Sophos XG Firewall · 2019. 3. 22. · Kapitel 1 1 Einleitung Sophos XG Firewall verbindet das Beste der Technologien von Astaro und Cyberoam. So erreicht sie ein bisher noch nie

Sophos XG Firewall

HilfeProduktversion: 17

InhaltKapitel 1- Einleitung................................................................................................................................. 1

Varianten........................................................................................................................................1Verwaltungsoberflächen................................................................................................................ 2Administratorzugriff........................................................................................................................ 2

Kapitel 2- Die Web-Admin-Oberfläche verwenden.................................................................................. 4Unterstützte Browser..................................................................................................................... 5Menüs............................................................................................................................................ 6Seiten.............................................................................................................................................6Liste der Navigationselemente...................................................................................................... 6

Kapitel 3- Kontrollzentrum........................................................................................................................7Kapitel 4- Aktuelle Aktivitäten................................................................................................................ 16

Live-Benutzer...............................................................................................................................16Live-Verbindungen.......................................................................................................................18Live-Verbindungen IPv6.............................................................................................................. 20Live-Verbindungsinformationen anzeigen................................................................................... 21IPsec-Verbindungen.................................................................................................................... 25Remote-Benutzer.........................................................................................................................25

Kapitel 5- Berichte..................................................................................................................................27Dashboards..................................................................................................................................27Anwendungen & Web................................................................................................................. 28Netzwerk & Bedrohungen........................................................................................................... 28VPN..............................................................................................................................................29E-Mail...........................................................................................................................................29Compliance.................................................................................................................................. 29Eigene..........................................................................................................................................30Lesezeichen.................................................................................................................................31Berichtseinstellungen...................................................................................................................32

Kapitel 6- Diagnose................................................................................................................................37Tools............................................................................................................................................ 37Systemdiagramme....................................................................................................................... 40URL-Kategoriensuche..................................................................................................................46Paketerfassung............................................................................................................................ 46Verbindungsliste.......................................................................................................................... 52Support-Zugriff............................................................................................................................. 54

Kapitel 7- Firewall.................................................................................................................................. 56Benutzer-/Netzwerkregel............................................................................................................. 61Geschäftsanwendungsregel........................................................................................................ 74

Kapitel 8- Angriffsvorbeugung..............................................................................................................132DoS-Angriffe.............................................................................................................................. 132IPS-Richtlinien........................................................................................................................... 132Eigene IPS-Signaturen.............................................................................................................. 135DoS-& Täuschungsschutz......................................................................................................... 136

Kapitel 9- Internet.................................................................................................................................142Richtlinien.................................................................................................................................. 142Benutzeraktivitäten.................................................................................................................... 147Kategorien..................................................................................................................................149URL-Gruppen.............................................................................................................................150Ausnahmen................................................................................................................................151Allgemeine Einstellungen.......................................................................................................... 153Dateitypen..................................................................................................................................157Surfkontingente..........................................................................................................................158Benutzerbenachrichtigungen..................................................................................................... 159

(2019/03/22)

Inhaltsfilter..................................................................................................................................160Webschutz verbessern.............................................................................................................. 160Webschutz anpassen................................................................................................................ 161Zugriff auf Websites kontrollieren............................................................................................. 164Inhalt mithilfe einer Liste von Begriffen blockieren................................................................... 168

Kapitel 10- Anwendungen....................................................................................................................171Anwendungsfilter....................................................................................................................... 171Synchronized Application Control............................................................................................. 173Cloud-Anwendungen................................................................................................................. 175Anwendungsliste........................................................................................................................176Traffic-Shaping-Standard...........................................................................................................176Hochrisikoanwendungen blockieren.......................................................................................... 177

Kapitel 11- WLAN................................................................................................................................ 181WLAN-Einstellungen..................................................................................................................181WLAN-Client-Liste..................................................................................................................... 182WLAN-Netzwerke...................................................................................................................... 182Access Points............................................................................................................................ 186Suche nach unautorisierten APs...............................................................................................192Access-Point-Gruppen...............................................................................................................192Mesh-Netzwerke........................................................................................................................ 193Hotspots.....................................................................................................................................196Hotspot-Einstellungen................................................................................................................202Hotspot-Voucher-Definition........................................................................................................203Mesh-Netzwerk einrichten......................................................................................................... 204WLAN-Netzwerk als separate Zone einsetzen......................................................................... 205WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichten.............................................. 208Hotspot mit einer eigenen Anmeldeseite einrichten..................................................................210Gastzugang mithilfe eines Hotspot-Vouchers bieten................................................................ 211

Kapitel 12- E-Mail.................................................................................................................................213MTA-Modus............................................................................................................................... 214Legacy-Modus........................................................................................................................... 242

Kapitel 13- Webserver......................................................................................................................... 270Webserver..................................................................................................................................270Schutzrichtlinien.........................................................................................................................271Authentifizierungsrichtlinien....................................................................................................... 276Authentifizierungsvorlagen.........................................................................................................278Allgemeine Einstellungen.......................................................................................................... 278Einen Webserver vor Angriffen schützen..................................................................................279

Kapitel 14- Komplexe Bedrohungen.................................................................................................... 284Schutz vor komplexen Bedrohungen........................................................................................ 284Sandstorm-Aktivität....................................................................................................................284Sandstorm-Einstellungen...........................................................................................................285

Kapitel 15- Zentrale Synchronisierung.................................................................................................287Kapitel 16- VPN................................................................................................................................... 289

IPsec-Richtlinien........................................................................................................................ 289IPsec-Verbindungen.................................................................................................................. 294VPN-Einstellungen.....................................................................................................................299SSL-VPN (Fernzugriff)...............................................................................................................301SSL-VPN (Site-to-Site).............................................................................................................. 302Sophos Connect Client............................................................................................................. 304L2TP (Fernzugriff)..................................................................................................................... 306PPTP (Fernzugriff).....................................................................................................................309Clientloser Zugriff...................................................................................................................... 310Lesezeichen...............................................................................................................................311Lesezeichengruppen..................................................................................................................313Remote-Zugriff SSL-VPN erstellen........................................................................................... 313

(2019/03/22)

Site-to-Site-SSL-VPN erstellen..................................................................................................319Site-to-Site IPsec-VPN erstellen............................................................................................... 323

Kapitel 17- Netzwerk............................................................................................................................331Schnittstellen..............................................................................................................................331Zonen.........................................................................................................................................353WAN-Link-Manager................................................................................................................... 354DNS........................................................................................................................................... 356DHCP.........................................................................................................................................359IPv6-Router-Advertisement........................................................................................................363Mobiles WAN.............................................................................................................................366IP-Tunnel................................................................................................................................... 367Nachbarn (ARP-NDP)............................................................................................................... 369Dynamisches DNS.................................................................................................................... 371Site-to-Site RED-Tunnel erstellen............................................................................................. 372Ein RED manuell einrichten...................................................................................................... 374

Kapitel 18- Routing.............................................................................................................................. 377Statisches Routing.....................................................................................................................377Richtlinienrouting....................................................................................................................... 380Gateways................................................................................................................................... 382BGP........................................................................................................................................... 384OSPF......................................................................................................................................... 385Information................................................................................................................................. 389Upstream-Proxy......................................................................................................................... 401Multicast (PIM-SM).................................................................................................................... 402RIP............................................................................................................................................. 403

Kapitel 19- Authentifizierung................................................................................................................ 407Server........................................................................................................................................ 407Dienste.......................................................................................................................................421Gruppen..................................................................................................................................... 426Benutzer.....................................................................................................................................429Einmalkennwort......................................................................................................................... 434Captive-Portal............................................................................................................................ 438Gastbenutzer............................................................................................................................. 439Clientlose Benutzer................................................................................................................... 443Gastbenutzer-Einstellungen.......................................................................................................445Client-Downloads.......................................................................................................................448STAS..........................................................................................................................................449Zwei-Faktor-Authentifizierung konfigurieren.............................................................................. 452OTP-Tokens manuell ausstellen............................................................................................... 454Active-Directory-Authentifizierung konfigurieren........................................................................456LDAP-Authentifizierung konfigurieren........................................................................................459RADIUS-Authentifizierung konfigurieren................................................................................... 461Transparente Authentifizierung mithilfe von STAS konfigurieren..............................................463Chromebook Single Sign-On konfigurieren...............................................................................469

Kapitel 20- Systemdienste................................................................................................................... 473Hochverfügbarkeit......................................................................................................................473Traffic-Shaping-Einstellungen....................................................................................................482RED........................................................................................................................................... 483Malware Protection....................................................................................................................484Protokolleinstellungen................................................................................................................484Datenanonymisierung................................................................................................................ 487Traffic Shaping.......................................................................................................................... 487Dienste.......................................................................................................................................489

Kapitel 21- Profile.................................................................................................................................490Zeitplan...................................................................................................................................... 490Zugriffszeit................................................................................................................................. 491

(2019/03/22)

Surfkontingente..........................................................................................................................492Netzwerkdatenkontingente........................................................................................................ 494NAT............................................................................................................................................495Appliance-Zugriff........................................................................................................................496

Kapitel 22- Hosts und Dienste.............................................................................................................498IP-Host....................................................................................................................................... 498IP-Hostgruppe............................................................................................................................499MAC-Host.................................................................................................................................. 500FQDN-Host................................................................................................................................ 501FQDN-Hostgruppe..................................................................................................................... 502Ländergruppe.............................................................................................................................502Dienste.......................................................................................................................................503Dienstgruppe..............................................................................................................................504

Kapitel 23- Verwaltung.........................................................................................................................506Lizenzen.....................................................................................................................................506Appliance-Zugriff........................................................................................................................508Admin-Einstellungen.................................................................................................................. 511Zentrale Verwaltung.................................................................................................................. 512Zeit............................................................................................................................................. 514Benachrichtigungs-einstellungen............................................................................................... 514Netflow....................................................................................................................................... 516Meldungen................................................................................................................................. 517SNMP.........................................................................................................................................517

Kapitel 24- Sicherung & Firmware.......................................................................................................521Sicherung & Firmware...............................................................................................................521API............................................................................................................................................. 523Import/Export............................................................................................................................. 524Firmware.................................................................................................................................... 525Pattern-Updates.........................................................................................................................528

Kapitel 25- Zertifikate........................................................................................................................... 530Zertifikate................................................................................................................................... 530Zertifizierungsstelle (CA)........................................................................................................... 533Zertifikatsperrlisten.....................................................................................................................535

Anhang A- Protokolle........................................................................................................................... 536Protokoll-ID................................................................................................................................ 536Protokollfelder............................................................................................................................ 541Benachrichtigungen................................................................................................................... 553Protokollansicht..........................................................................................................................569

Anhang B- Richtlinientest.....................................................................................................................571Anhang C- IPS-Syntax für eigene Patterns.........................................................................................572Anhang D- Standard-Dateityp-Kategorien........................................................................................... 581Anhang E- USB-Kompatibilitätsliste.....................................................................................................586Anhang F- Kompatibilität mit SFMOS 15.01.0.....................................................................................638Anhang G- Datenschutzhinweis...........................................................................................................639

(2019/03/22)

Kapitel 1

1 EinleitungSophos XG Firewall verbindet das Beste der Technologien von Astaro und Cyberoam. So erreichtsie ein bisher noch nie da gewesenes Niveau an Innovation für Firewalls der nächsten Generation.

Mit einer komplett neuen Benutzeroberfläche, der neuen Sophos Security Heartbeat-Technologieund einem leistungsstarken, neuen und vereinheitlichen Richtlinienmodell führt Sophos Firewall eineReihe wichtiger Innovationen ein, die Einfachheit, Schutz und Leistung auf eine ganz neue Ebeneheben.

XG Firewall Läuft auf jeder vorhandenen Sophos SG-Serie- und XG-Serie-Hardware sowieCyberoam NG-Serie-Hardware und ist für eine Vielzahl an virtuellen Plattformen oder als Software-Appliance verfügbar.

Über das neue Kontrollzentrum von XG Firewall behalten Sie Ihr Netzwerk, Ihre Benutzer undIhre Anwendungen immer im Blick. Außerdem erhalten Sie umfangreiches On-Box-Reporting undSophos iView, wenn Sie zentrale Berichtsfunktionen für mehrere Firewalls benötigen.

Die Funktionen im Überblick

• Kontrollzentrum, das alle wichtigen Informationen anzeigt und Aufschlüsselung bis ins Detailanbietet.

• Intuitive Navigation, die nicht im Weg ist, mit hilfreichen Erinnerungen und Anleitung.

• Alle Arten von Richtlinien werden gemeinsam in einer Ansicht verwaltet.

• Richtlinien-Tools mit innovativen neuen Funktionen wie Vorlagen, Beschreibungen in natürlicherSprache und Benutzeridentitäten.

• Benutzer-Bedrohungsgrad (User Threat Quotient) ermittelt das Benutzerrisiko auf Basis desBenutzerverhaltens in der Vergangenheit.

• Erkennungsmodus für noch einfachere Evaluierungen und Proofs of Concept.

• Für FastPath optimiertes Scannen

Klicken Sie hier, um die Liste aller Funktionen zu sehen, die von XG Firewall unterstützt werden.

1.1 VariantenDieser Abschnitt liefert Informationen zu verschiedenen Varianten, die für XG Firewall zur Verfügungstehen.

Sophos ist in folgenden Varianten erhältlich:

• Physikalische Appliances

• Virtuelle Appliances

• Software

https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosxgfirewallflna.pdf?la=de

XG Firewall

Physikalische Appliances

Sophos bietet verschiedene physikalische Appliances an, die auf die Erfordernisse aller Unternehmenzugeschnitten sind, d.h. von kleinen Unternehmen über Privatbenutzer bis zu großen Unternehmen.

Virtuelle Appliances

Virtual Network Security-Appliances können als Next-Generation-Firewalls oder UTMs bereitgestelltwerden und bieten branchenführende Netzwerksicherheit für virtuelle Datencenter, „Security-in-a-Box“ Setup für MSSPs/Unternehmen und „Office-in-a-Box“ Setup. Durch die Bereitstellungumfassender Sicherheitsfunktionen in seinen Hardware-Sicherheits-Appliances (in virtualisierterForm) ermöglichen diese virtuellen Appliances identitätsbasierte Layer -8-Sicherheit auf einereinzelnen virtuellen Appliance, die so hoch ist wie bei physikalischen Netzwerken.

Sophos bietet Unternehmen mit seinen virtuellen Appliances für die Netzwerksicherheit(Next-Generation Firewalls/UTMs), seinem virtuellen Sophos Firewall Manager (SFM) für diezentralisierte Verwaltung und der Sophos iView Software für die zentralisierte Protokollierung undBerichterstellung eine umfassende virtuelle Sicherheitslösung.

1.2 VerwaltungsoberflächenDer Zugriff auf XG Firewall und deren Verwaltung sind möglich über:

• Web-Admin-Oberfläche: Die Web-Admin-Oberfläche ist eine webbasierte Anwendung, die einAdministrator zur Konfiguration, Überwachung und Verwaltung von XG Firewall verwenden kann.

• Befehlszeile: Die Befehlszeile (command line interface (CLI)) bietet verschiedene Tools zurVerwaltung, Überwachung und Steuerung bestimmter Komponenten von XG Firewall.

• Sophos Firewall Manager (SFM): Verteilte XG Firewall Appliances können zentral über eineneinzelnen SFM verwaltet werden.

1.3 AdministratorzugriffDieser Abschnitt enthält Informationen für den Zugriff auf XG Firewall.

Ein Administrator kann sich über HTTPS, telnet oder SSH mit XG Firewall verbinden und daraufzugreifen. Abhängig von dem für den Zugriff verwendeten Profil für das Administrator-Anmeldekontokann ein Administrator auf verschiedene Verwaltungsoberflächen und Konfigurationsseiten der Web-Admin-Oberfläche zugreifen.

XG Firewall wird mit einem Administratorkonto und vier Administratorprofilen ausgeliefert.

Administratortyp Zugangsdaten Konsolen-Zugriff Berechtigungen

Superadministrator admin/admin Web-Admin-Oberfläche

CLI-Konsole

Volle Zugriffsrechte für beide Konsolen.Lese- und Schreibberechtigung für diegesamte Konfiguration, die über eine derKonsolen vorgenommen wird.

2 Copyright © 2018 Sophos Limited

XG Firewall

HinweisSie sollten das Kennwort des Benutzers sofort nach der Bereitstellung ändern.

Web-Admin-Oberfläche

Die Web-Admin-Oberfläche ist eine webbasierte Anwendung, die ein Administrator zurKonfiguration, Überwachung und Verwaltung von XG Firewall verwenden kann.

Sie können sich von jedem Verwaltungscomputer über den Webbrowser mithilfe einer HTTPS-Verbindung mit der Web-Admin-Oberfläche von XG Firewall verbinden und darauf zugreifen:

1. HTTPS-Anmeldung: https://<LAN-IP-Adresse von XG Firewall>

Kommandozeile (Command Line Interface, CLI)

Die Kommandozeile bietet verschiedene Tools für die Verwaltung, Überwachung und Steuerungbestimmter Komponenten von XG Firewall. Der Fernzugriff auf XG Firewall kann über folgendeVerbindungen erfolgen:

1. Utility für Remote-Login – TELNET-Login

2. SSH-Client (Serielle Konsole)

Über die CLI-Konsole lassen sich Netzwerkprobleme detailliert diagnostizieren und beheben.

Sophos Firewall Manager (SFM)

Verteilte XG Firewall Appliances können zentral über einen einzelnes Sophos Firewall Manager(SFM) Gerät verwaltet werden, das ein hohes Maß an Sicherheit für MSSPs und großeUnternehmen bietet. Zur Überwachung und Verwaltung von XG Firewall Appliances über SFMmüssen Sie:

1. Konfigurieren Sie SFM in XG Firewall.

2. Integrieren Sie XG Firewall in SFM.

Sobald Sie die XG Firewall Appliances hinzugefügt und in Gruppen organisiert haben, könnenSie einzelne XG Firewall Appliances oder Gruppen von XG Firewall Appliances konfigurieren.

Copyright © 2018 Sophos Limited 3

XG Firewall

Kapitel 2

2 Die Web-Admin-Oberfläche verwendenSophos Firewall OS setzt für die Konfiguration und Verwaltung der Appliance auf eine Web-2.0-basierte, benutzerfreundliche grafische Oberfläche, die als „Web-Admin-Oberfläche“ bezeichnetwird.

Sie können über jede der Schnittstellen per HTTPS auf die browser-basierte Verwaltung derAppliance zugreifen. Wenn XG Firewall erstmals verbunden und eingeschaltet wird, hat siedie folgende Zugriffskonfiguration für den HTTPS-Dienst, um auf die Web-Admin-Oberflächezuzugreifen.

Dienste Schnittstelle/Zonen Standardport

HTTPS WAN TCP-Port 4444

Der Administrator kann die Standardports für den HTTPS-Dienst unter Verwaltung > Admin-Einstellungen ändern.

Web-Admin-Oberfläche – Sprache

Die Web-Admin-Oberfläche unterstützt mehrere Sprachen, als Standard ist jedoch Englischfestgelegt. Neben Englisch werden auch Chinesisch (vereinfacht), Chinesisch (traditionell), Hindi,Französisch, Deutsch, Italienisch, Koreanisch und Portugiesisch (Brasilien) unterstützt. DerAdministrator kann bei der Anmeldung die gewünschte Sprache festlegen.

Die folgenden Elemente auf der Web-Admin-Oberfläche werden in der konfigurierten Spracheangezeigt:

• Inhalte des Kontrollzentrums

• Navigation

• Bildschirmelemente einschließlich Feld- und Schaltflächenbezeichnungen sowie Tipps

• Fehlermeldungen

Der Administrator kann außerdem eine Beschreibung für verschiedene Richtlinien, Dienste unddiverse benutzerdefinierte Kategorien in jeder der unterstützten Sprachen hinterlegen.

Alle in der Web-Admin-Oberfläche vorgenommenen Konfigurationen werden umgehend wirksam.Um Sie bei der Konfiguration der Appliance zu unterstützen, bietet die Appliance eine detaillierte undkontextabhängige Onlinehilfe.

Anmeldeverfahren

Bei der Anmeldung wird der Benutzer durch die XG Firewall authentifiziert und eine Sitzung erstellt,die mit der Abmeldung des Benutzers endet.

Um zum Anmeldefenster zu gelangen, öffnen Sie den Browser und geben Sie die interne IP-Adressevon XG Firewall in der Adresszeile ein. Daraufhin erscheint ein Dialogfeld, das Sie zur Eingabe vonBenutzername und Kennwort auffordert.

Im Folgenden finden Sie die Anzeigeelemente mit Beschreibung:


XG Firewall

Benutzername Geben Sie den Benutzeranmeldenamen ein.

Wenn Sie sich nach der Installation zumersten Mal anmelden, verwenden Sie denStandardbenutzernamen.

Kennwort Legen Sie für das Benutzerkonto ein Kennwortfest.

Die Punkte im Feld „Kennwort“ dienen alsPlatzhalter.

Wenn Sie sich nach der Installation zumersten Mal anmelden, verwenden Sie dasStandardkennwort.

Sprache Wählen Sie die gewünschte Sprache. FolgendeOptionen stehen zur Verfügung:

• Chinesisch (vereinfacht)

• Chinesisch (traditionell)

• Englisch

• Französisch

• Hindi

• Deutsch

• Italienisch

• Koreanisch

• Portugiesisch (Brasilien)

Standard: Englisch

Schaltfläche „Anmelden“ Anklicken, um sich bei der Web-Admin-Oberfläche anzumelden.

Das Kontrollzentrum erscheint, sobald Sie sich an der Web-Admin-Oberfläche angemeldet haben.Im Kontrollzentrum erhalten Sie einen schnellen Überblick über alle wichtigen Parameter IhrerAppliance.

