Ansichten:
Das Firewall-Modul bietet bidirektionalen zustandsorientierten Firewall-Schutz. Es verhindert Denial-of-Service-Angriffe und bietet Schutz für alle IP-basierten Protokolle und Rahmentypen sowie Filterung für Ports und IP- und MAC-Adressen.
Der Abschnitt Firewall im Computer- oder Richtlinien-Editor enthält die folgenden Registerkarten:

Allgemein Übergeordnetes Thema

Firewall Übergeordnetes Thema

Sie können diese Richtlinie oder den Computer so konfigurieren, dass er den Ein-/Aus-Zustand der Firewall von der übergeordneten Richtlinie erbt, oder Sie können die Einstellung lokal sperren.

Firewall zustandsbehaftete Konfigurationen Übergeordnetes Thema

Wählen Sie aus, welche zustandsbehaftete Firewall-Konfiguration auf diese Richtlinie angewendet werden soll. Wenn Sie mehrere Schnittstellen für diese Richtlinie (oben) definiert haben, können Sie unabhängige Konfigurationen für jede Schnittstelle angeben. Weitere Informationen zum Erstellen einer zustandsbehafteten Konfiguration finden Sie unter Zustandsbehaftete Konfigurationen definieren.

Zugewiesene Firewall-Regeln Übergeordnetes Thema

Zeigt die Firewall-Regeln an, die für diese Richtlinie oder diesen Computer gelten. Um Firewall-Regeln hinzuzufügen oder zu entfernen, klicken Sie auf Assign/Unassign. Dadurch wird ein Fenster angezeigt, in dem alle verfügbaren Firewall-Regeln angezeigt werden, aus denen Sie Regeln auswählen oder abwählen können.
Aus einem Computer- oder Richtlinien-Editor-Fenster können Sie eine Firewall-Regel bearbeiten, sodass Ihre Änderungen nur lokal im Kontext Ihres Editors gelten, oder Sie können die Regel so bearbeiten, dass die Änderungen global für alle anderen Richtlinien und Computer gelten, die die Regel verwenden.
To edit the Rule locally, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Eigenschaften aus.
To edit the Rule globally, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Properties (Global).
Für weitere Informationen zum Erstellen von Firewall-Regeln siehe Erstellen einer Firewall-Regel.

Schnittstellenisolierung Übergeordnetes Thema

Sie können diese Richtlinie oder den Computer so konfigurieren, dass er seinen aktivierten oder deaktivierten Zustand der Schnittstellenisolation von seiner übergeordneten Richtlinie erbt, oder Sie können die Einstellung lokal sperren.
Warnung
Warnung
Bevor Sie die Schnittstellenisolation aktivieren, stellen Sie sicher, dass Sie die Schnittstellenmuster in der richtigen Reihenfolge konfiguriert haben und dass Sie alle notwendigen Zeichenfolgenmuster entfernt oder hinzugefügt haben. Nur Schnittstellen, die dem Muster mit der höchsten Priorität entsprechen, dürfen Datenverkehr übertragen. Andere Schnittstellen (die einem der verbleibenden Muster auf der Liste entsprechen) werden "eingeschränkt". Eingeschränkte Schnittstellen werden den gesamten Datenverkehr sperren, es sei denn, eine Erlaubnis-Firewall-Regel wird verwendet, um bestimmten Datenverkehr zu übergehen.
Um die Richtlinie zur Schnittstellenisolierung zu konfigurieren:

Prozedur

  1. Wählen Sie auf der Registerkarte Schnittstellenisolierung Enable interface isolation aus.
  2. Konfigurieren Sie die Schnittstellenmuster. (Siehe unten)
  3. Klicken Sie auf Save.

