Firewallregeln

Mit Firewallregeln können Sie den Datenverkehr zwischen Zonen und Netzwerken zulassen oder verbieten. Sie können Richtlinien und Maßnahmen implementieren, um Sicherheitskontrollen und die Priorisierung des Datenverkehrs durchzusetzen.

Sie können Firewallregeln für IPv4- und IPv6-Netzwerke erstellen. Sie können die folgenden Maßnahmen mithilfe von Firewallregeln implementieren:

Zugriff und Protokollierung

  • Zulassen, Löschen oder Ablehnen von Datenverkehr auf der Grundlage der Übereinstimmungskriterien, zu denen Quelle, Ziel, Dienste und Benutzer in dem von Ihnen angegebenen Zeitraum gehören.
  • Erstellen Sie verknüpfte (Quell-)NAT-Regeln für die Adressübersetzung.
  • Protokollieren Sie Verkehr, der den ausgewählten Kriterien entspricht.

Richtlinien und Scannen

  • Wenden Sie Richtlinien für Internetverkehr, Anwendungssteuerung und IPS an.
  • Implementieren Sie Web-Proxy-Filterung mit Entschlüsselung und Scannen.
  • Senden Sie Inhalte zur Sandstorm-Analyse.
  • Setzen Sie Schadprogramm-Scans für Internet-, E-Mail- und FTP-Datenverkehr ein.
  • Durchsetzen von Maßnahmen auf Endgeräten und Servern mit einem Synchronized Security Heartbeat, der Informationen über ihren Gesundheitszustand an XG Firewall sendet.

Priorisierung des Datenverkehrs

  • Setzen Sie Bandbreitensteuerung ein.
  • Priorisieren Sie den Datenverkehr mit DSCP-Markierung.

Sie benötigen keine Firewallregel für systemgenerierten Verkehr oder um Zugriff auf Systemdienste zu ermöglichen. Um den Zugriff auf Systemdienste aus bestimmten Zonen festzulegen, gehen Sie zu Verwaltung > Appliance-Zugriff.

  • Um eine Firewallregel manuell hinzuzufügen, wählen Sie Firewallregel hinzufügen und dann Neue Firewallregel aus.
  • Um Ziel-NAT-Regeln zusammen mit Firewallregeln automatisch zu erstellen, wählen Sie Firewallregel hinzufügen und dann Serverzugriffsassistent (DNAT) aus.

Serverzugriffsassistent (DNAT)

Verwenden Sie diese Option, um DNAT-Regeln zu erstellen, um eingehenden Datenverkehr auf Server wie Web-, Mail-, SSH- oder andere Server zu übertragen und auf Remote-Desktops zuzugreifen. Der Assistent erstellt außerdem automatisch eine reflexive SNAT-Regel (für ausgehenden Datenverkehr von den Servern), eine Loopback-Regel (für interne Benutzer, die auf die Server zugreifen) und eine Firewallregel (um eingehenden Datenverkehr zu den Servern zuzulassen).

Regeln und Regelgruppen

Sie können Firewallregeln erstellen und zu Regelgruppen hinzufügen.

XG Firewall wertet Firewallregeln, nicht Regelgruppen, aus, um Kriterien mit dem Datenverkehr abzugleichen. Sie verwendet die Übereinstimmungskriterien von Regelgruppen nur, um Firewallregeln zu gruppieren.

Standardregeln

XG Firewall erstellt Standardregelgruppen, die eine Firewallregel enthalten, um Datenverkehr mit dem Ziel WAN, DMZ und interne Zonen (LAN, Wi-Fi, VPN und DMZ) zu verwerfen. Diese Regeln sind standardmäßig deaktiviert.

Eine Firewallregel für E-Mail-MTA wird automatisch zusammen mit einer verknüpften NAT-Regel erstellt, wenn Sie den MTA-Modus aktivieren. Der MTA-Modus ist standardmäßig aktiviert.

Anmerkung Überprüfen Sie die Regelpositionen, nachdem eine Firewallregel automatisch oder manuell erstellt wurde, um sicherzustellen, dass die Regel auf die erwünschten Datenverkehrskriterien zutrifft.