Abmeldeverfahren

Melden Sie sich ab, wenn Sie fertig sind, damit keine unbefugten Benutzer auf Sophos zugreifenkönnen. Dadurch werden die Sitzung und der Zugriff auf die Appliance beendet.

Um sich von der Appliance abzumelden, gehen Sie zu Admin auf der rechten oberen Seite undklicken Sie auf Abmelden.

2.1 Unterstützte Browser

Sie können sich von jedem Administrationscomputer über einen der folgenden Webbrowser mithilfeeiner sicheren HTTPS-Verbindung mit der Web-Admin-Oberfläche der Appliance verbinden:

Neueste Version von Mozilla Firefox (empfohlen), Chrome oder Apple Safari (für MAC OS X),Microsoft Edge 25 oder Microsoft Internet Explorer Version 11 aufwärts mit aktiviertem JavaScript.


Die Mindestauflösung des Bildschirms das Verwaltungscomputers ist 1280 × 768.

2.2 Menüs

Die Navigationsleiste ganz links bietet Ihnen Zugriff auf verschiedene Konfigurationsseiten. DieMenüs bestehen aus mehreren Untermenüs und Registerkarten. Wenn Sie in der Navigationsleisteauf einen Menüpunkt klicken, werden die dazugehörigen Verwaltungsfunktionen als Registerkartenangezeigt. Die Seite der Registerkarte wird angezeigt, wenn Sie auf die Registerkarte klicken.

Über die Taste F1 rufen Sie die Hilfeseite auf.

2.3 Seiten

Ein Blatt ist eine Seite, auf der sämtliche Konfigurationen durchgeführt werden. Über dieRegisterkarte Admin oben rechts auf jeder Seite erhalten Sie Zugriff auf die am häufigstenverwendeten Funktionen wie:

1. Support: Öffnet die Kundenanmeldeseite, um ein Ticket für den technischen Support zuerstellen. Ihr Fall wird schnell und unkompliziert direkt in die Warteschlange vom technischenSupport eingefügt.

2. Über das Produkt: Öffnet die Informationsseite zur Registrierung der Appliance.

3. Assistent: Öffnet den Netzwerkkonfigurationsassistenten.

4. Konsole: Öffnet die Command-Line-Interface-(CLI)-Konsole.

5. XG Firewall neu starten: Die Appliance wird neu gestartet.

6. XG Firewall herunterfahren: Fährt die Appliance herunter.

7. Sperren: Sperrt die Web-Admin-Oberfläche. Die Web-Admin-Oberfläche wird automatischgesperrt, wenn sich die Appliance über drei Minuten im inaktiven Status befindet. Um dieAdmin-Oberfläche zu entsperren, müssen Sie sich erneut anmelden. Die Sperrfunktion iststandardmäßig deaktiviert. Aktivieren Sie die Admin-Sitzungssperrung unter Verwaltung >Admin-Einstellungen

8. Abmelden: Meldet von der Web-Admin-Oberfläche ab.

Mit Klick auf den Hyperlink Hilfe oben rechts auf jeder Seite öffnet sich eine kontextsensitiveHilfeseite.

2.4 Liste der Navigationselemente

Auf der Seite der Web-Admin-Oberfläche werden die Informationen in Listen aufgeführt,wobei viele Listen auf mehreren Seiten erscheinen. Unten in der Liste finden Sie die Seite derNavigationssteuerungen, die eine Übersicht über die Navigationsschaltflächen bietet, mit deren HilfeSie Listen mit vielen Einträgen bequem durchsehen können. Die aktuelle Seite und die Gesamtzahlder Seiten werden angezeigt.

Kapitel 3

3 KontrollzentrumDas Kontrollzentrum erscheint, sobald Sie sich angemeldet haben.

Das Kontrollzentrum gibt auf einem zentralen Bildschirm Auskunft über den Zustand desSicherheitssystems.

Anzeigebereich „System“

Der Anzeigebereich „System“ zeigt den Echtzeitstatus von XG Firewall Diensten, VPN- und WAN-Verbindungen und der Leistung sowie die Anzahl der Tage seit Inbetriebnahme der Appliance an.Der Status wird als Symbol angezeigt. Farbige Symbole werden verwendet, um verschiedene Statuszu unterscheiden. Klicken Sie auf das Symbol, um detaillierte Informationen der Dienste zu sehen.

Es gibt folgende Symbole und Statusanzeigen:

Widget „Leistung“

Symbol Status

Normal

Die Durchschnittslast beträgt weniger als 2Einheiten.

Warnung

Die Durchschnittslast liegt zwischen 2 und 5Einheiten.

Alarmmeldung

Die Durchschnittslast beträgt mehr als 5Einheiten.

Unbekannt

Klicken Sie auf das Symbol, um das Diagramm zur Durchschnittslast zu sehen.

Die Durchschnittslast ist eine Messung der durchschnittlichen Anzahl von Prozessen, die aufAusführungszeit auf einer CPU warten. Jede Anzahl größer als die Anzahl der Prozessorkerne imSystem weist darauf hin, dass innerhalb des gemessenen Zeitraums (z.B. 5 Minuten) generell mehrArbeit anfiel, als das System in der Lage war zu verarbeiten.

Widget „Dienste“

Symbol Status

normal

Alle Dienste laufen.

XG Firewall

Symbol Status

Warnung

Ein oder mehrere Dienste wurden vomAdministrator explizit angehalten. Dienstekönnen unter Systemdienste > Dienste neugestartet werden.

Alarmmeldung

Ein oder mehrere Dienste laufen nicht.

Sie können Dienste unter Dienste neu starten.

Unbekannt

Wenn Sie auf das Symbol klicken, werden angehaltene oder ausgefallene Dienste angezeigt.Widget „Schnittstellen“

Symbol Status

normal

Alle WAN-Verbindungen sind aktiv.

Warnung

Höchstens 50 % der WAN-Verbindungen sindinaktiv.

Alarmmeldung

Mindestens 50 % der WAN-Verbindungen sindinaktiv.

Unbekannt

Klicken Sie auf das Symbol, um Details der WAN-Link zu sehen.Widget „VPN“

Symbol Status

Normal

Alle VPN-Tunnel sind AKTIV.

Warnung

Höchstens 50 % der VPN-Tunnel sind INAKTIV.

Alarm

Mindestens 50 % der VPN-Tunnel sindINAKTIV.

Unbekannt

Klicken Sie auf das Symbol, um Details der VPN-Tunnel zu sehen.Widget „CPU“


XG Firewall

Anhand von CPU-Diagrammen kann der Administrator die CPU-Nutzung durch Benutzer undSystemkomponenten überwachen. Wenn Sie auf das Widget klicken, werden auch die maximale unddurchschnittliche CPU-Nutzung angezeigt.

X-Achse – Stunden/Wochen/Monate/Jahr (je nach ausgewählter Option)

Y-Achse – Prozentzahl der Nutzung

Klicken Sie auf das Widget, um Details anzuzeigen.

Widget „Speicher“

Anhand von Speicher-Diagrammen können Sie die Speichernutzung in Prozent überwachen. DieDiagramme geben Auskunft über den genutzten Speicher, den freien Speicher und den insgesamtverfügbaren Speicher. Darüber hinaus zeigen die Diagramme die maximale und durchschnittlicheSpeichernutzung an.

X-Achse – ausgewählt

Y-Achse – Prozentzahl der Nutzung


Widget „Bandbreite“

Das Diagramm zeigt den gesamten Datentransfer in der WAN-Zone an. Darüber hinaus wird dermaximale und durchschnittliche Datentransfer angezeigt.

X-Achse – Stunden/Tage/Monate/Jahr (je nach ausgewählter Option)

Y-Achse – Gesamtdatentransfer in kBit/Sekunde


Widget „Sitzungen“

Das Diagramm zeigt die aktuellen Sitzungen von XG Firewall. Darüber hinaus werden diemaximalen und durchschnittlichen Live-Verbindungen angezeigt.


Informationen zur Hochverfügbarkeit (HA)

Zeigt HA-Modus gemäß der Konfiguration unten.

A-A

:Wenn XG Firewall im Aktiv/Aktiv-Modus konfiguriert ist.

A-P (M)

:Wenn XG Firewall im Aktiv/Passiv-Modus konfiguriert ist und die Aufgabe der primären Applianceübernimmt.

A-P (S)

:Wenn XG Firewall im Aktiv/Passiv-Modus konfiguriert ist und die Aufgabe der sekundären Applianceübernimmt.

Anzeigebereich Datenverkehrsüberblick

In diesem Bereich werden Statistiken zu dem von XG Firewall in den letzten 24 Stundenverarbeiteten Netzwerkverkehr bereitgestellt. Die Übersichtsinformationen geben Auskunft über die


XG Firewall

Personen, die am meisten Bandbreite in Anspruch nehmen, ungewöhnliche Datenverkehrmustersowie am meisten besuchte Websites und Anwendungen.

Die Statistiken werden in Form von Balkendiagrammen angezeigt:

• Web-Aktivitäten – Dieses Diagramm gibt Auskunft über den Benutzerdatentransfer in denletzten 24 Stunden, woran sich der Websurf-Trend erkennen lässt. Darüber hinaus werdendie maximale und durchschnittliche Menge an übertragenen Daten in Bytes in den letzten 24Stunden anzeigt, sodass etwaige ungewöhnliche Datenverkehrsmuster festgestellt werdenkönnen. Zeigt das Diagramm beispielsweise zu einem gegebenen Zeitpunkt einen Peak an,bedeutet dies, dass zu dem betreffenden Zeitpunkt die maximale Datenmenge übertragenwurde.

• Zugelassene Anwendungskategorien – Dieses Diagramm gibt Auskunft über die übertrageneDatenmenge in Bytes für die fünf häufigsten Anwendungskategorien. Auf diese Weise hat derAdministrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am meisten genutztwurden, sodass sich leicht feststellen lässt, welche Anwendungen die meiste Bandbreite inAnspruch nehmen. Das Klicken auf die Linie einer bestimmten Kategorie in der Grafik leitet Siezum gefilterten Anwendungsbericht dieser Kategorie um.

• Netzwerkangriffe – Dieses Diagramm gibt Auskunft über die fünf Hosts, denen ausSicherheitsgründen am häufigsten der Zugriff auf das Netzwerk verweigert wurde. Das Klickenauf die Linie eines bestimmten Angriffs in der Grafik leitet Sie zum gefilterten Bericht dieserKategorie um.

• Zugelassene Webkategorien – Dieses Diagramm gibt Auskunft über die übertrageneDatenmenge in Bytes für die fünf häufigsten Webkategorien. Auf diese Weise hat derAdministrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am häufigstenbesucht wurden, sodass sich leicht feststellen lässt, welche Websites die meiste Bandbreite inAnspruch nehmen. Das Klicken auf die Linie einer bestimmten Webkategorie in der Grafik leitetSie zum gefilterten Bericht dieser Kategorie um.

• Blockierte Anwendungskategorien – Dieses Diagramm gibt Auskunft über die fünfAnwendungskategorien, die am häufigsten blockiert wurden, mit Angabe der Anzahl der Trefferje Kategorie. Auf diese Weise erhält der Administrator Informationen über die Anwendungen mitden meisten fehlgeschlagenen Zugriffsversuchen. Das Klicken auf die Linie einer bestimmtenKategorie in der Grafik leitet Sie zum gefilterten Anwendungsbericht dieser Kategorie um.

Anzeigebereich „Benutzer- & Appliance“

Widget „Security Heartbeat“

Das Widget „Security Heartbeat“ gibt Auskunft über den Integritätsstatus aller Endpoint-Geräte. EinEndpoint-Gerät ist ein internetfähiges Hardwaregerät, das über Sophos Central mit dem Sophos XGFirewall verbunden ist. Der Endpoint sendet in regelmäßigen Abständen ein Heartbeat-Signal undmeldet zudem potenzielle Bedrohungen an das Sophos XG Firewall.

Wenn Security Heartbeat nicht konfiguriert ist, wird eine Schaltfläche Konfigurieren imKontrollzentrum angezeigt.

Der Systemzustand eines Endpoints kann rot, gelb oder grün sein:

• Rot gekennzeichnetes „Gefährdet“ – Aktive Schadprogramme entdeckt.

• Gelb gekennzeichnete „Warnung“ – Inaktive Schadprogramme entdeckt.

• Grün – Keine Schadprogramme entdeckt.

• Rot gekennzeichnetes „Fehlend“ – Endpoints senden keine Information über denIntegritätsstatus, verursachen aber Netzwerkverkehr.


XG Firewall

Sobald Security Heartbeat konfiguriert ist, werden alle Endpoints in einen von vier Status eingestuft.Das Widget „Security Heartbeat“ zeigt die Gesamtzahl der Endpoints je Status an.

Klicken Sie auf das Widget, um die Liste aller Endpoints mit Informationen wie Hostname/IP derQuelle, Benutzer und Statusänderung anzuzeigen. Sie können auswählen, ob Sie alle oder nur einpaar Endpoints basierend auf ihrem Systemzustand anzeigen möchten.

Widget „Sandstorm“

Sophos Sandstorm ist ein cloud-basierter Dienst, der verbesserten Schutz gegen Schadprogrammebietet. Sie können auf der Firewall einstellen, dass verdächtige Downloads an Sandstorm zurAnalyse übermittelt werden. Sandstorm führt Dateien aus, um sie auf Erpressungstrojaner undandere komplexe Bedrohungen zu untersuchen. Da die Analyse in der Cloud stattfindet, wird IhrSystem zu keiner Zeit möglichen Bedrohungen ausgesetzt.

Sandstorm erfordert ein Abonnement. Klicken Sie auf den Link, um Ihre kostenlose 30-Tage-Evaluierung zu beginnen.

Wenn Sandstorm aktiviert ist, werden Benutzer daran gehindert Dateien herunterzuladen, aufwelche die Firewallkritierien zutreffen, bis die Analyse abgeschlossen ist.

Das Widget „Sandstorm“ zeigt Analyseergebnisse für Internetverkehr und E-Mails. Klicken Sie aufdas Widget, um Details zu Sandstorm anzuzeigen.

Widget „ATP“

Das Widget ATP (Advanced Threat Protection) bietet eine Momentaufnahme der in Ihrem Netzwerkentdeckten komplexen Bedrohungen. ATP hilft, infizierte oder manipulierte Clients innerhalb desNetzwerks zu ermitteln, und gibt eine Warnung aus oder verwirft den entsprechenden Datenverkehr.

Sobald ATP konfiguriert ist, wird eine der folgenden beiden Status angezeigt:

Symbol Status

Normal

Keine Bedrohungen erkannt.

Alarm

Zeigt Anzahl der blockierten Quellen an.Wenn Sie darauf klicken, werden Details wieHostname/IP der Quelle, Bedrohung undAnzahl angezeigt.

Widget „UTQ“

Das Widget zeigt den Status des Benutzer-Bedrohungsgrads (UTQ) einer Organisation, alsZusammenfassung der letzten sieben Tage. Dadurch erhalten Sie schnell einen Überblick übereventuelle riskante Benutzer, die eine Sicherheitsbedrohung für Ihr Organisationsnetzwerkdarstellen.

Mögliche UTQ-Statuskategorien:

Symbol Status

Es gibt keine Benutzer mit riskantenInternetsurfverhalten oder Benutzer, die infizierteHosts verwenden, welche Teil eines Botnets sind.


XG Firewall

Symbol Status

Es gibt 13 Benutzer, die für 80 % des Gesamtrisikosverantwortlich sind, welchem das Netzwerk derOrganisation ausgesetzt ist. Beachten Sie, dassdie Zahl 13 hier nur ein Beispiel ist. Klicken Sie aufdieses Symbol, um die UTQ-Berichte für die letztensieben Tage zu sehen.

Widget „RED“

Dieses Widget zeigt die Anzahl der eingerichteten RED-Tunnel und die Gesamtzahl der in Formvon 4/8 konfigurierten RED-Tunnel an. Klicken Sie auf das Widget, um eine Liste der RED-Tunnelanzuzeigen.

Widget „WLAN-APs“

Dieses Widget zeigt die aktiven Access Points und die Gesamtzahl der konfigurierten Access Pointin der Form „2/3“ an. Etwaige ausstehende Access Points werden separat in einer Klammer in rotangezeigt. Klicken Sie auf das Widget, um zur Seite Access Points weitergeleitet zu werden.

Widget „Verbundene Remote-Benutzer“

Dieses Widget zeigt die Gesamtzahl der Benutzer an, die über SSL-VPN remote verbunden sind.Klicken Sie auf das Widget, um zur Seite Remote-Benutzer weitergeleitet zu werden.

Widget „Live-Benutzer“

Das Widget zeigt die Gesamtzahl der Live-Benutzer an. Klicken Sie auf das Widget, um zur SeiteLive-Benutzer weitergeleitet zu werden.

Anzeigebereich „Aktive Firewallregeln“

Der Anzeigebereich „Aktive Firewallregeln“ zeigt Informationen an, mit denen der Administrator dieauf der Appliance konfigurierten Firewallregeln visualisieren und (im Hinblick auf das Datenvolumen)bewerten kann. Mithilfe dieser Informationen kann der Administrator die bereitgestelltenFirewallregeln weiter anpassen, um Fehler zu beheben oder die Netzwerkleistung zu erhöhen. Eswerden alle aktiven Firewallregeln angezeigt, unabhängig von den Berechtigungen, die mit demangemeldeten Administratorprofil verbunden sind.

Arten von Firewallregeln

Das Widget zeigt die Anzahl der Firewallregeln an, die für die Verarbeitung des Netzwerkverkehrsverwendet werden. Hierbei sind folgende Arten von Regeln zu unterscheiden:

• Unternehmen – Zeigt die Anzahl der aktiven Geschäftsanwendungs-Firewallregeln an.

• Benutzer – Zeigt die Anzahl der aktiven Benutzeranwendungs-Firewallregeln an.

• Netzwerk – Zeigt die Anzahl der aktiven Netzwerk-Firewallregeln an.

Gesamt – Zeigt die Gesamtzahl der aktiven Firewallregeln an.

Das Diagramm gibt Auskunft über das Datenvolumen (in Bytes), das in den letzten 24 Stundenvon den einzelnen Arten von aktiven Firewallregeln verarbeitet wurde. Fahren Sie mit der Mausüber den entsprechenden Diagrammbereich, um das Datenvolumen anzuzeigen, dass von aktivenFirewallregel-Arten verarbeitet wurde. Die Art der Firewallregel ist an folgender Legende zuerkennen:

Unternehmen – dargestellt als grüner Bereich im Diagramm


XG Firewall

Benutzer – dargestellt als roter Bereich im Diagramm

Netzwerk – dargestellt als blauer Bereich im Diagramm

Anhand der Informationen in dem jeweiligen Diagrammbereich können Sie den Sättigungsgrad desNetzwerks ermitteln und feststellen, welche Art von Firewallregel dafür verantwortlich ist.

Status von Firewallregeln

In dem Widget wird auch die Anzahl der Firewallregeln mit dem aktuellen Status angezeigt. DieseInformation dient hauptsächlich der Administration und ist nützlich, wenn mehrere Administratoren aufderselben Appliance arbeiten. Die aktuellen Statusangaben basieren auf folgenden Kategorien oderFiltern:

• Ungenutzt – Zeigt die Anzahl der Firewallregeln an, die keinen Datenverkehr verarbeiten. Siekönnen ungenutzte Firewallregeln überarbeiten oder löschen.

• Deaktiviert – Zeigt die Anzahl der Firewallregeln an, die auf der Appliance konfiguriert sind, aberdeaktiviert wurde.

• Geändert – Zeigt die Anzahl der Firewallregeln an, die vor kurzem aktualisierten wurde.

• Neu – Zeigt die Anzahl der neu angelegten Firewallregeln an.

Wenn Sie auf eine Firewallregel-Art oder den Status einer Firewallregel klicken, werden Sie zurSeite Firewall weitergeleitet, auf der die betreffenden Firewallregeln angezeigt werden.

Anzeigebereich „Berichte“

Nicht zutreffend für - CR10iNG, CR10wiNG, CR15i, CR15wi, CR15iNG, CR15wiNG, CR15iNG-LE, CR15iNG-4P, CR15wiNG-4P, XG85 und XG85w Modelle.

Je nachdem, welche Module abonniert wurden, werden maximal fünf kritische Berichte aus dernachfolgenden Tabelle angezeigt:

Name des Berichts Angezeigte Anzahl/Daten Abonnement

Hochrisikoanwendungen <Anzahl> riskanter Anwendungen,die gestern gesehen wurden

Web Protection

Bedenkliche Websites <Anzahl> bedenklicher Websites,die gestern gesehen wurden

Web Protection

Internetnutzer <Datentransfer> (in Bytes),der gestern von den Top-10-Benutzern genutzt wurde

Web Protection

Angriffe <Anzahl> an Angriffen, diegestern stattgefunden haben

Network Protection

Webserver-Schutz <Anzahl> an Webserver-Angriffengestern

Web Server Protection

E-Mail-Nutzung <Datentransfer> (in Byte) genutzt Email Protection

E-Mail-Schutz <Anzahl> an Spam-Mails, diegestern eingegangen sind

Email Protection

Verkehrs-Dashboard – Entweder Web Protection oderNetwork Protection


XG Firewall

Name des Berichts Angezeigte Anzahl/Daten Abonnement

Sicherheits-Dashboard – Entweder Web Protection oderNetwork Protection

Anzeigebereich „Häufigste Schadprogramme“

Nur verfügbar bei den Modellen CR15iNG, CR15wiNG, CR15i und CR15wi

Zeigt die fünf häufigsten Schadprogramme an, die von XG Firewall gefunden wurden, zusätzlich zurAnzahl der Funde je Schadprogramm.

Anzeigebereich „Meldungen“

In diesem Bereich werden Informationen angezeigt, die es Ihnen ermöglichen, die Systemereignisseder Appliance zu überwachen und zurückzuverfolgen. Jede Benachrichtigung enthält Angaben zuDatum und Uhrzeit des Auftretens des Ereignisses.

