Auf Geräten der FL MGUARD 2000-Serie steht das Menü in reduzierter Form zur Verfü­gung.

Sind mehrere Firewall-Regeln gesetzt, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann an­gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert.

Die Geräte der FL MGUARD 2000-Serie verfügen über eine einfache Firewall-Funktiona­lität. 

Folgende Funktionen werden nicht unterstützt:

–Firewall-Regelsätze können nicht konfiguriert werden.

–MAC-Filter können nicht konfiguriert werden.

–Eine Benutzerfirewall kann nicht konfiguriert werden.

–Hostnamen in IP-Gruppen können nicht verwendet werden.

Hinweis: Konfigurationsprofile, die entsprechende Einstellungen enthalten, können nicht importiert werden.

ACHTUNG: Bei der Verwendung von Hostnamen besteht grundsätzlich die Gefahr, dass ein Angreifer DNS-Anfragen manipuliert oder blockiert (u. a. DNS spoofing). Konfigurie­ren Sie deshalb im mGuard nur vertrauenswürdige und abgesicherte DNS-Server aus Ih­rem internen Firmennetzwerk, um entsprechende Angriffe zu vermeiden.

IP-Gruppen, die Hostnamen enthalten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen.

Kann ein Hostname aus einer IP-Gruppe nicht aufgelöst werden, weil z. B. ein DNS-Ser­ver nicht konfiguriert wurde oder nicht erreichbar ist, wird dieser Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP-Gruppe sind davon nicht betroffen und werden berücksichtigt.

Eingehend

Listet die eingerichteten Firewall-Regeln auf. Sie gelten für eingehende Datenverbindun­gen, die von extern initiiert werden (WAN --> LAN).

Für die Geräte der FL MGUARD 2000-Serie gelten gesonderte Firewall-Einstellungen (siehe „Firewall-Einstellungen bei Geräten der FL MGUARD 2000-Serie“ auf Seite 191).

In der werkseitigen Voreinstellung werden alle eingehenden Verbindungen (außer VPN) verworfen.

Allgemeine Firewall-Einstellung

Alle Verbindungen annehmen, die Datenpakete aller einge­henden Verbindungen werden angenommen.

Alle Verbindungen verwerfen, die Datenpakete aller einge­henden Verbindungen werden verworfen.

Nur Ping zulassen, die Datenpakete aller eingehenden Ver­bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP). Diese Einstellung lässt alle Ping-Pakete passieren. Der integrierte Schutz vor Brute-Force-Attacken ist hier aus­nahmsweise nicht wirksam.

Wende das unten angegebene Regelwerk an, weitere Ein­stellmöglichkeiten werden eingeblendet.

Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist.

Interface

Extern / Alle 

Gibt an, über welches Interface die Datenpakete eingehen, damit sich die Regel auf sie bezieht.

Auf Geräten der FL MGUARD 2000/4000-Serie steht nur das Interface Extern zur Verfügung.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle

Von IP / Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressenbe­reich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei der Auswahl eines Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfiguriert sind (siehe „Regelsätze“ auf Seite 202).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Funktion Log akti­vieren

–oder nicht - Funktion Log deaktivieren (werkseitige Vor­einstellung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funktion werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. (Werkseitige Voreinstellung: deaktiviert )

Ausgehend

Listet die eingerichteten Firewall-Regeln auf.

Sie gelten

a)für ausgehende Datenverbindungen, die von intern initiiert werden (LAN --> WAN),

b)für Datenverbindungen, die von einem VLAN-Netzwerk auf der LAN-Seite zu ei­nem anderen VLAN-Netzwerk auf der LAN-Seite initiiert werden.

Für die Geräte der FL MGUARD 2000-Serie gelten gesonderte Firewall-Einstellungen (siehe „Firewall-Einstellungen bei Geräten der FL MGUARD 2000-Serie“ auf Seite 191).

In der werkseitigen Voreinstellung ist eine Regel gesetzt, die alle ausgehenden Verbin­dungen zulässt.

Allgemeine Firewall-Einstellung

Alle Verbindungen annehmen, die Datenpakete aller aus­gehenden Verbindungen werden angenommen.

Alle Verbindungen verwerfen, die Datenpakete aller ausge­henden Verbindungen werden verworfen.

