Empfehlungen:
1. Nur Ziel-Port in einer Firewall-Regel angeben:
Da bei der Netzwerk-Kommunikation bis auf wenige Ausnahmen (z.B. IPSec) ein zufälliger Quell-Port verwendet wird, darf in einer Firewall-Regel nur ein Protokoll/Ziel-Dienst angegeben werden. Der Protokoll/Quell-Dienst muss auf der Standardeinstellung alle Protokolle/Quell-Dienste belassen werden. Ansonsten greift die Regel nicht.
2. Zusammenfassen von IP-Adressen in einem IP-Adressbereich:
Generell ist es empfehlenswert mehrere IP-Adressen in einem IP-Adressbereich zusammenzufassen, anstatt diese einzeln anzugeben.
3. Ein- und ausgehenden Datenverkehr in unterschiedliche Firewall-Regeln auftrennen:
Die Firewall teilt einzelne Regeln in Filter auf. Je mehr Filter in einer Regel vorhanden sind, desto mehr Aufwand stellt die Bearbeitung für die Firewall dar, wenn die Regel greift und eine Session aufgebaut wird. Die Anzahl der Filter hat somit einen Einfluss auf die Performance. Daher sollte bei der Regel-Erstellung darauf geachtet werden, dass möglichst wenig Filter daraus resultieren (sowohl innerhalb einer Regel als auch gesamt).
Die Anzahl der Filter resultieren aus der Anzahl der Kombinationsmöglichkeiten der Stations-Objekte multipliziert mit der Anzahl der Protokolle.
Die Gesamt-Anzahl der Filter kann über den Konsolen-Befehl ls Status/IP-Router/Filter eingesehen werden. Die Filter selber können über den Befehl show filter aufgerufen werden.
In Installationen mit sehr vielen Filtern kann der Aufruf des Befehls show filter zu einem unvermittelten Neustart des Routers führen. Daher sollte in einem solchen Szenario zuerst die Gesamt-Anzahl an Filtern geprüft und die Firewall-Regeln optimiert werden.
Beispiel:
Die Kommunikation für HTTP und HTTPS soll über eine VPN-Verbindung in beide Richtungen erlaubt werden.
- Es wird eine einzelne Firewall-Regel erstellt für die Kommunikation in beide Richtungen (Quelle und Ziel sind gleich).
- In der Firewall-Regel gibt es 4 Kombinationsmöglichkeiten der Stations-Objekte.
- Es werden 2 Protokolle erlaubt (HTTP und HTTPS).
- Dies resultiert in 4 x 2 = 8 Filtern.
- Es werden zwei Firewall-Regeln erstellt und die ein- und ausgehende Kommunikation aufgeteilt.
- Je Firewall-Regel gibt es lediglich eine Kombinationsmöglichkeit der Stations-Objekte.
- Es werden 2 Protokolle erlaubt (HTTP und HTTPS).
- Dies resultiert in 1 x 2 Filtern je Firewall-Regel, also 4 Filter insgesamt.
4. Priorisierung von Firewall-Regeln:
Die Firewall-Regel-Tabelle wird von oben nach unten durchlaufen, bis eine Regel greift. Grundsätzlich sortiert die Firewall die Regeln bereits in der passenden Reihenfolge.
In Einzelfällen kann es allerdings erforderlich sein, die Priorisierung für eine Regel anzupassen. Die Regel für den Content-Filter etwa muss als Erstes greifen, daher wird dieser die Priorität 9999 zugewiesen.
5. Fragmentierung und PMTU-Reduzierung in QoS-Regeln nur im Ausnahmefall aktivieren:
Die Optionen Fragmentierung und PMTU-Reduzierung in QoS-Regeln (unter Hinweis für Nutzer von Internetanschlüssen mit geringer Bandbreite) sollten nur im absoluten Ausnahmefall aktiviert werden.
Durch die Aktivierung dieser Optionen sind alle Pakete der Internet-Gegenstelle betroffen, für die diese Regel gilt. Dies kann zu geringen Übertragungsgeschwindigkeiten und sogar zu Verbindungsabbrüchen von Applikationen führen.
6. Keine VPN-Regeln in der Firewall erstellen:
In sehr alten LCOS-Versionen mussten VPN-Regeln noch in der Firewall angelegt werden, indem dort anstelle der Option Diese Regel ist für die Firewall aktiv die Option Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet ausgewählt wird. Dies wirkt sich allerdings negativ auf die Übersicht aus. Weiterhin gehören die VPN-Regeln thematisch zum VPN und nicht in die Firewall.
Ab LCOS 9.24 können VPN-Regeln in dem Menü VPN → Allgemein → Netzwerk-Regeln angelegt werden. LANCOM Systems empfiehlt daher die VPN-Regeln in diesem Menü zu pflegen anstatt in der Firewall.
Wenn eine VPN-Regel in der Firewall erstellt wird, dürfen auf keinen Fall die Optionen Diese Regel ist für die Firewall aktiv und Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet gleichzeitig in einer Regel aktiviert werden. Eine Regel ist entweder eine Firewall- oder eine VPN-Regel, aber niemals beides.
