Ansichten:

Firewall-Regelaktionen Übergeordnetes Thema

Firewall-Regeln können folgende Aktionen durchführen:
  • Allow: Erlaubt ausdrücklich den Datenverkehr, der der Regel entspricht, zu übergehen, und verweigert dann implizit alles andere.
  • Bypass: Ermöglicht es, dass Datenverkehr sowohl die Firewall als auch die Eindringungserkennungsanalyse umgeht. Verwenden Sie diese Einstellung für medienintensive Protokolle oder für Datenverkehr aus vertrauenswürdigen Quellen. Eine Umgehungsregel kann auf IP, Port, Richtung des Datenverkehrs und Protokoll basieren.
  • Deny: Sperrt explizit den Datenverkehr, der der Regel entspricht.
  • Force Allow: Erzwingt die Zulassung von Datenverkehr, der ansonsten durch andere Regeln abgelehnt würde.
    Hinweis
    Hinweis
    Durch eine Force-Allow-Regel zugelassener Datenverkehr wird weiterhin vom Eindringungsschutzmodul analysiert.
  • Log only:-Datenverkehr wird nur protokolliert. Es werden keine weiteren Maßnahmen ergriffen.

Mehr über Zulassungsregeln Übergeordnetes Thema

Hinweis
Hinweis
Datenverkehr, der nicht ausdrücklich durch eine Erlaubnisregel zugelassen ist, wird verworfen und als Firewall-Ereignis "Außerhalb der 'Erlaubten' Richtlinie" protokolliert.
Häufig angewendete Erlauben-Regeln umfassen:
Zulassungsregeln haben zwei Funktionen:

Prozedur

  1. Erlaube Datenverkehr, der ausdrücklich erlaubt ist.
  2. Implizit allen anderen Datenverkehr verweigern.

Nächste Schritte

  • ARP: Erlaubt eingehenden Address Resolution Protocol (ARP)-Datenverkehr.
  • Allow solicited TCP/UDP replies: Ermöglicht dem Computer, Antworten auf seine eigenen TCP- und UDP-Nachrichten zu empfangen. Dies funktioniert in Verbindung mit der zustandsbehafteten TCP- und UDP-Konfiguration.
  • Allow solicited ICMP replies: Erlauben Sie dem Computer, Antworten auf seine eigenen ICMP-Nachrichten zu empfangen. Dies funktioniert in Verbindung mit der zustandsbehafteten ICMP-Konfiguration.

Mehr über Übergehungsregeln Übergeordnetes Thema

Die Übergehregel ist für medienintensive Protokolle oder für Datenverkehr von vertrauenswürdigen Quellen konzipiert, bei denen eine Filterung durch die Firewall oder Intrusion-Prevention-Module weder erforderlich noch erwünscht ist.
Ein Paket, das den Bedingungen einer Übergehen-Regel entspricht:
  • Unterliegt nicht den Bedingungen zustandsbehafteter Konfigurationseinstellungen.
  • Umgeht sowohl die Firewall- als auch die Intrusionspräventionsanalyse.
Da die zustandsbehaftete Inspektion nicht auf umgangenen Datenverkehr angewendet wird, führt das Umgehen des Datenverkehrs in eine Richtung nicht automatisch dazu, dass die Antwort in die andere Richtung umgangen wird. Übergehungsregeln sollten immer paarweise erstellt und angewendet werden, eine Regel für eingehenden Datenverkehr und eine andere für ausgehenden.
Hinweis
Hinweis
Übergehungsregelereignisse werden nicht aufgezeichnet. Dies ist kein konfigurierbares Verhalten.

