Quelle anzeigen

Beschreibung:

In einigen Szenarien ist es erforderlich für die Kommunikation mit bestimmten Webseiten oder Webservern abweichende Regeln zu definieren. Dabei ist es einfacher den DNS-Namen einer Webseite anzugeben anstatt die IP-Adresse(n) zu hinterlegen. Auf einer LANCOM R&S®Unified Firewall lässt sich dies über einen Host (für einzelne Webseiten) oder eine Host-/Netzwerk-Gruppe (für mehrere Webseiten) realisieren.

In diesem Artikel wird beschrieben, wie DNS-basierte Regeln auf einer LANCOM R&S®Unified Firewall eingerichtet werden können.

Voraussetzungen:

LCOS FX ab Version 10.12 (download aktuelle Version)
Bereits eingerichtete und funktionsfähige Netzwerke samt Internet-Verbindung
Die Unified Firewall muss als DNS-Server bzw. DNS-Forwarder im Netzwerk konfiguriert sein
Web-Browser zur Konfiguration der Unified Firewall

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Vorgehensweise:

1. DNS-Namen von Webseiten in einem Host-Objekt oder Gruppen-Objekt hinterlegen:

Sollen für einzelne Webseiten unterschiedliche Firewall-Regeln für die Kommunikation erstellt werden, ist es sinnvoll diese in einzelnen Host-Objekten zu hinterlegen (siehe Schritt 1.1).

Sollen mehreren Webseiten die gleichen Firewall-Regeln für die Kommunikation zugewiesen werden, ist es sinnvoll diese in einer Host-/Netzwerk-Gruppe zusammenzufassen (siehe Schritt 1.2).

1.1 DNS-Namen von Webseiten in einem Host hinterlegen:

1.1.1 Klicken Sie im Webinterface der Unified Firewall auf das Symbol zum Erstellen eines Hosts.

Screenshot einer technischen Benutzeroberfläche mit Optionen zum Erstellen eines Hosts und Aktivieren einer Firewall.

1.1.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Geben Sie einen aussagekräftigen Namen für das Host-Objekt ein (in diesem Beispiel LANCOM).
Interface: Wählen Sie das Interface aus, über welches die Webseite angebunden ist. Bis auf wenige Ausnahmen muss hier also das Interface internet ausgewählt werden.
Host: Tragen Sie den DNS-Namen der Webseite ein (in diesem Beispiel lancom.de).

Bei einem Aufruf der URL wird immer nur die hinterlegte Domain berücksichtigt, nicht aber eine Sub-Domain (in diesem Beispiel würde also sub-domain.lancom.de nicht berücksichtigt). Dafür müsste dann ein weiterer Host erstellt werden.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Einstellung von Benutzerzugriff und Antivirus-Schutz.

1.2 DNS-Namen von Webseiten in einer Host-/Netzwerk-Gruppe hinterlegen:

1.2.1 Klicken Sie im Webinterface der Unified Firewall auf das Symbol zum Erstellen einer Host-/Netzwerk-Gruppe.

Screenshot einer Benutzeroberfläche zur Erstellung einer Host-Netzwerkgruppe mit Firewall-Einstellungsoptionen.

1.2.2 Geben Sie in dem Feld Name einen aussagekräftigen Namen für die Host-/Netzwerk-Gruppe ein (in diesem Beispiel Webseiten-DNS).

Screenshot einer technischen Konfigurationsseite mit Optionen, um bestimmte Netzwerk- und Sicherheitsfunktionen wie DNS-Hosts und Anti-Virus-Prüfungen für eine ausgewählte Gruppe auszunehmen.

1.2.3 Passen Sie bei Hosts/Netzwerke die folgenden Parameter an, um einen DNS-Eintrag für eine Webseite anzulegen und fügen diesen über das "Plus-Zeichen" hinzu. Klicken Sie anschließend auf Erstellen, um die Host-/Netzwerk-Gruppe anzulegen.

Name: Tragen Sie einen aussagekräftigen Namen für den Host-Eintrag ein (in diesem Beispiel LANCOM).
Interface: Wählen Sie das Interface aus, über welches die Webseite angebunden ist. Bis auf wenige Ausnahmen muss hier also das Interface internet ausgewählt werden.
Host/Netzwerk: Tragen Sie den DNS-Namen der Webseite ein (in diesem Beispiel lancom.de).

Wiederholen Sie diesen Schritt für weitere Webseiten.

Bei einem Aufruf der URL wird immer nur die hinterlegte Domain berücksichtigt, nicht aber eine Sub-Domain (in diesem Beispiel würde also sub-domain.lancom.de nicht berücksichtigt). Dafür müsste dann ein weiterer Eintrag unter Hosts/Netzwerke erstellt werden.

Screenshot einer technischen Benutzeroberfläche für Netzwerkeinstellungen mit Optionen zur DNS-Konfiguration, Sicherheitsausnahmen und Netzwerkzugriffsberechtigungen.

2. Erlauben der Kommunikation zwischen dem lokalen Netzwerk mit den Webseiten:

2.1 Klicken Sie auf das Netzwerk-Objekt, wählen das Verbindungswerkzeug aus und klicken auf das Host-Objekt bzw. das Objekt für die Host-/Netzwerk-Gruppe, um die Firewall-Regeln aufzurufen.

Grafik der Benutzeroberfläche mit der Aufschrift SHE ar INTRANET, die vermutlich Einstellungen oder Informationen zum internen Netzwerk anzeigt.

2.2 Fügen Sie die für die Kommunikation erforderlichen Dienste und Protokolle über die "Plus-Zeichen" hinzu.

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung mit verschiedenen Steuerungsoptionen wie NAT, URL Content Filter, Application Filter und Traffic Shaping, sowie einem Bereich, um neue Einträge hinzuzufügen. Bildschirmansicht eines technischen Konfigurationsmenüs mit verschiedenen unklaren und teilweise abgeschnittenen Begriffen, darunter Microsoft Exchange, UncomCommansContarstanc, und andere möglicherweise technische Kategorien.

2.3 Wechseln Sie in den Reiter NAT und wählen bei NAT / Masquerading die Option Links-nach-rechts aus. Dadurch werden alle Dienste und Protokolle dieser Verbindung nach außen per NAT maskiert.

Screenshot einer technischen Konfigurationsseite, die verschiedene Netzwerkeinstellungen wie URL- und Anwendungsfiltersysteme, Traffic Shaping, NAT-Einstellungen und IP-Routing-Optionen zeigt.

2.4 Klicken Sie auf Erstellen, um die Firewall-Regeln zu speichern.

Screenshot einer Netzwerkverwaltungsoberfläche mit verschiedenen technischen Einstellungsmöglichkeiten wie NAT, URL Content Filter, Application Filter, Application Based Routing, Traffic Shaping und Optionen zur IP-Adresskonfiguration.

2.5 Klicken Sie abschließend auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Diagramm oder Benutzeroberfläche zur Visualisierung von Firewall-Einstellungen und Sicherheitsprotokollen in einem Netzwerk.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.