Es werden folgende Alarmmeldungen angezeigt:

1. Das Standardkennwort für den Benutzer „admin“ wurde nicht geändert. Es wird dringendempfohlen, das Kennwort zu ändern. – Diese Alarmmeldung wird angezeigt, wenn dasStandardkennwort für den Superadministrator nicht geändert wurde.

2. Das Standardkennwort für die Web-Admin-Oberfläche wurde nicht geändert.

3. HTTPS, SSH-basierte Verwaltung ist über das WAN zugelassen. Dies ist keine sichereKonfiguration. Es wird empfohlen, ein sicheres Kennwort zu verwenden.

4. HTTP, Telnet-basierte Verwaltung ist über das WAN zugelassen. Dies ist keine sichereKonfiguration. Es wird empfohlen, ein sicheres Kennwort zu verwenden.

5. Ihre XG Firewall ist nicht registriert.

6. Die Module sind abgelaufen.

Zur leichteren Identifizierung von Benachrichtigungen werden Symbole verwendet.

:Gibt die Alarmmeldungen an.

:Warnungen

:Benachrichtigungen für Firmware-Downloads

Verbindungen & Schnittstellen

Das Bild von XG Firewall wird in diesem Anzeigebereich auf der rechten Seite angezeigt. Bei einervirtuellen Appliance werden mehrere XG Firewall Appliances angezeigt.

Schnittstellentabelle

Diese Tabelle zeigt Informationen über Schnittstellen an mit Namensbeschreibung, Art und Status,empfangenen und übertragenen kBits/s.

Zeigt folgende Details:


XG Firewall

1. Schnittstelle – Zeigt den Namen der Schnittstelle, die im System konfiguriert ist. Beispiel Port A,Guest AP Zeigt physikalische Schnittstellen, LAG- und Bridge-Typen von Schnittstellen an.

2. Typ – Zeigt die Zone mit dem Typ der konfigurierten Schnittstelle an. Beispiel physikalischesLAN, WAN-LAN, etc.

3. Status – Zeigt den Status und die Schnittstellengeschwindigkeit für die konfigurierte Schnittstellean. Der Status kann verbunden, Kabel entfernt, Verbindung unterbrochen, Verbindung wirdaufgebaut, aktiviert oder deaktiviert (nur für RED-Schnittstelle) sein.

4. Empfangene kBit/s – Zeigt, wie viele Bits über die Schnittstelle empfangen wurden.

5. Gesendete kBit/s – Zeigt wie viele Bits über die Schnittstelle gesendet wurden.

Gateway-Tabelle

Diese Tabelle zeigt Informationen über Gateways an, die es Ihnen ermöglichen, aktive und Backup-Gateways zu überwachen. Sie gibt deren Name, Schnittstelle, Typ, IPv4/IPv6, Aktivieren bei Failovervon, Gewichtung und Status an.

Zeigt folgende Details:

1. Gateway-Name – Zeigt den Namen des Gateways.

2. Schnittstelle – Zeigt den Namen und die IP-Adresse der Schnittstelle an.

3. Typ – Zeigt den Typ des Gateways im Bezug auf die Lastverteilung an. Verfügbare Optionensind Aktiv und Reserve.

4. IPv4/IPv6 – Zeigt den Typ des Gateways im Bezug auf die Lastverteilung an. VerfügbareOptionen sind IPv4 und IPv6.

5. Aktivieren bei Failover von – Zeigt die Maßnahme an für den Fall, dass ein Gateway ausfällt, d.h.ob ein Backup-Gateway aktiviert wird oder nicht.

6. Gewichtung - Zeigt an, wie viel Datenverkehr im Verhältnis zu den anderen Links über einenbestimmten Link geleitet wird.

7. Status – Zeigt den Status des Gateways an. Der Status kann Aktiv oder Inaktiv sein.


XG Firewall

Kapitel 4

4 Aktuelle AktivitätenBehalten Sie den Überblick über aktuell angemeldete lokale und entfernte Benutzer, aktuelle IPv4-,IPv6-, IPsec-, SSL- und WLAN-Verbindungen.

4.1 Live-BenutzerLive-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.

XG Firewall bietet die folgenden Arten von Live-Benutzern und ihren Client-Typen:

Benutzertyp Client-Typ Information

Normal Webclient (Captive-Portal)

Authentifizierungs-Agent(Windows, macOS, Linux)

SSO (Sophos client-basiertes Single Sign-On)

L2TP-VPN

IPsec-VPN

PPTP-VPN

SSL-VPN

STAS

Thin Client (SATC)

NTLM-Client

Android-Client(Authentifizierungs-Agent aufAndroid)

Android-Webclient (Captive-Portal auf Android)

iOS-Client(Authentifizierungs-Agent aufiOS)

iOS-Webclient (Captive-Portal auf iOS)

RADIUS-SSO

eDirectory SSO

Chromebook SSO

Heartbeat

WLAN

Benutzer melden sich mit IhrenBenutzer-Zugangsdaten wieBenutzername und Kennwort an.

Benutzer authentifizierensich entweder über denAuthentifizierungsclient aufdem Benutzergerät oder überdas Captive-Portal von XGFirewall.

Wenn Single Sign-Onkonfiguriert ist, werdenBenutzer automatisch anXG Firewall angemeldet,sobald sie sich auf ihremGerät anmelden.

Wenn Sie die Verbindungeines Benutzers manuelltrennen, erhalten Benutzer derfolgenden Client-Typen eineBenachrichtigung:

• Authentifizierungs-Agent

• Android-Client

• iOS-Client

• Chromebook SSO


XG Firewall

Benutzertyp Client-Typ Information

Clientlos Clientlos Clientlose Benutzer werdenanhand ihrer IP-Adresseauthentifiziert und werdendirekt nach ihrer Konfigurationangezeigt. Deaktivierte Benutzererscheinen nicht auf der Liste.

Gast Webclient (Captive-Portal) Benutzer müssen sich alsGäste über das Captive-Portalanmelden.

Sie können Benutzer trennen. Je nach ihrem Client-Typ erhalten sie eine Benachrichtigung, die Siefestlegen können.

• Um Benutzer zu trennen, wählen Sie diese aus und klicken Sie auf Verbindung trennen. Siekönnen den Benachrichtigungstext ändern. Klicken Sie dann erneut auf Verbindung trennen.

HinweisUm einen clientlosen Benutzer abzumelden, klicken Sie nicht auf Verbindung trennen. GehenSie zu Authentifizierung und ändern Sie den Status des jeweiligen clientlosen Benutzers aufinaktiv. Wenn Sie einen clientlosen Benutzer getrennt haben und wollen diesen wieder anmelden,gehen Sie zu Authentifizierung und ändern Sie den Status des Benutzers zu inaktiv und dann zuaktiv.

Zugehörige KonzepteClientlose Benutzer (Seite 443)Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.

Authentifizierung (Seite 407)Sie können Authentifizierung einrichten, indem Sie eine interne Nutzerdatenbank verwenden oder denAuthentifizierungsdienst eines Drittanbieters. Um sich selbst zu authentifizieren, müssen BenutzerZugang zu einem Authentifizierungsclient haben. Den Client können sie jedoch umgehen, indemSie die Benutzer als Clientlose Benutzer hinzufügen. Die Firewall unterstützt auch Zweifaktor-Authentifizierung, transparente Authentifizierung und Gastbenutzer-Zugang über ein Captive-Portal.

Captive-Portal (Seite 438)Das Captive-Portal ist eine Browser-Oberfläche, die Benutzer hinter der Firewall dazu auffordert, sichzu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Nach der Authentifizierungwird der Benutzer zur Adresse weitergeleitet oder die Firewall leitet ihn zur einer vorgegebenen URLweiter. Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portalsanzupassen. Sie können zum Beispiel Ihre Unternehmenslogo und eigen Text für die Schaltflächefestlegen.

Client-Downloads (Seite 448)Verwenden Sie diese Einstellungen, um die Clients und Komponenten herunterzuladen, die SingleSign-On, transparente Authentifizierung und E-Mail-Verschlüsselung unterstützen.

Gastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.


XG Firewall

4.2 Live-VerbindungenAuf der Seite Live-Verbindungen sehen Sie eine Liste aller momentan aktiven IPv4-Verbindungen.

Auf der Seite wird zudem der Bericht der IPv4-Live-Verbindungen angezeigt, der einen schnellenÜberblick zu den Statistiken des Netzwerkdatenverkehrs gibt.

Nutzen Sie diesen Bericht, um den Anteil an der Netzwerklast der verschiedenen Protokolle,Computersysteme (in Ihrem LAN oder im Internet), Verbindungen oder eine Kombination ausdiesen (z. B. Netzwerkverbindungen mit einem bestimmten Protokoll) zu prüfen. Öffnen Sie dieDetailinformationen für einen ausführlicheren Überblick über Ihr Netzwerk.

Verbindungen je Anwendung

Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Anwendung in Echtzeit.Außerdem wird angezeigt, welcher Benutzer aktuell welche Anwendung nutzt und wie viele Datenüber diese insgesamt übermittelt wurden.

Für jede Verbindung zeigt die Liste Folgendes an:

Anwendung Anwendungen, die im Netzwerk laufen.

Klicken Sie in der Spalte GesamteVerbindungen der gewünschten Anwendungauf die Zahl, um für diese Anwendung dieVerbindungsinformationen sortiert nach Ziel-IP-Adresse und Ziel-Port anzusehen.

Klicken Sie auf das Symbol

,um eine Liste aller Benutzer zu sehen,die die jeweilige Anwendung verwenden,oder klicken Sie auf das Symbol

,um die Benutzerliste zu verbergen.

Upload-Transfer Über die Anwendung hochgeladene Daten.

Download-Transfer Über die Anwendung heruntergeladene Daten.

Upstream-Bandbreite Upstream-Bandbreite.

Downstream-Bandbreite Downstream-Bandbreite.

Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieAnwendung gestartet/angefragt wurden.

Klicken Sie auf die Zahl in der Spalte GesamteVerbindungen, um für die ausgewählteAnwendung die Verbindungsinformationenanzusehen.


XG Firewall

Verbindungen je Benutzer

Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Benutzer in Echtzeit,d. h. der Datenverkehr pro Benutzer. Außerdem wird angezeigt, welcher Benutzer aktuell welcheAnwendung nutzt und wie viel Bandbreite er verbraucht.


Benutzer Netzwerkbenutzer, die verschiedeneAnwendungen anfragen

Klicken Sie

,um die Liste der Anwendungen zusehen, die vom Benutzer verwendetwerden, oder klicken Sie auf

,um die Anwendungsliste zu verbergen.

Klicken Sie auf die Zahl der Benutzer in derSpalte Alle Verbindungen, um sie anzuzeigen.

Klicken Sie auf den Benutzer, um dieVerbindungsinformationen für denausgewählten Benutzer nach Ziel-IP-Adresseund Zielports anzuzeigen.

Upload-Transfer Hochgeladene Daten.

Download-Transfer Heruntergeladene Daten.



Gesamte Verbindungen Anzahl der Verbindungen, die durch denBenutzer gestartet wurden.

Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsinformationen anzusehen.

Verbindungen nach Quell-IP-Adresse

Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) nach Quell-IP-Adresse inEchtzeit, d. h. der Datenverkehr pro Quell-IP-Adresse. Außerdem wird angezeigt, welcher Benutzeraktuell welche Anwendung nutzt und wie viel Bandbreite er verbraucht.

IP-Adresse d. Quelle IPv4-Adressen der Quelle, die verschiedeneAnwendungen anfordert.

Klicken Sie auf

,um die Liste der Quell-IPv4-Adressenzu sehen, oder klicken Sie auf


XG Firewall

,um die Liste der IP-Adressen zu verbergen.





Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieQuell-IP-Adresse gestartet wurden.

Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsdetails anzusehen.

4.3 Live-Verbindungen IPv6Auf der Seite Live-Verbindungen IPv6 sehen Sie eine Liste aller momentan aktiven IPv6-Verbindungen.

Auf der Seite wird zudem der Bericht der IPv6-Live-Verbindungen angezeigt, der einen schnellenÜberblick zu den Statistiken des Netzwerkdatenverkehrs gibt.

Nutzen Sie diesen Bericht, um den Anteil an der Netzwerklast der verschiedenen Protokolle,Computersysteme (in Ihrem LAN oder im Internet), Verbindungen oder eine Kombination ausdiesen (z. B. Netzwerkverbindungen mit einem bestimmten Protokoll) zu prüfen. Öffnen Sie dieDetailinformationen für einen ausführlicheren Überblick über Ihr Netzwerk.

Verbindungen je Benutzer

Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Benutzer in Echtzeit,d. h. der Datenverkehr pro Benutzer. Außerdem wird angezeigt, welcher Benutzer aktuell welcheAnwendung nutzt und wie viel Bandbreite verbraucht.


Benutzer Netzwerkbenutzer, die verschiedeneAnwendungen anfragen

Klicken Sie auf das Symbol

,um eine Liste der Anwendungen zusehen, die vom Benutzer verwendetwerden, oder klicken Sie auf das Symbol

,um die Anwendungsliste zu verbergen.

Klicken Sie auf in der Spalte GesamteVerbindungen des gewünschten Benutzersauf die Zahl, um für diesen Benutzer dieVerbindungsinformationen sortiert nach IP-Adresse und Ziel-Port anzusehen.



XG Firewall




Gesamte Verbindungen Die Anzahl der Verbindungen, die durch denBenutzer gestartet wurden.

Klicken Sie auf die Zahl in der Spalte GesamteVerbindungen, um für den ausgewähltenBenutzer die Verbindungsinformationenanzusehen.

Verbindungen nach Quell-IP-Adresse

Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) nach Quell-IP-Adresse inEchtzeit, d. h. der Datenverkehr pro Quell-IP-Adresse. Außerdem wird angezeigt, welcher Benutzeraktuell welche Anwendung nutzt und wie viel Bandbreite er verbraucht.

IP-Adresse d. Quelle IPv6-Adressen der Quelle, die verschiedeneAnwendungen anfordert.

Klicken Sie auf

,um die Liste der Quell-IPv6-Adressenzu sehen, oder klicken Sie auf

,um die Liste der IP-Adressen zu verbergen.





Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieQuell-IP-Adresse gestartet wurden.

Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsinformationen anzusehen.

4.4 Live-Verbindungsinformationen anzeigen

Die Seite zeigt die Verbindungsinformationen pro Anwendung, Benutzer und Quell-IP-Adresse an.

4.4.1 Verbindungsinformationen der ausgewählten Anwendung

Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um derenVerbindungsinformationen anzuzeigen.


XG Firewall

Startzeitpunkt Uhrzeit des Verbindungsaufbaus.

Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.

Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.

Quell-IP IP-Adresse, von der aus die Verbindung für dieAnwendung hergestellt wurde.

ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.

Protokoll Vom Datenverkehr genutztes Protokoll.

Quellport Port, über den die Verbindung für dieAnwendung hergestellt wurde.

Zielport Port, zu dem die Verbindung für die Anwendunghergestellt wurde.

Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.





4.4.2 Verbindungsinformationen der ausgewählten Anwendungund des Benutzers

Klicken Sie auf den Link Gesamte Verbindungen neben dem Benutzernamen, um dieVerbindungsinformationen der vom Benutzer für die ausgewählte Anwendung hergestelltenVerbindungen anzuzeigen.







Quellport Port, über den die Verbindung für die Anwendunghergestellt wurde.


Regel-ID ID der Firewallregel, die für den Datenverkehr derVerbindung angewendet wird.




XG Firewall



4.4.3 Verbindungsinformationen des ausgewählten Benutzersund der Anwendung

Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um dieVerbindungsinformationen der von den Anwendungen für den ausgewählten Benutzer hergestelltenVerbindungen anzuzeigen.














4.4.4 Verbindungsinformationen des ausgewählten Benutzers

Klicken Sie auf den Link Gesamte Verbindungen neben dem Benutzer, um dessenVerbindungsinformationen anzuzeigen.




Quell-IP IP-Adresse, von der aus die Verbindung für denBenutzer hergestellt wurde.




XG Firewall

Quellport Port, über den die Verbindung für den Benutzerhergestellt wurde.

Zielport Port, zu dem die Verbindung für den Benutzerhergestellt wurde.






4.4.5 Verbindungsinformationen der ausgewählten Quell-IP-Adresse

Klicken Sie auf den Link Gesamte Verbindungen neben der Quell-IP-Adresse, um derenVerbindungsinformationen anzuzeigen.




Quell-IP IP-Adresse, von der aus die Verbindung für dieQuell-IP-Adresse hergestellt wurde.



Quellport Port, über den die Verbindung für die Quell-IP-Adresse hergestellt wurde.

Zielport Port, zu dem die Verbindung für die Quell-IP-Adresse hergestellt wurde.






4.4.6 Verbindungsinformationen der ausgewählten Anwendungund Quell-IP-Adresse

Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um dieVerbindungsinformationen der von der Anwendung von der ausgewählten Quell-IP-Adressehergestellten Verbindungen anzuzeigen.


XG Firewall














4.5 IPsec-VerbindungenAuf dieser Seite wird eine Liste aller verbundenen IPSec-Tunnel angezeigt. Filtern Sie die Liste nachVerbindungsname, Name des lokalen Servers, lokales Subnetz, Benutzername, entfernter Server/Hostoder entferntes Subnetz.

Um die IPsec-Verbindung zu sehen, navigieren Sie zu Aktuelle Aktivitäten > IPsec-Verbindungen. Der Administrator kann jede IPsec-Verbindung falls erforderlich trennen, indem erauf Verbindung trennen klickt oder die Liste durch Klick auf Aktualisieren aktualisiert.

Die Tabelle IPsec-Verbindungen enthält folgende Angaben:

• Name: Name der IPsec-Verbindung.

• Lokaler Server: Name des lokalen Servers.

• Lokales Subnetz: Name des lokalen Subnetzes.

• Benutzername: Name des Benutzers der IPsec-Verbindung.

• Remote-Server/Host: Name des Remote-Servers/Hosts.

• Entferntes Subnetz: Name des Subnetzes.

4.6 Remote-BenutzerAuf der Seite Remote-Benutzer können Sie eine Liste der aktiven Remote-Benutzer einsehen.

Um die Seite „Remote-Benutzer“ zu sehen, gehen Sie zu Aktuelle Aktivitäten > Remote-Benutzer.


Die Liste zeigt alle aktuell angemeldeten Remote-Benutzer an. Sie können die Verbindungen aufBasis des Verbindungsdatums, des Benutzernamens, der Quell-IP-Adresse oder der vergebenen IP-Adresse filtern.

Der Administrator kann die Remote-Benutzer falls erforderlich trennen, indem er auf Verbindungtrennen klickt.

Kapitel 5

5 BerichteBerichte bieten eine einheitliche Sicht auf Netzwerkaktivitäten zum Zweck der Analyse vonDatenverkehr und Bedrohungen und der Einhaltung von Vorschriften. Sie können zum Beispiel einenBericht ansehen, der alle Web-Server-Protection-Maßnahmen der Firewall enthält, wie z.B. blockierteWebserver-Anfragen und identifizierte Viren.

Verwenden Sie Berichte, um Bedrohungen zu identifizieren, die Nutzung zu steuern, und dieSicherheit zu erhöhen.

• Um einen Bericht anzusehen, wählen Sie eine Gruppe aus der Liste Anzeigen aus. EinigeAuswahlmöglichkeiten erlauben Ihnen, die Daten im Bericht weiter einzugrenzen. Sie können aucheinen Datumsbereich für den Bericht festlegen.

• Um die Berichtsdaten zu aktualisieren, klicken Sie auf Erzeugen.

• Um die Berichtsdaten herunterzuladen, klicken Sie auf eines der verfügbaren Download-Formate.

• Um ein Lesezeichen für den Bericht zu erstellen, klicken Sie auf Lesezeichen.

• Um einen Bericht zeitgesteuert in bestimmten Abständen per E-Mail zu versenden, klicken Sie aufZeitplan.

• Um die Ergebnisse zu filtern, klicken Sie auf die Schaltfläche Filter

( )und legen Sie die Kriterien fest.

• Um Konfigurationsoptionen für Berichte festzulegen, klicken Sie auf Berichtseinstellungenanzeigen.

Die folgenden Auswahlmöglichkeiten ergeben einen Bericht, der den Anwendungsdatenverkehr füreinen bestimmten Datumsbereich anzeigt.

Zugehörige KonzepteDatenanonymisierung (Seite 487)Mit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.

5.1 DashboardsInformationen über Netzwerkverkehr, der die Firewall passiert, und über Sicherheitsbedrohungenansehen.

XG Firewall

Tabelle 1: Berichtskategorie

Name Beschreibung

Verkehrs-Dashboard Kategorien von Netzwerkverkehr, zum BeispielAnwendungen, Webkategorien und Benutzer.

Sicherheits-Dashboard Verweigerte Netzwerkaktivitäten und Verkehr. Bietetauch Informationen zu Schadprogrammen, Spam undden häufigsten Quell- und Zielländern.

Gesamtbericht Häufig gesichtete Informationen über die Firewall, zumBeispiel Netzwerkverkehr und Bedrohungen.

Benutzer-Bedrohungsgrad Rangfolge von Benutzern nach Bedrohungseinstufung.

5.2 Anwendungen & WebInformationen über Anwendungs- und Internetnutzung in Ihrem Netzwerk ansehen.


Name Beschreibung

Benutzeranwendungen – Risiken & Nutzung Verwendung von verschiedenen Anwendungen unddamit verbundene Risiken.

Blockierte Benutzeranwendungen Blockierte Versuche, auf verschiedene Anwendungenzuzugreifen.

Web-Risiken & Nutzung Internetnutzung in Ihrem Netzwerk und damitverbundene Risiken.

Blockierte Internetzugriffsversuche Erfolglose Versuche von Benutzern, auf blockierteSeiten zuzugreifen.

