Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z. B. Schutz vor sog. ’Trojanern’ bzw. E-Mail-Viren, die aktiv eine abgehende Verbindung auf bestimmten Ports aufbauen.
Die Deny-All-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen Netzwerks. Mit dieser Regel verfährt die Firewall nach dem Prinzip: “Alles, was nicht ausdrücklich erlaubt ist, bleibt verboten!” Nur mit dieser Strategie kann der Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit “vergessen” hat, denn es gibt nur die Zugänge, die er selbst geöffnet hat.
Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über ein Gerät mit dem Internet verbunden wird. Anschließend kann man in der Logging-Tabelle (z. B. über LANmonitor zu starten) sehr komfortabel nachvollziehen, welche Verbindungsaufbauten von der Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall und “Allow-Regeln” erweitert.
Einige typische Anwendungsfälle sind im Folgenden aufgezeigt.
Anmerkung: Alle hier beschriebenen Filter können sehr komfortabel mit dem Firewall-Assistenten eingerichtet werden, um danach bei Bedarf mit z. B. LANconfig weiter verfeinert zu werden.
- Beispielkonfiguration “Basic Internet”
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_HTTP |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
HTTP, HTTPS |
| ALLOW_FTP |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
FTP |
| ALLOW_EMAIL |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
MAIL, NEWS |
| ALLOW_DNS_FORWARDING |
Lokales Netzwerk |
IP-Adresse des LANOM (alternativ: Lokales Netzwerk) |
Übertragen |
DNS |
| DENY_ALL |
Alle Stationen |
Alle Stationen |
Zurückweisen |
ANY |
- Sofern Sie VPN-Einwahl auf ein Gerät als VPN-Gateway gestatten wollen, benötigen Sie eine Firewall-Regel, die die Kommunikation des Clients mit dem lokalen Netz erlaubt:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_VPN_DIAL_IN |
Gegenstellenname |
Lokales Netzwerk |
Übertragen |
ANY |
- Für den Fall, dass ein VPN nicht vom Gerät selbst terminiert wird (z. B. VPN-Client im lokalen Netz, oder das Gerät als Firewall vor einem zusätzlichen VPN-Gateway), so müssen Sie zusätzlich IPSec bzw. PPTP (für das ’IPSec over PPTP’ des LANCOM VPN Clients) freischalten:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_VPN |
VPN-Client |
VPN-Server |
Übertragen |
IPSEC, PPTP |
- Sofern Sie ISDN-Einwahl oder V.110-Einwahl (z. B. per HSCSD-Handy) gestatten, müssen Sie die betreffende Gegenstelle freischalten:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_DIAL_IN |
Gegenstellenname |
Lokales Netzwerk |
Übertragen |
ANY |
- Für eine Netzwerkkopplung gestatten Sie zusätzlich die Kommunikation zwischen den beteiligten Netzwerken:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_LAN1_TO_LAN2 |
LAN1 |
LAN2 |
Übertragen |
ANY |
| ALLOW_LAN2_TO_LAN1 |
LAN2 |
LAN1 |
Übertragen |
ANY |
- Wenn Sie einen z. B. einen eigenen Webserver betreiben, so schalten Sie selektiv den Server frei:
| Regel |
Quelle |
Ziel |
Aktion |
Dienst (Zielport) |
| ALLOW_WEBSERVER |
ANY |
Webserver |
Übertragen |
HTTP, HTTPS |
- Für Diagnosezwecke empfiehlt sich ferner die Freischaltung des ICMP-Protokolls (z. B. ping):
| Regel |
Quelle |
Ziel |
Aktion |
Dienst |
| ALLOW_PING |
Lokales Netzwerk |
Alle Stationen |
Übertragen |
ICMP |
Diese Regeln können jetzt beliebig verfeinert werden - z. B. durch die Angabe von Mindest- und Maximalbandbreiten für den Serverzugriff, oder aber durch die feinere Einschränkung auf bestimmte Dienste, Stationen oder Gegenstellen.
Anmerkung: Das Gerät nimmt beim Aufbau der Filterliste eine automatische Sortierung der Firewall-Regeln vor. Dies geschieht dadurch, dass die Regeln anhand ihres Detaillierungsgrades sortiert in die Filterliste eingetragen werden. Zunächst werden alle spezifischen Regeln beachtet, danach die allgemein (z. B. Deny-All). Prüfen Sie bei komplexen Regelwerken die Filterliste, wie im nachfolgenden Abschnitt beschrieben.