Standard-Übergehregel für Server- und Workload Protection-Datenverkehr Übergeordnetes Thema

Server- und Workload Protection implementiert automatisch eine Priorität-4-Übergehen-Regel, die eingehenden TCP-Datenverkehr am Abhörport des Agenten für Heartbeats auf Computern, auf denen der Agent läuft, öffnet. Priorität 4 stellt sicher, dass diese Regel vor allen Verweigern-Regeln angewendet wird, und Übergehen garantiert, dass der Datenverkehr niemals beeinträchtigt wird. Die Übergehen-Regel wird nicht explizit in der Firewall-Regelliste angezeigt, da die Regel intern erstellt wird.
Diese Regel akzeptiert jedoch Datenverkehr von jeder IP-Adresse und jeder MAC-Adresse. Um die Sicherheit des Agenten auf diesem Port zu erhöhen, können Sie eine alternative, restriktivere Übergehensregel für diesen Port erstellen. Der Agent wird tatsächlich die standardmäßige Server- und Workload Protection-Verkehrsregel zugunsten der neuen benutzerdefinierten Regel deaktivieren, vorausgesetzt, sie weist diese Merkmale auf:
  • Priorität: 4 - Höchste
  • Paketrichtung: Eingehend
  • Frame type: IP
  • Protokoll: TCP
  • Packet Destination Port: Agent lauscht auf die Portnummer für Heartbeats von Server- und Workload Protection
Die benutzerdefinierte Regel muss die oben genannten Parameter verwenden, um die Standardregel zu ersetzen. Idealerweise sollte die IP-Adresse oder MAC-Adresse von Server- und Workload Protection als Paketquelle für die Regel verwendet werden.

Mehr über Force-Allow-Regeln Übergeordnetes Thema

Die Option "Force Allow" schließt einen Teil des Datenverkehrs aus, der ansonsten durch eine Verweigern-Aktion abgedeckt worden wäre. Ihr Verhältnis zu anderen Aktionen wird unten veranschaulicht. "Force Allow" hat die gleiche Wirkung wie eine Übergehen-Regel. Im Gegensatz zu Übergehen wird der Datenverkehr, der aufgrund dieser Aktion die Firewall passiert, jedoch weiterhin vom Eindringungsschutzmodul überprüft. Die Aktion "Force Allow" ist besonders nützlich, um sicherzustellen, dass wesentliche Netzwerkdienste mit dem DSA-Computer kommunizieren können. Im Allgemeinen sollten "Force Allow"-Regeln nur in Verbindung mit Erlauben-Regeln verwendet werden, um einen Teil des Datenverkehrs zuzulassen, der durch die Erlauben- und Verweigern-Regeln verboten wurde. "Force Allow"-Regeln sind auch erforderlich, um unaufgeforderten ICMP- und UDP-Datenverkehr zuzulassen, wenn ICMP und UDP zustandsbehaftet aktiviert sind.

Firewall-Regelsequenz Übergeordnetes Thema

Pakete, die an einem Computer ankommen, werden zuerst von den Firewall-Regeln, dann von den zustandsbehafteten Firewall-Konfigurationsbedingungen und schließlich von den Regeln zum Eindringschutz verarbeitet.
Dies ist die Reihenfolge, in der Firewall-Regeln angewendet werden (eingehend und ausgehend):

Prozedur

  1. Firewall-Regeln mit Priorität 4 (highest)
    1. Umgehen
    2. Nur protokollieren (Nur-Protokollierungsregeln können nur eine Priorität von 4 (highest) zugewiesen bekommen)
    3. Force Allow
    4. Verweigern
  2. Firewall-Regeln mit Priorität 3 (high)
    1. Umgehen
    2. Force Allow
    3. Verweigern
  3. Firewall-Regeln mit Priorität 2 (normal)
    1. Umgehen
    2. Force Allow
    3. Verweigern
  4. Firewall-Regeln mit Priorität 1 (low)
    1. Umgehen
    2. Force Allow
    3. Verweigern
  5. Firewall-Regeln mit Priorität 0 (lowest)
    1. Umgehen
    2. Force Allow
    3. Verweigern
    4. Zulassen (Beachten Sie, dass einer Erlaubnisregel nur eine Priorität von 0 (lowest) zugewiesen werden kann)

