Einrichten einer Firewall

Übrigens ist die Windows-Firewall als Angriffsschutz aus dem Netz völlig ausreichend. Falls Sie keine weitere Desktop-Firewall einsetzen möchten, benutzen Sie das Onboard-Tool von Windows. Hinweis: Wenn Sie eine alte Desktop-Firewall hatten, hat sie vermutlich die Windows-Firewall während der Deinstallation nicht wieder aktiviert. Überprüfen Sie, ob das Onboard-Gerät aktiviert ist: "Systemsteuerung, Windows-Firewall".

Firewallkonfiguration

Die Firewall ist nun für die Steuerung des Verkehrs zwischen den verschiedenen Bereichen (LAN, DMZ und Internet) aktiv. Eine Verbindung vom LAN zu einem beliebigen Ort sowie eine Verbindung von der DMZ zum Netz sollte grundsätzlich zugelassen werden. Es wird für jeden der Services auf den Server in der DMZ, die über das Netz zugänglich sein sollen, eine Filter-Regel angelegt.

Standardmäßig blockiert die Firewall den Datenverkehr auf allen Interfaces. Standardmäßig wird die Firewall aktiviert, wenn die erste Richtlinie eingerichtet ist. Zur Identifizierung der Datenserver bei der Einrichtung der Filter-Regeln werden Alias-Namen für die IP-Adresse des Web- und des E-Mail-Servers erzeugt. Gehe zu Firewall -> Adresse -> Adresse -> Adressliste -> Neue.

Für Adresstyp Adresse/Subnetz . Gehen Sie genauso vor, um den Alias-Namen für den Mailserver zu konfigurieren. Gehe zu Firewall -> Adresse -> Adresse -> Adressliste - Deutsch. Für Adresstyp Adresse/Subnetz . Jeder einzelne der beiden Systeme sollte mehrere Services bereitstellen. Zur Vereinfachung der Konfigurierung der Filterregeln können Sie mehrere Services gruppieren.

Gehe zu Firewall -> Services -> Groups -> Groups -> New. Gehen Sie genauso vor, um die Servicegruppe für den E-Mail-Server zu konfigurieren. Gehe zu Firewall -> Services -> Groups -> Neu. Ausschlaggebend für die Funktionsweise der Firewall ist die ordnungsgemäße Gestaltung der Filter-Regeln und die ordnungsgemäße Zuordnung in der Filtersteuerungskette.

Bei einer Fehlkonfiguration kann es vorkommen, dass die Verbindung zum Autorouter nicht mehr möglich ist! Wenn die Alias-Namen für IP-Adressen und Services konfiguriert sind, können Sie nun die Filter-Regeln vorgeben. Um die erste Vorschrift zu konfigurieren, gehen Sie wie folgt vor: Gehe zu Firewall -> Policies -> Filter Rules -> New.

Selektieren Sie die Paketquelle, hier LAN_EN1-0 . Als Zielvorgabe ist ANY zu verwenden. Für Services wähle any . Wählen Sie hier die Aktion aus, die Sie anwenden möchten und klicken Sie auf Zugang. Bei diesen Einstellung sind abgehende Anschlüsse von LAN zu DMZ und zum Netz zulässig.

Die zweite Sortierregel muss auf die gleiche Weise konfiguriert werden wie die erste Sortierregel. Gehe zu Firewall -> Policies -> Filter Rules -> New. Wähle die Herkunft des Paketes, hier LAN_EN1-1 . LAN_EN1-4 als Destination auswählen. Für Services, wähle any . Die anzuwendende Maßnahme auswählen, hier klicken Sie auf Zugang .

Diese Einstellung ermöglicht es, von der DMZ ins Netz zu gehen. Jetzt können Zugriffsregeln aus dem Netz auf den Web-Server angelegt werden. Gehe zu Firewall -> Policies -> Policies -> Filter Rules -> New. Wähle die Herkunft des Paketes, hier LAN_EN1-4 . Markieren Sie als Destination den Web-Server.

Für Services wähle Web Services . Die anzuwendende Maßnahme auswählen, hier Zugang . Schließlich wird die Regelung für den Zugang aus dem Netz zum E-Mail-Server aufgesetzt. Gehe zu Firewall -> Policies -> Filter Rules -> New. Wähle die Herkunft des Paketes, hier LAN_EN1-4 .

EMailServer als Destination auswählen. Für Services klicken Sie auf EMailServices . Die anzuwendende Maßnahme auswählen, hier klicken Sie auf Zugang . Das Verzeichnis der eingerichteten Filter-Regeln sollte nun so aussehen: Gehe zu Firewall -> Policies -> Filter Rules. Damit ist die Einrichtung beendet.

Sichern Sie die Einstellung mit Save configuration und übernehmen Sie die Wahl mit OK.