Automatisch erstellte Firewallregeln, z.B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden an die Spitze der Firewallregelliste gesetzt und zuerst ausgewertet. Wenn Sie später manuell eine Firewallregel mit Position der Regel gesetzt auf Oben oder einer anderen automatisch erstellten Regel erstellen, werden diese an der Spitze der Regeltabelle platziert und verändern dadurch die Regelpositionen. Wenn sich die Übereinstimmungskriterien für die neuen und vorhandenen Regeln überschneiden, gelten die Richtlinien und Aktionen der neuen Regel, was zu unerwarteten Ergebnissen führt, wie z.B. der Nichtzustellung von E-Mails oder Tunneln, die nicht aufgebaut werden.

Der Standardregel Alle verwerfen ist die ID 0 zugeordnet. Die Regel verwirft Verkehr, auf den die Kriterien keiner Firewallregel zutreffen. Sie befindet sich am unteren Ende der Regeltabelle. Sie können diese Regel nicht bearbeiten, löschen oder verschieben. Sie zeigt keinen Nutzungszähler Filter gelten nicht für sie.

Regelgruppen

Sie können keine Regelgruppen ohne eine Firewallregel erstellen. Erstellen Sie also eine Regelgruppe, wenn Sie eine Regel aus der Regelvorlage erstellen oder mit einer vorhandenen Regel aus der Regeltabelle.

Sie können eine Firewallregel zu einer Regelgruppe hinzufügen oder von einer Gruppe lösen. Leere Regelgruppen kann es nicht geben. Wenn Sie die letzte Regel aus einer Regelgruppe löschen, wird die Regelgruppe gelöscht.

Aktionen der Regeltabelle

  • Um IPv4- oder IPv6-Regeln in der Regeltabelle anzuzeigen, wählen Sie IPv4 oder IPv6 aus.
  • Um den Regelfilter ein- oder auszublenden, wählen Sie Filter deaktivieren oder Filter aktivieren aus.
  • Um Regeln oder Regelgruppen ein- oder auszuschalten, wählen Sie sie aus, und wählen Sie Einschalten oder Deaktivieren aus.

    Wenn Sie eine Kombination aus aktivierten und deaktivierten Regeln auswählen, können Sie diese Schaltflächen nicht verwenden.

  • Um Regeln oder Regelgruppen zu löschen, wählen Sie sie aus, und wählen Sie Löschen aus.
  • Um die Regeln nach einem beliebigen Regelparameter zu filtern, wählen Sie Filter hinzufügen einen Feldnamen und die entsprechende Option aus.

    Wenn Sie den Filter anwenden, können Sie keine Regelgruppe auswählen, da Gruppen eine Kombination aus aktivierten und deaktivierten Regeln enthalten können. Sie können jedoch einzelne Regeln auswählen.

  • Um den Regelfilter zurückzusetzen, wählen Sie Filter zurücksetzen aus.
  • Um die Regelinformationen in der Regeltabelle zu sehen, lassen Sie den Mauszeiger über den Symbolen unter Funktion und Dienst ruhen.
  • Um Regeln oder Regelgruppen zu deaktivieren, wählen Sie sie aus und klicken Sie auf Deaktivieren.
  • Um eine Regelgruppe zu bearbeiten, klicken Sie auf Bearbeiten Schaltfläche „Bearbeiten“.
  • Hash (#) gibt die Regelposition an. Um die Position einer Regel oder Regelgruppe zu ändern, klicken Sie auf den Regelgriff (Schaltfläche zum Greifen einer Regel) und ziehen Sie die Regel an die gewünschte Position. XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie keine weiteren Regeln aus. Positionieren Sie also die spezifischen Regeln über den weniger spezifischen Regeln.

    Sie können die Position einer Regel innerhalb der Regelgruppe ändern. Wenn Sie die Position der Regel über die Gruppe hinaus ändern wollen, lösen Sie die Regel von der Gruppe oder ändern Sie die Position der Gruppe.

