...
Info |
---|
Eine beidseitige Maskierung mittels der Option Bidirektional führt zwar auch zu einer funktionierenden Internet-Verbindung. Allerdings wird bei einem eingerichteten Portforwarding als Absende-Adresse dann immer die Unified Firewall anstatt die Adresse des ursprünglichen Absenders angezeigt. Mit der Option Rechts-nach-links ist die Internet-Kommunikation nicht möglich, da die Kommunikation aus dem lokalen Netzwerk zum Internet nicht maskiert wird. Lediglich eingehende Kommunikation wird maskiert. |
2. Für ganzes Netzwerk das Objekt "Netzwerk" anstatt das Objekt "IP-Bereich" verwenden:
Bei Verwendung eines IP-Bereichs wird im Hintergrund für jede IP-Adresse eine eigene Regel erstellt. Dies sollte daher nur für einige zusammenhänge IP-Adressen verwendet werden und nicht für große Adressbereiche oder gar ein ganzes Netzwerk.
Bei Verwendung eines Netzwerks wird lediglich eine einzelne Regel erstellt.
3. Verwendung gleicher Protokolle bei Kaskadierung vermeiden:
...
Eine Ausnahme stellt die Verwendung eines Proxy dar, wenn für einzelne Hosts eine Ausnahme erstellt werden soll (etwa wenn für das Netzwerk INTERN der HTTP-Proxy für das Protokoll HTTPS verwendet wird und auf dem nachgelagerten Host Admin-PC HTTPS ohne aktivierten Proxy).
Die Kaskadierung eines Netzwerks, eines IP-Bereichs und eines Hosts mit dem gleichen Protokoll sollte unbedingt vermieden werden, da dies sonst zu einer dreifachen Regelerzeugung führt.
4. Erstellen von Regeln mit doppelten Ports/Protokollen vermeiden:
Wird ein benutzerdefinierter Dienst verwendet und zusätzlich ein weiterer Dienst hinzugefügt, der bereits in dem benutzerdefinierten Dienst enthalten ist, führt dies zu einer doppelten Regelerzeugung. Dies sollte daher vermieden werden.
Beispiel:
Der Der benutzerdefinierte Dienst Port-Range enthält die TCP- und UDP-Ports 1 - 1000. Zusätzlich wird das Protokoll HTTPS (TCP-Port 443) hinzugefügt, welches in dem Dienst Port-Range aber bereits enthalten ist. Dadurch kommt es zu einer doppelten Regelerzeugung.