Nur Ping zulassen, die Datenpakete aller ausgehenden Ver­bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP).

Wende das unten angegebene Regelwerk an, blendet weitere Einstellmöglichkeiten ein.

Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle

Von IP / Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressenbe­reich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält

.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei der Auswahl eines Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfiguriert sind (siehe „Regelsätze“ auf Seite 202).

Kommentar

Ein frei wählbarer Kommentar für diese Firewall-Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Aktion Log aktivie­ren

–oder nicht - Aktion Log deaktivieren (werkseitige Vorein­stellung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funktion werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. (Werkseitige Voreinstellung: deaktiviert)

Firewall-Regeln für die DMZ

(Nur bei FL MGUARD 4305)

Die DMZ kann über einen eigenen Satz von Firewall-Regeln gegen Zugriffe aus dem in­ternen (LAN-Interface) und dem externen Netz (WAN-Interface) abgesichert werden. Die Einstellungen werden für die vier möglichen Richtungen des Netzwerkverkehrs getrennt vorgenommen.

WAN  DMZ

Wenn keine Regel gesetzt ist, werden die Datenpakete aller eingehenden Verbindungen (außer VPN) verworfen
(= Werkseinstellung).

DMZ  LAN

Wenn keine Regel gesetzt ist, werden die Datenpakete aller ausgehenden Verbindungen (außer VPN) verworfen
(= Werkseinstellung).

DMZ  WAN

Per Werkseinstellung ist eine Regel gesetzt, die alle ausge­henden Verbindungen zulässt.

LAN  DMZ

Per Werkseinstellung ist eine Regel gesetzt, die alle einge­henden Verbindungen zulässt.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle

Von IP / Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressenbe­reich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält

.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei der Auswahl eines Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfiguriert sind (siehe „Regelsätze“ auf Seite 202).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Aktion Log aktivie­ren

–oder nicht - Aktion Log deaktivieren (werkseitige Vorein­stellung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funktion werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden. (Werkseitige Voreinstellung: deaktiviert)

Hinweise zur Verwendung von Regelsätzen, die nur temporär aktiviert werden

In Firewall-Regelsätzen, die nur temporär aktiviert werden (z. B. über einen Schalter ge­steuert), sollten immer sogenannte „Allow-Regeln“ (Aktion = Annehmen) verwendet werden:

–   Der Regelsatz wird aktiviert, um die konfigurierten Verbindungen zu erlauben.

–   Der Regelsatz wird deaktiviert, um die konfigurierten Verbindungen zu blockieren.

„Deny-Regeln“ (Aktion = Abweisen/Verwerfen) sollten in temporär geltenden Regelsät­zen nicht verwendet werden, da entsprechende bereits bestehende Datenverbindungen mit der Aktivierung des Regelsatzes nicht automatisch beendet würden.

Wenn eine Verbindung, die zu einem Firewall-Regelsatz passt, aufgebaut worden ist und diese Verbindung kontinuierlich Datenverkehr erzeugt, dann kann es sein, dass das De­aktivieren des Firewall-Regelsatzes diese Verbindung nicht wie erwartet unterbricht.

Das ist so, weil der (ausgehende) Response von einem Dienst auf der LAN-Seite einen Eintrag in der Verbindungsverfolgungs-Tabelle (Connection Tracking Table) erzeugt, der einen anderen (eingehenden) Request von einem Peer außerhalb ermöglicht. Dieser Peer passiert die Firewall mit den selben Verbindungsparametern, ist aber nicht mit dem Firewall-Regelsatz verbunden.

Es gibt zwei Wege, den mGuard so einzurichten, dass er mit dem Ausschalten eines Fire­wall-Regelsatzes auch die zugehörigen Verbindungen unterbricht.

–Aktivieren Sie unter „Netzwerksicherheit >> Paketfilter >> Erweitert“ die Option „Er­laube TCP-Verbindungen nur mit SYN“ .

–Blockieren Sie in der Firewall die ausgehenden Verbindungen, die über den Port lau­fen, den die eingehenden Verbindungen als Ziel haben.
Wenn z B. der Regelsatz an Port 22 eingehenden Datenverkehr ermöglicht, dann kann man eine Ausgangs-Regel einrichten, die jeden Datenverkehr deaktiviert, der von Port 22 kommt.