Nächste Schritte

Hinweis
Hinweis
Wenn Sie auf einem Computer keine Erlauben-Regeln in Kraft haben, ist der gesamte Datenverkehr erlaubt, es sei denn, er wird durch eine Verweigern-Regel speziell gesperrt. Sobald Sie eine einzelne Erlauben-Regel erstellen, wird der gesamte andere Datenverkehr gesperrt, es sei denn, er erfüllt die Bedingungen der Erlauben-Regel. Es gibt eine Ausnahme von dieser Regel: ICMPv6-Datenverkehr ist immer erlaubt, es sei denn, er wird durch eine Verweigern-Regel speziell gesperrt.
Innerhalb desselben Prioritätskontexts wird eine Verweigern-Regel eine Erlauben-Regel überschreiben, und eine Erzwingen-Erlauben-Regel wird eine Verweigern-Regel überschreiben. Durch das Prioritätensystem der Regeln kann eine Verweigern-Regel mit höherer Priorität eine Erzwingen-Erlauben-Regel mit niedrigerer Priorität überschreiben.
Betrachten Sie das Beispiel einer DNS-Serverrichtlinie, die eine Force Allow-Regel verwendet, um alle eingehenden DNS-Anfragen zu erlauben. Das Erstellen einer Verweigern-Regel mit höherer Priorität als die Force Allow-Regel ermöglicht es Ihnen, einen bestimmten Bereich von IP-Adressen festzulegen, der den Zugriff auf denselben öffentlichen Server untersagt werden muss.
Prioritätsbasierte Regelsets ermöglichen es Ihnen, die Reihenfolge festzulegen, in der die Regeln angewendet werden. Wenn eine Verweigern-Regel mit der höchsten Priorität festgelegt ist und es keine Erzwingen-Erlauben-Regeln mit derselben Priorität gibt, wird jedes Paket, das der Verweigern-Regel entspricht, automatisch verworfen und die verbleibenden Regeln werden ignoriert. Umgekehrt, wenn eine Erzwingen-Erlauben-Regel mit der höchsten Prioritätsmarkierung existiert, werden alle eingehenden Pakete, die der Erzwingen-Erlauben-Regel entsprechen, automatisch durchgelassen, ohne gegen andere Regeln geprüft zu werden.

Ein Hinweis zum Protokollieren Übergeordnetes Thema

Übergehungsregeln erzeugen niemals ein Ereignis. Dies ist nicht konfigurierbar.
Protokollierungsregeln erzeugen nur dann ein Ereignis, wenn das betreffende Paket nicht anschließend durch eine der folgenden Maßnahmen gestoppt wird:
  • eine Verweigern-Regel oder
  • eine Zulassungsregel, die es ausschließt.
Wenn das Paket von einer dieser beiden Regeln gestoppt wird, erzeugen diese Regeln das Ereignis und nicht die Nur-Log-Regel. Wenn keine nachfolgenden Regeln das Paket stoppen, wird die Nur-Log-Regel ein Ereignis erzeugen.

Wie Firewall-Regeln zusammenarbeiten Übergeordnetes Thema

Server- und Workload Protection-Firewall-Regeln haben sowohl eine Regelaktion als auch eine Regelpriorität. In Kombination ermöglichen diese beiden Eigenschaften die Erstellung sehr flexibler und leistungsstarker Regelsets. Im Gegensatz zu Regelsets, die von anderen Firewalls verwendet werden und möglicherweise erfordern, dass die Regeln in der Reihenfolge definiert werden, in der sie ausgeführt werden sollen, werden Server- und Workload Protection-Firewall-Regeln in einer deterministischen Reihenfolge basierend auf der Regelaktion und der Regelpriorität ausgeführt, die unabhängig von der Reihenfolge ist, in der sie definiert oder zugewiesen werden.

Regelaktion Übergeordnetes Thema

Jede Regel kann eine von vier Aktionen haben.

