Firewallregel hinzufügen

Erstellen Sie Firewallregeln, um den Datenverkehr zwischen Zonen und Netzwerken zuzulassen oder zu verweigern, und wenden Sie Sicherheitsrichtlinien und -Maßnahmen an.

Erstellen Sie Regeln für IPv4- oder IPv6-Netzwerke. Geben Sie die Übereinstimmungskriterien an, z.B. Quelle, Ziel, Dienste und Benutzer in einem bestimmten Zeitraum. Wählen Sie die anzuwendenden Richtlinien und die Scan-Maßnahme aus. Wählen Sie die Maßnahme aus, die auf Endpunkten und Servern mit Synchronized Security durchgeführt werden soll.
  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die entsprechenden Kriterien nicht anwenden wollen.
  3. Geben Sie die allgemeinen Regeldetails ein.
    NameBeschreibung
    Regelname Geben Sie einen Namen ein.
    Position der Regel Geben Sie die Position der Regel in der Regeltabelle an.
    • Oben
    • Unten

    XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung findet, wertet sie keine weiteren Regeln aus. Sie können die Reihenfolge der Regeln in der Regeltabelle ändern.

    Regelgruppe

    Wählen Sie eine Regelgruppe aus, oder erstellen Sie eine Regelgruppe. Die Firewallregel gehört zu dieser Gruppe.

    Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.

    Maßnahme Wählen Sie eine Maßnahme aus:

    Annehmen: Lässt Datenverkehr zu

    Verwerfen: Verwirft Datenverkehr ohne Benachrichtigung

    Ablehnen: Verwirft Datenverkehr und sendet eine ICMP port unreachable Nachricht an die Quelle.

    Mit Webserver-Schutz schützen: Wählen Sie diese Option aus und geben Sie die WAF-Details (Web Server Protection) an, um den Webanwendungsverkehr zu steuern.

    Vorkonfigurierte Vorlage

    Wenn Sie Webserverschutz ausgewählt haben, wählen Sie eine Vorlage aus, die Sie anwenden wollen:

    Keine: Geben Sie die Details zum Webserverschutz an.

    Exchange Autodiscover

    Exchange Outlook Anywhere

    Exchange General

    Microsoft Lync

    Microsoft Remote Desktop Gateway 2008 und R2

    Microsoft Remote Desktop Web 2008 und R2

    Microsoft Sharepoint 2010 und 2013

    Firewallverkehr protokollieren

    Wählen Sie diese Option, um den gesamten Datenverkehr zu protokollieren, auf den diese Regel zutrifft. Standardmäßig werden Protokolle auf XG Firewall gespeichert.

    Um einen Syslog-Server hinzuzufügen und Protokolle auf dem Server zu speichern, gehen Sie zu Systemdienste > Protokolleinstellungen.

    Anmerkung Sitzungen werden protokolliert, wenn eine Verbindung ein „Destroy“-Verbindungsereignis empfängt und daraufhin beendet wird. Verbindungen, die beendet werden, ohne dass ein "Destroy"-Ereignis von XG Firewall gesehen wird, z.B. während des Verlusts der Internetverbindung, werden nicht protokolliert.
    Anmerkung Überprüfen Sie die Regelpositionen, nachdem eine Firewallregel automatisch oder manuell erstellt wurde, um sicherzustellen, dass die Regel auf die erwünschten Datenverkehrskriterien zutrifft.

    Automatisch erstellte Firewallregeln, z.B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden an die Spitze der Firewallregelliste gesetzt und zuerst ausgewertet. Wenn Sie später manuell eine Firewallregel mit Position der Regel gesetzt auf Oben oder einer anderen automatisch erstellten Regel erstellen, werden diese an der Spitze der Regeltabelle platziert und verändern dadurch die Regelpositionen. Wenn sich die Übereinstimmungskriterien für die neuen und vorhandenen Regeln überschneiden, gelten die Richtlinien und Aktionen der neuen Regel, was zu unerwarteten Ergebnissen führt, wie z.B. der Nichtzustellung von E-Mails oder Tunneln, die nicht aufgebaut werden.