Regelsätze

(Dieser Menüpunkt gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.)

Initialer Modus

Deaktiviert / Aktiv / Inaktiv

Bestimmt den Ausgangszustand des Firewall-Regelsatzes nach einer Neukonfiguration oder einem Neustart.

Die „Aktiv/Inaktiv“-Einstellung wirkt sich nur bei einem ange­schlossenen Taster aus, Wenn die Firewall-Regelsätze über einen Schalter oder eine VPN-Verbindung gesteuert werden, haben diese Vorrang.

Bei der Einstellung „Deaktiviert“ kann der Firewall-Regelsatz nicht dynamisch aktiviert werden. Der Firewall-Regelsatz bleibt bestehen, hat aber keinen Einfluss.

Schaltender Service-Eingang oder VPN-Verbindung

Service-Eingang CMD 1-3 (I 1-3), VPN-Verbindung

Der Firewall-Regelsatz kann über einen Taster/Schalter oder über eine VPN-Verbindung geschaltet werden.

Der Taster/Schalter muss an einen der Servicekontakte (CMD 1-3 / I 1-3) angeschlossenen sein.

Zustand

Gibt den aktuellen Status wieder.

Ein beschreibender Name

Sie können den Firewall-Regelsatz frei benennen bzw. umbe­nennen.

Regelsatz aktivieren / inaktivieren

Aktivieren / Inaktivieren

Sie können den Regelsatz durch einen Klick auf die Icons  Aktivieren und  Inaktivieren aktivieren oder außer Kraft setzen.

Editieren

Nach Klicken auf das Icon Zeile bearbeiten erscheint folgende Registerkarte:

Allgemein

Ein beschreibender Name

Sie können den Firewall-Regelsatz frei benennen bzw. umbe­nennen.

Initialer Modus

Deaktiviert / Aktiv / Inaktiv

Bestimmt den Ausgangszustand des Firewall-Regelsatzes nach einer Neukonfiguration oder einem Neustart.

Die „Aktiv/Inaktiv“-Einstellung wirkt sich nur bei einem ange­schlossenen Taster aus, Wenn die Firewall-Regelsätze über eine Schalter oder eine VPN-Verbindung gesteuert werden, haben diese Vorrang.

Bei der Einstellung „Deaktiviert“ kann der Firewall-Regelsatz nicht dynamisch aktiviert werden. Sie bleibt bestehen, hat aber keinen Einfluss.

Schaltender Service-Eingang oder VPN-Verbindung

Service-Eingang CMD 1-3 (I 1-3), VPN-Verbindung

Der Firewall-Regelsatz kann über einen Taster/Schalter oder über eine VPN-Verbindung geschaltet werden.

Der Taster/Schalter muss an einen der Servicekontakte (CMD 1-3 / I 1-3) angeschlossenen sein.

Invertierte Logik ver­wenden

Kehrt das Verhalten des angeschlossenen Tasters/Schalters oder der schaltenden VPN-Verbindung um.

Wenn der schaltende Service-Eingang als Ein-/Aus-Schalter konfiguriert ist, kann er z. B. einen Firewall-Regelsatz ein und gleichzeitig einen anderen ausschalten. Das gleich gilt für schaltende VPN-Verbindungen.

Timeout zur Deaktivie­rung

Aktivierte Firewall-Regelsätze werden nach Ablauf dieser Zeit deaktiviert.

Bei 0 ist diese Einstellung abgeschaltet.

Zeit in hh:mm:ss (maximal 1 Tag)

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Firewall-Regeln

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle.

Von IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressenbe­reich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei der Auswahl eines Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfiguriert sind (siehe „Regelsätze“ auf Seite 202).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll – Funktion Log akti­vieren

–oder nicht – Funktion Log deaktivieren (werkseitig vorein­gestellt).

Dieser Menüpunkt gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.

Die Regeln für eingehende und ausgehende Verbindungen gelten nur für den Netzwerk­modus Stealth.

Achten Sie auf die Hinweise auf dem Bildschirm, wenn Sie MAC-Filterregeln setzen. Die hier angegebenen Regeln haben Vorrang gegenüber den Paketfilter-Regeln. Der MAC-Filter unterstützt keine Logging Funktionalität.

