Règles de Firewall

Firewall-Regeln
Konfigurationsbeispiel
ZyXEL ZyWALL USG-Serie
März 2010 / SRU
FIREWALL
Funktionsweise
Firewall-Regeln werden von der ZyWALL USG in der Reihenfolge der Priorität abgearbeitet. Sobald
die Übertragung eines Datenpaketes den Kriterien einer Regel entspricht, werden deren Vorgaben
für das Weiterleiten befolgt. Weiter kann festgelegt werden, ob das Blockieren oder Zulassen der
Übertragung im Log festgehalten wird.
Über Enable Firewall kann die Firewall deaktiviert werden. Diese Option ist bei der Fehlersuche sehr
hilfreich, jedoch werden dann im Log keine Einträge mehr geführt. Über die Auswahl From Zone
und To Zone wird die Anzeige der Regeln entsprechend eingeschränkt.
Zur Bearbeitung der Firewall-Regeln stehen folgende Optionen zur Verfügung:
Fügt eine neue Regel hinter der Auswahl hinzu.
Editieren einer Regel.
Löschen der ausgewählten Regeln.
Aktivieren der ausgewählten Regeln.
Deaktivieren der ausgewählten Regeln.
Verschieben einer Regel.
2
Firewall-Regeln
Grundkonfiguration
Die folgende Übersicht zeigt die Standard-Regeln, welche mit den Werkseinstellungen
vorkonfiguriert sind. Die Ansicht ist nach Priorität sortiert, somit erfolgt die Abarbeitung von oben
nach unten.
In den Grundeinstellungen werden diverse Richtungen entsprechend den Zonen und deren
vorgesehenem Verwendungszweck blockiert oder freigegeben. Wenn keine Regel greift, kommt
die Default-Regel zum Tragen. Diese steht auf allow, womit jede Übertragungsrichtung ohne
explizite Blockier-Regel zugelassen ist.
Hinweis:
Beim Löschen vermeintlich nicht benötigter Regeln können Löcher im Regelwerk entstehen!
3
Firewall-Regeln
Alternatives Konfigurationsschema
Die folgende Konfiguration folgt dem Ansatz, dass bereits die Grundregel auf blockieren gesetzt
wird. Damit wäre die Firewall auch dann noch sicher, wenn sämtliche editierbaren Regeln gelöscht
würden. Jedoch bestünde dann auch kein Zugriff auf die Firewall und ins Internet mehr, so dass vor
dem Umstellen der Default-Regel einige Grundregeln erstellt werden müssen:
Regel 1:
Regel 2:
Regel 3:
From WAN to ZyWALL
Default_Allow_WAN_To_ZyWALL
From LAN1 to ZyWALL
any
From LAN1 to WAN
any
Regel 1:
Die erste Regel erlaubt die Kommunikation grundlegender Dienste zwischen WAN
und ZyWALL. Dazu gehören die Dienste wie AH, ESP, HTTPS, IKE, NATT und VRRP,
welche in der Gruppe Default_Allow_WAN_To_ZyWALL zusammengefasst sind.
HTTPS wird für den verschlüsselten Login, andere Protokolle wie AH, ESP, IKE für
den Aufbau von VPN-Verbindungen benötigt.
Regel 2:
Die zweite Regel dient dem Management und erlaubt den Zugriff auf das WebGUI
aus dem LAN. Diese Regel muss zwingend vor dem Umstellen der Default-Regel
auf deny erfolgen!
Regel 3:
Ermöglicht den Verbindungsaufbau aus dem LAN1 ins WAN, und somit den
Internet-Zugriff.
Default:
Umgestellt auf deny blockiert die Default-Regel jeglichen Datenverkehr, für
welchen keine Ausnahme-Regel festgelegt wurde.
4
Firewall-Regeln
Weitere oft benötigte Regeln:
IPSEC VPN
From: any
From: IPSec_VPN
From: IPSec_VPN
To: IPSec_VPN
To: any
To: ZyWALL
Von Standort A zum VPN Tunnel
VPN Tunnel zum Standort A
Zugriff auf die ZyWALL über VPN-Tunnel
SSL VPN
From: any
From: SSL_VPN
From: SSL_VPN
To: SSL_VPN
To: any
To: ZyWALL
Von Standort A zum VPN Tunnel
VPN Tunnel zum Standort A
Zugriff auf die ZyWALL über VPN-Tunnel
DMZ Zone
From: LAN
From: DMZ
To: DMZ
To: ZyWALL
Zugriff aus dem LAN zur DMZ
Zugriff auf ZyWALL aus DMZ
Die Einstellung any ist sehr allgemein gehalten. Das Ziel lässt sich bei Bedarf weiter einschränken.
5
Firewall-Regeln
DEAKTIVIEREN DER FIREWALL ÜBER DIE SERIELLE KONSOLE
Wird eine Regel, welche den Administrations-Zugang auf die Firewall regelt, gelöscht oder auf
blockieren gesetzt, besteht keine Möglichkeit mehr, über eine Netzwerkverbindung auf das Gerät
zuzugreifen und die Einstellung rückgängig zu machen.
Über die serielle Konsole lässt sich die Firewall komplett deaktivieren. Verbinden Sie sich dazu mit
einem Terminalprogramm (z. B. HyperTerminal) mit dem Device. Die Verbindungswerte sind 115k,
8 Datenbits, keine Parität, ein Stoppbit, keine Flusssteuerung (115k, 8, n, 1, n).
Nach dem Einloggen deaktivieren die Befehle configure terminal und
Firewall. Zweimaliges exit beendet die Konfigurations-Session.
no firewall activate die
Die Einstellung über die Konsole entspricht der Option Enable Firewall im WebGUI. Nach dem
Überarbeiten der Firewall-Regeln lässt sich die Firewall an dieser Stelle wieder aktivieren.
6
Firewall-Regeln