ACK Storm protection when the number of already acknowledged packets exceeds: Diese Option einstellen, um ein Ereignis zu protokollieren, dass ein ACK-Sturm-Angriff stattgefunden hat.
      • Drop Connection when ACK Storm detected: Setzen Sie diese Option, um die Verbindung zu trennen, wenn ein solcher Angriff erkannt wird. ACK-Sturm-Schutzoptionen sind nur in Version 8.0 und früheren Agenten verfügbar.

FTP-Optionen Übergeordnetes Thema

Unter dem Reiter FTP Options können Sie die folgenden Optionen aktivieren:
Hinweis
Hinweis
Die folgenden FTP-Optionen sind in Version 8.0 und früheren Agenten verfügbar.
  • Active FTP
    • Allow Incoming: Aktives FTP zulassen, wenn dieser Computer als Server fungiert.
    • Allow Outgoing: Aktives FTP zulassen, wenn dieser Computer als Client fungiert.
  • Passive FTP
    • Allow Incoming: Passive FTP zulassen, wenn dieser Computer als Server fungiert.
    • Allow Outgoing: Passive FTP zulassen, wenn dieser Computer als Client agiert.

UDP-Paketinspektion Übergeordnetes Thema

Unter dem UDP-Tab können Sie die folgenden Optionen aktivieren:
  • Enable UDP stateful inspection: Wählen Sie, um die zustandsbehaftete Inspektion des UDP-Datenverkehrs zu aktivieren.
    Hinweis
    Hinweis
    Der UDP-Zustandsmechanismus verwirft unaufgeforderte eingehende UDP-Pakete. Für jedes ausgehende UDP-Paket aktualisiert die Regel ihre UDP-"Zustands"-Tabelle und erlaubt dann nur eine UDP-Antwort, wenn diese innerhalb von 60 Sekunden nach der Anfrage erfolgt. Wenn Sie spezifischen eingehenden UDP-Verkehr zulassen möchten, müssen Sie eine Force Allow-Regel erstellen. Wenn Sie beispielsweise einen DNS-Server betreiben, müssen Sie eine Force Allow-Regel erstellen, um eingehende UDP-Pakete zum Zielport 53 zuzulassen.
    Warnung
    Warnung
    Ohne zustandsbehaftete Inspektion des UDP-Datenverkehrs kann sich ein Angreifer als DNS-Server ausgeben und unaufgeforderte UDP-"Antworten" vom Quellport 53 an Computer hinter einer Firewall senden.
    • Enable UDP stateful logging: Wenn Sie diese Option auswählen, wird die Protokollierung von UDP-Zustandsinspektionsereignissen aktiviert.

ICMP-Paketinspektion Übergeordnetes Thema

Unter dem ICMP-Tab können Sie die folgenden Optionen aktivieren:
Hinweis
Hinweis
ICMP-Zustandsüberprüfung ist in Version 8.0 oder früheren Agenten verfügbar.
  • Enable ICMP stateful inspection: Wählen Sie, um die zustandsbehaftete Inspektion des ICMP-Datenverkehrs zu aktivieren.
    Hinweis
    Hinweis
    Der ICMP-(Pseudo-)Stateful-Mechanismus verwirft eingehende unaufgeforderte ICMP-Pakete. Für jedes ausgehende ICMP-Paket erstellt oder aktualisiert die Regel ihre ICMP-"Stateful"-Tabelle und erlaubt dann nur eine ICMP-Antwort, wenn sie innerhalb von 60 Sekunden nach der Anfrage erfolgt. (Unterstützte ICMP-Paar-Typen: Typ 0 & 8, 13 & 14, 15 & 16, 17 & 18.)
    Warnung
    Warnung
    Mit aktivierter zustandsbehafteter ICMP-Inspektion können Sie beispielsweise nur eine ICMP-Echo-Antwort zulassen, wenn eine Echo-Anfrage gesendet wurde. Ungeforderte Echo-Antworten könnten ein Zeichen für verschiedene Arten von Angriffen sein, einschließlich eines Smurf-Verstärkungsangriffs, einer Tribe Flood Network-Kommunikation zwischen Master und Daemon oder einer Loki 2-Hintertür.
    • Enable ICMP stateful logging: Wenn Sie diese Option auswählen, wird die Protokollierung von ICMP-Zustandsinspektionsereignissen aktiviert.

Einen zustandsbehafteten Konfigurationssatz exportieren Übergeordnetes Thema

Sie können alle zustandsbehafteten Konfigurationen in eine .csv- oder .xml-Datei exportieren, indem Sie auf Exportieren klicken und die entsprechende Exportaktion aus der Liste auswählen. Sie können auch bestimmte zustandsbehaftete Konfigurationen exportieren, indem Sie sie zuerst auswählen, auf Exportieren klicken und dann die entsprechende Exportaktion aus der Liste auswählen.

Eine zustandsbehaftete Konfiguration löschen Übergeordnetes Thema

Um eine zustandsbehaftete Konfiguration zu löschen, klicken Sie mit der rechten Maustaste auf die Konfiguration in der Liste der zustandsbehafteten Firewall-Konfigurationen, klicken Sie auf Löschen und dann auf OK.
Hinweis
Hinweis
Zustandsbehaftete Konfigurationen, die einem oder mehreren Computern zugewiesen sind oder Teil einer Richtlinie sind, können nicht gelöscht werden.

Richtlinien und Computer anzeigen, denen eine zustandsbehaftete Konfiguration zugewiesen ist Übergeordnetes Thema

Sie können auf der Registerkarte Assigned To sehen, welche Richtlinien und Computer einer zustandsbehafteten Inspektionskonfiguration zugewiesen sind. Klicken Sie auf eine Richtlinie oder einen Computer in der Liste, um deren Eigenschaften anzuzeigen.