Schnittstellenmuster Übergeordnetes Thema

Wenn die Schnittstellenisolierung aktiviert ist, versucht die Firewall, die regulären Ausdrucksmuster mit den Schnittstellennamen auf dem lokalen Computer abzugleichen.
Hinweis
Hinweis
Server- und Workload Protection verwendet POSIX-Basisregulärausdrücke, um Schnittstellennamen zu matchen.
Nur Schnittstellen, die dem Muster mit der höchsten Priorität entsprechen, dürfen Datenverkehr übertragen. Andere Schnittstellen (die einem der verbleibenden Muster auf der Liste entsprechen) werden "eingeschränkt". Eingeschränkte Schnittstellen werden allen Datenverkehr sperren, es sei denn, eine Zulassen Firewall-Regel wird verwendet, um bestimmten Datenverkehr zu übergehen.
Die Auswahl von Limit to one active interface wird den Datenverkehr auf nur eine einzige Schnittstelle beschränken (auch wenn mehr als eine Schnittstelle dem Muster mit der höchsten Priorität entspricht).

Aufklärung Übergeordnetes Thema

Die Seite Reconnaissance ermöglicht es Ihnen, die Einstellungen zur Verkehrsanalyse auf Ihren Computern zu aktivieren und zu konfigurieren. Diese Funktion kann mögliche Erkundungs-DURCHSUCHEN erkennen, die Angreifer häufig verwenden, um Schwachstellen zu entdecken, bevor sie einen gezielten Angriff starten.
Hinweis
Hinweis
Erkundungs-Durchsuchungen funktionieren im TAP-Modus nicht. Erkundungs-Durchsuchungen können nur im IPv4-Datenverkehr erkannt werden.
Um den Schutz vor Aufklärung zu aktivieren, müssen Sie auch die Firewall und die Zustandsüberprüfung auf der Computer or Policy editorFirewallAllgemein-Registerkarte aktivieren. Sie sollten auch zur Computer or Policy editorFirewallErweitert-Registerkarte gehen und die Generate Firewall Events for packets that are 'Out of Allowed Policy'-Einstellung aktivieren. Dies wird Firewall-Ereignisse erzeugen, die für die Aufklärung erforderlich sind.
Beim Einrichten von Aufklärungsscans haben Sie die folgenden Optionen:
  • Reconnaissance Scan Detection Enabled: Aktivieren oder deaktivieren Sie die Fähigkeit, Aufklärungsscans zu erkennen. Standardmäßig sind alle Scans im Berichtmodus mit Benachrichtigungen aktiviert. Wenn Sie die Benachrichtigungen deaktivieren oder vom Berichtmodus in einen temporären Blockiermodus wechseln möchten, wählen Sie Ja aus der Dropdown-Liste und nehmen Sie Ihre Änderungen vor.
  • Computers/Networks on which to perform detection: Wählen Sie aus der Liste die IPs aus, die geschützt werden sollen. Wählen Sie aus bestehenden IP-Listen. (Sie können die Seite RichtlinienCommon ObjectsListenIP Lists verwenden, um speziell für diesen Zweck eine IP-Liste zu erstellen.)
  • Do not perform detection on traffic coming from: Wählen Sie aus einer Reihe von IP-Listen, welche Computer und Netzwerke ignoriert werden sollen. (Wie oben, können Sie die Seite RichtlinienCommon ObjectsListenIP Lists verwenden, um eine IP-Liste speziell für diesen Zweck zu erstellen.)
Für jeden Angriffstyp kann der Agent angewiesen werden, die Informationen an Server- und Workload Protection zu senden, wo ein Alarm ausgelöst wird. Sie können Server- und Workload Protection so konfigurieren, dass eine E-Mail-Benachrichtigung gesendet wird, wenn die Alarme ausgelöst werden. Weitere Informationen finden Sie unter AdministrationSystem SettingsWarnungen. Wählen Sie Notify DSM Immediately für diese Option.
Hinweis
Hinweis
Damit die Option "DSM sofort benachrichtigen" funktioniert, müssen die Agenten für die agent-initiated- oder bidirectional-Kommunikation in Computer or Policy editorEinstellungenGeneral. konfiguriert werden. Wenn aktiviert, wird der Agent sofort einen Heartbeat an Server- und Workload Protection senden, sobald der Angriff oder die Erkundung erkannt wird.
