2.8.10.4.2 Beschreibung

SNMP-ID: 2.8.10.4.2

Pfad Telnet: /Setup/IP-Router/Firewall/Aktions-Tabelle

In der Aktionstabelle werden die Firewall-Aktionen als beliebige Kombinationen aus Bedingungen, Limits, Paket-Aktionen und weiteren Maßnahmen zusammengestellt.

Mögliche Werte:

Eine Firewall-Aktion besteht aus einer Bedingung, einem Limit, einer Paket-Aktion und sonstigen Maßnahmen. In der Aktionstabelle werden die Firewall-Aktionen als beliebige Kombinationen aus den folgenden Elementen zusammengestellt.

Bedingungen

Tabelle 1. Bedingungen für Firewall-Aktionen
Bedingung	Beschreibung	Objekt-ID
Connect-Filter	Der Filter ist aktiv, wenn keine physikalische Verbindung zum Ziel des Pakets besteht	`@c`
DiffServ-Filter	Der Filter ist aktiv, wenn das Paket den angegebenen Differentiated Services Code Point (DSCP) enthält	`@d`
Internet-Filter	Der Filter ist aktiv, wenn das Paket über die Defaultroute empfangen wurde oder gesendet werden soll	`@i`
VPN-Filter	Der Filter ist aktiv, wenn das Paket über eine VPN-Verbindung empfangen wurde oder gesendet werden soll	`@v`

Anmerkung: Wenn zum “Connect-” oder “Internet-” Filter keine weitere Aktion angegeben wird, dann wird implizit eine Kombination dieser Filter mit der “Reject” Aktion angenommen.

Limits

Jede Firewall-Aktion kann mit einem Limit verknüpft werden, dessen Überschreitung zur Auslösung der Aktion führt. Über mehrere Limits für einen Filter sind dadurch auch Aktionsketten möglich. Limit-Objekte werden dabei allgemein mit %L eingeleitet, gefolgt von:

Bezug: verbindungsbezogen (c) oder global (g)
Art: Datenrate (d), Anzahl der Pakete (p) oder Paketrate (b)
Wert des Limits
Weitere Parameter (z.B. Zeitraum und Größe)

Es stehen folgende Limitierungen zur Verfügung:

Tabelle 2. Limits für Firewall-Aktionen
Limit	Beschreibung	Objekt-ID
Data (abs)	Absolute Anzahl von Kilobytes auf der Verbindung nach denen die Aktion ausgeführt wird	`%lcd`
Data (rel)	Anzahl von Kilobytes/Sekunde, Minute, Stunde auf der Verbindung nach denen die Aktion ausgeführt wird	`%lcds, %lcdm, %lcdh`
Packet (abs)	Absolute Anzahl von Paketen auf der Verbindung nach denen die Aktion ausgeführt wird	`%lcp`
Packet (rel)	Anzahl von Paketen/Sekunde Minute, Stunde oder absolut auf der Verbindung nach denen die Aktion ausgeführt wird	`%lcps, %lcpm, %lcph`
global Data (abs)	Absolute Anzahl von Kilobytes, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird	`%lgd`
global Data (rel)	Anzahl von Kilobytes/Sekunde, Minute oder Stunde, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird	`%lgds, %lgdm, %lgdh`
global Packet (abs)	Absolute Anzahl von Paketen, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird	`%lgp`
global Packet (rel)	Anzahl von Paketen/Sekunde Minute oder Stunde, die an den Zielrechner gesendet oder von diesem empfangen wurden, nach denen die Aktion ausgeführt wird	`%lgps, %lgpm, %lgph`
receive Option	Beschränkung des Limits auf die Empfangsrichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben	`%lgdsr, %lcdsr`
transmit Option	Beschränkung des Limits auf die Senderichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben	`%lgdst, %lcdst`

Anmerkung: Wird eine Aktion ohne Limit angegeben, so wird implizit ein Paket-Limit angenommen, welches sofort beim ersten Paket überschritten wird.

Quality-of-Servic-Objekte

Eine weiteres Limit-Objekt ist das "Quality-of-Service-Objekt" oder QoS-Objekt, das es erlaubt, einen minimalen Durchsatz bzw. eine Minimale Bandbreite für eine Verbindung oder global zu definieren. Es können sämtliche Begrenzungen angegeben werden, die auch bei normalen Limit-Objekten möglich sind, also verbindungsorientierte oder globale Minima, absolute oder zeitabhängige (relative) Minima, paket- oder datenbezogene Minima. Es gelten die gleichen Konventionen wie bei den Limit-Objekten.

QoS-Objekte werden durch das Token %q eingeleitet und unterscheiden sich von Limit-Objekten nur dadurch, dass sie zunächst eine implizite "Accept" Aktion besitzen, d.h. nach überschreiten der Schwelle werden die folgenden Pakete weiterhin akzeptiert.

Alle Pakete, die einen mit einem QoS-Objekt belegten Filter durchlaufen, werden vom Gerät bevorzugt versendet (das entspricht einem gesetzten "Low Delay" Flag im TOS-Feld des IP-Headers), solange die Anzahl der übertragenen Pakete oder Daten unterhalb der angegebenen Schwelle liegt.

Wird die Schwelle überschritten, so werden die hinter dem QoS-Objekt angegebenen Aktionen ausgeführt. So kann für einen Dienst durch Kombination von QoS- und Limit-Objekt eine minimale und maximale Bandbreite vorgegeben werden.

