| Seiteneigenschaften |
|---|
EmmpfehlungenEmpfehlungen:
1. Nur Ziel-Port in einer Firewall-Regel angeben:
...
Daher sollte bei der Regel-Erstellung darauf geachtet werden, dass möglichst wenig Filter daraus resultieren (sowohl innerhalb einer Regel als auch gesamt). Die
Die Anzahl der Filter resultieren aus der Anzahl der Kombinationsmöglichkeiten der Stations-Objekte multipliziert mit der Anzahl der Protokolle.
| Info |
|---|
Die Gesamt-Anzahl der Filter kann über den Konsolen-Befehl ls Status/IP-Router/Filter eingesehen werden. |
...
Die Filter selber können über den Befehl show filter aufgerufen werden. |
| Hinweis |
|---|
In Installationen mit sehr vielen Filtern kann der Aufruf des Befehls show filter zu einem unvermittelten Neustart des Routers führen. Daher sollte in einem solchen Szenario zuerst die Gesamt-Anzahl an Filtern geprüft und die Firewall-Regeln optimiert werden. |
...
. |
Beispiel:
Die Kommunikation für SSH HTTP und HTTPS soll sowohl ein- (für ein Portforwarding) als auch ausgehend (Internet-Kommunikation) für die Kommunikation per VPN erlaubt werden.
- Wird Es wird eine einzelne Firewall-Regel erstellt für die ein- und ausgehende Kommunikation (Quelle und Ziel sind gleich), resultiert dies bei zwei Protokollen (SSH und HTTPS) in 8 Filtern. Wird ein weiteres Protokoll hinzugefügt, liegt die Anzahl bereits bei 12 Filtern.
- .
- In der Firewall-Regel gibt es 4 Kombinationsmöglichkeiten der Stations-Objekte.
- Es werden 2 Protokolle erlaubt (HTTP und HTTPS).
- Dies resultiert in 4 x 2 = 8 Filtern.
- Es werden Werden zwei Firewall-Regeln erstellt und die ein- und ausgehende Kommunikation aufgeteilt, resultiert dies in lediglich 4 Filtern.
- Je Firewall-Regel gibt es lediglich eine Kombinationsmöglichkeit der Stations-Objekte.
- Es werden 2 Protokolle erlaubt (HTTP und HTTPS).
- Dies resultiert in 1 x 2 Filtern je Firewall-Regel, also 4 Filter insgesamt.
4. Priorisierung von Firewall-Regeln:
...