Eingehend

Quell-MAC

xx:xx:xx:xx:xx:xx steht für alle MAC-Adressen.

Ziel-MAC

xx:xx:xx:xx:xx:xx steht für alle MAC-Adressen.

Der Wert ff:ff:ff:ff:ff:ff ist die Broadcast MAC- Adresse, an die z. B. alle ARP-Anfragen geschickt werden.

Ethernet-Protokoll

%any steht für alle Ethernet-Protokolle.

Weitere Protokolle können mit dem Namen oder in HEX ange­geben werden, zum Beispiel:

–IPv4 oder 0800

–ARP oder 0806

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Verwerfen bedeutet, die Datenpakete werden verworfen.

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Ausgehend

Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“.

ACHTUNG: Bei der Verwendung von Hostnamen besteht grundsätzlich die Gefahr, dass ein Angreifer DNS-Anfragen manipuliert oder blockiert (u. a. DNS spoofing). Konfigurie­ren Sie deshalb im mGuard nur vertrauenswürdige und abgesicherte DNS-Server aus Ih­rem internen Firmennetzwerk, um entsprechende Angriffe zu vermeiden.

IP-Gruppen, die Hostnamen enthalten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen.

Verwendung von Hostnamen

Die Adressauflösung von Hostnamen erfolgt entsprechend den DNS-Einstellungen des mGuards (siehe „Netzwerk >> DNS“ auf Seite 143).

Wenn ein Hostname in mehrere IP-Adressen aufgelöst werden kann, werden alle vom DNS-Server zurückgelieferten IP-Adressen berücksichtigt.

Kann ein Hostnamen aus einer IP-Gruppe nicht aufgelöst werden, weil z. B. ein DNS-Ser­ver nicht konfiguriert wurde oder nicht erreichbar ist, wird dieser Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP-Gruppe sind davon nicht betroffen und werden berücksichtigt.

Wenn ein DNS-Server einen aufgelösten Hostnamen nach Ablauf der TTL mit einer an­deren IP-Adresse auflöst, wird eine bestehende Verbindung mit der ursprünglichen IP-Adresse nicht abgebrochen.

mGuard-Geräte der FL MGUARD 2000-Serie

Die Verwendung von Hostnamen in IP-Gruppen wird von Geräten der FL MGUARD 2000-Serie nicht unterstützt.

IP-Gruppen

Name

Sie können die IP-Gruppe frei benennen bzw. umbenennen.

Kommentar

Ein frei wählbarer Kommentar für diese Gruppe/Regel.

Editieren

Nach Klicken auf das Icon  Zeile bearbeiten erscheint folgende Registerkarte:

Einstellung IP-Gruppen

Name

Sie können die IP-Gruppe frei benennen bzw. umbenennen.

Kommentar

Ein frei wählbarer Kommentar für diese Gruppe/Regel.

Hostname, IP, IP-Bereich oder Netzwerk

Die Einträge können einen Hostnamen (z. B. mguard.com), eine IP-Adresse (z. B. 192.168.3.1), einen IP-Adressbereich (z. B. 192.168.3.1-192.168.3.10) oder ein Netzwerk in CIDR-Schreibweise (z. B. 192.168.1.0/24) angeben.

Portgruppen

Name

Sie können die Portgruppe frei benennen bzw. umbenennen.

Kommentar

Ein frei wählbarer Kommentar für diese Gruppe/Regel.

Editieren

Nach Klicken auf das Icon  Zeile bearbeiten erscheint folgende Registerkarte:

Einstellung Portgruppen

Name

Sie können die Portgruppe frei benennen bzw. umbenennen.

Kommentar

Ein frei wählbarer Kommentar für diese Gruppe/Regel.

Port oder Portbereich

Die Einträge können einen Port (z. B. pop3 oder 110) oder einen Portbereich angeben (z. B. 110:120 oder 110-120).

Globale Filter

(Dieser Menüpunkt gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.)

TCP-Pakete mit gesetztem URGENT-Flag blockieren

Bei aktivierter Funktion werden Pakete mit im TCP-Header gesetztem URGENT-Flag blockiert:

–Im Netzwerkmodus „Router“ werden die Verbindungen, über die entsprechende Pakete gesendet werden, been­det.