Suchmaschine Suchmuster von Benutzern.

Internetinhalte Treffer des Inhaltsfilters und damit verbundene Details.

Webserver-Nutzung Anwendung-, Web-, Internet- und FTP-Verkehr.

Webserver-Schutz Sicherheitsstatus Ihrer gehosteten Webserver,einschließlich Angriffen und Quellen.

Nutzerdatentransfer Benutzerdatenverkehr.

FTP-Nutzung FTP-Aktivität.

FTP-Schutz Bösartige FTP-Aktivität.

5.3 Netzwerk & BedrohungenInformationen über Netzwerknutzung und damit verbundene Bedrohungen ansehen.


Name Beschreibung

Angriffe Angriffsversuche


XG Firewall

Name Beschreibung

Komplexe Bedrohungen Informationen zur Netzwerknutzung undBedrohungen, einschließlich komplexerBedrohungen.

WLAN Access-Point-Nutzung und konfigurierte SSIDs.

Security Heartbeat Zustand der Endpoints in Ihrem Netzwerk basierendauf der Kommunikation zwischen Endpoint und derFirewall.

Sandstorm Verbesserter Schutz vor komplexen und gezieltenAngriffen.

5.4 VPNInformationen über Remote-Benutzer ansehen, die sich mit Ihrem Netzwerk über IPsec, VPN, SSL-VPN und clientlosen Zugriff verbinden.


Name Beschreibung

VPN Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über IPsec-, L2TP- oder PPTP-Verbindungenverbinden.

SSL-VPN Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über einen SSL-VPN-Client verbinden.

Clientloser Zugriff Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über einen Webbrowser verbinden.

5.5 E-MailInformationen über E-Mail-Verkehr in Ihrem Netzwerk ansehen.


Name Beschreibung

E-Mail-Nutzung E-Mail-Verkehr in Ihrem Netzwerk.

E-Mail-Schutz Mit Viren und Spam infizierter E-Mail-Verkehr in IhremNetzwerk.

5.6 ComplianceInformationen über Compliance mit geltenden Richtlinien ansehen.


XG Firewall


Name Beschreibung

HIPAA Sicherheitsberichte, die für die Einhaltung des HealthInsurance Portability and Accountability Act (USA)erforderlich sind.

GLBA Sicherheitsberichte, die für die Einhaltung des Gramm-Leach-Bliley Act (USA) erforderlich sind.

SOX Sicherheitsberichte, die für die Einhaltung desSarbanes-Oxley Act (USA) erforderlich sind.

FISMA Sicherheitsberichte, die für die Einhaltung desFederal Information Security Management Act (USA)erforderlich sind.

PCI Sicherheitsberichte, die für die Einhaltung der PaymentCard Industry Standards erforderlich sind.

NERC CIP v3 Sicherheitsberichte, die für die Einhaltung der NorthAmerican Electric Reliability Corporation CriticalInfrastructure Protection Version 3 Standardserforderlich sind.

CIPA Sicherheitsberichte, die für die Einhaltung desChildren’s Internet Protection Act (USA) erforderlichsind.

Ereignisse Netzwerkereignisse und damit verbundenerSchweregrad.

5.7 EigeneBerichte erstellen, die nur von Ihnen festgelegte Kriterien berücksichtigen.

Sie können die folgenden benutzerspezifischen Berichte erstellen:

• Webbericht. Suchen Sie nach Surfaktivitäten oder Viren. Sie können Benutzer, Domänen undweitere Kriterien angeben.

• E-Mail-Bericht. Suchen Sie nach E-Mail-Nutzung, Spam, und Viren. Sie können das Protokoll,Benutzer und weitere Kriterien angeben.

• FTP-Bericht. Suchen Sie nach FTP-Verwendung und Viren. Sie können die Übertragungsart,Benutzer, Datei oder Quell-IP angeben.

• Benutzerbericht Suchen Sie nach Nutzungsinformationen wie Hochrisikoanwendungen,unproduktive Internetdomänen und erkannte Viren. Sie können Benutzernamen, Quellhost undweitere Kriterien angeben.

• Webserver-Bericht. Suchen Sie nach Webserver-Aktivitäten wie Zeit, Benutzer und URI. Siekönnen auch nach Aktivitäten der Web Server Protection suchen.

Die folgenden Kriterien werden verwendet, um nach der Erkennung eines bestimmten Virus aufeiner Domäne zu suchen, welche durch die Firewall geschützt wird.


XG Firewall

5.8 LesezeichenLesezeichen ermöglichen Ihnen, schnell auf häufig verwendete Berichte zuzugreifen. Zum Beispielmüssen Sie vielleicht auf einen Bericht zugreifen, der Angriffe in einem bestimmten Zeitraumidentifiziert, um eine bestimmte Bedrohung ausfindig zu machen.

• Um Berichtsdaten zu sehen, wählen Sie eine Lesezeichengruppe aus der Liste Anzeigen aus. Siekönnen die Daten weiter eingrenzen, indem Sie ein Lesezeichen auswählen.

HinweisDamit eine Gruppe verfügbar ist, muss sie mindestens ein Lesezeichen enthalten.

• Um die Berichtsdaten zu aktualisieren, klicken Sie auf Erzeugen.

• Um die Berichtsdaten herunterzuladen, klicken Sie auf eines der verfügbaren Download-Formate.

• Um einen Bericht zeitgesteuert in bestimmten Abständen per E-Mail zu versenden, klicken Sie aufZeitplan.



Zugehörige AufgabenLesezeichen hinzufügen (Seite 31)

5.8.1 Lesezeichen hinzufügen

1. Sehen Sie einen Bericht an und klicken Sie auf Lesezeichen.

2. Geben Sie einen Namen ein.

3. Wählen Sie eine Lesezeichengruppe aus.

Wenn Sie noch keine Gruppen erstellt haben, weisen sie das Lesezeichen der Standardgruppe zu.

4. Klicken Sie auf Speichern.

Das folgende Lesezeichen zeigt Angriff aus einem bestimmten Zeitraum.


XG Firewall

Zugehörige KonzepteLesezeichen (Seite 31)Lesezeichen ermöglichen Ihnen, schnell auf häufig verwendete Berichte zuzugreifen. Zum Beispielmüssen Sie vielleicht auf einen Bericht zugreifen, der Angriffe in einem bestimmten Zeitraumidentifiziert, um eine bestimmte Bedrohung ausfindig zu machen.

5.9 BerichtseinstellungenBerichtseinstellungen lassen Sie Konfigurationsoptionen für Berichte festlegen. Sie könnenzum Beispiel festlegen, welche Daten in Ihren eigenen Berichten angezeigt werden sollen, undBerichtzeitpläne für alle Berichtsgruppen verwalten. Andere Optionen lassen Sie festlegen, wie langeDaten aufbewahrt werden sollen, und Daten bereinigen.

5.9.1 Eigene Ansicht

Eigene Ansichten erlauben Ihnen, Berichtsgruppen auszuwählen, so dass in einem Bericht alleInformationen angezeigt werden, die Sie benötigen. Sie wollen zum Beispiel vielleicht SandstormSchutzmaßnahmen und Internetnutzer in einem gemeinsamen Bericht ansehen.

Zugehörige AufgabenEigene Ansicht hinzufügen (Seite 32)

Eigene Ansicht hinzufügen

1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Eigene Ansicht und klicken Sie aufHinzufügen.


3. Wählen Sie Berichtsgruppen aus.


Die eigene Ansicht ist unter Berichte > Eigene verfügbar.


XG Firewall

Zugehörige KonzepteEigene Ansicht (Seite 32)Eigene Ansichten erlauben Ihnen, Berichtsgruppen auszuwählen, so dass in einem Bericht alleInformationen angezeigt werden, die Sie benötigen. Sie wollen zum Beispiel vielleicht SandstormSchutzmaßnahmen und Internetnutzer in einem gemeinsamen Bericht ansehen.

5.9.2 Zeitgesteuerte Berichte

Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.

• Um die Mailserver-Konfiguration zu überprüfen, wählen Sie einen Bericht aus und klicken Sie aufTest-E-Mail senden.

• Um einen Bericht zu erzeugen und zu versenden, klicken Sie auf Jetzt erzeugen.

Zeitgesteuerte Berichte

Der Standardberichtstyp legt die Berichtsgruppe oder die Lesezeichendaten fest.

An E-Mail-Adresse E-Mail-Adressen der Empfänger, mit Kommagetrennt.

Berichtstyp Berichtsgruppe- oder Lesezeichen-Informationen,die in den Bericht eingebunden werden sollen.

Sortierkriterien Sortieren Sie Berichtsdaten gegebenenfalls nachTreffern oder Bytes.

E-Mail-Häufigkeit Berichtszeitplan Berichte können täglich oderwöchentlich versendet werden.

Sicherheitsaudit-Bericht

Sicherheitsaudit-Berichte sind vordefinierte Berichte, die Informationen zu sicherheitsrelevantenAktivitäten enthalten.

Organisationsname Organisationsname, der in den Berichteingetragen werden soll.

An E-Mail-Adresse E-Mail-Adressen der Empfänger, mit Kommagetrennt.

Berichtstyp Berichtsgruppe- oder Lesezeichen-Informationen,die in den Bericht eingebunden werden sollen.

E-Mail-Häufigkeit Berichtszeitplan Berichte können täglich oderwöchentlich versendet werden.

ConnectWise-Zeitplan

Sie können vordefinierte ConnectWise-Berichte erstellen. ConnectWise-Integration muss aktiviertsein.


XG Firewall

Bericht Vorkonfigurierter ConnectWise-Bericht.Verfügbare Berichte sind Top-Websites, GefilterteWebsites, Bandbreitennutzung und Top-Angriffe.

Anzahl Einträge Anzahl der Datensätze, die im Bericht erstelltwerden sollen.

Häufigkeit Berichtszeitplan. Bericht können täglich zufestgelegten Intervallen per E-Mail versendetwerden.

Zugehörige AufgabenBerichtszeitplan hinzufügen (Seite 34)Test-E-Mail senden (Seite 34)Überprüfen Sie die Mailserver-Konfiguration.

Berichtszeitplan hinzufügen

1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Zeitgesteuerte Berichte undklicken Sie auf Hinzufügen.

2. Wählen Sie einen Berichtstyp aus und legen Sie Einstellungen fest.

Option Beschreibung

Bericht Der Standardberichtstyp legt die Berichtsgruppeoder die Lesezeichendaten fest. Legen Sieeine Berichtsgruppe oder ein Lesezeichen,Sortierkriterien, einen E-Mail-Empfänger undeine E-Mail-Häufigkeit fest.

ConnectWise-Bericht Sie können vordefinierte ConnectWise-Berichte erstellen. ConnectWise-Integrationmuss aktiviert sein. Verfügbare Berichtesind Top-Websites, Gefilterte Websites,Bandbreitennutzung und Top-Angriffe. LegenSie die Anzahl der Einträge und die E-Mail-Häufigkeit fest.

Sicherheitsaudit-Bericht Sicherheitsaudit-Berichte sind vordefinierteBerichte, die Informationen zusicherheitsrelevanten Aktivitäten enthalten.Legen Sie einen Organisationsnamen, E-Mail-Empfänger und eine E-Mail-Häufigkeit fest.


Zugehörige KonzepteZeitgesteuerte Berichte (Seite 33)Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.

Test-E-Mail senden

Überprüfen Sie die Mailserver-Konfiguration.

1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Zeitgesteuerte Berichte.


XG Firewall

2. Wählen Sie einen Bericht aus und klicken Sie auf Test-E-Mail senden.

3. Geben Sie eine E-Mail-Adresse ein.

4. Klicken Sie auf Senden.

Zugehörige KonzepteZeitgesteuerte Berichte (Seite 33)Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.

5.9.3 Datenverwaltung

Die Firewall protokolliert Aktivitäten, die für die Berichterstellung verwendet werden. Sie könnenProtokollaufbewahrungseinstellungen festlegen, um Ihre Festplattennutzung zu optimieren.

AchtungÜberprüfen Sie Ihre Einhaltungsanforderungen, bevor Sie die Einstellungen zurProtokollaufbewahrung ändern.

Berichtszeitraum für Protokollaufbewahrung Datenaufbewahrungszeitraum für Berichtsdaten.Änderungen an den Aufbewahrungseinstellungentreten um 0 Uhr des nächsten Tages in Kraft.

Anpassung exportieren Erlauben Sie die Auswahl von Berichten undAnzahl der Einträge je Bericht während Berichteexportiert werden.

5.9.4 Manuelles Löschen

Sie können Protokollaufbewahrungseinstellungen festlegen, um Ihre Festplattennutzung zu optimieren.Manuelles Bereinigen wird sofort ausgeführt.

AchtungÜberprüfen Sie Ihre Compliance-Anforderungen, bevor Sie löschen.

Berichtsmodul Zu löschende Berichte.

Kriterien Angepasste Dauer oder alle löschen.

5.9.5 Lesezeichenverwaltung

Lesezeichengruppen bieten eine bequeme Möglichkeit, Ihre Lesezeichen zu verwalten. Sie wollen zumBeispiel vielleicht alle Lesezeichen für alle Anwendungstechnologien und Netzwerkbedrohungen ineiner Gruppe organisieren.

Zugehörige AufgabenLesezeichengruppe hinzufügen (Seite 36)


Lesezeichengruppe hinzufügen

1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Lesezeichenverwaltung undklicken Sie auf Lesezeichengruppe hinzufügen.



Zugehörige KonzepteLesezeichenverwaltung (Seite 35)Lesezeichengruppen bieten eine bequeme Möglichkeit, Ihre Lesezeichen zu verwalten. Sie wollen zumBeispiel vielleicht alle Lesezeichen für alle Anwendungstechnologien und Netzwerkbedrohungen ineiner Gruppe organisieren.

5.9.6 ConnectWise

Um vordefinierte ConnectWise-Berichte zu erstellen, müssen Sie ConnectWise aktivieren undEinstellungen wie Server-URL und Benutzerzugangsdaten vornehmen.

5.9.7 Eigenes Logo

Wählen Sie ein eigenes Logo aus, das auf Ihren erzeugten Berichten angezeigt werden soll.

Kapitel 6

6 DiagnoseDieses Menü ermöglicht es, den Systemzustand der Appliance in einer Momentaufnahme zuüberprüfen. Die Information kann zur Fehlersuche und Diagnose von Problemen verwendet werden,die in Ihrer Appliance gefunden wurden.

6.1 ToolsAuf der Seite Tools können Sie Statistiken für die Diagnose von Konnektivitäts- undNetzwerkproblemen abrufen und die Netzwerkkommunikation testen. Diese Informationen helfenbei der Behebung von Problemen wie Systemabsturz, Paketverlust, Konnektivität, Diskrepanzen imNetzwerk.

Ping

Ping ist das gängigste Utility für die Netzwerkadministration, das dem Testen der Erreichbarkeiteines Hosts in einem Internet Protocol (IP)-Netzwerk und der Messung der Paketumlaufzeit beimVersand von Nachrichten von einem Host zu einem Zielcomputer dient.

Beim Pingen wird ein ICMP Echo Request gesendet und auf ein Echo Reply gewartet, um dieVerbindung zu anderen Hosts zu testen. Mit dem Standard-ICMP-Ping können Sie überprüfen, obder Server antwortet. Der Ping bestätigt, dass der Server auf einen ICMP Ping-Request antwortenkann.

Verwenden Sie den Ping zu Diagnosezwecken, um:

• Sicherzustellen, dass ein Hostcomputer, den Sie erreichen möchten, tatsächlich funktionsfähigist, oder um zu überprüfen, ob die Adresse erreichbar ist

• Zu überprüfen, wie lange es dauert, bis eine Antwort empfangen wird

• Die IP-Adresse des Domänennamens abzufragen

• Eine Überprüfung auf Paketverlust vorzunehmen

Verwendete Parameter:

IP-Adresse/Hostname Geben Sie die IP-Adresse (IPv4/IPv6) oder denFully Qualified Domain Name (FQDN) an, derangepingt werden soll.

Mit dem Ping wird die Netzwerkverbindungzwischen der Appliance und einem Host imNetzwerk überprüft. Dabei wird festgestellt, obeine Antwort empfangen wurde, die Paketeübertragen und empfangen wurden, einPaketverlust stattgefunden hat und wie langedie Paketumlaufzeit ist. Wenn ein Host nichtantwortet, meldet der Ping einen 100 %igenPaketverlust.

IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie aus:

XG Firewall

Verfügbare OptionenIPv4IPv6

Schnittstelle Wählen Sie die Schnittstelle aus, über die dieICMP Echo Requests gesendet werden sollen.

Größe Geben Sie die Paketgröße für den Ping in Bytean.

Standard: 32 Byte

Wertebereich: 1 bis 65507

Traceroute

Traceroute ist ein nützliches Tool, um festzustellen, ob ein Paket oder ein Kommunikationsstrom aufder Appliance gestoppt wurde oder im Internet verloren gegangen ist, indem der Weg eines Paketsvom Quell- zum Zielsystem über das Internet verfolgt wird.

Sie können Traceroute verwenden, um:

• Abweichungen im Netzwerk oder ISP-Netzwerk in Millisekunden festzustellen

• Den Weg eines Pakets vom Quell- zum Zielsystem über das Internet zu verfolgen.


IP-Adresse/Hostname Geben Sie die IP-Adresse (IPv4/IPv6) oder denFully Qualified Domain Name (FQDN) an.

Mit Traceroute wird die Netzwerkverbindungzwischen der Appliance und einem Host imNetzwerk überprüft. Die Datenausgabe enthältInformationen über alle Router, die von denDatenpaketen auf ihrem Weg vom Quell- zumZielsystem passiert werden, die maximaleAnzahl der Hops und die Gesamtdauer, bis dasPaket zurückkommt, in Millisekunden.

IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie aus:

Verfügbare OptionenIPv4IPv6

Schnittstelle Wählen Sie die Schnittstelle aus, über die dieRequests gesendet werden sollen.

Namensauflösung

Mit der Namensauflösung werden beim Domain Name Service Informationen über Domänennamenund IP-Adressen abgefragt. Dabei wird ein Domänenname-Abfragepaket an einen konfiguriertenDomain Name System (DNS)-Server gesendet. Bei Eingabe eines Domänennamens wirddie entsprechende IP-Adresse zurückgegeben und bei Eingabe einer IP-Adresse wird derentsprechende Domänenname zurückgegeben. Mit anderen Worten: Mit der Namensauflösung wirdüber das Internet ein DNS-Lookup von einem autorisierten Name Server vorgenommen und dieInformationen werden in einem für den Benutzer verständlichen Format angezeigt.

Die Parameter und deren Beschreibungen lauten wie folgt:

IP-Adresse/Hostname IP-Adresse (IPv4/IPv6) oder Fully QualifiedDomain Name (FQDN), der aufgelöst werdensoll.


XG Firewall

DNS-Server-IP Wählen Sie den DNS-Server aus, über den dieAnfrage gesendet werden soll.

Wählen Sie Auflösung mithilfe allerkonfigurierten Server, um alle verfügbaren undauf der Appliance konfigurierten DNS-Serveranzuzeigen. Mit Auswahl dieser Option werdenauch Informationen darüber bereitgestellt, wielange es dauert, bis die einzelnen DNS-Serverdie Anfrage aufgelöst haben. Basierend auf derAntwortzeit des betreffenden Servers können Sieden DNS-Server priorisieren.

Routenauflösung

Wenn Ihre Netzwerke routingfähig sind und Sie feststellen möchten, über welche Schnittstelle dieAppliance den Datenverkehr leitet, lösen Sie die Route für die IP-Adresse (IPv4/IPv6) auf.

Konsolidierter Fehlermeldungsbericht

Damit das Supportteam Systemprobleme untersuchen kann, kann ein Fehlermeldungsberichterzeugt werden, der aus der aktuellen Statusdatei und den Protokolldateien des Systems besteht.Die Datei enthält in verschlüsselter Form Informationen wie eine Liste aller Prozesse, die aktuell aufdem System laufen, Ressourcennutzung usw.

Der Administrator muss die Datei erzeugen, speichern und zur Diagnose und Problembehebung anden Support schicken.

Die Datei wird mit folgendem Namen erzeugt: CTR_<APPKEY>__<MM_DD_YY>_<HH_MM_SS>Dabei gilt:

• APPKEY ist der Appliance-Schlüssel der Appliance, für die der Bericht erzeugt wird.

• MM_DD_YY ist das Datum (Monat Tag Jahr), an dem der Bericht erzeugt wird.

• HH_MM_SS ist die Uhrzeit (Stunde Minute Sekunde), zu der der Bericht erzeugt wird.

Standardmäßig ist der Debug-Modus für alle Subsysteme deaktiviert. Aktivieren Sie vor derErzeugung einer Protokolldatei den Debug-Modus, indem Sie folgenden Befehl über die Befehlszeileausführen:

console> diagnostics subsystems <subsystem name> debug on

HinweisDer Fehlersuchmodus kann nicht aktiviert werden, wenn Sie nur eine System-Momentaufnahmeerzeugen möchten.


Fehlermeldungsbericht (CTR) erzeugen für Aktivieren Sie die Optionen, für die derFehlermeldungsbericht erzeugt werden soll.

Verfügbare Optionen:System-Momentaufnahme Hier werdenMomentaufnahmen erzeugt, um Probleme im


XG Firewall

System aufzuzeigen.Protokolldateien Hierwerden Protokolldateien erzeugt.

Ursache Geben Sie die Ursache für die Erzeugung desFehlermeldungsberichts an.

Erzeugen Klicken Sie hier, um den Fehlermeldungsberichtzu generieren.

6.2 SystemdiagrammeDie Seite Systemdiagramme zeigt Grafiken zu mit dem System verbundenen Aktivitäten fürunterschiedliche Zeiträume.