  4. Wählen Sie die Übereinstimmungskriterien für die Quelle aus.
    NameBeschreibung

    Quellzonen

    Wählen Sie die Zonen aus, aus denen der Datenverkehr stammt.

    Quellnetzwerke und Geräte

    Wählen Sie die Quellnetzwerke und -Geräte aus, oder erstellen Sie neue.

    Im geplanten Zeitraum

    Wählen Sie einen Zeitplan aus, oder erstellen Sie einen. XG Firewall entspricht den Regelkriterien für den von Ihnen ausgewählten Zeitraum und Wochentag.

  5. Legen Sie Übereinstimmungskriterien für Ziel und Dienst fest.
    NameBeschreibung

    Zielzonen

    Wählen Sie die Zielzonen aus, in denen der Datenverkehr endet.

    Zielnetzwerke

    Wählen Sie die Zielnetzwerke aus, oder erstellen Sie neue.

    Dienste

    Wählen Sie die Dienste aus, oder erstellen Sie einen neuen Dienst. Dienste sind eine Kombination aus Protokollen und Ports.

  6. Geben Sie die Kriterien für die Benutzeridentität an.
    NameBeschreibung

    Übereinstimmung mit bekannten Benutzern

    Wählen Sie diese Option aus, um die Benutzeridentität als Übereinstimmungskriterien hinzuzufügen.

    Webauthentifizierung für unbekannte Benutzer verwenden

    Wählen Sie diese Option aus, um unbekannte Benutzer zu authentifizieren, die versuchen, auf das Internet zuzugreifen. Dies sind Benutzer, die sich bei ihren Endgeräten angemeldet haben, aber nicht authentifiziert wurden.

    Um Einstellungen für die Webauthentifizierung festzulegen, gehen Sie zu Authentifizierung > Webauthentifizierung. Sie können AD SSO (Kerberos und NTLM) oder Captive-Portal-Authentifizierung angeben.

    Um den Zugriff auf AD SSO und Captive Portal aus den erforderlichen Zonen zu aktivieren, gehen Sie zu Verwaltung > Appliance-Zugriff.

    Benutzer oder Gruppen

    Wählen Sie die Benutzer und Gruppen aus. Die Regel gilt dann nur für Datenverkehr, der von den angegebenen Benutzern und Gruppen stammt.

    Diese Benutzeraktivität von der Datenerfassung ausschließen

    Wählen Sie diese Option, um den Datenverkehr der angegebenen Benutzer von der Datenerfassung auszuschließen.

    Standardmäßig fügt XG Firewall der Datenübertragung einzelner Benutzer Datenverkehr hinzu, der den Regelkriterien entspricht.

    Verwenden Sie diese Option, wenn Sie kein Datennutzungslimit für die angegebenen Benutzer festlegen wollen.

  7. Wählen Sie dies Option Ausschluss hinzufügen, um der Regel Ausschlüsse hinzuzufügen. XG Firewall gleicht nicht die angegebenen Kriterien für die folgenden Objekte ab:
    • Quellzonen
    • Quellnetzwerke und Geräte
    • Zielzonen
    • Zielnetzwerke
    • Dienste
  8. Wählen Sie Verknüpfte NAT-Regel erstellen aus, wenn Sie die Adressübersetzung für die Quellnetzwerke und -Geräte dieser Regel erzwingen wollen.

    Verknüpfte NAT-Regeln sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle aufgeführt. Sie können sie anhand der ID und des Namens der Firewallregel identifizieren.

