Zur besseren Abschirmung der DMZ (demilitarisierten Zone) und des Intranets gegen unerlaubte Zugriffe kann für die jeweiligen Interfaces eine zusätzliche Adressprüfung über das Intrusion Detection System (IDS) der Firewall aktiviert werden.
Die entsprechenden Schalter heißen 'DMZ-Check' bzw. 'Intranet-Check' und können die Werte 'loose' bzw. 'strict' annehmen:
- Wenn der Schalter auf 'loose' steht, dann wird jede Quelladresse akzeptiert, wenn das Gerät selbst angesprochen wird.
- Steht der Schalter jedoch auf 'strict', dann muss explizit eine Rückroute vorhanden sein, damit kein IDS-Alarm ausgelöst wird. Das ist also üblicherweise dann der Fall, wenn das Datenpaket eine Absenderadresse enthält, in die das entsprechende Interface auch selbst Daten routen kann. Absenderadressen aus anderen Netzen, in die das Interface nicht routen kann, oder Absenderadressen aus dem eigenen Adresskreis führen daher zu einem IDS-Alarm.
Anmerkung: Der Default ist bei allen Geräten 'loose'. Nur beim LANCOM 7011 VPN steht der Default auf 'strict', da bei diesem Gerät auch bisher schon eine schärfere Adressprüfung verwendet wurde.
Den Schalter zur Aktivierung von der DMZ- und Intranet-Adressprüfung finden Sie in LANconfig im Konfigurationsbereich 'TCP-IP' auf der Registerkarte 'Allgemein'.
LANconfig: TCP/IP / Allgemein
WEBconfig: LCOS-Menübaum / Setup / TCP-IP