Sie können Regeln für abwiesene Zugriffe direkt aus dem Alarm- und Systemprotokoll erstellen. Vorzugsweise sollte das Alarm-Protokoll () verwendet werden, da dort direkt nach abgewiesenen Zugriffen (Connection Blocked) gefiltert werden kann.
Für die Nutzung dieser Funktionalität muss die Firewall entsprechend konfiguriert werden:
- Unter muss für Blockierter weiterzuleitender Verkehr der Wert Rohdaten lokal speichern ausgewählt werden, damit die Firewall über die notwendigen Daten verfügen kann.
- Eine Internet-Verbindung muss definiert sein, falls der Datenverkehr nicht zwischen internen Netzwerken an unterschiedlichen Schnittstellen der Firewall erfolgt.
Sobald Datenverkehr blockiert wurde, sollten im Alarmprotokoll Einträge der Kategorie "Connection Blocked" erscheinen.
Auf der rechten Seite jedes dieser Einträge kann der Benutzer über das Aktionsmenü eine Neue Regel erstellen. Daraufhin erscheint ein neuer Dialog, in dem Sie (eingeschränkter im Vergleich zum Verbindungsdialog) eine Regel definieren können.
| Bereich / Eingabefeld | Beschreibung |
|---|---|
| Protokoll-Informationen | Hier sind die Informationen des ausgewählten Eintrags aufgelistet. Beispiel: Von einem Host (192.168.3.3) aus dem internen Netz sollten über die Schnittstelle "eth3" per "ICMP" Daten an das Ziel 192.168.5.5 geschickt werden. |
| Dienst | Im "Dienst"-Abschnitt kann der Benutzer entscheiden, ob ein vorhandener vordefinierter oder benutzdefinierter Dienst verwendet oder ein neuer benutzerdefinierter Dienst erstellt werden soll. Es werden nur Dienste angezeigt, die im Port und Protokoll dem blockierten Zugriff entsprechen. Im vorliegenden Beispiel ist es ICMP mit (Port 0/Kein Port) und dem ICMP-Protokoll. Der neu zu erstellende Dienst würde dieselben Port- und Protokoll-Einstellungen beinhalten. Lediglich ein benutzerdefinierter Name kann eingegeben werden. |
| Quelle, Aktion und Ziel | Im unteren Bereich sind die fehlenden Daten zur Erstellung der Desktop-Verbindung einzugeben. Auch hier können Sie bei Quelle und Ziel auswählen, ob vorhandene Desktop-Objekte verwendet werden oder neue Desktop-Objekte erstellt werden sollen. Es kann auch ein neues mit einem vorhandenen Objekt verbunden werden. Die zur Verfügung stehenden vorhandenen Desktop-Objekte beinhalten alle Internet-Objekte und Desktop-Objekte, die in der IP-Adresse und dem Interface übereinstimmen. Dieses kann auch auf VPN-Desktop-Objekte zutreffen. Das standardmäßig ausgwählte vorhandene Desktop-Objekt ist das, welches am nächsten zum Interface und der IP-Adresse passt. In unserem Beispiel würde also ein Host-Objekt mit 192.168.3.3 und eth3 vorrangig gewählt gegenüber einem Netzwerk-Objekt mit 192.168.3.0/24. Falls kein anderes Desktop-Objekt vorausgewählt werden konnte, wird ein Internet-Objekt verwendet. Falls Sie ein neues Desktop-Objekt erstellen wollen, sind Sie auf ein Host- oder Netzwerk-Objekt beschränkt , um das Erstellen einer Regel schnell und einfach zu gestalten. Das Interface und die IP-Adresse werden entsprechend des blockierten Eintrags vorausgewählt. Nur ein Name muss eingegeben werden. Beim Interface kann auch – falls notwendig – aus allen vorhandenen Interfaces ohne Einschränkung gewählt werden. Lediglich die Adresse muss entweder komplett dem blockierten Zugriff entsprechen oder zumindest ein Netzwerk sein, das diese IP-Adresse beinhaltet, z. B. 192.168.3.0/24, 192.168.0.0/16. Je nach ausgwählter Adresse wird ein Host- oder ein Netzwerk-Objekt erstellt. Nachdem Quelle und Ziel gewählt sind, können Sie noch ggf die Zugriffsart oder das NAT ändern, indem die entsprechenden Symbole angeklickt werden wie bei den Regeln einer Desktop-Verbindung. Normalerweise sollte der Zugriff von Quelle zum Ziel oder ein beidseitiger Zugriff verwendet werden. NAT wird auch normalerweise nur bei einem Zugriff auf eine Adresse im Internet benötigt, deshalb wird NAT immer in Richtung des Internet-Objektes vorausgewählt. Sollte kein Internet-Objekt gewählt sein, ist NAT standardmäßig deaktiviert. |
Nach dem Erstellen der Regel, können über den Protokoll-Dialog weitere Regeln definiert werden oder der Protokoll-Dialog geschlossen werden. Sollten neue Regeln erstellt worden sein, werden Sie nach dem Schliessen des Protokoll-Dialoges aufgefordert, die Regeln zu aktivieren.