    Sie können in einer verknüpften NAT-Regel nur die übersetzte Quelle und die für die ausgehende Schnittstelle spezifische Quellübersetzung ändern. Für den Rest wendet XG Firewall die Übereinstimmungskriterien der Firewallregel an, mit dem er verknüpft ist, einschließlich Benutzer und Gruppen.
    ACHTUNG Verknüpfte NAT-Regeln gelten nur für den Datenverkehr, der durch die Firewallregel definiert ist, mit der sie verknüpft sind. Wenn jedoch die Kriterien einer NAT-Regel oberhalb der verknüpften NAT-Regel mit dem Datenverkehr übereinstimmen, wird die vorherige Regel angewendet. XG Firewall wertet keine weiteren Regeln aus, sobald sie eine Übereinstimmung gefunden hat.
  9. Wählen Sie Webfilterung aus, um die Einstellungen festzulegen.

    Wählen Sie die Internetrichtlinie, Schadprogramm- und Inhaltsscans sowie die Filtereinstellungen aus.

    Schadprogramm- und Inhaltsscans: Es gelten die unter Internet > Allgemeine Einstellungen angegebenen Einstellungen.

    Filterung: Wählen Sie die Einstellungen aus, um den Internetverkehr über gängige Internetports zu filtern. Wenn Sie Web-Proxy-Filterung auswählen wollen, müssen Sie zunächst eine Internetrichtlinie oder eine Richtlinie für Schadprogramm- und Inhaltsscans von HTTP und entschlüsselten HTTPS auswählen.

    XG Firewall identifiziert Micro-Apps, wie z.B. das Hoch- und Herunterladen von Dropbox- und Gmail-Anhängen, basierend auf ihren URLs. Wenn Sie in der Firewallregel eine Anwendungsfilterrichtlinie für diese Micro-Apps festlegen und die entsprechende SSL/TLS-Überprüfungsregel auf Entschlüsseln festlegen, identifiziert das DPI-Modul Micro-Apps basierend auf der entschlüsselten URL. Dies gilt auch dann, wenn Sie Internetrichtlinie auf Keine setzen und Schadprogramm-Scans und erweiterten Schutz vor Bedrohungen deaktivieren. XG Firewall führt die in der Filterrichtlinie der Anwendung angegebene Maßnahme aus.

    Wenn Sie die Web-Proxy-Filterung auf Bridge-Schnittstellen ohne eine IP-Adresse einrichten, wird der Datenverkehr verworfen.

    NameBeschreibung
    Internetrichtlinie

    Wählen Sie eine Internetrichtlinie aus, oder erstellen Sie eine.

    Webkategorie-basiertes Traffic-Shaping anwenden

    Wählen Sie diese Option aus, um die Bandbreiteneinstellungen anzuwenden, die für die Webkategorien innerhalb der Richtlinie festgelegt wurden.

    QUIC-Protokoll blockieren

    Blockiert das QUIC-Protokoll, indem ausgehende UDP-Pakete an die Ports 80 und 443 für Datenverkehr verworfen werden, der den Kriterien der Regel entspricht. Es ist standardmäßig ausgewählt, wenn Sie eine Internetrichtlinie auswählen oder das Scannen von HTTP und entschlüsselten HTTPS aktivieren.

    Chrome nutzt das Protokoll standardmäßig, um Sitzungen mit Google-Diensten herzustellen. QUIC-Datenverkehr kann nicht gescannt werden und umgeht die Webfilterung.

    HTTP und entschlüsseltes HTTPS scannen

    Wählen Sie diese Option, um den Internetverkehr auf Schadprogramme zu überprüfen.

    Diese Option aktiviert HTTPS-Entschlüsselung nicht. Um sicherzustellen, dass der HTTPS-Datenverkehr zum Scannen entschlüsselt wird, verwenden Sie SSL/TLS-Inspektionsregeln im DPI-Modus, oder wählen Sie HTTPS während der Web-Proxy-Filterung entschlüsseln.

    Zero-Day-Bedrohungen mit Sandstorm erkennen

    Wenn Sie die Scannen von HTTP und entschlüsseltem HTTPS ausgewählt haben, wählen Sie diese Option, um Dateien, die über HTTP oder HTTPS heruntergeladen wurden, zur Sandstorm-Analyse zu senden. Sandstorm schützt Ihr Netzwerk vor Zero-Day-Bedrohungen (unbekannte und unveröffentlichte Bedrohungen).