–Im Netzwerkmodus „Stealth“ werden die entsprechenden Pakete verworfen.

TCP-Pakete mit gesetztem URGENT-Flag, die durch einen VPN-Tunnel geroutet werden, werden ebenfalls blockiert.

Konsistenzprüfungen

(Dieser Menüpunkt gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.)

Maximale Länge für „Ping“ Pakete (ICMP-Echo-Anfrage)

Bezieht sich auf die Länge des gesamten Paketes inklusive Header. Normalerweise beträgt die Paketlänge 64 Byte, kann aber auch größer sein. Sollen übergroße Pakete verhindert werden, um „Verstopfungen“ zu vermeiden, kann ein maxima­ler Wert angegeben werden. Dieser sollte auf jeden Fall über 64 liegen, damit normale ICMP-Echo-Anfragen nicht blockiert werden.

Aktiviere TCP/UDP/ICMP-Kon­sistenzprüfungen

Bei aktivierter Funktion führt der mGuard eine Reihe von Tests auf falsche Prüfsummen, Paketgrößen, usw. durch und ver­wirft Pakete, die die Tests nicht bestehen.

Werkseitig ist die Funktion deaktiviert.

Erlaube TCP-Keep­alive-Pakete ohne TCP-Flags

Normalerweise werden TCP-Pakete ohne gesetzte Flags in deren TCP-Header von Firewalls verworfen. Mindestens ein Typ von Steuerungen von Siemens mit älterer Firmware ver­sendet TCP-Keepalive-Pakete ohne gesetzte TCP-Flags, welche vom mGuard deshalb als ungültig verworfen werden.

Die aktivierte Funktion erlaubt das Weiterleiten von TCP-Paketen, bei denen keine TCP-Flags im Header gesetzt sind. Dies gilt ausschließlich, wenn solche TCP-Pakete innerhalb einer schon existierenden, regulär aufgebauten TCP-Verbin­dungen versendet werden.

TCP-Pakete ohne TCP-Flags führen nicht zu einem neuen Eintrag in der Verbindungstabelle (siehe „Verbindungs-Verfol­gung (Connection Tracking)“ auf Seite 215). Besteht die Ver­bindung, wenn der mGuard neu gestartet wird, werden ent­sprechende Pakete weiterhin verworfen und Verbindungsstörungen werden beobachtet, solange keine zu der Verbindung gehörenden Pakete mit Flags gesendet wer­den.

Diese Einstellung wirkt auf alle TCP-Pakete ohne Flags. Eine Aktivierung ist also eine Abschwächung der Sicherheitsfunk­tion, die der mGuard bietet.

Netzwerk-Modi (Router / PPTP / PPPoE)

ICMP via primärem externen Interface für den mGuard

ICMP via DMZ für den mGuard

Mit dieser Option können Sie das Verhalten beim Empfang von ICMP-Nachrichten beeinflussen, die aus dem externen Netz über das primäre externe Interface an den mGuard ge­sendet werden.

Verwerfen: Alle ICMP-Nachrichten zu allen IP-Adressen des mGuards werden verworfen.

Annehmen von Ping: Nur Ping-Nachrichten (ICMP Typ 8) zu allen IP-Adressen des mGuards werden akzeptiert.

Alle ICMPs annehmen: Alle Typen von ICMP-Nachrichten zu allen IP-Adressen des mGuards werden akzeptiert.

Stealth-Modus

Erlaube Weiterleitung von GVRP-Paketen

Das GARP VLAN Registration Protocol (GVRP) wird von GVRP-fähigen Switches verwendet, um Konfigurationsinfor­mationen miteinander auszutauschen.

Bei aktivierter Funktion können GVRP-Pakete den mGuard im Stealth-Modus passieren.

Erlaube Weiterleitung von STP-Paketen

Das Spanning-Tree Protocol (STP) (802.1d) wird von Bridges und Switches verwendet, um Schleifen in der Verkabelung zu entdecken und zu berücksichtigen.

Bei aktivierter Funktion können STP-Pakete den mGuard im Stealth-Modus passieren.

Erlaube Weiterleitung von DHCP-Paketen

Bei aktivierter Funktion wird dem Client erlaubt, über DHCP eine IP-Adresse zu beziehen - unabhängig von den Firewall-Regeln für ausgehenden Datenverkehr.