Klicken Sie auf Weitere Optionen Schaltfläche für weitere Optionen, um die folgenden Regelaktionen durchzuführen:

  • Um eine Regel ein- oder auszuschalten, klicken Sie auf den Schalter.
  • Um die übertragenen Daten zurückzusetzen, wählen Sie Datenübertragungszähler zurücksetzen?. Dies ist bei der Fehlerbehebung nützlich.

    Um die mit einer Regel übertragenen Daten anzuzeigen, gehen Sie zu Berichte > Dashboards. Wählen Sie Verkehrs-Dashboard und blättern Sie nach unten zu Zugelassene Richtlinien.

  • Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die Aktion aus.
  • Um eine Regel neben einer vorhandenen Regel hinzuzufügen oder zu klonen, wählen Sie die Aktion aus.
  • Um eine Firewallregel von einer Gruppe zu lösen, wählen Sie Lösen aus.

    Aktionen der Regelgruppe: Klicken Sie neben einer Regel auf Weitere Optionen Schaltfläche für weitere Optionen, um Aktionen für Regelgruppen durchzuführen.

  • Sie können eine Regelgruppe für Regeln erstellen, die keiner Regelgruppe zugeordnet sind. Wählen Sie Neue Gruppe unter Zu Gruppe hinzufügen neben der Regel aus. Geben Sie einen Gruppenname ein, und geben Sie den Regeltyp sowie die Quell- und Zielzonen an.
  • Um einer Regelgruppe eine Regel hinzuzufügen, wählen Sie eine Gruppe aus oder fügen Sie eine neue Gruppe hinzu.
  • Um eine Regelgruppe zu löschen, klicken Sie auf Löschen Schaltfläche „Löschen“.

Verknüpfte NAT-Regeln

Dies sind Quell-NAT-Regeln, die in der NAT-Regeltabelle aufgeführt sind. Sie können sie anhand der ID und des Namens der Firewallregel identifizieren.

XG Firewall wendet Firewallregeln an, bevor sie Quell-NAT-Regeln anwendet. Wenn eine NAT-Regel oberhalb der verknüpften Regel die Übereinstimmungskriterien erfüllt, wendet XG Firewall diese Regel an und sucht nicht weiter nach der verknüpften Regel. Verknüpfte NAT-Regeln gelten jedoch nur für Datenverkehr, der mit der Firewallregel übereinstimmt, mit der sie verknüpft sind.

Sie können die Verknüpfung einer verknüpften NAT-Regel mit der NAT-Regeltabelle aufheben. Sobald Sie die Verknüpfung der Regel mit der ursprünglichen Firewallregel aufgehoben haben, können Sie die NAT-Regel bearbeiten. Sie wird nun unabhängig von der ursprünglichen Firewallregel anhand ihrer Kriterien und nicht anhand der ursprünglichen Firewallregelkriterien ausgewertet.

Regelstatus

Status

Beschreibung

Ungenutzt

Keinen zutreffenden Verkehr in den letzten 24 Stunden gefunden.

Deaktiviert

Manuell ausgeschaltet.

Geändert

In den letzten 24 Stunden aktualisiert.

Neu

In den letzten 24 Stunden erstellt.

Symbole der Regeltabelle

Symbole

Beschreibung

Benutzerregel

Übereinstimmung mit bekannten Benutzern nicht ausgewählt.

Regel deaktiviert.

Maßnahme gesetzt auf Annehmen.

Regel deaktiviert.

Aktion auf Verwerfen oder Ablehnen gesetzt.

Regel aktiviert.

Maßnahme gesetzt auf Annehmen.

Regel aktiviert.

Aktion auf Verwerfen oder Ablehnen gesetzt.

Deaktiviert: Scannen von Internet-, FTP- und E-Mail-Verkehr. Web-Proxy. Protokollierung des Datenverkehrs.

Protokolle aus

Richtlinie gesetzt auf Keine: Internetrichtlinie, Anwendungssteuerung, Angriffsvorbeugung, Traffic-Shaping.

Ausgeschaltet oder keine Beschränkung: Security Heartbeat.

