Règles de Firewall
Transcription
Règles de Firewall
Firewall-Regeln Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie März 2010 / SRU FIREWALL Funktionsweise Firewall-Regeln werden von der ZyWALL USG in der Reihenfolge der Priorität abgearbeitet. Sobald die Übertragung eines Datenpaketes den Kriterien einer Regel entspricht, werden deren Vorgaben für das Weiterleiten befolgt. Weiter kann festgelegt werden, ob das Blockieren oder Zulassen der Übertragung im Log festgehalten wird. Über Enable Firewall kann die Firewall deaktiviert werden. Diese Option ist bei der Fehlersuche sehr hilfreich, jedoch werden dann im Log keine Einträge mehr geführt. Über die Auswahl From Zone und To Zone wird die Anzeige der Regeln entsprechend eingeschränkt. Zur Bearbeitung der Firewall-Regeln stehen folgende Optionen zur Verfügung: Fügt eine neue Regel hinter der Auswahl hinzu. Editieren einer Regel. Löschen der ausgewählten Regeln. Aktivieren der ausgewählten Regeln. Deaktivieren der ausgewählten Regeln. Verschieben einer Regel. 2 Firewall-Regeln Grundkonfiguration Die folgende Übersicht zeigt die Standard-Regeln, welche mit den Werkseinstellungen vorkonfiguriert sind. Die Ansicht ist nach Priorität sortiert, somit erfolgt die Abarbeitung von oben nach unten. In den Grundeinstellungen werden diverse Richtungen entsprechend den Zonen und deren vorgesehenem Verwendungszweck blockiert oder freigegeben. Wenn keine Regel greift, kommt die Default-Regel zum Tragen. Diese steht auf allow, womit jede Übertragungsrichtung ohne explizite Blockier-Regel zugelassen ist. Hinweis: Beim Löschen vermeintlich nicht benötigter Regeln können Löcher im Regelwerk entstehen! 3 Firewall-Regeln Alternatives Konfigurationsschema Die folgende Konfiguration folgt dem Ansatz, dass bereits die Grundregel auf blockieren gesetzt wird. Damit wäre die Firewall auch dann noch sicher, wenn sämtliche editierbaren Regeln gelöscht würden. Jedoch bestünde dann auch kein Zugriff auf die Firewall und ins Internet mehr, so dass vor dem Umstellen der Default-Regel einige Grundregeln erstellt werden müssen: Regel 1: Regel 2: Regel 3: From WAN to ZyWALL Default_Allow_WAN_To_ZyWALL From LAN1 to ZyWALL any From LAN1 to WAN any Regel 1: Die erste Regel erlaubt die Kommunikation grundlegender Dienste zwischen WAN und ZyWALL. Dazu gehören die Dienste wie AH, ESP, HTTPS, IKE, NATT und VRRP, welche in der Gruppe Default_Allow_WAN_To_ZyWALL zusammengefasst sind. HTTPS wird für den verschlüsselten Login, andere Protokolle wie AH, ESP, IKE für den Aufbau von VPN-Verbindungen benötigt. Regel 2: Die zweite Regel dient dem Management und erlaubt den Zugriff auf das WebGUI aus dem LAN. Diese Regel muss zwingend vor dem Umstellen der Default-Regel auf deny erfolgen! Regel 3: Ermöglicht den Verbindungsaufbau aus dem LAN1 ins WAN, und somit den Internet-Zugriff. Default: Umgestellt auf deny blockiert die Default-Regel jeglichen Datenverkehr, für welchen keine Ausnahme-Regel festgelegt wurde. 4 Firewall-Regeln Weitere oft benötigte Regeln: IPSEC VPN From: any From: IPSec_VPN From: IPSec_VPN To: IPSec_VPN To: any To: ZyWALL Von Standort A zum VPN Tunnel VPN Tunnel zum Standort A Zugriff auf die ZyWALL über VPN-Tunnel SSL VPN From: any From: SSL_VPN From: SSL_VPN To: SSL_VPN To: any To: ZyWALL Von Standort A zum VPN Tunnel VPN Tunnel zum Standort A Zugriff auf die ZyWALL über VPN-Tunnel DMZ Zone From: LAN From: DMZ To: DMZ To: ZyWALL Zugriff aus dem LAN zur DMZ Zugriff auf ZyWALL aus DMZ Die Einstellung any ist sehr allgemein gehalten. Das Ziel lässt sich bei Bedarf weiter einschränken. 5 Firewall-Regeln DEAKTIVIEREN DER FIREWALL ÜBER DIE SERIELLE KONSOLE Wird eine Regel, welche den Administrations-Zugang auf die Firewall regelt, gelöscht oder auf blockieren gesetzt, besteht keine Möglichkeit mehr, über eine Netzwerkverbindung auf das Gerät zuzugreifen und die Einstellung rückgängig zu machen. Über die serielle Konsole lässt sich die Firewall komplett deaktivieren. Verbinden Sie sich dazu mit einem Terminalprogramm (z. B. HyperTerminal) mit dem Device. Die Verbindungswerte sind 115k, 8 Datenbits, keine Parität, ein Stoppbit, keine Flusssteuerung (115k, 8, n, 1, n). Nach dem Einloggen deaktivieren die Befehle configure terminal und Firewall. Zweimaliges exit beendet die Konfigurations-Session. no firewall activate die Die Einstellung über die Konsole entspricht der Option Enable Firewall im WebGUI. Nach dem Überarbeiten der Firewall-Regeln lässt sich die Firewall an dieser Stelle wieder aktivieren. 6 Firewall-Regeln