...
Daher sollte bei der Regel-Erstellung darauf geachtet werden, dass möglichst wenig Filter daraus resultieren (sowohl innerhalb einer Regel als auch gesamt). Die Gesamt-Anzahl der Filter kann über den Konsolen-Befehl ls Status/IP-Router/Filter eingesehen werden. Die Filter selber können über den Befehl show filter aufgerufen werden.
| Hinweis |
|---|
In Installationen mit sehr vielen Filtern kann der Aufruf des Befehls show filter zu einem unvermittelten Neustart des Routers führen. Daher sollte in einem solchen Szenario zuerst die Gesamt-Anzahl an Filtern geprüft und die Firewall-Regeln optimiert werden. |
Die Anzahl der Filter resultieren aus der Anzahl der Stations-Objekte multipliziert mit der Anzahl der Protokolle.
Beispiel:
Die Kommunikation für HTTP SSH und HTTPS soll sowohl ein- (für ein Portforwarding) als auch ausgehend (Internet-Kommunikation) erlaubt werden.
- Wird eine einzelne Firewall-Regel erstellt erstellt für die ein- und ausgehende Kommunikation (Quelle und Ziel sind gleich), resultiert dies bei zwei Protokollen (SSH und HTTPS) in 8 Filtern. Wird ein weiteres Protokoll hinzugefügt, liegt die Anzahl bereits bei 12 Filtern.
- Werden zwei Firewall-Regeln erstellt und die ein- und ausgehende Kommunikation aufgeteilt, resultiert dies in lediglich 4 Filtern.
4. Priorisierung von Firewall-Regeln:
...