Sobald ein Angriff erkannt wurde, können Sie die Agenten anweisen, den Datenverkehr von den Quell-IP-Adressen für einen bestimmten Zeitraum zu sperren. Verwenden Sie das Block Traffic-Dropdown-Menü, um die Anzahl der Minuten festzulegen.
Die Warnungen sind:
  • Computer OS Fingerprint Probe: Der Agent erkennt einen Versuch, das Betriebssystem des Computers zu ermitteln.
  • Network or Port Scan: Der Agent meldet einen Netzwerk- oder Port-Scan, wenn er feststellt, dass eine Remote IP ein ungewöhnliches Verhältnis von IPs zu Ports besucht. Normalerweise sieht ein Agent-Computer nur den für ihn bestimmten Datenverkehr, daher ist ein Port-Scan die häufigste Art von Erkundung, die erkannt wird. Die in der Erkennung von Computer- oder Port-Scans verwendete statistische Analysemethode basiert auf dem "TAPS"-Algorithmus, der in dem auf der IPCCC 2006 vorgestellten Papier "Connectionless Port Scan Detection on the Backbone" vorgeschlagen wurde.
  • TCP Null Scan: Der Agent erkennt Pakete ohne gesetzte Flags.
  • TCP SYNFIN Scan: Der Agent erkennt Pakete, bei denen nur die SYN- und FIN-Flags gesetzt sind.
  • TCP Xmas Scan: Der Agent erkennt Pakete, bei denen nur die FIN-, URG- und PSH-Flags gesetzt sind oder einen Wert von 0xFF (alle möglichen Flags gesetzt) haben.
Hinweis
Hinweis
"Netzwerk- oder Port-Scans" unterscheiden sich von anderen Arten der Aufklärung dadurch, dass sie nicht durch ein einzelnes Paket erkannt werden können und Server- und Workload Protection erfordern, um den Datenverkehr über einen bestimmten Zeitraum zu beobachten. Der Agent meldet einen Computer- oder Port-Scan, wenn er feststellt, dass eine Remote IP ein ungewöhnliches Verhältnis von IPs zu Ports besucht. Normalerweise sieht ein Agent-Computer nur den für ihn bestimmten Datenverkehr, daher ist ein Port-Scan bei weitem die häufigste Art von Erkundung, die erkannt wird. Wenn ein Computer jedoch als Router oder Bridge fungiert, könnte er Datenverkehr sehen, der für eine Reihe anderer Computer bestimmt ist, was es dem Agenten ermöglicht, einen Computer-Scan zu erkennen (z. B. das Durchsuchen eines ganzen Subnetzes nach Computern mit offenem Port 80). Das Erkennen dieser Scans kann mehrere Sekunden dauern, da der Agent in der Lage sein muss, fehlgeschlagene Verbindungen zu verfolgen und zu entscheiden, dass eine ungewöhnliche Anzahl fehlgeschlagener Verbindungen von einem einzelnen Computer in relativ kurzer Zeit ausgeht.
Hinweis
Hinweis
Agenten, die auf Windows-Computern mit Browseranwendungen laufen, können gelegentlich fälschlicherweise Erkundungsscans melden, da Restverkehr von geschlossenen Verbindungen ankommt. Informationen zum Umgang mit Erkundungswarnungen finden Sie unter Warnung: Erkundung erkannt.

Erweitert Übergeordnetes Thema

Ereignisse Übergeordnetes Thema

Legen Sie fest, ob Ereignisse für Pakete generiert werden sollen, die "Außerhalb der erlaubten Richtlinie" sind. Dies sind Pakete, die gesperrt wurden, weil sie nicht ausdrücklich durch eine Zulassen Firewall-Regel erlaubt wurden. Das Festlegen dieser Option auf Ja kann je nach den aktiven Firewall-Regeln eine große Anzahl von Ereignissen erzeugen.

Firewall-Ereignisse Übergeordnetes Thema

Firewall-Ereignisse werden auf die gleiche Weise angezeigt wie im Hauptfenster der Server- und Workload Protection-Konsole, außer dass nur Ereignisse angezeigt werden, die sich auf diese Richtlinie oder einen bestimmten Computer beziehen.