Diagnose > Systemdiagramme

Die Systemdiagramme zeigen Informationen für den ausgewählten Zeitraum an: Diese Diagrammesind dieselben, die auch für die Utility angezeigt werden. Sie werden nach Zeitintervall neu gruppiert.

6.2.1 Diagramme zur CPU-Nutzung

Anhand von CPU-Diagrammen kann der Administrator die CPU-Nutzung durch die Benutzerund Systemkomponenten überwachen. Die Diagramme geben Auskunft über die minimale,maximale, durchschnittliche und aktuelle CPU-Nutzung für Benutzer und das System sowie dieCPU-Inaktivitätszeit (in Prozent).

• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)

• Y-Achse – % Nutzung

Legende:

• Orange – Vom Benutzer genutzte CPU

• Lila – Vom System genutzte CPU

• Grün – CPU-Inaktivitätszeit


XG Firewall

Abbildung 1: CPU-Nutzung

6.2.2 Diagramme zur Speichernutzung

Mithilfe des Diagramms zur Speichernutzung kann der Administrator die Speichernutzungin Megabyte (MB) überwachen. Im Diagramm werden der minimale, der maximale, derdurchschnittliche und der aktuell verwendete Arbeitsspeicher, der freie Arbeitsspeicher und derinsgesamt verfügbare Arbeitsspeicher in Prozent angezeigt.


• Y-Achse – Verwendeter Arbeitsspeicher in MB

Erklärung:

• Orange – Verwendeter Arbeitsspeicher

• Violett – Freier Arbeitsspeicher

• Grün – Arbeitsspeicher insgesamt

Abbildung 2: Speichernutzung


XG Firewall

6.2.3 Diagramme zur Durchschnittslast

Mithilfe von Durchschnittslast-Diagrammen kann der Administrator die Auslastung des Systemsüberwachen.

Im Diagramm wird die minimale, maximale durchschnittliche und aktuelle Auslastung des Systemsnach Intervallen von einer Minute, fünf Minuten und fünfzehn Minuten angegeben.


• Y-Achse – Index der Durchschnittslast

Erklärung:

• Orange – Eine Minute

• Violett – Fünf Minuten

• Grün – Fünfzehn Minuten

Abbildung 3: Durchschnittslast

6.2.4 Diagramme zur Festplattennutzung

Mithilfe der Diagramme zur Festplattennutzung kann der Administrator die Festplattennutzung inProzent überwachen.

Diagramme geben Auskunft über die minimale, maximale, durchschnittliche und momentan genutzteprozentuale Festplattennutzung durch Signaturen, Konfigurationen, Berichte und temporäre Dateien.


• Y-Achse – % Nutzung

Legende

• Orange – Von Signaturen genutzter Festplattenspeicher

• Lila – Von Konfigurationsdateien genutzter Festplattenspeicher

• Grün – Von Berichten genutzter Festplattenspeicher

• Blau – Von temp genutzter Festplattenspeicher


XG Firewall

Abbildung 4: Festplattennutzung

6.2.5 Diagramme zu Live-Benutzern

Mithilfe der Diagramme zu Live-Benutzern kann der Administrator für einen ausgewählten Zeitraumdie Anzahl der Live-Benutzer überwachen.

Die Diagramme zeigen die Anzahl der momentan mit dem Internet verbundenen Benutzer.Zusätzlich wird die minimale, maximale und durchschnittliche Anzahl der Benutzer, die während desausgewählten Zeitraums verbunden waren, angezeigt.

So kann der Administrator die Spitzenzeiten am Tag ermitteln.


• Y-Achse – Anzahl der Benutzer

Legende

• Orange – Anzahl der verbundenen Live-Benutzer

Abbildung 5: Live-Benutzer


XG Firewall

6.2.6 Diagramme zur Datenübertragung über WAN-Zone

Es gibt drei Diagramme zur Datenübertragung für die WAN-Zone, die Informationen zurDatenübertragung über WAN-Zone bereitstellen.

1. Gesamter Upload-/Download-Datentransfer des ausgewählten Zeitraums – DiesesDiagramm gibt Auskunft über den Upload- und Download-Datentransfer. Der Upload- undDownload-Datentransfer lässt sich anhand der Farben unterscheiden. Darüber hinaus wird derminimale, maximale und durchschnittliche Datentransfer getrennt für Upload- und Download-Datenverkehr angezeigt.


• Y-Achse – Upload/Download in kbit/Sekunde

Legende

• Orange – Upload-Datenverkehr

2. Gesamter Datentransfer des ausgewählten Zeitraums – Dieses Diagramm gibt Auskunft überden gesamten Datentransfer aus der WAN-Zone. Darüber hinaus wird der minimale, maximaleund durchschnittliche Datentransfer angezeigt.



Legende

• Orange – Gesamter Datenverkehr (Upload + Download)

• Lila – Download-Datenverkehr

3. Gesamter Upload-/Download-Datentransfer des ausgewählten Zeitraums – DiesesDiagramm gibt Auskunft über den Datentransfer aus der WAN-Zone nach Gateway. Darüberhinaus wird der minimale, maximale und durchschnittliche Datentransfer jedes Gatewaysangezeigt.



Legende

• Verschiedene Farben für die einzelnen Gateways


XG Firewall

Abbildung 6: WAN-Datentransfer

6.2.7 Schnittstellen-Infodiagramme

Das Diagramm Schnittstelleninfo zeigt die folgenden Traffic-Statistiken für alle Schnittstellen an(physikalische Schnittstellen, VLAN-Schnittstellen, WLAN- und WAN-Schnittstellen):

1. Anzahl der Bits, die über die Schnittstelle empfangen und übertragen wurden

2. Fehler, die beim Übertragen und Empfangen der Pakete über die Schnittstelle aufgetreten sind

3. Pakete , die beim Übertragen und Empfangen der Pakete über die Schnittstelle verworfenwurden

4. Kollisionen, die beim Übertragen und Empfangen der Pakete über die Schnittstelle aufgetretensind

Die Grafik zeigt an:


• Y-Achse – kBits/Sek

Legende

• Orange – Empfangene Bits (kBits/Sek)

• Violett – Übertragene Bits (kBits/Sek)

• Hellgrün – Empfangene Bits (kBits/Sek)

• Blau – Übertragene Bits, die verworfen wurden

• Pink – Kollisionen

• Rot – Fehler bei der Übertragung

• Dunkelgrün – Empfangene Bits, die verworfen wurden


XG Firewall

Abbildung 7: Schnittstellendiagramm

Hinweis• Die Diagramme von heute und gestern werden durchschnittlich alle 5 Minuten

aufgezeichnet.

• Das Wochendiagramm wird durchschnittlich alle 15 Minuten aufgezeichnet.

• Das Monatsdiagramm wird durchschnittlich alle 6 Stunden aufgezeichnet.

• Das Jahresdiagramm wird durchschnittlich einmal am Tag aufgezeichnet.

6.3 URL-Kategoriensuche

Mit der URL-Kategoriensuche können Sie herausfinden, ob die URL kategorisiert ist oder nicht.Nach der angegebenen URL wird gesucht und im Erfolgsfall wird sie mit dem Namen der Kategorie,der sie zugeordnet ist, sowie der Beschreibung der Kategorie angezeigt.

Wenn die Domäne/URL als eigene Kategorie und als Standardkategorie eingestuft ist, wird derName der eigenen Kategorie in den Suchergebnissen angezeigt.

Nach einer URL suchen:

1. Gehen Sie zu Diagnose > URL-Kategoriensuche.

2. Geben Sie die URL, nach der gesucht werden soll, in URL suchen ein.

3. Klicken Sie auf Suchen.

6.4 Paketerfassung

Auf dieser Seite werden für die gewünschte Schnittstelle die Paketinformationen angezeigt. Hierfinden Sie Informationen zur Verbindung und den Paketen, die von den einzelnen Modulpaketen,z. B. Firewall oder IPS, verarbeitet werden, sowie Daten wie Firewallregelnummern, Benutzer,


XG Firewall

Richtliniennummern von Web- und Anwendungsfiltern usw. Mit diesen Informationen könnenAdministratoren fehlerhafte Firewallregeln einfacher reparieren.

Sie können:

• Die Filtereinstellungen für die Erfassung von Paketen konfigurieren.

• Die Paketinformationen ansehen.

• Die Filterbedingungen für die Pakete angeben.

• Start/Stopp – Starten und stoppen Sie die Paketerfassung.

• Aktualisieren – Aktualisieren Sie die Liste.

• Löschen – Löschen Sie die Daten der erfassten Pakete.

Paketerfassung

Nachverfolgung ein/aus Mit diesem Schieberegler aktivieren/deaktivierenSie die Paketerfassung.

Der Status, die Puffergröße und der für dieErfassung verwendete Puffer werden angezeigt:

• Nachverfolgung an - Paketerfassungaktiviert.

• Nachverfolgung aus - Paketerfassungdeaktiviert.

• Puffergröße: 2048 KB

• Genutzter Puffer: 0 bis 2048 KB

Die erfassten Pakete füllen den Puffer bis zu einerGröße von 2048 KB. Wenn die Paketerfassungan ist und der verwendete Puffer die angegebenePuffergröße übersteigt, wird die Paketerfassungautomatisch gestoppt. In diesem Fall müssenSie den Puffer manuell löschen, um ihn weiterverwenden zu können.

HinweisDie Details der Paketerfassung werden ineinem neuen Fenster der Protokollansichterst nach der Aktivierung der Paketerfassungangezeigt.

Konfigurieren Klicken Sie diese Option, um die Paketerfassungzu konfigurieren.

Der Capture-Filter kann anhand der folgendenParametern konfiguriert werden:Anzahl der zuerfassenden Bytes (je Paket)PufferpackungBPF-String

Es gibt verschiedene Filterbedingungen zurErfassung von Paketen. Der BPF-String wirdverwendet, um die Paketerfassung zu filtern.Beispiel: Host 192.168.1.2 und Port 137.


XG Firewall

Erfasste Pakete

Im Abschnitt Erfasste Pakete sehen Sie eine Liste aller erfassten Pakete. Für jedes Paket zeigt dieListe Folgendes an:

Zeit Erfassungszeit des Pakets.

Ein-Schnittstelle Schnittstelle, von welcher das Paket kommt.

Ausgehende Schnittstelle Schnittstelle, an welche das Paket gesendetwird.

Ethernet-Art Ethertype: IPv4 oder IPv6 oder ARP

Ethertype ist ein Feld in einem Datenframe.Gibt an, welches Protokoll im Datenframeeingekapselt ist.

Quell-IP Quell-IP-Adresse (IPv4/IPv6) des Pakets.

ZielIP Ziel-IP-Adresse (IPv4/IPv6) des Pakets.

Pakettyp Typ des Pakets: ARP-Anfrage oder UDP.

Ports [Quelle, Ziel] Ports der Quelle und des Ziels.

Regel-ID ID der Firewallregel.

Status Möglicher Paketstatus:

• Eingehend: Pakete, die an einer WAN- oderLAN-Schnittstelle empfangen werden.

• Weitergeleitet: Pakete, die an dieausgehende Schnittstelle weitergeleitetwerden.

• Verbraucht: Pakete, die an die Applianceaddressiert sind oder von dieser verwendetwerden.

• Erzeugt: Pakete, die von der Applianceerzeugt werden.

• Verstoß: Im Fall eines Verstoßes gegeneine Richtlinie verwirft die Appliance dasPaket und zeigt den Status Verstoß an.

Ursache Warum das Paket verworfen wurde, wenn esverworfen wurde.

Verbindungsstatus Staus der Verbindung.

Verfügbar durch Gibt für die Verbindung die Eigenschaft„Hergestellt“, TIME_WAIT oder NONE an.

Webfilter-ID ID der auf den Datenverkehr der Verbindungangewendeten Webfilter-Richtlinie.

Verbindungsflags System-Flags

Anwendungs-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendung.


XG Firewall

Anwendungskategorie-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendungskategorie.

Verbindungs-ID Eindeutige ID einer Verbindung.

Gateway-ID ID des Gateways, über welchen derDatenverkehr geleitet wird.

Fernzugriffs-Richtlinien-ID ID der Fernzugriffs-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.

Bandbreiten-Richtlinien-ID ID der auf den Datenverkehr der Verbindungangewendeten Bandbreiten-Richtlinie.

Benutzergruppe Mitgliedschaft der Benutzer.

IPS-Richtlinien-ID ID der auf den Datenverkehr der Verbindungangewendeten IPS-Richtlinie.

Anwendungsfilter-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendungsfilter-Richtlinie.

Webkategorie-ID ID der auf den Datenverkehr der Verbindungangewendeten Web-Kategorie.

Master-Verbindungs-ID Master-Verbindungs-ID der aktuellenVerbindung.

Benutzername Name des Benutzers, der die Verbindungherstellt.

Filter anzeigen Anklicken, um die Filterkriterien festzulegen.

Die Paketerfassung kann nach folgendenKriterien gefiltert werden: Schnittstellenname,Ethertype, Pakettyp, Quell-IP, Quell-Port, Ziel-IP und Ziel-Port, Ursache, Status, Regel-ID,Benutzer und Verbindungs-ID.

Paketdaten

Paketdaten Zu den Paketdaten gehören dieKopfzeileninformationen und Einheiten wieFirewallregeln und -Richtlinien.

Hex & ASCII Details

Hex & ASCII Details Paketinformationen in Hex- und ASCII-Werten.

6.4.1 Capture-Filter konfigurieren

Auf der Seite Capture-Filter konfigurieren kann die Anzahl der Bytes eingestellt werden, die jePaket erfasst werden sollen.

1. Gehen Sie zu Diagnose > Paketerfassung und klicken Sie auf Konfigurieren.

2. Geben Sie die Daten zum Konfigurieren des Capture-Filters ein.


XG Firewall

Anzahl der zu erfassenden Bytes (je Paket) Legen Sie die Anzahl der zu erfassenden Bytespro Paket fest.

Pufferpackung Aktivieren Sie diese Option, damit Pakete auchdann weiter erfasst werden, wenn der Puffervoll ist. Wenn das Auswahlkästchen aktiviert ist,beginnt die Paketerfassung wieder am Anfangdes Puffers.

BPF-String eingeben Legen Sie einen BPF-String fest. Der BPF(Berkeley Packet Filter) befindet sich zwischendem Link-Level-Treiber und dem Userspace.BPF ist protokollunabhängig und basiertauf einem Ansatz, wonach erst gefiltert unddann gepuffert wird. Die Rechnerabstraktionermöglicht eine effiziente Filterung. Beispiel:Host 192.168.1.2 und Port 137. Unter BPF-String-Parameter finden Sie Informationenzum Filtern spezifischer Pakete.

Tabelle 7: BPF-String-Parameter

Überprüfung der Pakete von (einem) Beispiel

spezifischen Host host 10.10.10.1

spezifischen Quell-Host src host 10.10.10.1

spezifischen Ziel-Host dst host 10.10.10.1

spezifischen Netzwerk net 10.10.10.0

spezifischen Quell-Netzwerk src net 10.10.10.0

spezifischen Ziel-Netzwerk dst net 10.10.10.0

spezifischen Port port 20 or port 21

spezifischer Quell-Port src port 21

spezifischen Ziel-Port dst port 21

spezifischen Host für den bestimmten Port host 10.10.10.1 and port 21

spezifischen Host für alle Ports außer SSH host 10.10.10.1 and port not 22

spezifischen Protokoll proto ICMP, proto UDP, proto TCP


6.4.2 Filter anzeigen

Auf dieser Seite wird die Paketerfassung auf bestimmte Pakettypen beschränkt. Es gibt weitereFilterbedingungen wie Schnittstellentyp, Ethernet-Art, Quell-IP-Adresse und Ziel-IP-Adresse.

1. Gehen Sie zu Diagnose > Paketerfassung und klicken Sie auf Filter anzeigen.

2. Geben Sie die Daten zum Konfigurieren des Anzeigefilters ein.

Schnittstellenname Wählen Sie aus der Liste die für das Filternder Paketprotokolle genutzte physikalischeSchnittstelle aus.


XG Firewall

Ethernet-Art Wählen Sie die Ethernet-Art aus: IPv4 oderIPv6 oder ARP.

Ethernet-Art ist ein Feld in einem Ethernet-Frame. Es dient als Verweis auf das imEthernet-Frame eingekapselte Protokoll.

Pakettyp Wählen Sie aus der Liste den Pakettyp für dasFiltern der Pakete aus.

Quell-IP Geben Sie die Quell-IP-Adresse an (IPv4/IPv6).

Quellport Geben Sie die Quellport-Nummer an.

ZielIP Geben Sie die Ziel-IP-Adresse an (IPv4/IPv6).

Zielport Geben Sie die Zielport-Nummer an.

Ursache Wählen Sie aus den verfügbaren Optionen dieUrsache für die Anzeige des Filters.

• Firewall

• LOCAL_ACL

• DOS_ATTACK

• INVALID_TRAFFIC

• INVALID_FRAGMENTED_TRAFFIC

• ICMP_REDIRECT

• SOURCE_ROUTED_PACKET

• FRAGMENTED_TRAFFIC

• APPLICATION_FILTER

• USER_IDENTITY

• IPS

• MAC_FILTER

• IPMAC_FILTER

• IP_SPOOF

• NEIGHBOR_POISONING

• SSL_VPN_ACL_VIOLATION

• VIRTUAL_HOST

• ICMP ERROR MESSAGE

Status Wählen Sie aus den verfügbaren Optionen denStatus des Filters aus.

• Allowed

• Violation

• Consumed

• Generated

• Incoming

• Forwarded


XG Firewall

Regel-ID Geben Sie die ID für die Regel an.

Benutzer Wählen Sie aus der Liste der bereitsvorhandenen Benutzer einen Benutzer aus.

Verbindungs-ID Geben Sie eine Verbindungs-ID an.

Löschen Klicken Sie hier, um die Filtereinstellungen zuentfernen.


6.5 Verbindungsliste

Auf dieser Seite wird der aktuelle oder „Live“-Verbindungsstatus Ihrer Appliance in Listenformangezeigt. Neben den Verbindungsinformationen enthält die Liste auch Angaben wie ID derFirewallregel, Benutzer-ID und Verbindungs-ID nach Verbindung. Die Verbindungsliste kannentsprechend den Anforderungen gefiltert werden. Klicken Sie auf den Verbindungs-ID-Link um dieLive-Momentaufnahme einer bestimmten Verbindung in Ihrem Fenster anzusehen.

Der Administrator kann das Aktualisierungsintervall so festlegen, dass die Liste zum eingestelltenZeitintervall automatisch aktualisiert wird, oder die Liste manuell über die Schaltfläche Aktualisierenerneuern. Um die Verbindungsliste zu filtern, klicken Sie auf Filter anzeigen und legen Sie dieParameter fest.

Verbindungsliste

Zeit Dauer des Verbindungsaufbaus im FormatHH:MM:SS.

Verbindungs-ID Eindeutige ID, die einer Verbindung zugewiesenist.

Ein-Schnittstelle Port, der für die eingehende Verbindung genutztwird.

Ausgehende Schnittstelle Port, der von der ausgehenden Verbindunggenutzt wird.

Quell-IP Quell-IP-Adresse (IPV4/IPv6) der Verbindung.

ZielIP Ziel-IP-Adresse (IPV4/IPv6) der Verbindung.

Protokoll Von der Verbindung genutztes Protokoll wie z.B.TCP oder UDP.

Anwendungsname Name der Anwendung, die die Verbindungaufgemacht hat.

Der Name wird für die Anwendungen angezeigt,die von SFOS identifiziert wurden. Wenn SecurityHeartbeat unter Komplexe Bedrohungen> Security Heartbeat aktiviert ist, wird fürAnwendungen, die nicht identifiziert werdenkonnten, der Link Anwendungsinformationanfordern angezeigt. Klicken Sie auf den Link,um Anwendungsinformationen vom Endpointabzufragen.


XG Firewall

Wenn Security Heartbeat nicht aktiviert ist oderkeine Endpoints verbunden sind, wird KeineInformation verfügbar angezeigt.

Quellport Quellport der Verbindung.

Zielport Zielport der Verbindung.

Master-Verbindungs-ID Master-Verbindungs-ID der aktuellen Verbindung.

Regel-ID ID der Firewallregel, die die Sitzung erlaubt.

Benutzername Name des Benutzers, der eine Verbindungherstellt.

Verbindungsstatus Zeigt den Status der Verbindung an.

Flags System-Flag

Benutzergruppe Zugehörigkeit zu Benutzergruppen.

Webfilter-ID ID der Webfilter-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.

Anwendungsfilter-ID ID der Anwendungsfilter-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.

IPS-Richtlinien-ID ID der IPS-Richtlinie, die für den Datenverkehrder Verbindung angewendet wird.

Traffic-Shaping-Richtlinien-ID ID der QoS-Richtlinie, die für den Datenverkehrder Verbindung angewendet wird.

Fernzugriffs-Richtlinien-ID ID der Fernzugriffs-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.

Gateway-ID ID des Gateways, über das der Datenverkehr derVerbindung geleitet wird.

Webkategorie-ID ID der Webkategorie, die für den Datenverkehrder Verbindung angewendet wird.

Anwendungs-ID ID der Anwendung für den Datenverkehr derVerbindung.

Anwendungskategorie-ID ID der Anwendungskategorie für denDatenverkehr der Verbindung.

Verbindung verfügbar durch Die Firewall, die die Verbindung bereitstellt.

Übersetzte Quelle Übersetzte Quell-IP-Adresse für ausgehendenDatenverkehr.

Übersetztes Ziel Übersetzte Ziel-IP-Adresse für ausgehendenDatenverkehr.

Abgelaufen in (Sekunden) Die Verbindung wird nach Ablauf der angezeigtenSekunden getrennt, wenn sie nicht genutzt wird.

Rx Bytes Datenmenge in Byte, die während dieser Sitzungempfangen wurde.

Tx Bytes Datenmenge in Byte, die während dieser Sitzunggesendet wurde.