Aktiviert. Scannen von Internet-, FTP- oder E-Mail-Verkehr. Web-Proxy. Ausschlüsse bei Firewallregel. Protokollierung des Datenverkehrs.

Richtlinie festgelegt: IPS, Traffic-Shaping

Richtlinie gesetzt auf Annehmen: Internetrichtlinie, Anwendungssteuerung

Richtlinie auf Schadprogramm- und PUA-Erkennung gesetzt: Security Heartbeat

Keine Beschränkung und auf Schadprogramm- und PUA-Erkennung gesetzt: Security Heartbeat

Richtlinie gesetzt auf Verwerfen: Internetrichtlinie, Anwendungssteuerung

Richtlinie auf PUA-Erkennung gesetzt: Security Heartbeat

Keine Beschränkung und auf PUA-Erkennung gesetzt: Security Heartbeat

Richtlinie auf Verweigern gesetzt: Internetrichtlinie, Anwendungssteuerungsrichtlinie

Keine Beschränkung und kein Heartbeat: Security Heartbeat

NAT- und Routing-Migration

NAT-Konfiguration

Wenn Sie von einer früheren Version zu SFOS 18.0 migrieren, migriert XG Firewall die NAT-Einstellungen der Firewallregeln als NAT-Regeln und listet sie in der NAT-Regeltabelle auf. Sie bietet keine Gateway-basierte NAT-Konfiguration mehr.

XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten NAT-Regeln abzugleichen. Einzelheiten zur NAT-Migration von Versionen vor SFOS 18.0 finden Sie unter NAT-Regeln.

Routing-Konfiguration

In SFOS 18.0 und neueren Versionen müssen Sie Routing-Richtlinien im SD-WAN-Richtlinienrouting festlegen. Firewallregeln enthalten keine Routing-Einstellungen mehr. Wenn Sie von einer früheren Version migrieren, migriert XG Firewall die Routing-Einstellungen in Firewallregeln als Migrierte SD-WAN-Richtlinienrouten. Sie können sie in der SD-WAN-Richtlinienrouting-Tabelle sehen. Sie können diese migrierten Richtlinienrouten anhand der ID und des Namens der Firewallregel identifizieren.

XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten Routen abzugleichen. Einzelheiten zur Migration von Richtlinienrouten von Versionen vor SFOS 18.0 finden Sie unter Migrierte SD-WAN-Richtlinienrouten

Migrierte Firewallregeln: Regelverhalten

In SFOS 17.5 und früheren Versionen wurden die Geschäftsanwendungsregeln und Benutzer-Netzwerk-Regeln zwar in einer einzigen Regeltabelle aufgeführt, XG Firewall wertete diese Regeltypen jedoch unabhängig voneinander aus, um Übereinstimmungskriterien zu finden.

Für Datenverkehr, der an das System gerichtet ist, (z.B. Zugriff auf XG Firewall Dienste) und eingehenden Datenverkehr (z.B. Verkehr zu internen Servern), auf den eine NAT-Zielregel zutraf, wurden Benutzer-Netzwerk-Regeln ignoriert und der Verkehr mit den Geschäftsanwendungsregeln abgeglichen.

Seit SFOS 18.0 hat XG Firewall die Unterscheidung zwischen Geschäftsanwendungsregeln und Benutzer-Netzwerk-Regeln aufgehoben. Es bietet jetzt beides als Firewallregeln an. Um sicherzustellen, dass die Konsolidierung das Regelabgleichverhalten früherer Versionen nicht beeinträchtigt, ignoriert es weiterhin migrierte Benutzer-Netzwerk-Regeln, die sich über migrierten Geschäftsanwendungsregeln für an das System gerichteten und eingehenden Datenverkehr befinden.

Webserverregeln und -Schutzrichtlinien: XG Firewall hat einige Schutzkategorien in einer einzigen Kategorie zusammengeführt, Filterregeln neuen Regel-IDs zugeordnet und Filterstärkestufen eingeführt. Weitere Informationen finden Sie unter Schutzrichtlinien für Webserver.