Werkseitig ist die Funktion aktiviert.

Verbindungs-Verfolgung (Connection Tracking)

Maximale Zahl gleich­zeitiger Verbindungen

Dieser Eintrag legt eine Obergrenze fest. Diese ist so gewählt, dass sie bei normalem praktischen Einsatz nie erreicht wird. Bei Angriffen kann sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zusätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderun­gen vorliegen, dann können Sie den Wert erhöhen.

Auch vom mGuard aus aufgebaute Verbindungen werden mit­gezählt. Deshalb dürfen Sie diesen Wert nicht zu klein wählen, da es sonst zu Fehlfunktionen kommt.

Erlaube TCP-Verbin­dungen nur mit SYN

SYN ist ein spezielles Datenpaket im TCP/IP-Verbindungs­aufbau, das den Anfang des Verbindungsaufbaus markiert.

Funktion deaktiviert (Standard): Der mGuard erlaubt auch Verbindungen, deren Anfang er nicht registriert hat. D. h. der mGuard kann bei Bestehen einer Verbindung einen Neustart durchführen, ohne dass die Verbindung abreißt.

Funktion akviert: Der mGuard muss das SYN-Paket einer bestehenden Verbindung registriert haben. Sonst baut er die Verbindung ab.

Falls der mGuard während des Bestehens einer Verbindung einen Neustart durchführt, wird diese Verbindung getrennt. Damit werden Angriffe auf bestehende Verbindungen und das Entführen bestehender Verbindungen erschwert.

Timeout für aufge­baute TCP-Verbindun­gen

Wird eine TCP-Verbindung über den hier angegebenen Zeit­raum hinaus nicht verwendet, so werden ihre Verbindungsda­ten gelöscht.

Eine durch NAT umgeschriebene Verbindung (nicht 1:1-NAT), muss danach erneut aufgebaut werden.

Wenn die Funktion „Erlaube TCP-Verbindungen nur mit SYN“  aktiviert wurde, dann müssen alle abgelaufen Verbindungen neu aufgebaut werden.

Voreinstellung: 120 Stunden (120:00:00)

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Timeout für geschlos­sene TCP-Verbindun­gen

Der Timeout gibt an, wie lange der mGuard eine TCP-Verbin­dung noch offen hält, wenn zwar die eine Seite die Verbindung mit einem „FIN-Paket" beendet, die Gegenstelle dies jedoch noch nicht bestätigt hat.

Voreinstellung: 1 Stunde (1:00:00)

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Bestehende Verbin­dungen nach Ände­rungen an der Firewall zurücksetzen

Bei aktivierter Funktion (Standard) werden die bestehen­den Verbindungen zurückgesetzt,

–wenn die Funktion „Erlaube TCP-Verbindungen nur mit SYN“ aktiviert wurde und

–wenn die Firewall-Regeln angepasst wurden oder

–wenn die Funktion aktiviert wird (auch ohne Änderung der Firewall-Regeln.)

Nach einer Änderung der Firewall-Regeln verhält sich der mGuard wie nach einem Neustart, allerdings gilt dies nur für die weitergeleiteten Verbindungen. Bestehende TCP-Verbin­dungen werden unterbrochen, auch wenn sie nach den neuen Firewall-Regeln erlaubt sind. Verbindungen zum Gerät sind davon nicht betroffen, selbst wenn die Firewall-Regeln für den Remote-Zugriff geändert wurden.

Bei inaktivierter Funktion bleiben die Verbindungen beste­hen, auch wenn die geänderten Firewall-Regeln diese nicht erlauben oder beenden würden.

FTP

Wird beim FTP-Protokoll eine ausgehende Verbindung herge­stellt, um Daten abzurufen, gibt es zwei Varianten der Daten­übertragung:

Beim „aktiven FTP“ stellt der angerufene Server im Gegenzug eine zusätzliche Verbindung zum Anrufer her, um auf dieser Verbindung die Daten zu übertragen.

Beim „passiven FTP“ baut der Client diese zusätzliche Verbin­dung zum Server zur Datenübertragung auf.

