Quelle anzeigen

Beschreibung:

In diesem Artikel wird beschrieben, welche Besonderheiten bei der Vererbung von Firewall-Regeln auf einer LANCOM R&S®Unified Firewall zu beachten sind.

Regeln:

Regeln in einem Netzwerk-Objekt werden an ein nachgelagertes Host-Objekt vererbt. Diese gelten also auch für das Host-Objekt.
Eine vererbte DENY-Regel gilt immer vor einer konfigurierten ALLOW-Regel.

Beispiel zu Vererbung:

1. Desktop:

In einem Netzwerk gibt es das Netzwerk-Objekt INTRANET und das Host-Objekt Workstation.

LANCOM Support Knowledge Base DE > Vererbung von Firewall-Regeln auf einer LANCOM R&S®Unified Firewall > 1.png

2. Netzwerk-Objekt:

Vom Netzwerk-Objekt INTRANET zum Internet sind HTTP und HTTPS erlaubt und ICMP verboten.

Da die Unified Firewall nach dem DENY-ALL-Prinzip Arbeitet, ist zuerst jegliche Kommunikation verboten. In diesem Fall ist die Kommunikation per ICMP also bereits verboten. Es ist daher nicht erforderlich und in der Regel auch gar nicht sinnvoll ICMP extra zu verbieten.

Lediglich in Einzelfällen kann es sinnvoll sein einen bestimmten Port zu verbieten (etwa, wenn eine Port-Range erlaubt ist und sichergestellt sein soll, dass ein bestimmter Port verboten ist).

LANCOM Support Knowledge Base DE > Vererbung von Firewall-Regeln auf einer LANCOM R&S®Unified Firewall > 2.png

3. Host-Objekt:

Vom Host-Objekt Workstation zum Internet ist die Kommunikation per ICMP erlaubt.

LANCOM Support Knowledge Base DE > Vererbung von Firewall-Regeln auf einer LANCOM R&S®Unified Firewall > 3.png

4. Resultat:

Die Kommunikation per HTTP und HTTPS vom Host-Objekt Workstation zum Internet ist aufgrund der Vererbung erlaubt.
Die Kommunikation per ICMP vom Host-Objekt Workstation zum Internet bleibt verboten, da eine DENY-Regel immer vor einer ALLOW-Regel greift.