Rx Pakete Anzahl der Pakete, die während dieser Sitzungempfangen wurden.


XG Firewall

Tx Pakete Anzahl der Pakete, die während dieser Sitzunggesendet wurden.

Verbindungsstatus Zeigt den Staus der Verbindung an.

6.5.1 Filter anzeigen

Auf der Seite Filter anzeigen können Sie Filterkriterien für die Anzeige der Verbindungslistefestlegen.

1. Gehen Sie zu Diagnose > Verbindungsliste und klicken Sie auf Filter anzeigen.

2. Filterparameter eingeben

Ein-Schnittstelle Schnittstelle, die von der eingehendenVerbindung genutzt wird.

Ausgehende Schnittstelle Schnittstelle, die von der ausgehendenVerbindung genutzt wird.

Benutzer Name des Benutzers, der eine Verbindungherstellt.

Netzwerkprotokoll Wählen Sie das Netzwerkprotokoll aus, das fürdie Herstellung einer Verbindung genutzt wird.

Verfügbare Optionen:IPv4IPv6

Quell-IP IP-Adresse (IPv4/IPv6), von der aus dieVerbindung hergestellt wurde.

ZielIP IP-Adresse (IPv4/IPv6), zu der die Verbindunghergestellt wurde.

Pakettyp Wählen Sie den Pakettyp aus, der für dieVerbindung genutzt wird.

Quellport Quellport der Verbindung.

Zielport Zielport für die Verbindung.

Regel-ID ID der Firewallregel.

Löschen Klicken Sie hier, um die Filtereinstellungen zuentfernen.

6.5.2 Zugehörige Verbindungen

Auf dieser Seite wird eine Live-Momentaufnahme der ausgewählten Verbindung angezeigt. Nebenden Verbindungsinformationen enthält die Liste auch Angaben zur ausgewählten Verbindung wie dieFirewallregel-ID, Benutzer-ID, Verbindungs-ID, Webfilter-ID und so weiter.

6.6 Support-ZugriffVerwenden Sie die Seite Support-Zugriff, um einem Sophos Support Teammitglied zurFehlerbehebung zeitweisen Zugriff auf Ihre Firewall zu gestatten.


XG Firewall

Support-Zugriff ermöglicht es dem Sophos Support, sich ohne Administrator-Zugangsdaten mitder Web-Admin-Oberfläche auf Ihrer Firewall zu verbinden. Wenn diese Funktion aktiviert ist, wirdeine Zugriffs-ID erzeugt, mit der das Support-Teammitglied auf Ihre Appliance zugreifen kann. DerAdministrator muss diese ID an den Support übermitteln.

Wenn Support-Zugriff aktiviert ist, kann der Support vom WAN aus über HTTPS auf TCP-Port 22 aufIhre XG Firewall zugreifen. Alle Verbindungen zwischen XG Firewall und dem Support werden vonIhrer XG Firewall initiiert.

Legen Sie folgendes fest:

1. Aktivieren Sie den Support-Zugriff auf Sophos XG Firewall unter Diagnose > Support-Zugriff undklicken Sie auf den Schalter.

2. Bestätigen Sie die Aktivieren-Meldung mit OK.

3. Über die Auswahlliste Zugriff gewähren für legen Sie fest, wie lange der Zugriff gültig ist.

4. Klicken Sie auf Übernehmen, um die Einstellungen zu aktualisieren.

5. Klicken Sie auf OK.

Sophos XG Firewall baut eine sichere Verbindung zur APU (Access Proxy für UTM) auf undüberträgt eine eindeutige Zugriffs-ID.

6. Teilen Sie dem Support die Zugriffs-ID mit.

Der Support nutzt diese Zugriffs-ID, um sich an Ihrer XG Firewall anzumelden. Die Steuerverbindungbleibt für die angegebene Zeit, die neben Zugriff bis angezeigt wird, erhalten.

Sie können die Verbindung jederzeit manuell trennen, indem Sie auf den Umschalter klicken und dieMeldung mit OK bestätigen.


XG Firewall

Kapitel 7

7 FirewallFirewallregeln sind Sets an Sicherheitsregeln, die das Verhalten von Benutzern, Anwendungen oderNetzwerkobjekten in einer Organisation steuern. Mithilfe der Firewallregel können Sie pauschale oderspezifische Regeln zur Datenübertragung je nach Ihren Anforderungen erstellen. Die Regeltabelleermöglicht die zentralisierte Verwaltung von Firewallregeln.

Firewallregeln

Sie können bestehende Firewallregeln aktualisieren oder neue Firewallregeln hinzufügen. Siekönnen die Position von eigenen Firewallregeln in der Regeltabelle ändern. Die Firewall wertet dieRegeln von oben nach unten aus.

• Um eine Firewallregel hinzuzufügen, wählen Sie das Protokoll IPv4 oder IPv6 aus undklicken Sie auf + Firewallregel hinzufügen. Wählen Sie Benutzer-/Netzwerkregel oderGeschäftsanwendungsregel aus.

• Um eine Regel zu klonen, klicken Sie auf

und klicken Sie auf Oberhalb klonen oder Unterhalb klonen.

• Um eine neue Netzwerk- oder Geschäftsanwendungsregel von der Regeltabelle hinzuzufügen,klicken Sie auf

und klicken Sie auf die Regeltyp, die Sie hinzufügen wollen.

• Um eine Regel zu aktivieren oder deaktivieren, klicken Sie auf

und klicken Sie auf den Schalter.

• Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf

und wählen Sie die Maßnahme aus.

• Um die Position der Regel zu ändern, klicken Sie auf die Verschiebepunkte( )und ziehen Sie die Regel an den gewünschten Platz.

Tabelle 8: Status von Regeln

Status Beschreibung

Ungenutzt Die Firewall hat in den letzten 24 Stunden keinen Verkehr gefunden, der zu derRegel passt.

Deaktiviert Manuell deaktiviert.

Geändert In den letzten 24 Stunden aktualisiert.

Neu In den letzten 24 Stunden erstellt.

Sie können Firewallregeln filtern.

• Um Regeln basierend auf dem Protokoll zu filtern, klicken Sie auf IPv4 oder IPv6.


XG Firewall

• Um Filter einzustellen, klicken Sie auf Filter aktivieren, wählen Sie die Filter und klicken Sie aufÜbernehmen. Um eine bestimmte Regel zu sehen, geben Sie die Regel-ID ein.

• Um alle Filter zurücksetzen, klicken Sie auf Filter zurücksetzen.

• Um die Filteransicht zu schließen, klicken Sie auf Filter deaktivieren.

• Um die Regelinformationen in der Regeltabelle zu sehen, lassen Sie den Mauszeiger über denSymbolen unter Funktionen ruhen.

Firewallregelgruppen

Sie können Firewallregelgruppen von der Regeltabelle und von der Regelvorlage erstellen. Siekönnen eine Firewallregel zu einer Regelgruppe hinzufügen oder von einer Gruppe lösen. Benutzer-,Netzwerk- und Geschäftsanwendungsregeln können Mitglieder einer einzigen Regelgruppe sein. Siekönnen die Regel ziehen und fallen lassen, um ihre Position zu ändern.

• Um eine neue Regelgruppe aus der Regeltabelle zu erstellen, klicken Sie auf

neben einer Regel und klicken Sie auf Neue Gruppe. Geben Sie einen Namen ein und klickenSie auf Verschieben.

• Um eine Firewallregel zu einer bestehenden Regelgruppe hinzuzufügen, klicken Sie auf

.Wählen Sie unter Zu Gruppe hinzufügen die Regelgruppe aus, in welche die Firewallregelverschoben werden soll.

• Um eine Firewallregel von einer Regelgruppe zu lösen, klicken Sie auf

und klicken Sie auf Lösen.

• Um eine bestehende Firewallregelgruppe zu bearbeiten, klicken Sie auf

,bearbeiten Sie die Informationen und klicken Sie dann auf Aktualisieren. Sie können denNamen, die Beschreibung, den Regeltyp, die Quell- und die Zielzone bearbeiten.

HinweisLeere Regelgruppen kann es nicht geben. Wenn Sie die letzte Regel aus einer Regelgruppelöschen, löscht die Firewall die Regelgruppe.

HinweisRegelgruppen bestimmen nicht die Regelpriorität. Die Firewall wertet die Regeln von oben nachunten aus.

Automatisches Gruppieren von Firewallregeln

Sie können eine Firewallgruppe erstellen, indem Sie Abgleichkriterien, wie Regeltyp, Quell- undZielzone festlegen.

Wenn Sie eine Firewallregel erstellen, wählen Sie Automatisch in Regelgruppe, um die Regel aufBasis der Abgleichkriterien zu gruppieren.


XG Firewall

HinweisXG Firewall verwendet die Gruppen-Abgleichkriterien nicht, um Netzwerkverkehr zu verwalten,sondern nur zum Gruppieren von Firewallregeln.

Standard-Firewallregeln

Wenn Sie den Netzwerkkonfigurationsassistent während der ersten Einrichtung verwenden,erstellt XG Firewall eine Standard-Firewallregel namens #Default_Network_Rule.

Standard-Firewallgruppen

Wenn Sie den Netzwerkkonfigurationsassistent während der ersten Einrichtung verwenden,erstellt XG Firewall diese Standard-Firewallregelgruppen mit einer deaktivierten Firewallregel:

Traffic to DMZ (Verkehr zur DMZ): Eingehender Verkehr wird in die DMZ geroutet. Wenn SieAutomatisch in Regelgruppe angegeben haben, werden Firewallregeln mit der Zielzone DMZautomatisch zu dieser Gruppe hinzugefügt, aufgrund der Gruppen-Abgleichkriterien.

Traffic to WAN (Verkehr zum WAN): Ausgehender Verkehr wird ins WAN geroutet. Wenn SieAutomatisch in Regelgruppe angegeben haben, werden Firewallregeln mit der Zielzone WANautomatisch zu dieser Gruppe hinzugefügt, aufgrund der Gruppen-Abgleichkriterien.

Traffic to Internal Zones (Verkehr zu internen Zonen): Verkehr wird ins LAN, WLAN, VPN oderDMZ geroutet. Wenn Sie Automatisch in Regelgruppe angegeben haben, werden Firewallregeln mitder Zielzone LAN, WLAN, VPN oder DMZ automatisch zu dieser Gruppe hinzugefügt, aufgrund derGruppen-Abgleichkriterien.

HinweisStandardmäßig sind Regeltyp, Quellzone und Zielzone auf „Any“ (beliebig) gestellt.

HinweisXG Firewall kann keine leeren Firewallregelgruppen haben. Daher gibt es in jederStandardregelgruppe eine deaktivierte Firewallregel. Sie wirkt sich nicht auf den Verkehr aus, dasie deaktiviert ist. Sie können sie aber aktivieren, ändern oder löschen.

Liste der Firewallregeln verstehen

Alle hinzugefügten Regeln sind in Form einer Liste verfügbar. Für jede Regel in der Liste ist einekurze Übersicht verfügbar. Welche Elemente in der verkleinerten oder erweiterten Ansicht verfügbarsind, sehen Sie unten.

Symbole in der verkleinerten Ansicht:

• ID: ID der Regel

• Name: Name der Regel

— Eingehend/Ausgehend: Menge des Verkehrs (in Bytes), der über eine bestimmte Regelaus- oder eingeht

• Quelle: Quellzone

• Ziel: Zielzone


XG Firewall

• Was: Zeigt geschützte Domänen/Dienste an

• Maßnahme: Status der geschützten Server, Status der Web und Application Protection fürBenutzer

• Funktionen: Status des Zeitplans, des Heartbeats, IPS und Traffic-Shaping

Um die Regelinformationen zu sehen, lassen Sie den Mauszeiger über Funktionen ruhen.

Symbole verstehen

Symbole Bedeutung

Geschäftsanwendungsregel ist aktiviert.

Geschäftsanwendungsregel ist deaktiviert.

Benutzerregel ist deaktiviert und Maßnahme ist Annehmen.

Benutzerregel ist deaktiviert und Maßnahme ist Verwerfen oder Ablehnen.

Benutzerregel ist aktiviert und Maßnahme ist Verwerfen oder Ablehnen.

Benutzerregel ist aktiviert.

Netzwerkregel ist aktiviert.

Netzwerkregel ist deaktiviert und Maßnahme ist Annehmen.

Netzwerkregel ist deaktiviert und Maßnahme ist Verwerfen oder Ablehnen.

Netzwerkregel ist aktiviert und Maßnahme ist Verwerfen oder Ablehnen.

Antiviren-Scans sind deaktiviert.

Antiviren-Scans sind aktiviert.

Anwendungsüberwachung ist deaktiviert.

Anwendungsüberwachung ist für alle Zulassen.

Anwendungsüberwachung ist für alle Ablehnen.

Anwendungsüberwachung ist Verwerfen.


XG Firewall

Symbole Bedeutung

Security Heartbeat™ ist deaktiviert oder es gibt keine Beschränkung.

Security HeartbeatTM ist aktiviert und grün.

Security HeartbeatTM ist aktiviert und gelb.

Security HeartbeatTM Keine Beschränkung und kein Heartbeat.

Security HeartbeatTM Keine Beschränkung und grün.

Security HeartbeatTM Keine Beschränkung und gelb.

Intrusion Prevention ist deaktiviert.

Intrusion Prevention ist aktiviert.

NAT ist deaktiviert.

NAT ist aktiviert.

Traffic-Shaping-Richtlinie ist deaktiviert.

Traffic-Shaping-Richtlinie ist aktiviert.

Internetrichtlinie ist deaktiviert.

Internetrichtlinie ist Annehmen.

Internetrichtlinie ist Ablehnen.

Internetrichtlinie ist Verwerfen.

Routing ist aktiviert.

Routing ist deaktiviert.

Firewallregel ist aktiviert. Klicken, um die Regel zu deaktivieren.

Firewallregel ist deaktiviert. Klicken, um die Regel zu aktivieren.

Klappen Sie die Regel auf für weitere Informationen.

Eine Regel zuklappen.

Eine Regel oder Gruppe bearbeiten.

Eine Regel löschen (gilt nicht für Standardregeln).

Ziehen Sie eine Regel, um ihre Reihenfolge zu ändern.


XG Firewall

Symbole Bedeutung

Farbschlüssel

Rot Abgelehnt oder verworfen.

Grün Angenommen oder zugelassen.

Gelb Verworfen (in Bezug auf Richtlinien).

Blau An oder aktiviert.

Grau Aus oder deaktiviert.

Klicken Sie auf

,damit folgende Optionen erscheinen:

• An

• Aus

• Bearbeiten: Bearbeiten Sie eine Firewallregel

• Oberhalb klonen

• Unterhalb klonen

• Netzwerkregel oberhalb hinzufügen

• Geschäftsregel oberhalb hinzufügen

• Netzwerkregel unterhalb hinzufügen

• Geschäftsregel unterhalb hinzufügen

• Zu Gruppe hinzufügen: Führt bestehende Gruppen auf. Sie können eine Firewallregel zueiner neuen oder bestehenden Gruppe hinzufügen. Sie können auch eine Gruppe aus der Listelöschen.

— Neue Gruppe Erstellt eine Firewallgruppe mit Namen, Beschreibung, Regeltyp, Quell- undZielzone. Sie können bestehende Firewallregeln zur Gruppe hinzufügen.

• Lösen: Löst eine Firewallregel von einer Gruppe.

• Löschen

Zugehörige KonzepteNAT (Seite 495)Mit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.

7.1 Benutzer-/NetzwerkregelBenutzer-/Netzwerkregeln werden verwendet, um die Zugriffsrechte auf Objekte und Hosts imNetzwerk festzulegen und diese zu schützen. Kurz zusammengefasst empfiehlt sich die Verwendungeiner Netzwerkregel, wenn Sie den Datenverkehr nach Quelle, Dienst, Ziel und Zone steuern möchten.Zudem hat der Administrator die Möglichkeit, zu einer Regel eine Benutzeridentität hinzuzufügen, umden Zugriff auf bestimmte Hosts und Server weiter anzupassen. Diese auf Identitäten basierendenRegeln werden Benutzerregeln genannt.


XG Firewall

7.1.1 Benutzer-/Netzwerkregel hinzufügen (IPv4)

Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.

2. Geben Sie die Daten für die Regeleinführung ein.

Regelname Geben Sie einen Namen für die Regel ein.

Beschreibung Geben Sie eine Beschreibung für die Regel ein.

Position der Regel Wählen Sie aus den verfügbaren Optionen diePosition der Regel aus.

Verfügbare Optionen:

• Oben

• Unten

Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.

Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.

Maßnahme Wählen Sie aus den verfügbaren Optionen eineMaßnahme für den Datenverkehr der Regelaus.

• Annehmen: Zugriff zulassen

• Verwerfen: Ohne Benachrichtigungverwerfen


XG Firewall

• Ablehnen: Zugriff verweigern (an die Quellewird die Meldung „ICMP port unreachable“gesendet)

Wenn eine Antwort gesendet wird, ist esmöglich, dass diese über eine andereSchnittstelle versendet wird als die Anfrageerhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.

Zum Beispiel: Wenn die Anfrage auf einemLAN-Port über eine gefälschte IP-Adresseempfangen wurde (öffentliche IP-Adresse odereine IP-Adresse außerhalb des LAN-Netzwerks)und keine bestimmte Route festgelegt ist,sendet die Appliance eine Antwort an dieseHosts über die Standard-Route. Das bedeutet,dass die Antwort über den WAN-Port versendetwird.

3. Geben Sie Details zur Quelle ein.

Quellzonen Wählen Sie, welche Quellzonen dem Benutzererlaubt sind.

Eine neue Zone kann direkt auf dieser Seiteoder über die Seite Netzwerk > Zonen erstelltwerden.

Quellnetzwerke und -geräte Wählen Sie, welche Netzwerke/Geräte demBenutzer erlaubt sind.

Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Diensteerstellt werden.

Im geplanten Zeitraum Wählen Sie, welcher Zeitplan dem Benutzererlaubt ist.

Ein neuer Zeitplan kann direkt auf dieser Seiteoder über die Seite Profile > Planer erstelltwerden.

4. Legen Sie Ziel- und Dienstinformationen fest.

Zielzonen Wählen Sie, welche Zielzonen dem Benutzererlaubt sind.

Zielnetzwerke Wählen Sie, welche Zielnetzwerke demBenutzer erlaubt sind.

Ein neuer Netzwerk-Host kann direkt aufdieser Seite oder über die Seite Hosts undDienste erstellt werden.

Dienste Wählen Sie, welche Dienste dem Benutzererlaubt sind.

Ein neuer Dienst kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste >Dienste erstellt werden.

5. Geben Sie Details zur Identität ein. Folgen Sie diesen Schritten, wenn Sie eine Benutzerregelkonfigurieren möchten.


XG Firewall

Übereinstimmung mit bekannten Benutzern Wählen Sie diese Option, um eine Regel aufBasis der Benutzeridentität zu aktivieren.

Captive-Portal unbekannten Benutzernanzeigen (nur wenn Übereinstimmung mitbekannten Benutzern ausgewählt ist)

Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.

Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.

Benutzer oder Gruppen (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)

Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.

Schließen Sie diese Benutzeraktivität vonder Datenverarbeitung aus. (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)

Wählen Sie die Option, umDatenverkehrsaktivitäten des Benutzers aus derDatenerfassung auszuschließen. Mit anderenWorten, der Datenverkehr, der von dieser Regelzugelassen wird, wird für den Datentransferdieses Benutzer nicht erfasst.

Standardmäßig wird Der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt.

6. Legen Sie Details für Internet-Schadprogramm-/ und Inhaltsscans fest (nur verfügbar wenn diegewählte Maßnahme für den Datenverkehr Annehmen ist).

HTTP scannen Aktiviert das Scannen von HTTP-Verkehr.

HTTPS entschlüsseln und scannen Aktiviert das Entschlüsseln und Scannen vonHTTPS-Verkehr.

Google QUIC blockieren (Quick UDP InternetConnections)

Verkehr über das QUIC-Protokoll für Google-Dienste deaktivieren.

Zero-Day-Bedrohungen erkennen mitSandstorm

Mittels HTTP oder HTTPS heruntergeladeneDateien zur Analyse an Sandstormsenden. Sandstorm schützt Ihr Netzwerkvor unbekannten und unveröffentlichtenBedrohungen („Zero-Day“-Bedrohungen).

FTP scannen Aktiviert das Scannen von FTP-Verkehr.

7. Legen Sie Details für erweiterte Einstellungen fest (nur verfügbar wenn die gewählte Maßnahmefür den Datenverkehr Annehmen ist).

a) Legen Sie die Richtlinien für Benutzeranwendungen fest.

Angriffsvorbeugung Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.

Traffic-Shaping-Richtlinie Die Traffic-Shaping-Richtlinie des Benutzerswird automatisch angewendet, wennÜbereinstimmung mit bekanntenBenutzern ausgewählt ist.


XG Firewall

Sie müssen eine Traffic-Shaping-Richtliniefür die Regel auswählen oder eine neueerstellen, wenn Übereinstimmung mitbekannten Benutzern nicht ausgewählt ist.

Sie können eine neue Richtlinie unter Neuerstellen > Traffic-Shaping-Richtlinie(QoS) hinzufügen erstellen. Sie könnendie Richtlinien-Zuordnung festlegenund die Richtlinie nach Bedarf entwederWebkategorien oder Anwendungenzuweisen.

Internetrichtlinien Wählen Sie für die Regel eineInternetrichtlinie aus.

Eine neue Internetrichtlinie kann direkt aufdieser Seite oder über die Seite Web >Richtlinien erstellt werden.

Traffic-Shaping-Richtlinie basierend aufWebkategorie übernehmen

Klicken, um die Bandbreite für URLs, dieder Webkategorie zugeordnet sind, zubeschränken.

Anwendungsüberwachung Wählen Sie für die Regel eineAnwendungsfilter-Richtlinie aus. Eineneue Anwendungsfilter-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAnwendungen > Anwendungsfilter erstelltwerden.

Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen

Klicken, um die Bandbreite für Anwendungen,die in der Anwendungskategorie zugeordnetsind, zu beschränken.

b) Einstellungen der synchronisierten Sicherheit konfigurieren.

Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.

Clients ohne Heartbeat blockieren Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.

Auf Basis dieser Informationen könnenSie den Zugriff eines Geräts, von dem derDatenverkehr stammt, auf bestimmte Diensteund Netzwerke beschränken.

Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.


XG Firewall

Minimal zulässige Ziel-HBs (nichtverfügbar wenn als einzige GeschützteZone WAN ausgewählt ist)

Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss, ummit dieser Richtlinie übereinzustimmen. DerIntegritätsstatus kann entweder Grün, Gelboder Keine Beschränkung sein. Wenn einStatuskriterium nicht eingehalten wird, werdendie in dieser Regel definierten Berechtigungenund Zugriffsrechte dem Benutzer nichtgewährt.

HinweisSie können die Option verwenden, wennSie mehrere Zonen zusammen mit WANausgewählt haben.

Anfrage zu einem Ziel ohne Heartbeatblockieren (nicht verfügbar wenn alseinzige Zielzone WAN ausgewählt ist)

Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.

Basierend auf dieser Information könnenSie Anfragen zu Richtungen blockieren, diekeinen Heartbeat senden.


HinweisSie können die Option verwenden,wenn Sie mehrere Zonen zusammenmit WAN ausgewählt haben.

c) Geben Sie NAT- und Routing-Details ein.

Quelladresse umschreiben (Maskieren) Wählen Sie aus, ob Sie die Quelladresseumschreiben oder die NAT-Richtliniefestlegen möchten.

Standard: Deaktiviert

Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur verfügbar wennMaskieren ausgewählt ist)

Auswählen, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.

Standard-NAT-Richtlinie durcheine gatewayspezifische Richtlinieüberschreiben (nur verfügbar wennGatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)

Wählen Sie diese Option, um einen Gatewayund eine dazugehörige NAT-Richtliniefestzulegen. Es können mehrere Gatewaysund NAT-Richtlinien hinzugefügt werden.

Ausgehende Adresse verwenden (nurverfügbar wenn Quelladresse umschreibenausgewählt ist.

Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.


XG Firewall

Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.

Standard: MASQ

MASQ (Schnittstellen-Standard-IP)

• Die IP-Adresse der Zielzone wie unterNetzwerk > Schnittstellen konfiguriertwird anstelle der (Schnittstellen-Standard-IP) angezeigt, wenn eineeinzelne Zielzone ausgewählt ist.

• (Schnittstellen-Standard-IP) wirdangezeigt, wenn mehrere Zielzonenausgewählt sind.

Primäres Gateway Legen Sie das primäre Gateway fest oderfügen Sie einen Gateway-Host auf der Seiteselbst an. Diese Option ist nur anwendbar,wenn mehr als ein Gateway definiert wurden.

HinweisWenn das Gateway gelöscht wird,zeigt Primäres Gateway WAN-LinkLastverteilung für die WAN Zielzone anund Keine für andere Zonen. In diesemFall trifft die Firewall keine Routing-Entscheidungen.

Backup-Gateway Geben Sie das Backup-Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.

HinweisWenn das Gateway gelöscht wird, zeigtdas Backup-Gateway Keine an.

DSCP-Markierung Wählen Sie die DSCP-Markierung.

DSCP (DiffServ Code Point) klassifiziertden Strom der Pakete bei Eintritt in daslokale Netzwerk je nach QoS. Der Stromwird über fünf Elemente definiert: IP-Adresseder Quelle, IP-Adresse des Ziels, Quellport,Zielport und Transportprotokoll.

8. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.

Firewallverkehr protokollieren Wählen Sie die Option, um die Protokollierungdes zugelassenen und abgewiesenenDatenverkehrs zu aktivieren.


Zugehörige KonzepteZeitplan (Seite 490)


XG Firewall

Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.

Zentrale Synchronisierung (Seite 287)Durch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.

7.1.2 Benutzer-/Netzwerkregel hinzufügen (IPv6)

Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

1. Gehen Sie zu Firewall und wählen Sie IPv6 mithilfe des Filters.

2. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.

3. Legen Sie die Details für die Richtlinieneinführung fest.



Position der Regel Wählen Sie aus den verfügbaren Optionen diePosition der Regel aus.


• Oben

• Unten




XG Firewall

Maßnahme Wählen Sie aus den verfügbaren Optionen eineMaßnahme für den Datenverkehr der Regelaus.

• Annehmen: Zugriff zulassen

• Verwerfen: Ohne Benachrichtigungverwerfen

• Ablehnen: Zugriff verweigern (an die Quellewird die Meldung „ICMP port unreachable“gesendet)

Wenn eine Antwort gesendet wird, ist esmöglich, dass diese über eine andereSchnittstelle versendet wird als die Anfrageerhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.

Zum Beispiel: Wenn die Anfrage auf einemLAN-Port über eine gefälschte IP-Adresseempfangen wurde (öffentliche IP-Adresse odereine IP-Adresse außerhalb des LAN-Netzwerks)und keine bestimmte Route festgelegt ist,sendet die Appliance eine Antwort an dieseHosts über die Standard-Route. Das bedeutet,dass die Antwort über den WAN-Port versendetwird.

4. Legen Sie die Quelleninformationen fest.

Quellzonen Wählen Sie, welche Quellzonen dem Benutzererlaubt sind.

Quellnetzwerke und Geräte Wählen Sie, welche Netzwerke/Geräte demBenutzer erlaubt sind.

Ein neuer Netzwerkhost kann direkt auf dieserSeite erstellt werden, indem Sie auf Neuerstellen klicken, oder auf der Seite Hosts undDienste.

Im geplanten Zeitraum Wählen Sie, welcher Zeitplan dem Benutzererlaubt ist.

Ein neuer Zeitplan kann direkt auf dieser Seiteoder über die Seite Profile > Planer erstelltwerden.

5. Legen Sie die Ziel- und Dienstinformationen fest.

Zielzonen Wählen Sie, welche Zielzonen dem Benutzererlaubt sind.

Zielnetzwerke Wählen Sie, welche Zielnetzwerke demBenutzer erlaubt sind.

Ein neuer Netzwerkhost kann direkt auf dieserSeite erstellt werden, indem Sie auf Neuerstellen klicken, oder auf der Seite Hosts undDienste.

Dienste Wählen Sie, welche/r Dienst(e) dem Benutzererlaubt ist/sind.


XG Firewall

Ein neuer Dienst kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste >Dienste erstellt werden.

6. Geben Sie Identitätsinformationen an.

Übereinstimmung mit bekannten Benutzern Wählen Sie diese Option, um eine Regel aufBasis der Benutzeridentität zu aktivieren.

Unbekannten Benutzern das Captive-Portalanzeigen



Benutzer oder Gruppen (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)


Schließen Sie diese Benutzeraktivität vonder Datenverarbeitung aus. (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)

Wählen Sie die Option, um den Traffic derBenutzeraktivität in die Datenverarbeitung ein-oder auszuschließen.

Standardmäßig wird Der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Regel zugelassenwird, wird für den Datentransfer diesesBenutzer nicht erfasst.

7. Legen Sie die Details für Internet-Schadprogramm- und Inhaltsscans fest. (nur, wenn die Aktionfür den Datenverkehr Annehmen ist)

HTTP scannen Aktiviert das Scannen von HTTP-Verkehr.

HTTPS entschlüsseln und scannen Aktiviert das Entschlüsseln und Scannen vonHTTPS-Verkehr.

Google QUIC blockieren (Quick UDP InternetConnections)

Verkehr über das QUIC-Protokoll für Google-Dienste deaktivieren.

Zero-Day-Bedrohungen erkennen mitSandstorm

Mittels HTTP oder HTTPS heruntergeladeneDateien zur Analyse an Sandstormsenden. Sandstorm schützt Ihr Netzwerkvor unbekannten und unveröffentlichtenBedrohungen („Zero-Day“-Bedrohungen).

8. Legen Sie die Details für die erweiterten Einstellungen fest (nur, wenn die Aktion für denVerkehr Annehmen ist).

a) Legen Sie die Richtlinien für Benutzeranwendungen fest.

Intrusion Prevention (IPS) Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die Seite


XG Firewall

Angriffsvorbeugung > IPS-Richtlinienerstellt werden.

Traffic-Shaping-Richtlinie Die Traffic-Shaping-Richtlinie des Benutzerswird automatisch angewendet, wennÜbereinstimmung mit bekanntenBenutzern ausgewählt ist.

Sie müssen eine Traffic-Shaping-Richtliniefür die Regel auswählen oder eine neueerstellen, wenn Übereinstimmung mitbekannten Benutzern nicht ausgewählt ist.

Sie können eine neue Richtlinie unter Neuerstellen > Traffic-Shaping-Richtlinie(QoS) hinzufügen erstellen. Sie könnendie Richtlinien-Zuordnung festlegenund die Richtlinie nach Bedarf entwederWebkategorien oder Anwendungenzuweisen.

Internetrichtlinien Wählen Sie für die Regel eineInternetrichtlinie aus.

Eine neue Internetrichtlinie kann direkt aufdieser Seite oder über die Seite Web >Richtlinien erstellt werden.

Traffic-Shaping-Richtlinie basierend aufWebkategorie übernehmen

Klicken, um die Bandbreite für URLs, dieder Webkategorie zugeordnet sind, zubeschränken.

Anwendungsüberwachung Wählen Sie für die Regel eineAnwendungsfilter-Richtlinie aus. Eineneue Anwendungsfilter-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAnwendungen > Anwendungsfilter erstelltwerden.

Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen

Klicken, um die Bandbreite für Anwendungen,die in der Anwendungskategorie zugeordnetsind, zu beschränken.

b) Geben Sie die Routing-Details an.

Quelladresse umschreiben (Maskieren) Deaktivieren Sie die Option, wenn Sie dieQuelladresse nicht umschreiben oder dieNAT-Richtlinie festlegen möchten.

Standard: Aktiviert

Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur wenn Maskierenausgewählt ist)

Anklicken, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.

Standard-NAT-Richtlinie für einbestimmtes Gateway überschreiben (nur,wenn Gatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)

Aktivieren Sie diese Option, um einenGateway und eine dazugehörige NAT-Richtlinie festzulegen. Es können mehrereGateways und NAT-Richtlinien hinzugefügtwerden.


XG Firewall

Ausgehende Adresse verwenden(nur, wenn Quelladresse umschreibenausgewählt ist)



Standard: MASQ.




Primäres Gateway Geben Sie den primären Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.


Backup-Gateway Geben Sie den Backup-Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.


DSCP-Markierung Wählen Sie die DSCP-Markierung.

DSCP (DiffServ Code Point) klassifiziertden Strom der Pakete bei Eintritt in daslokale Netzwerk je nach QoS. Der Stromwird über fünf Elemente definiert: IP-Adresseder Quelle, IP-Adresse des Ziels, Quellport,Zielport und Transportprotokoll.

9. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.

Firewallverkehr protokollieren Anklicken, um die Protokollierung deszugelassenen und abgelehnten Datenverkehrszu aktivieren.



XG Firewall

Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.

Zentrale Synchronisierung (Seite 287)Durch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.

7.1.3 DSCP-Wert

Der DiffServ Code Point (DSCP) besteht aus 6 Bits, wodurch 2*6 = 64 unterschiedliche Werte möglichsind (0 bis 63). Dies sind die Standardwerte von DSCP. Die restlichen DSCP-Werte können an dieQoS-Anforderung angepasst werden.

Dezimal DSCP Beschreibung

0 Default Best Effort

8 CS1 Class 1 (CS1)

10 AF11 Class 1, Gold (AF11)

12 AF12 Class 1, Silver (AF12)

14 AF13 Class 1, Bronze (AF13)

16 CS2 Class 2 (CS2)













46 EF Expedited Forwarding (EF)

48 CS6 Control (CS6)

56 CS7 Control (CS7)


XG Firewall

7.2 GeschäftsanwendungsregelDie Geschäftsanwendungsregel wird verwendet, um intern oder öffentlich gehosteteGeschäftsanwendungen oder Server wie SalesForce, Sharepoint, usw. zu schützen.

Hinzufügen einer Geschäftsanwendungsregel

Mithilfe der Geschäftsanwendungsregel kann der Administrator den Schutz von HTTP- und nicht-HTTP-Webservern vor unautorisiertem Zugriff über das Internet konfigurieren. Sie können auch denZugriff von geschützten Servern oder Diensten mithilfe der Geschäftsanwendungsregel kontrollieren.

Es sind einige Vorlagen verfügbar, die die Konfiguration des Schutzes für eine Vielzahlverschiedener Arten von HTTP und nicht-HTTP Webservern und Anwendungen abdecken. EineListe dieser Anwendungsvorlagen erscheint auf der Seite Geschäftsanwendungsregel.

Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters. Klicken Sie auf +Firewallregelhinzufügen und wählen Sie Geschäftsanwendungsregel. Dann können Sie dieAnwendungsvorlage aus der Liste der verfügbaren Vorlagen auswählen.

Mit der Anwendungsvorlage können Sie die Regel auswählen, die zur Konfiguration dererforderlichen Geschäftsanwendung am besten passt. Nach Auswahl der Vorlage können Sie dieKonfigurationsseite aufrufen, auf welcher die Felder bereits vorausgefüllt sind. Dank der bereitsausgefüllten Werte müssen Sie die Konfiguration zur Sicherung Ihre Geschäftsanwendung nichtmehr manuell eingeben, Sie können die Einstellungen jedoch an Ihr Netzwerk-Setup oder andereAnforderungen anpassen.

1. DNAT-/Full-NAT-/Lastverteilungs-Regel: Sie wird verwendet, um Nicht-Webserver, wie Mail-oder andere Server, die im Netzwerk gehostet werden (LAN oder DMZ), zu schützen. Mit dieserVorlage können Sie die Zugriffsrechte auf diese Server für Benutzer definieren, die den Zugriffüber das WAN oder Internet anfordern. Zudem können Sie die folgende Vorlage für Nicht-Webanwendungen nutzen:

2. Email Servers (SMTP): Die Regel Email Servers (SMTP) wird verwendet, um Mailserver zuschützen, die sich in einem internen Netzwerk befinden und Schutz benötigen.

3. Email Clients (POP & IMAP) Die Regel Email Clients (POP & IMAP) wird verwendet, umMailserver, die öffentlich gehostet werden (WAN) und Schutz benötigen, zu schützen.

HinweisWenn Sie die Regel E-Mail-Clients löschen, werden die E-Mails, die von dieser Regelbearbeitet werden, nicht zugestellt sondern in die Warteschleife verschoben.

Es wird empfohlen, den folgenden Schritten zu folgen, um nicht alle E-Mails zu verlieren, dievon dieser Regel bearbeitet werden:

a) Bevor Sie die Regel löschen, klonen Sie sie mithilfe der Option Obige klonen undändern Sie die Maßnahme in Verwerfen. Diese geklonte Regel gilt für alle eingehendenE-Mails.

b) Gehen Sie zu E-Mail > Mail-Spool und überprüfen Sie, ob der Spool leer ist.

c) Löschen Sie beide Firewallregeln, sobald der Spool leer ist.


XG Firewall

7.2.1 Anwendungsschutz-Vorlagen für häufige HTTP-basierteAnwendungen

Sophos XG Firewall bietet einige vorkonfigurierte Vorlagen, um eine Schutzregel für häufig verwendeteHTTP-basierte Anwendungen zu erstellen. Sie können eine vordefinierte Vorlage verwenden, um fürdie Webanwendungen eine Richtlinie zu erstellen, die Ihrer Konfiguration am ehesten entspricht, unddiese dann an Ihre Anforderungen anpassen.

Regel für Web Server Protection (WAF) hinzufügen

Auf dieser Seite können Sie den HTTP-Verkehr kontrollieren, der von und zu einer Webanwendungfließt. Mit Hilfe dieser Seite können Sie eine Regel für Web Server Protection (WAF) festlegen, fürVerkehr, der das IPv4-Protokoll verwendet.


2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.

3. Geben Sie die grundlegenden Regel-Details ein.

Anwendungsvorlage Wählen Sie Web Server Protection (WAF),um eine Anwendungsfilter-Richtlinie für HTTP-basierte Anwendungen zu definieren.



Position der Regel Geben Sie die Position der Regel an.


• Oben

• Unten



4. Geben Sie die Daten für den Gehosteten Server ein.

Gehostete Adresse Wählen Sie die Schnittstelle des gehostetenServers aus, auf welchen die Regelangewendet werden soll. Dies ist die öffentlicheIP-Adresse, über welche die Internetnutzer aufden internen Server/Hosts zugreifen können.


XG Firewall

HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile

Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).

HTTPS Wählen Sie die Option, um Scannen vonHTTPS-Verkehr zu aktivieren oder zudeaktivieren.

HTTPS-Zertifikat (nur verfügbar, wennHTTPS ausgewählt ist)

Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.

HTTP umleiten (nur verfügbar, wenn HTTPSausgewählt ist)

Klicken, um HTTP-Anfragen umzuleiten.

Domänen (wenn HTTP deakiviert ist): Geben Siedie Domänen, für welche der Webserververantwortlich ist, als FQDN ein, z.B.shop.example.com.

(wenn HTTP akiviert ist): Je nach gewähltemHTTPS-Zertifikat können manche Domänenvorausgewählt sein. Sie können dieseDomänen bearbeiten oder löschen oder neuehinzufügen.

5. Geben Sie die Daten für den/die Geschützte/r Server ein.

Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.

Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzer


XG Firewall

während seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.

Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.

Neuen Pfad hinzufügen (nur wenn Pfad-spezifische Weiterleitung ausgewählt ist)

Klicken Sie auf Pfad hinzufügen, um einenneuen Pfad zu definieren.

HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.

Webserver (nicht verfügbar wenn Pfad-spezifisches Routing ausgewählt ist)

Mit dieser Option wählen Sie, welcheWebserver geschützt werden sollen. WählenSie einen Webserver aus der Webserver-Liste aus. Der ausgewählte Webserver wirdin der Tabelle rechts unter Ausgewählte(r)Webserver angezeigt.

Ein neuer Webserver kann auf der SeiteWebserver > Webserver erstellt werden.

6. Geben Sie die Zugangsberechtigung an (nicht, wenn Pfad-spezifisches Routing aktivierenausgewählt ist).

Zugelassene Client-Netzwerke Wählen Sie aus, welche Netzwerke zugelassensind und sich mit dem gehosteten Webserververbinden können.

Blockierte Client-Netzwerke Wählen Sie, welche Netzwerke nichtzugelassen sind und von Ihrem gehostetenWebserver blockiert werden sollen.

Authentifizierung Wählen Sie ein Authentifizierungsprofil für eineWebanwendung oder klicken Sie auf Neueerstellen um ein neues Authentifizierungsprofilzu erstellen.

7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.

Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.

8. Legen Sie erweiterte Einstellungen fest.


XG Firewall

a) Legen Sie Richtlinien für Geschäftsanwendungen fest.

Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.

Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.

Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.

b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.

Komprimierungsunterstützungdeaktivieren

Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.

HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.


XG Firewall

HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.

Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.

Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.


HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.

Die Geschäftsanwendungsregel wurde erstellt und erscheint auf der Seite Firewall, wenn der FilterIPv4 eingestellt ist.

Regel für Exchange Autodiscover hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für ExchangeAutodiscover konfigurieren können.



3. Legen Sie die allgemeinen Regel-Details fest.

Anwendungsvorlage Wählen Sie Exchange Autodiscover, um eineRichtlinie für eine Exchange Autodiscover-Umgebung zu konfigurieren.




• Oben

• Unten


XG Firewall




4. Legen Sie die Details für den Gehosteten Server fest.

Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.



HTTPS Wählen Sie die Option, um HTTPS-Verkehr zuaktivieren oder zu deaktivieren.



HTTP umleiten (nur verfügbar wenn HTTPSausgewählt ist)

Wählen Sie diese Option, um HTTP-Anfragenumzuleiten.

Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.



Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /


XG Firewall

products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.


Standard: Aktiviert:

Neuen Pfad hinzufügen (nur verfügbar,wennPfad-spezifische Weiterleitungausgewählt ist)

Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.


Standard: /autodiscover, /Autodiscover, /AutoDiscover


Webserver sind die Anwendungsserver, diegeschützt werden sollen. Wählen Sie einenWebserver aus der Liste oder geben Sie einenWebserver ein und klicken Sie auf Erstellen,um ihn hinzuzufügen.

Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.



XG Firewall

Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.

Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.

Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung.

Sie können ein neues Authentifizierungsprofilauch direkt auf dieser Seite oder auf der SeiteWebserver > Authentifizierungs-Richtlinienerstellen.


Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme festzulegen.

Standard: /autodiscover/*,/Autodiscover/*









HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine Ihrer


XG Firewall

Webserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.





HinweisSobald eine neue HTTP-basierte Richtlinienkonfiguration erstellt und gespeichert wurdeoder eine vorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde,werden alle HTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung, die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und musswiederhergestellt werden.

Die Exchange Autodiscover Regel wurde erstellt und erscheint auf der Seite Firewall, wenn der FilterIPv4 eingestellt ist.


XG Firewall

Regel für Exchange Outlook Anywhere hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Exchange OutlookAnywhere konfigurieren können.



3. Legen Sie die allgemeinen Richtlinieninformationen fest.

Anwendungsvorlage Wählen Sie Exchange Outlook Anywhere, umeine Regel für Exchange Outlook Anywhere zukonfigurieren.




• Oben

• Unten







Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. Der


XG Firewall

Standardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).








Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um festzulegen, an welcheWebserver die eingehenden Anfragenweitergeleitet werden sollen.

Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.