So ergibt z.B. aus einer minimalen Bandbreite von 32 kBit/s pro Verbindung und einer maximalen Bandbreite von 256 kBit/s für alle Verbindungen die folgende Beschreibung:

%a %qcds32%a %lgds256%d

Hier kann die explizite Angabe der Accept-Aktion, sowohl als Haupt-Aktion, als auch als getriggerte Aktion unterbleiben und die Beschreibung entsprechend abgekürzt werden:

%qcds32 %lgds256%d

Wenn die minimale und maximale Bandbreite eines Kanals gleich sein soll, so kann an die Drop-Aktion auch direkt im QoS-Objekt angegeben werden (direkt in abgekürzter Schreibweise):

%qcds32%d

Hier wird eine minimale Bandbreite von 32 kBit/s reserviert und gleichzeitig alle Pakete, die über diese Bandbreite hinaus übertragen werden sollen, verworfen. Diese Formulierung ist somit gleichbedeutend mit %a %qcds32%a %lgds32%d.

Es stehen folgende Objekte zur Verfügung:

Tabelle 3. QoS-Objekte für Firewall-Aktionen
QoS-Objekt	Beschreibung	Objekt-ID
Minimale bzw. maximale Bandbreite reservieren	Reserviert die angegebene Bandbreite entsprechende der weiteren Parameter entweder global oder pro Verbindung	`%q`
Minimale bzw. maximale Bandbreite erzwingen	Erzwingt die angegebene Bandbreite. Falls die geforderte Bandbreite nicht zur Verfügung steht, lehtn das Gerät die Verbindung ab.	`%qf`

Paket-Aktionen

Tabelle 4. Paket-Aktionen für Firewall-Aktionen
Paket-Aktion	Beschreibung	Objekt-ID
Accept	Das Paket wird angenommen	`%a`
Reject	Das Paket wird mit einer passenden Fehlermeldung zurückgewiesen	`%r`
Drop	Das Paket wird stillschweigend verworfen	`%d`
Externe Prüfung	Das Paket wird einem anderen Modul für eine externe Prüfung übergeben. Dem `%x` folgt ein Kennzeichner für das Modul, welches die Prüfung durchführt. Mögliche Werte: `%xc` für den Contentfilter, gefolgt von einem zuvor definierten Contentfilter-Profil, z.B. `%xcCF-BASIC-PROFILE`.	`%x`

Anmerkung: Diese Pakete-Aktionen sind beliebig miteinander kombinierbar, wobei bei widersinnigen oder nicht eindeutigen Aktionen (z.B.: Accept + Drop) die sicherere, d.h. im Beispiel “Drop” genommen wird.

Sonstige Maßnahmen

Über die Paket-Aktionen hinaus kann die Firewall weitere Maßnahmen ausführen, sobald die gesetzten Limits erreicht wurden. So kann die Firewall z.B. Benachrichtigungen über verschiedene Kanäle versenden oder Ports sowie Hosts für bestimmte Zeit sperren.

Es stehen folgende Maßnahmen zur Verfügung:

Tabelle 5. Sonstige Maßnahmen für Firewall-Aktionen
Maßnahmen	Beschreibung	Objekt-ID
Syslog	Gibt eine detaillierte Meldung über Syslog aus	`%s`
Mail	Schickt eine E-Mail an den Administrator	`%m`
SNMP	Sendet einen SNMP-Trap	`%n`
Close-Port	Schließt den Zielport des Pakets für eine einstellbare Zeit	`%p`
Deny-Host	Sperrt die Absender-Adresse des Pakets für eine einstellbare Zeit	`%h`
Disconnect	Trennt die physikalische Verbindung zur Gegenstelle, über die das Paket empfangen wurde oder gesendet werden sollte	`%t`
Zero-Limit	Setzt den Limit-Counter (s.u.) bei überschreiten der Trigger-Schwelle wieder auf 0	`%z`
Fragmentierung	Erzwingt die Fragmentierung aller nicht auf die Regel passenden Pakete	`%f`

Anmerkung: Wenn die “Close-Port” Aktion ausgeführt wird, wird ein Eintrag in einer Sperrliste vorgenommen, durch den alle Pakete, die an den jeweiligen Rechner und Port gesendet werden, verworfen werden. Für das “Close-Port”-Objekt kann eine Sperrzeit in Sekunden, Minuten oder Stunden angegeben werden, die direkt hinter der Objekt-ID vermerkt wird. Diese Zeitangabe baut sich zusammen aus dem Bezeichner für die Zeiteinheit (h, m, s für Stunde, Minute und Sekunde) sowie der eigentlichen Zeitangabe. So sperrt z.B. %pm10 den Port für 10 Minuten. Wird keine Zeiteinheit angegeben, so wird “Minuten” als Einheit angenommen. (damit ist %p10 gleichbedeutend mit %pm10).

Anmerkung: Wird die “Deny-Host” Aktion ausgeführt, so wird der Absender des Pakets in eine Sperrliste eingetragen. Ab diesem Moment werden alle Pakete, die von dem gesperrten Rechner empfangen werden verworfen. Auch das “Deny-Host”-Objekt kann mit einer Sperrzeit versehen werden, die wie bei der “Close-Port” Option beschrieben gebildet wird.

Anmerkung: Wird die Aktion "Fragmentieren" ausgeführt, so kann diese zum einen richtungsabhängig wirken (%ft512, %fr512 fragmentiert gesendete bzw. empfangene Pakte auf 512 Bytes) oder statt einer harten Fragmentierung nur die PTMU senken (%fp512 reduziert die PMTU auf 512 Bytes). Auch die PMTU-Reduktion kann richtungabhängig definiert werden (%fpt512, %fpr512). Die Aktion "Fragmentieren" gilt zudem immer - unabhängig davon, ob ein Limit überschritten wurde.

Default: Leer