Aufbau einer expliziten ”Deny-All”-Strategie

Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z. B. Schutz vor sog. ’Trojanern’ bzw. E-Mail-Viren, die aktiv eine abgehende Verbindung auf bestimmten Ports aufbauen.

Die Deny-All-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen Netzwerks. Mit dieser Regel verfährt die Firewall nach dem Prinzip: “Alles, was nicht ausdrücklich erlaubt ist, bleibt verboten!” Nur mit dieser Strategie kann der Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit “vergessen” hat, denn es gibt nur die Zugänge, die er selbst geöffnet hat.

Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über ein Gerät mit dem Internet verbunden wird. Anschließend kann man in der Logging-Tabelle (z. B. über LANmonitor zu starten) sehr komfortabel nachvollziehen, welche Verbindungsaufbauten von der Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall und “Allow-Regeln” erweitert.

Einige typische Anwendungsfälle sind im Folgenden aufgezeigt.

Anmerkung: Alle hier beschriebenen Filter können sehr komfortabel mit dem Firewall-Assistenten eingerichtet werden, um danach bei Bedarf mit z. B. LANconfig weiter verfeinert zu werden.
Regel Quelle Ziel Aktion Dienst (Zielport)
ALLOW_HTTP Lokales Netzwerk Alle Stationen Übertragen HTTP, HTTPS
ALLOW_FTP Lokales Netzwerk Alle Stationen Übertragen FTP
ALLOW_EMAIL Lokales Netzwerk Alle Stationen Übertragen MAIL, NEWS
ALLOW_DNS_FORWARDING Lokales Netzwerk IP-Adresse des LANOM (alternativ: Lokales Netzwerk) Übertragen DNS
DENY_ALL Alle Stationen Alle Stationen Zurückweisen ANY
Regel Quelle Ziel Aktion Dienst
ALLOW_VPN_DIAL_IN Gegenstellenname Lokales Netzwerk Übertragen ANY
Regel Quelle Ziel Aktion Dienst (Zielport)
ALLOW_VPN VPN-Client VPN-Server Übertragen IPSEC, PPTP
Regel Quelle Ziel Aktion Dienst
ALLOW_DIAL_IN Gegenstellenname Lokales Netzwerk Übertragen ANY
Regel Quelle Ziel Aktion Dienst
ALLOW_LAN1_TO_LAN2 LAN1 LAN2 Übertragen ANY
ALLOW_LAN2_TO_LAN1 LAN2 LAN1 Übertragen ANY
Regel Quelle Ziel Aktion Dienst (Zielport)
ALLOW_WEBSERVER ANY Webserver Übertragen HTTP, HTTPS
Regel Quelle Ziel Aktion Dienst
ALLOW_PING Lokales Netzwerk Alle Stationen Übertragen ICMP

Diese Regeln können jetzt beliebig verfeinert werden - z. B. durch die Angabe von Mindest- und Maximalbandbreiten für den Serverzugriff, oder aber durch die feinere Einschränkung auf bestimmte Dienste, Stationen oder Gegenstellen.

Anmerkung: Das Gerät nimmt beim Aufbau der Filterliste eine automatische Sortierung der Firewall-Regeln vor. Dies geschieht dadurch, dass die Regeln anhand ihres Detaillierungsgrades sortiert in die Filterliste eingetragen werden. Zunächst werden alle spezifischen Regeln beachtet, danach die allgemein (z. B. Deny-All). Prüfen Sie bei komplexen Regelwerken die Filterliste, wie im nachfolgenden Abschnitt beschrieben.