Emmpfehlungen:
1. Nur Ziel-Port in einer Firewall-Regel angeben:
Da bei der Netzwerk-Kommunikation ein zufälliger Quell-Port verwendet wird, darf in einer Firewall-Regel nur ein Protokoll/Ziel-Dienst angegeben werden. Der Protokoll/Quell-Dienst muss auf der Standardeinstellung alle Protokolle/Quell-Dienste belassen werden. Ansonsten greift die Regel nicht.
2. Zusammenfassen von IP-Adressen in einem IP-Adressbereich:
Generell ist es empfehlenswert mehrere IP-Adressen in einem IP-Adressbereich zusammenzufassen, anstatt diese einzeln anzugeben.
3. Ein- und ausgehenden Datenverkehr in unterschiedliche Firewall-Regeln auftrennen:
4. Priorisierung von Firewall-Regeln:
5. Fragmentierung und PMTU-Reduzierung in QoS-Regeln nur im Ausnahmefall aktivieren:
Die Optionen Fragmentierung und PMTU-Reduzierung in QoS-Regeln (unter Hinweis für Nutzer von Internetanschlüssen mit geringer Bandbreite) sollten nur im absoluten Ausnahmefall aktiviert werden. Durch die Aktivierung dieser Optionen sind alle Pakete der Internet-Gegenstelle betroffen, für die diese Regel gilt. Dies kann zu geringen Übertragungsgeschwindigkeiten und sogar zu Verbindungsabbrüchen von Applikationen führen.
6. Keine VPN-Regeln in der Firewall erstellen:
In sehr alten LCOS-Versionen mussten VPN-Regeln noch in der Firewall angelegt werden, indem dort anstelle der Option Diese Regel ist für die Firewall aktiv die Option Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet ausgewählt wird. Dies wirkt sich allerdings negativ auf die Übersicht aus. Weiterhin gehören die VPN-Regeln thematisch zum VPN und nicht in die Firewall.
Ab LCOS 9.24 können VPN-Regeln in dem Menü VPN → Allgemein → Netzwerk-Regeln angelegt werden. LANCOM Systems empfiehlt daher die VPN-Regeln in diesem Menü zu pflegen anstatt in der Firewall.
Wenn eine VPN-Regel in der Firewall erstellt wird, dürfen auf keinen Fall die Optionen Diese Regel ist für die Firewall aktiv und Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet in einer Regel aktiviert werden. Eine Regel ist entweder eine Firewall- oder eine VPN-Regel, aber niemals beides.