Damit die zusätzlichen Verbindungen von der Firewall durch­gelassen werden, muss FTP aktiviert sein (Standard).

IRC

Ähnlich wie bei FTP: Beim Chatten im Internet per IRC müs­sen nach aktivem Verbindungsaufbau auch eingehende Ver­bindungen zugelassen werden, soll das Chatten reibungslos funktionieren. Damit diese von der Firewall durchgelassen werden, muss IRC aktiviert sein (Standard).

PPTP

Standard: deaktivert

Muss aktiviert sein, wenn von lokalen Rechnern ohne Zuhil­fenahme des mGuards VPN-Verbindungen mittels PPTP zu externen Rechner aufgebaut werden können sollen.Muss ak­tiviert sein, wenn GRE-Pakete von intern nach extern weiter geleitet werden müssen.

H.323

Standard: deaktivert

Protokoll, das zum Aufbau von Kommunikationssitzungen mit zwei oder mehr Teilnehmern dient. Wird für audio-visuelle Übertragungen verwendet. Dieses Protokoll ist älter als SIP.

SIP

Standard: deaktiviert

Das SIP (Session Initiation Protocol) dient zum Aufbau von Kommunikationssitzungen mit zwei oder mehr Teilnehmern. Wird häufig bei der IP-Telefonie verwendet.

Bei aktivierter Funktion kann der mGuard das SIP verfolgen und dynamisch notwendige Firewall-Regeln einfügen, wenn weitere Kommunikationskanäle zu derselben Sitzung aufge­baut werden.

Wenn zusätzlich NAT aktiviert ist, können einer oder mehrere lokal angeschlossene Rechner über den mGuard mit extern erreichbaren Rechnern per SIP kommunizieren.

Dieses Menü steht nicht  auf Geräten der FL MGUARD 2000-Serie zur Verfügung.

ACHTUNG: Firewall-Einstellung beeinflusst DoS-Schutz

Der DoS-Schutz des Geräts steht nicht zur Verfügung, wenn unter Netzwerksicherheit >> Paketfilter >> Eingangsregeln als Allgemeine Firewall-Einstellung „Alle Verbin­dungen annehmen“ ausgewählt ist (siehe „Eingangsregeln“ auf Seite 193).

Um den DoS-Schutz in diesem Fall bereitzustellen, müssen Sie die Allgemeine Fire­wall-Einstellung „Wende das unten angegebene Regelwerk an“ auswählen und an­schließend eine Firewall-Regel erstellen, mit der alle Verbindungen angenommen werden.

Maximale Anzahl neuer TCP-Verbindungen (SYN)

Ausgehend / Einge­hend

Ausgehend: Werkseinstellung: 75

Eingehend: Werkseinstellung: 25

Maximalwerte für die zugelassenen ein- und ausgehenden TCP-Verbindungen pro Sekunde.

Sie sind so gewählt, dass sie bei normalem praktischen Ein­satz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu­sätzlicher Schutz eingebaut ist.

Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen.

Maximale Anzahl von Ping-Paketen (ICMP-Echo-Anfrage)

Ausgehend / Einge­hend

Ausgehend: Werkseinstellung: 5

Eingehend: Werkseinstellung: 3

Maximalwerte für die zugelassenen ein- und ausgehenden „Ping“-Pakete pro Sekunde.

Sie sind so gewählt, dass sie bei normalem praktischen Ein­satz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu­sätzlicher Schutz eingebaut ist.

Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen.

Der Wert 0 bewirkt, dass kein „Ping“ Paket durchgelassen bzw. eingelassen wird.

Jeweils maximale Anzahl von ARP-Anfragen und ARP-Antworten

(Nur im Netzwerkmodus „Stealth“)

Ausgehend / Einge­hend

Werkseinstellung: 500

Maximalwerte für die zugelassenen ein- und ausgehenden ARP-Anfragen oder Antworten pro Sekunde.

Sie sind so gewählt, dass sie bei normalem praktischen Ein­satz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu­sätzlicher Schutz eingebaut ist.

Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen.

Dieses Menü steht nicht auf Geräten der FL MGUARD 2000-Serie zur Verfügung.

Wenn ein Firewall-Regelsatz (Template) deaktiviert wird, werden betroffene eingeloggte Firewall-Benutzer weiter als eingeloggt angezeigt. Die Firewall-Regeln aus dem deakti­vierten Template gelten allerdings nicht mehr für sie.

