Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen,
zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann
selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet. Dies
bietet z. B. Schutz vor sog. ’Trojanern’ bzw. E‑Mail-Viren, die aktiv eine abgehende
Verbindung auf bestimmten Ports aufbauen.
Die "Deny-All"-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen
Netzwerks. Mit dieser Regel verfährt die Firewall nach dem Prinzip: "Alles, was nicht
ausdrücklich erlaubt ist, bleibt verboten!" Nur mit dieser Strategie kann der
Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit übersehen hat, denn
es gibt nur die Zugänge, die er selbst geöffnet hat.
Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über ein Gerät mit dem
Internet verbunden wird. Anschließend kann man in der Logging-Tabelle (z. B. über
LANmonitor zu starten) sehr komfortabel nachvollziehen, welche Verbindungsaufbauten von der
Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall mit
"Allow-Regeln" erweitert.
Einige typische Anwendungsfälle sind im Folgenden aufgezeigt.
Anmerkung: Alle hier beschriebenen Filter können sehr komfortabel mit dem
Firewall-Assistenten eingerichtet werden, um danach bei Bedarf mit z. B. LANconfig
weiter verfeinert zu werden.
- Beispielkonfiguration "Basic Internet"
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_HTTP |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
HTTP, HTTPS |
| ALLOW_FTP |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
FTP |
| ALLOW_EMAIL |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
MAIL, NEWS |
| ALLOW_DNS_FORWARDING |
Lokales Netzwerk |
IP-Adresse des Routers (alternativ: Lokales Netzwerk) |
Übertragen |
DNS |
| DENY_ALL |
Alle Stationen |
Alle Stationen |
Zurückweisen |
ANY |
- Sofern Sie VPN-Einwahl auf ein Gerät als VPN-Gateway gestatten wollen, benötigen Sie eine
Firewall-Regel, die die Kommunikation des Clients mit dem lokalen Netz erlaubt:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_VPN_DIAL_IN |
Gegenstellenname |
Lokales Netzwerk |
Übertragen |
ANY |
- Für den Fall, dass ein VPN nicht vom Gerät selbst terminiert wird
(z. B. VPN-Client im lokalen Netz, oder das Gerät als Firewall vor einem zusätzlichen
VPN-Gateway), so müssen Sie zusätzlich IPSec bzw. PPTP (für das ’IPSec over PPTP’ des LANCOM VPN Clients) freischalten:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_VPN |
VPN-Client |
VPN-Server |
Übertragen |
IPSEC, PPTP |
- Sofern Sie ISDN-Einwahl oder V.110-Einwahl (z. B. per HSCSD-Handy)
gestatten, müssen Sie die betreffende Gegenstelle freischalten:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_DIAL_IN |
Gegenstellenname |
Lokales Netzwerk |
Übertragen |
ANY |
- Für eine Netzwerkkopplung gestatten Sie zusätzlich die Kommunikation
zwischen den beteiligten Netzwerken:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_LAN1_TO_LAN2 |
LAN1 |
LAN2 |
Übertragen |
ANY |
| ALLOW_LAN2_TO_LAN1 |
LAN2 |
LAN1 |
Übertragen |
ANY |
- Wenn Sie z. B. einen eigenen Webserver betreiben, so schalten Sie
selektiv den Server frei:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_WEBSERVER |
ANY |
Webserver |
Übertragen |
HTTP, HTTPS |
- Für Diagnosezwecke empfiehlt sich ferner die Freischaltung des ICMP-Protokolls
(z. B. für den Befehl ping):
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_PING |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
ICMP |
Diese Regeln können jetzt beliebig verfeinert werden – z. B. durch die Angabe von
Mindest- und Maximalbandbreiten für den Serverzugriff, oder aber durch die feinere
Einschränkung auf bestimmte Dienste, Stationen oder Gegenstellen.
Wichtig: Das Gerät nimmt beim Aufbau der Filterliste eine automatische Sortierung
der Firewall-Regeln vor. Dies geschieht dadurch, dass die Regeln anhand ihres
Detaillierungsgrades sortiert in die Filterliste eingetragen werden. Zunächst werden alle
spezifischen Regeln beachtet, danach die allgemeinen (z. B. Deny-All). Prüfen Sie bei
komplexen Regelwerken die Filterliste, wie im nachfolgenden Abschnitt beschrieben.