Prozedur

  1. Bypass: Wenn ein Paket einer Übergehen-Regel entspricht, wird es sowohl durch die Firewall als auch die Intrusion Prevention Engine geleitet, unabhängig von anderen Regeln (auf derselben Prioritätsstufe).
  2. Log Only: wenn ein Paket einer Nur-Log-Regel entspricht, wird es übergangen und das Ereignis wird protokolliert.
  3. Force Allow: Wenn ein Paket einer Regel für Erzwingen von Erlauben entspricht, wird es ungeachtet anderer Regeln (auf derselben Prioritätsebene) übergangen.
  4. Deny: wenn ein Paket einer Verweigern-Regel entspricht, wird es verworfen.
  5. Allow: Wenn ein Paket mit einer Erlauben-Regel übereinstimmt, wird es übergangen. Jeglicher Datenverkehr, der nicht mit einer der Erlauben-Regeln übereinstimmt, wird verweigert.

Nächste Schritte

Die Implementierung einer Erlauben-Regel führt dazu, dass jeglicher anderer Datenverkehr, der nicht ausdrücklich durch die Erlauben-Regel abgedeckt ist, verweigert wird:
packet101-1=6fef763f-b060-4acf-8752-1c575ba7a526.gif
Eine Verweigern-Regel kann über eine Erlauben-Regel implementiert werden, um bestimmte Arten von Datenverkehr zu sperren:
packet101-2=27c77822-1feb-4eda-9864-3aa8f41d0984.gif
Eine Erzwingungserlaubnisregel kann über den verweigerten Datenverkehr gelegt werden, um bestimmte Ausnahmen zu übergehen:
packet101-3=a7c3f807-ad42-4ca8-9578-11be37d9a273.gif

Regelpriorität Übergeordnetes Thema

Regelaktionen vom Typ Verweigern und Erzwingen erlauben können bei einer von 5 Prioritäten definiert werden, um eine weitere Verfeinerung des durch die Menge der Erlauben-Regeln definierten zulässigen Verkehrs zu ermöglichen. Regeln werden in der Reihenfolge der Priorität von der höchsten (Priorität 4) zur niedrigsten (Priorität 0) ausgeführt. Innerhalb einer bestimmten Prioritätsstufe werden die Regeln in der Reihenfolge basierend auf der Regelaktion (Erzwingen erlauben, Verweigern, Erlauben, nur protokollieren) verarbeitet.
Der Prioritätskontext ermöglicht es einem Benutzer, die Verkehrskontrollen sukzessive mit Kombinationen aus Verweigern- und Erzwingen-Erlauben-Regeln zu verfeinern. Innerhalb desselben Prioritätskontexts kann eine Erlauben-Regel mit einer Verweigern-Regel negiert werden, und eine Verweigern-Regel kann durch eine Erzwingen-Erlauben-Regel negiert werden.
Hinweis
Hinweis
Regelaktionen vom Typ Zulassen laufen nur mit Priorität 0, während Regelaktionen vom Typ Nur protokollieren nur mit Priorität 4 laufen.

Regelaktion und Priorität zusammenführen Übergeordnetes Thema

Regeln werden in der Reihenfolge der Priorität von der höchsten (Priorität 4) zur niedrigsten (Priorität 0) ausgeführt. Innerhalb einer bestimmten Prioritätsstufe werden die Regeln basierend auf der Regelaktion in der Reihenfolge verarbeitet. Die Reihenfolge, in der Regeln mit gleicher Priorität verarbeitet werden, ist wie folgt:
  • Umgehen
  • Nur protokollieren
  • Erzwingen erlauben
  • Verweigern
  • Zulassen
Hinweis
Hinweis
Denken Sie daran, dass Regelaktionen vom Typ Zulassen nur mit Priorität 0 ausgeführt werden, während Regelaktionen vom Typ Nur protokollieren nur mit Priorität 4 ausgeführt werden.
Hinweis
Hinweis
Es ist wichtig zu beachten, dass wenn Sie eine Force Allow-Regel und eine Verweigern-Regel mit derselben Priorität haben, die Force Allow-Regel Vorrang vor der Verweigern-Regel hat und daher der Datenverkehr, der der Force Allow-Regel entspricht, zugelassen wird.