Wenn ein Firewall-Regelsatz (Template) deaktiviert und anschließend wieder aktiviert wird, müssen sich betroffene eingeloggte Firewall-Benutzer zunächst ausloggen und dann wieder einloggen, um die Firewall-Regeln aus dem Template erneut für sich zu ak­tivieren.

Aktiv

Aktiviert / deaktiviert das betreffende Template.

Ein beschreibender Name

Name des Templates. Der Name ist beim Erstellen des Tem­plates festgelegt worden.

Allgemein

Nach Klicken auf das Icon Zeile bearbeiten erscheint folgende Registerkarte:

Optionen

Ein beschreibender Name

Sie können das Benutzerfirewall-Template frei benennen bzw. umbenennen.

Aktiv

Bei aktivierter Funktion ist das Benutzerfirewall-Template ak­tiv, sobald sich Firewall-Benutzer beim mGuard anmelden, die auf der Registerkarte Template Benutzer (s. u.) erfasst sind und denen dieses Template zugeordnet ist. Es spielt keine Rolle, von welchem Rechner und unter welcher IP-Ad­resse sich ein Benutzer anmeldet. Die Zuordnung Benutzer - Firewall-Regeln erfolgt über die Authentifizierungsdaten, die der Benutzer bei seiner Anmeldung angibt (Benutzername, Passwort).

Kommentar

Optional: erläuternder Text

Timeout

Standard: 8 Stunden (8:00:00)

Gibt an, wann die Firewall-Regeln außer Kraft gesetzt werden. Dauert die Sitzung des betreffenden Benutzers länger als die hier festgelegte Timeout-Zeit, muss er sich neu anmelden.

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Timeout-Typ

Statisch / Dynamisch

Bei statischem Timeout werden Benutzer automatisch ab­gemeldet, sobald die eingestellte Timeout-Zeit verstrichen ist.

Bei dynamischem Timeout werden Benutzer automatisch abgemeldet, nachdem die Verbindungen durch den Benutzer geschlossen wurden oder aber auf dem mGuard abgelaufen sind und anschließend die hier eingestellte Timeout-Zeit ver­strichen ist.

Eine Verbindung gilt auf dem mGuard dann als abgelaufen, wenn über die folgenden Zeiträume hinaus keine Daten mehr für diese Verbindung vorlagen.

Ablaufzeitraum der Verbindung nach Nichtbenutzung:

–TCP: 5 Tage (Dieser Wert ist einstellbar, siehe „Timeout für aufgebaute TCP-Verbin­dungen“ auf Seite 215.) Hinzukommen zusätzlich 120 s nach Schließen der Verbin­dung. (Diese 120 s gelten auch nach dem Schließen durch den Benutzer.)

–UDP: 30 s nach Datenverkehr in einer Richtung; 120 s nach Datenverkehr in beide Richtungen

–ICMP: 30 s

–Andere: 10 min

VPN-Verbindung

Gibt die VPN-Verbindung an, in der diese Benutzerfirewall-Regel gültig ist.

Bedingung ist ein bestehender Remote-Zugang durch den VPN-Tunnel auf die Web-Oberfläche.

Template-Benutzer

Geben Sie die Namen von Benutzern an. Die Namen müssen denen entsprechen, die unter Menü „Authentifizierung >> Firewall-Benutzer“ festgelegt sind (siehe Seite 167).

Firewall-Regeln

Firewall-Regeln für die Benutzerfirewall-Templates.

Wenn das Template mit dynamischem Timeout konfiguriert ist, setzen an dieser Stelle zugelassene UDP und andere Netzwerkpakete (außer ICMP) den dynamischen Timeout auf den Ausgangswert zurück.

Quell-IP

IP-Adresse, von der aus Verbindungsaufbauten zugelassen werden. Soll es die Adresse sein, von der sich der Benutzer beim mGuard angemeldet hat, sollte der Platzhalter „%autho­rized_ip“ verwendet werden.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle.

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) > Portbereich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209).

Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzu­geben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll – Funktion Log akti­vieren

–oder nicht – Funktion Log deaktivieren (werkseitig vorein­gestellt).