...
In stark heterogenen Umgebungen mit Netzwerk-Geräten unterschiedlicher Hersteller kann es herausfordernd sein, eine LANCOM eine LANCOM R&S®Unified Firewall mit UTM-Funktionen in einem vorhandenen Netzwerk einzubinden. Die einfachste Lösung ist der Einsatz des transparenten Bridge Mode. Dadurch können alle Features der vorhandenen Netzwerk-Geräte weiterverwendet werden (etwa bestehende VPN-Verbindungen).
In diesem Artikel wird beschrieben, wie die UTM-Funktionen einer LANCOM R&S®Unified Firewall in heterogenen Netzwerk-Umgebungen mittels transparentem Bridge Mode verwendet werden können.
| Info |
|---|
In diesem Szenario können alle UTM-Funktionen verwendet werden. |
Voraussetzungen:
- Unified Firewall mit LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.4
- Basic oder Full License (Full License erforderlich für UTM-Funktionen)
- Bereits eingerichtetes und funktionsfähiges Netzwerk-Szenario
- Die Unified Firewall muss sich im Werkszustand befinden
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
- Auf dem Router ist das IP-Netzwerk 192.168.100.0/24 mit der IP-Adresse 192.168.100.254 eingerichtet.
- Der Router fungiert als Standard-Gateway und stellt auch den DHCP- und DNS-Server zur Verfügung.
- Auf der Unified Firewall werden die Interfaces eth1 und eth2 in der der Bridge br0 zusammengefasst und dieser die IP-Adresse 192.168.100.253 zugewiesen.
Vorgehensweise:
...
1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall, wechseln in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und löschen zwei nicht verwendete Verbindungen über die "Mülltonnen-Symbole", damit zwei Ethernet-Ports für die Bridge zur Verfügung stehen (in diesem Beispiel die Interfaces eth1 und eth2).
...
1.2 Wechseln Sie in das Menü Netzwerk → Interfaces → Bridge Interfaces und klicken auf das "Plus-SymbolZeichen", um ein neues Interface zu erstellen.
...
1.4 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und und klicken auf das "Plus-SymbolZeichen", um ein neues Interface zu erstellen.
...
1.7 Klicken Sie auf das "Plus-SymbolZeichen", um einen weiteren Routing-Eintrag zu erstellen.
...
- Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Bridge-Interface Produktion).
- Interface: Wählen Sie das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
- Netzwerk-IP: Tragen Sie die Netz-Adresse des vorhandenen Netzwerks im CIDR-Format ein (in diesem Beispiel 192.168.100.0/24).
1.12 Klicken Sie erneut auf das Symbol zum Erstellen eines Netzwerks, um ein Objekt für die Internet-Verbindung anzulegen.
...
- Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Internet).
- Interface: Wählen Sie die Schnittstelle any aus.
- Netzwerk-IP: Tragen Sie die Adresse 0.0.0.0/0 ein. Diese steht für beliebige Ziele.
2. Erlauben der DHCP-Kommunikation:
Damit die DHCP-Kommunikation zwischen den Endgeräten und dem DHCP-Server auf dem Router möglich ist, muss eine entsprechende Firewall-Regel erstellt werden.
| Info |
|---|
Wird ein DHCP-Server "hinter" der Unified Firewall verwendet, durchlaufen die DHCP-Pakete die Unified Firewall nicht. In diesem Fall müssen die folgenden Konfigurations-Schritte nicht umgesetzt werden. |
2.1 .14 Klicken Sie auf das Symbol zum Erstellen eines Hosts, um ein Objekt für die DHCP-Quelle anzulegen.
12.15 2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Source).
- Interface: Wählen Sie das Interface any aus.
- IP-Adresse: Tragen Sie die IP-Adresse 0.0.0.0 ein. Eine DHCP-Anfrage wird immer mit dieser Quell-Adresse durchgeführt.
12.16 3 Klicken Sie erneut auf das Symbol zum Erstellen eines Hosts, um ein Objekt für das DHCP-Ziel anzulegen.
12.17 Passen 4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Target).
- Interface: Wählen Sie das Interface any aus.
- IP-Adresse: Tragen Sie die IP-Adresse 255.255.255.255 ein. Eine DHCP-Anfrage wird immer mit dieser Ziel-Adresse durchgeführt. Es handelt sich dabei um eine Broadcast-Adresse.
12.18 5 Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Zeichen", um einen benutzerdefinierten Dienst zu erstellen.
12.19 6 Vergeben Sie einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen", um Ports und Protokolle hinzuzufügen.
12.20 7 Tragen Sie die Ports von 67 bis 68 ein und wählen das Protocol UDP aus. Klicken Sie anschließend auf OK.
12.21 8 Klicken Sie auf Erstellen.
12.22 9 Klicken Sie auf dem Desktop auf das in Schritt 12.15 erstellte 2 erstellte Objekt für die DHCP-Quelle (DHCP_Source), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 12.17 erstellte 4 erstellte Objekt für das DHCP-Ziel (DHCP_Target).
12.23 10 Fügen Sie den in Schritt 12.19 6 - 12.21 erstellten 8 erstellten benutzerdefinierten Dienst für DHCP über einen Klick auf das "Plus-Zeichen" hinzu.
12.24 11 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.
12.25 12 Die Konfiguration der transparenten Bridge ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
2. Konfiguration von UTM-Funktionen:
3. Konfiguration von UTM-Funktionen:
Anschließend können die UTM-Funktionen eingerichtet werden:
- LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen
- LANCOM R&S®Unified Firewall: Konfiguration des Mail-Proxy zur Nutzung von E-Mail Sicherheit
- LANCOM R&S®Unified Firewall: Konfiguration des Paket-Filters
- LANCOM R&S®Unified Firewall: Konfiguration des Application-Filter
- LANCOM R&S®Unified Firewall: Konfiguration der Antivirus-Funktion
- LANCOM R&S®Unified Firewall: Konfiguration des URL-/Content-Filter