    FTP auf Schadprogramme scannen

    Wählen Sie diese Option, um FTP-Verkehr auf Schadprogramme zu überprüfen.

    Web-Proxy anstelle des DPI-Moduls verwenden Wählen Sie diese Option, um den Web-Proxy nur für die Ports 80 (HTTP) und 443 (HTTPS) zu verwenden. Das DPI-Modul filtert weiterhin HTTP- und SSL/TLS-Verkehr auf anderen Ports.

    Sie benötigen den Proxy-Modus, um SafeSearch- und YouTube-Beschränkungen zu erzwingen und Anmeldungen bei Google Apps (Beispiel: Gmail, Drive) auf bestimmte Domänenkonten zu beschränken, um Schutz vor Pharming und das Zwischenspeichern von Webinhalten zu aktivieren und eine Verbindung zu einem übergeordneten Proxy herzustellen.

    Um das DPI-Modul für die Webfilterung zu verwenden, deaktivieren Sie das Kontrollkästchen. Das DPI-Modul filtert HTTP- und SSL/TLS-Verkehr auf allen Ports. Bei dieser Einstellung verwendet XG Firewall den direkten Modus. Sie wendet SSL/TLS-Inspektionsregeln an, um verschlüsselten Datenverkehr basierend auf den Regel-Übereinstimmungskriterien und den Entschlüsselungsprofilen abzufangen, zu entschlüsseln und zu inspizieren.

    Um sicherzustellen, dass SSL/TLS-Inspektionsregeln aktiviert sind und um SSL/TLS-Inspektionsregeln zu erstellen, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln.

    HTTPS während der Web-Proxy-Filterung entschlüsseln

    Wenn Sie diese Option aktivieren, wird auch HTTPS-Datenverkehr im direkten Proxy-Modus entschlüsselt.

    Tipp Sie können eine Firewallregel mit Web-Proxy-Filterung für vorkonfigurierte FQDN-Host-Gruppen erstellen, um SafeSearch und YouTube-Beschränkungen durchzusetzen und Anmeldungen auf G Suite-Anwendungen zu beschränken. Informationen zum Erstellen dieser Firewallregel finden Sie im Lerninhalt, der mit dieser Seite verknüpft ist.
    Anmerkung Sie können den direkten Proxy-Modus verwenden, auch wenn Sie nicht Web-Proxy anstelle des DPI-Moduls verwenden auswählen. Um den direkten Proxy-Modus verwenden zu können, müssen Clients in ihren Proxyeinstellungen so konfiguriert werden, dass sie XG Firewall verwenden. Informationen zur Verwendung von XG Firewall als direkten Web-Proxy finden Sie unter Web-Proxy-Konfiguration in Internet > Allgemeine Einstellungen.
    Anmerkung XG Firewall überspringt Entschlüsselung, Schadprogramm- und Inhaltsscans, Sandstorm-Analyse und Richtlinienprüfungen für die entsprechenden Ausnahmen, die Sie in Internet > Ausnahmen festlegen. Ausnahmen gelten sowohl für den DPI- als auch den Proxy-Modus.
  10. Wählen Sie Synchronized Security Heartbeat konfigurieren, um die Heartbeat-Einstellungen festzulegen. Indem Sie diese Steuerelemente festlegen, können Sie Endgeräte und Server in Ihrem Netzwerk mittels XG Firewall schützen.

    Mit synchronisierter Sicherheit konfigurierte Endgeräte und Dienste senden in vordefinierten Intervallen einen Heartbeat, der Informationen über ihren Integritätsstatus an XG Firewall enthält.

    NameBeschreibung
    Minimal zulässiger Quell-HB

    Wählen Sie den minimalen Integritätsstatus aus, den ein Gerät, von dem der Datenverkehr stammt, beibehalten muss. Wenn ein Gerät nicht den Mindest-Heartbeat sendet, erhält der Benutzer nicht den in dieser Regel hinterlegten Zugriff.

    Grün: Nur Endgeräte, die diesen Integritätsstatus senden, erhalten Zugriff.

    Gelb: Nur Endgeräte, die einen grünen oder gelben Integritätsstatus senden, erhalten Zugriff.

    Keine Beschränkung: Alle Endgeräte erhalten Zugriff, einschließlich derjenigen, die keinen Heartbeat oder einen roten Status senden.

    Clients ohne Heartbeat sperren

    Wählen Sie diese Option, um die Geräte zu sperren, die keinen Heartbeat senden.

    Minimal zulässiger Ziel-HB

    Wählen Sie den minimalen Integritätsstatus aus, den ein Gerät, das Datenverkehr empfängt, beibehalten muss. Wenn ein Gerät nicht den Mindest-Heartbeat sendet, erhält der Benutzer nicht den in dieser Regel hinterlegten Zugriff.

    Grün: Nur Endgeräte, die diesen Integritätsstatus senden, erhalten Zugriff.

    Gelb: Nur Endgeräte, die einen grünen oder gelben Integritätsstatus senden, erhalten Zugriff.

    Keine Beschränkung: Alle Endgeräte erhalten Zugriff, einschließlich derjenigen, die keinen Heartbeat oder einen roten Status senden.

    Sie können die Ziel-Heartbeat-Steuerung auf Geräte im internen Netzwerk anwenden, nicht in der WAN-Zone.

    Anfrage zu einem Ziel ohne Heartbeat blockieren

    Wählen Sie diese Option, um die Geräte zu sperren, die keinen Heartbeat senden.

  11. Wählen Sie die Einstellungen für die anderen Sicherheitsfunktionen aus. Sie können neue Richtlinien für Anwendungssteuerung, IPS und Traffic Shaping auswählen oder erstellen.
    NameBeschreibung
    Anwendungen identifizieren und kontrollieren (App Control)

    Wählen Sie eine Anwendungsfilter-Richtlinie aus.

    Anwendungsbasierte Traffic-Shaping-Richtlinie anwenden

    Wählen Sie diese Option aus, um die Bandbreiteneinstellungen anzuwenden, die für die Anwendungen innerhalb der Anwendungskategorie festgelegt wurden.

    Exploits erkennen und verhindern (IPS)

    Wählen Sie eine IPS-Richtlinie aus.

    Datenverkehr regeln

    Wählen Sie eine Traffic-Shaping-Richtlinie aus, um eine Bandbreitengarantie oder -Beschränkung einzusetzen.

    Wenn Sie Übereinstimmung mit bekannten Benutzern ausgewählt haben, wird die Traffic-Shaping-Richtlinie der angegebenen Benutzer angewendet. Wenn keine Benutzerrichtlinie vorhanden ist, wird die Gruppenrichtlinie angewendet.

    DSCP-Markierung

    Wählen Sie die Stufe von DSCP-Markierung aus, um Pakete für die Priorisierung zu markieren. Weitere Informationen finden Sie unter DSCP-Wert.

    Beschleunigte Weiterleitung (Expedited Forwarding, EF): Warteschlangen basierend auf Priorität, die eine geringe Verzögerung und geringen Paketverlust gewährleisten. Geeignet für Echtzeitdienste.

    Gesicherte Weiterleitung (Assured Forwarding, AF): Sichere Lieferung, jedoch mit Paketverlust bei Überlastung. Weist eine höhere Priorität zu als „Best Effort“.

    Klassenauswahl (Class Selector, CS): Abwärtskompatibilität mit Netzwerkgeräten, die IP-Priorität in Type of Service verwenden.

  12. Um E-Mail-Inhalte zu scannen, wählen Sie die Protokolle IMAP, IMAPS, POP3, POP3S, SMTP und SMTPS aus.

    Wenn Sie hier ein Protokoll auswählen und seine Standardports nicht zu Dienste in dieser Regel hinzugefügt haben, wählen Sie Ports hinzufügen. Die Standardports für die ausgewählten Protokolle werden zu den Diensten hinzugefügt.

  13. Klicken Sie auf Speichern.