XG Firewall


Standard: /rpc, /RPC


Webserver sind die Anwendungsserver,die geschützt werden sollen. Wählen Sieaus einer Liste von Webservern einenWebserver aus oder klicken Sie auf NeuesElement hinzufügen, um einen Webserverhinzuzufügen.


6. Geben Sie die Zugangsberechtigungen an. (nicht, wenn Pfad-spezifisches Routing ausgewähltist)



Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung. Sie können ein neuesAuthentifizierungsprofil auch direkt aufdieser Seite oder auf der Seite Webserver >Authentifizierungs-Richtlinien erstellen.


Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme festzulegen.

Standard: /rpc/*,/RPC/*.








Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierte


XG Firewall

Daten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.




Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile in


XG Firewall

Ihrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.



Die Exchange Outlook Anywhere-Regel wurde erstellt und erscheint auf der Seite Firewall, wenn derFilter IPv4 eingestellt ist.

Regel für Exchange allgemein hinzufügen

(nur für IPv4-Richtlinien) Auf dieser Seite ist beschrieben, wie Sie eine Regel für Exchange allgemeinkonfigurieren können.



3. Legen Sie die allgemeinen Richtlinieninformationen fest.

Anwendungsvorlage Wählen Sie Exchange General, um eine Regelfür Exchange allgemein zu konfigurieren.




• Oben

• Unten







XG Firewall









5. Geben Sie die Details für den/die Geschützte/r Server ein.

Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um festzulegen, an welcheWebserver die eingehenden Anfragenweitergeleitet werden sollen.


Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-


XG Firewall

Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.




Standard: /owa, /OWA, /ecp, /ECP, /oab, /OAB, /ews, /EWS, /oma, /OMA, /Microsoft-Server-ActiveSync

Webserver (nicht verfügbar, wenn Pfad-spezifisches Routing ausgewählt ist)



6. Geben Sie die Zugangsberechtigungen an. (nicht, wenn Pfad-spezifisches Routing ausgewähltist)






Standard: /owa/*,/OWA/*,/ews/*,/EWS/*,/ecp/*,/ECP/*,/oab/*,/OAB/*,/oma/*,/OMA/*,/Microsoft-Server-ActiveSync?*, /owa/ev.owa*



XG Firewall










XG Firewall






Die Regel Exchange allgemein wurde erstellt und erscheint auf der Seite Richtlinien, wenn der FilterIPv4 eingestellt ist.

Regel für Microsoft Lync hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft Lynckonfigurieren können.




Anwendungsvorlage Wählen Sie Microsoft Lync, um eineAnwendungsfilter-Richtlinie für HTTP-basierteAnwendungen zu definieren.




• Oben

• Unten


XG Firewall





Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Host zugreifen können.



HTTPS Anklicken, um HTTPS-Verkehr zu aktivierenoder zu deaktivieren.

HTTPS-Zertifikat (wenn HTTPS aktiviert ist) Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.

HTTP umleiten (wenn HTTPS aktiviert ist) Klicken, um HTTP-Anfragen umzuleiten.




Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webserver


XG Firewall

gesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.


Neuen Pfad hinzufügen (wenn Pfad-spezifische Weiterleitung aktiviert ist)

Klicken Sie auf Pfad hinzufügen, um einenneuen Pfad zu definieren.


Webserver (wenn Pfad-spezifisches Routingdeaktiviert ist)

Hosts sind die Webserver, die geschütztwerden sollen. Wählen Sie aus einer Liste vonWebservern einen Webserver aus oder klickenSie auf Neues Element hinzufügen, um einenWebserver hinzuzufügen.






XG Firewall



7. Geben Sie für die Webserver die Pfad-Ausnahmen an.










HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://


XG Firewall

yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.






Die Regel Microsoft Lync wurde erstellt und erscheint auf der Seite Richtlinien, wenn der Filter IPv4eingestellt ist.

Regel für Microsoft Remote Desktop Gateway 2008 und R2 hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft RemoteDesktop Gateway 2008 und R2 konfigurieren können.





XG Firewall

Anwendungsvorlage Wählen Sie Microsoft Remote DesktopGateway 2008 und R2, um eine Regel fürMicrosoft Remote Desktop Gateway 2008 undR2 zu konfigurieren.




• Oben

• Unten












XG Firewall










Webserver sind die Anwendungsserver, diegeschützt werden sollen. Wählen Sie auseiner Liste von Webservern oder klicken Sie


XG Firewall

auf Neues Element hinzufügen, um einenWebserver hinzuzufügen.


6. Geben Sie die Zugangsberechtigungen an. (Wenn Pfad-spezifisches Routing deaktiviert ist).




7. Geben Sie für die Webserver die Pfad-Ausnahmen an.

Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme anzugeben.










XG Firewall







Die Regel für Microsoft Remote Desktop Gateway 2008 and R2 wurde erstellt und erscheint auf derSeite Firewall, wenn der Filter IPv4 eingestellt ist.


XG Firewall

Regel für Microsoft Remote Desktop Web 2008 und R2 hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft RemoteDesktop Web 2008 und R2 konfigurieren können.




Anwendungsvorlage Wählen Sie Microsoft Remote Desktop Web2008 und R2, um eine Regel für MicrosoftRemote Desktop Web 2008 und R2 zukonfigurieren.




• Oben

• Unten







Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. Der


XG Firewall

Standardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).












XG Firewall





6. Geben Sie die Zugangsberechtigung an (wenn Pfad-spezifisches Routing aktivierendeaktiviert ist).














Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöht


XG Firewall

und die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.






XG Firewall



Die Regel für Microsoft Remote Desktop Web 2008 and R2 wurde erstellt und erscheint auf der SeiteFirewall, wenn der Filter IPv4 eingestellt ist.

Regel für Microsoft Sharepoint 2010 und 2013 hinzufügen

(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft SharePoint2010 und 2013 konfigurieren können.




Anwendungsvorlage Wählen Sie Microsoft Sharepoint 2010 und2013, um eine Regel für Microsoft Sharepoint2010 und 2013 zu konfigurieren.




• Oben

• Unten







XG Firewall










Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliance


XG Firewall

wendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.







6. Geben Sie die Zugangsberechtigung an (wenn Pfad-spezifisches Routing aktivierendeaktiviert ist).











XG Firewall








XG Firewall






Die Richtlinie für Microsoft Sharepoint 2010 und 2013 wurde erstellt und erscheint auf der SeiteFirewall, wenn der Filter IPv4 eingestellt ist.

Pfad hinzufügen

(Nur für HTTP-basierte Geschäftsanwendungsregeln). Auf dieser Seite ist beschrieben wie Sie einenPfad definieren können, zu dem Anfragen von echten Webservern weitergeleitet werden.

1. Aktivieren Sie pfad-spezifisches Routing und klicken Sie auf Neuen Pfad hinzufügen.

2. Geben Sie die Daten zum Pfad an.

Pfad Geben Sie den Pfad ein, für welchen Sie dieSite-Pfad-Route erstellen möchten.

Beispiel: /products/.

Webserver Wählen Sie, welche Webserver für denangegebenen Pfad verwendet werden sollen.

Authentifizierung Wählen Sie das Authentifizierungsprofil derWebanwendung. Klicken Sie auf Neu erstellen,um ein neues Authentifizierungsprofil zuerstellen.


XG Firewall

Sie können ein Authentifizierungsprofil auch aufder Seite Webserver > Authentifizierungs-Richtlinien erstellen.

Zugelassene Client-Netzwerke Wählen Sie aus, welche Netzwerke zugelassensind und sich mit dem gehosteten Webserververbinden können.

Blockierte Client-Netzwerke Wählen Sie, welche Netzwerke nichtzugelassen sind und von Ihrem gehostetenWebserver blockiert werden sollen.

Cookie für permanente Sitzung Klicken Sie auf den Schieberegler umsicherzustellen, dass jede Sitzung an einenWebserver gebunden ist. Wenn die Optionaktiviert ist, wird an den Browser des Benutzersein Cookie weitergereicht, welcher dazuführt, dass Sophos XG Firewall alle Anfragenvon diesem Browser an denselben realenWebserver weiterleitet. Wenn der Server nichtverfügbar ist, wird der Cookie aktualisiert, unddie Sitzung wird auf einen anderen Webserverweitergeleitet.

Hot-Standby-Modus Klicken Sie auf den Schieberegler, wenn Siealle Anfragen an den ersten ausgewähltenWebserver senden und andere Webserver nurals Backup nutzen möchten. Die Backup-Serverwerden nur verwendet, wenn der Hauptserverausfällt.

Sobald der Hauptserver erneut funktioniert,werden die Sitzungen wieder zurückgereicht,es sei denn, Sie haben die Option Cookie fürpermanente Sitzung ausgewählt.


Ausnahme hinzufügen

(Nur für HTTP-basierte Geschäftsregeln). Auf dieser Seite ist beschrieben wie Sie für die Webserverdie Pfadausnahmen festlegen können.

1. Klicken Sie auf Neue Ausnahme hinzufügen.

2. Geben Sie die Daten der Ausnahme ein.

Option Beschreibung

Pfad Geben Sie den Pfad ein, den Sie ausschließenmöchten.

Vorgang Verwenden Sie den Operator UND oder ODERfür Pfad und Quelle.

Quelle Geben Sie an, von welchen Quellnetzwerkendie Client-Anfragen von den ausgewähltenPrüfungen ausgeschlossen werden sollen.

3. Wählen Sie Prüfungen aus, die ausgelassen werden sollen.


XG Firewall

Option Beschreibung

Cookie-Signierung Anklicken, um die Cookie-Signierung zuüberspringen. Mit der Cookie-Signierung wirdder Webserver vor manipulierten Cookiesgeschützt. Wenn der Webserver einen Cookiesetzt, wird ein zweiter Cookie dem erstenhinzugefügt. Dieser enthält den Namendes primären Cookies als Hash-Version,seinen Wert und ein Geheimnis, das nur derWAF bekannt ist. Wenn eine Anfrage keinkorrektes Cookie-Paar anbieten kann, hat eineManipulation stattgefunden und der Cookie wirdabgewiesen.

Statisches URL-Hardening Schützt gegen URL-Rewriting. Wenn einClient eine Webseite anfragt, werden allestatischen URLs der Webseite signiert. Beidieser Signierung kommt ein ähnlicher Prozesswie bei der Cookie-Signierung zum Einsatz.Zudem wird die Anfrage vom Webserverhinsichtlich der Links analysiert, die alsnächstes ordnungsgemäß angefragt werdenkönnen.

Form-Hardening Klicken, um Form-Hardening zu überspringen.Form-Hardening schützt vor dem Umschreibenvon Webformularen. Form-Hardening erhältdie urpsprüngliche Struktur des Webformularsaufrecht und signiert es. Wenn sich die Struktureines Formulars bei Einreichung verändert hat,weist die WAF die Anfrage ab.

Antivirus Wählen Sie diese Option, um einen Webservergegen Viren zu schützen.

Clients mit schlechtem Ruf blockieren Auf Basis der Daten von GeoIPClosed undRBLClosed können Sie Clients blockieren, diegemäß ihrer Klassifizierung einen schlechtenRuf haben.

4. Wählen Sie Kategorien aus, die ausgelassen werden sollen.

Option Beschreibung

Protokollverletzungen Erzwingt die Einhaltung derStandardspezifikation in RFC des HTTP-Protokolls. Wenn diese Standards nichteingehalten werden, weist dies in der Regel aufeine bösartige Absicht hin.

Protokollanomalien Sucht nach häufig auftretendenBenutzungsmustern. Wenn solche Musterfehlen, weist dies häufig auf bösartige Anfragenhin. Zu diesen Mustern gehören unter anderemHTTP-Kopfzeilen wie „Host“ und „User-Agent“.

Grenzwerte anfragen Erzwingt angemessene Grenzwerte inBezug auf die Anzahl und den Bereich von


XG Firewall

Option Beschreibung

Anfragenargumenten. Wenn übermäßig vieleAnfragenargumente genutzt werden, ist dies eintypischer Angriffsvektor.

HTTP-Richtlinie Schränkt die erlaubte Nutzung des HTTP-Protokolls ein. Webbrowser nutzen in der Regelnur einen begrenzten Teil aller möglichenHTTP-Optionen. Wenn selten genutzteOptionen nicht erlaubt sind, schützt dies vorAngreifern, die auf diese wenig unterstütztenOptionen abzielen.

Schädliche Roboter Sucht nach Eigenschaften der Nutzungsmustervon Bots und Crawlern. Indem diesen derZugriff verweigert wird, können möglicheSchwachstellen Ihrer Webserver nicht soeinfach entdeckt werden.

Generische Angriffe Sucht nach versuchten Ausführungen vonBefehlen, die häufig bei Attacken zum Einsatzkommen. Wenn ein Angreifer einen Webservererreicht hat, versucht er in der Regel auf demServer Befehle auszuführen, zum Beispielzur Erweiterung von Berechtigungen oderManipulation von Datenspeichern. Indem nachdiesen Ausführungsversuchen gesucht wird,können Angriffe erkannt werden, die ansonsteneventuell nicht bemerkt werden, zum Beispielweil sie mittels legitimen Zugriff auf einengefährdeten Dienst abzielen.

SQL-Injection-Angriffe Prüft die Anfragenargumente auf eingebetteteSQL-Befehle und Fluchtzeichen. Die meistenAngriffe auf einen Webserver zielen auf dieEingabefelder ab, die für direkte eingebetteteSQL-Befehle an die Datenbank verwendetwerden.

XSS-Angriffe Prüft die Anfragenargumente auf eingebetteteScript-Tags und Code. Typische Scripting-Angriffe über mehrere Webseiten hinwegzielen darauf ab, in die Eingabefelder einesZielservers Script-Code zu injizieren, oftmalsauf legitime Weise.

Hohe Sicherheit Führt auf Wunsch engmaschigeSicherheitsprüfungen durch, zum Beispielzur Prüfung auf verbotene Path Traversal-Versuche.

Trojaner Sucht nach Nutzungsmustern, die für Trojanertypisch sind, und nach Anfragen, die auf einenaktiven Trojaner hinweisen. Verhindert jedochnicht die Installation solcher Trojaner, da diesdie Aufgabe der Virenscanner ist.

Ausgehend Verhindert, dass Webserver Daten an denClient freigegeben. Hierzu gehören unter


XG Firewall

Option Beschreibung

anderem Fehlermeldungen, die von Servernversendet werden und die von Angreiferngenutzt werden, um sensible Daten zu sammelnoder Schwachstellen zu erkennen.


Option Beschreibung

HTML während statischem URL-Hardeningoder Form-Hardening nie ändern

Wenn diese Option ausgewählt ist, werdenDaten, die den definierten Einstellungen derAusnahmen entsprechen, von der WAF-Enginenicht geändert. Mit dieser Option werden zumBeispiel binäre Daten, die fälschlicherweise miteinem Text-/HTML-Inhaltstyp geliefert werden,vom Webserver nicht beschädigt. Jedochist es möglich, dass Webanfragen eventuellaufgrund des aktivierten URL-Hardening,HTML-Rewriting oder Form-Hardening blockiertwerden. Diese drei Funktionen verwendenallesamt einen HTML-Parser und hängen daherbis zu einem gewissen Grad von der Änderungvon Internetinhalten ab. Um unerwünschteBlockierungen zu verhindern, überspringen Siedas URL-Hardening und/oder Form-Hardeningbei Anfragen, die blockiert werden. Eventuellmüssen Sie dies in einem anderen oderneuen Ausschluss tun, um die Abhängigkeitenzwischen den Webservern und/oder Webseitenzu berücksichtigen.

Formulardaten ohne URL-Hardeningakzeptieren

Auch wenn es eine Ausnahme für Form-Hardening gibt, ist es möglich, dassFormulardaten nicht akzeptiert werden, wenndie Form-Hardening-Signatur fehlt. Mit dieserOption können sogenannte „nicht gehärtete“Formulardaten dennoch akzeptiert werden.


7.2.2 Anwendungsfilter-Vorlagen für häufige nicht-HTTP-basierte Anwendungen

Sophos XG Firewall bietet einige vorkonfigurierte Vorlagen, um eine Schutzregel für häufig verwendetenicht-HTTP-basierte Anwendungen und Dienste zu erstellen. Sie können diese Vorlagen verwenden,um für die Webanwendungen eine Richtlinie zu erstellen, die Ihrer Konfiguration am ehestenentspricht, und diese dann an Ihre Anforderungen anpassen.

DNAT-/Full-NAT-/Lastverteilungs-Regel hinzufügen

Auf dieser Seite ist beschrieben, wie Sie eine DNAT-, Full-NAT- oder Lastverteilungs-Regel (nicht fürWeb) konfigurieren können.

Eine DNAT-, Full-NAT- oder Lastverteilungs-Regel wird verwendet, um Nicht-Web-Server, wie E-Mail-oder andere Server, die im Netzwerk bereitgestellt werden (LAN oder DMZ), zu schützen. Mit dieser


XG Firewall

Regel können Sie die Zugriffsrechte auf diese Server für Benutzer definieren, die Zugriff über das WANoder Internet verlangen.

1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.

2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.

3. Legen Sie die allgemeinen Regelinformationen fest.

Anwendungsvorlage Wählen Sie DNAT/Full NAT/Lastverteilung,um eine Regel für allgemeine Anwendungen zukonfigurieren, die nicht webbasiert sind.




• Oben

• Unten





Quellzonen Wählen Sie eine Quellzone oder klicken Sieauf Neues Element hinzufügen, um eine neueLAN- oder DMZ-Zone zu definieren.

Zugelassene Client-Netzwerke Wählen Sie zugelassene Hosts aus oder fügenSie neue hinzu, indem Sie auf Neues Elementhinzufügen klicken.


5. Legen Sie die Details für Ziel & Dienst fest.

Zielhost/-netzwerk Wählen Sie einen Zielhost oder einZielnetzwerk aus, um die Regel anzuwenden.Dies ist die öffentliche IP-Adresse, über welchedie Benutzer auf den internen Server/Hostsüber das Internet zugreifen können.


• IP-Adresse: Die angegebene IP-Adressewird der zugehörigen einzelnen IP-Adresseoder einem IP-Adressbereich zugeordnet.Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendetdie Appliance einen Round-Robin-


XG Firewall

Algorithmus, um die Last der Anfragenauszugleichen.

• IP-Bereich: (Nur bei IPv4). Der angegebeneIP-Adressbereich wird dem entsprechendenBereich von zugeordneten IP-Adressenzugewiesen. Der IP-Bereich legt den Startund das Ende des Adressbereichs fest.Der Start des Bereichs muss kleiner alsdas Ende der IP-Adresse sein. WählenSie diese Option, wenn ein Port derAppliance, Alias oder eine virtuelle LAN(VLAN)-Subschnittstelle dem Zielhost oderZielnetzwerk zugeordnet werden muss.

Weiterleitungsart Wählen Sie aus den verfügbaren Optionen denTyp des externen Ports aus.


• Port

• Portbereich

• Portliste

• Alles

Wenn die Option Alle ausgewählt ist, werdenalle Ports weitergeleitet. Wählen Sie andereOptionen aus, um die eigene Portweiterleitungzu aktivieren, und legen Sie die Details für diePortweiterleitung fest.

Weitergeleitete(r) Service-Port(s) (nichtverfügbar, wenn als Weiterleitungsart Allesausgewählt ist)

Geben Sie die öffentliche Nummer desPorts an, den Sie für die Portweiterleitungkonfigurieren möchten.

Protokoll (nicht verfügbar wenn alsWeiterleitungsart Alle ausgewählt ist)

Wählen Sie aus, ob das Protokoll TCP oderUDP für weitergeleitete Pakete verwendetwerden soll.

6. Legen Sie die Details für Weiterleiten an fest.

Geschützte(r) Server Wählen Sie aus den verfügbaren Optionendie Anwendungsserver aus, auf welchen derWebserver gehostet werden soll.


• IP-Adresse: Die externe IP-Adresse wird derangegebenen IP-Adresse zugeordnet.

• IP-Bereich: Der externe IP-Adressbereichwird dem angegebenen IP-Adressbereichzugeordnet.

• IP-Liste: Die externe IP-Adresse wird derangegebenen IP-Liste zugeordnet.

• FQDN: Die externe IP-Adresse wird demangegebenen FQDN zugeordnet. Der internzugeordnete Server kann über den FQDN


XG Firewall

aufgerufen werden. Diese Option ist nur fürvirtuelle IPv4-Hosts verfügbar.

Zugeordneter Port Geben Sie die Nummer des im Zielnetzwerkzugewiesenen Ports an, welchem die öffentlichePortnummer zugeordnet wird. ZugeordneterPort muss dieselbe Anzahl an Ports haben, wiesie im öffentlichen Dienst festgelegt ist, odermindestens einen Port haben. ZugeordneterPort ist deaktiviert, wenn:

• Kein TCP/UDP-Dienst ausgewählt ist

• Mehrere Dienste ausgewählt sind

• Dienstgruppe ausgewählt ist

• Der ausgewählte Dienst eine TCP/UDP-Kombination ist.

Geschützte Zone Wählen Sie die Zone, die der Webserverregelzugewiesen werden soll.

7. Legen Sie die Details für Lastverteilung fest.

Lastverteilung (nur verfügbar wenn dergewählte Geschützte Server IP-Bereich oderIP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)

Wählen Sie aus den verfügbaren Optionen dieMethode für den Lastausgleich aus.


• Round-robin: Bei dieser Methode werdendie Anfragen sequenziell abgearbeitet,wobei die erste Anfrage an den erstenServer, die zweite Anfrage an den zweitenServer usw. weitergeleitet wird. Wenneine Anfrage empfangen wird, prüftdie Appliance, welchem Server zuletzteine Anfrage zugewiesen wurde. Dieneue Anfrage wird anschließend demnächsten verfügbaren Server zugewiesen.Diese Methode empfiehlt sich, wenn einegleichmäßige Verteilung des Datenverkehrs,aber keine Sitzungsbindung notwendig ist.

• First Alive: Alle eingehenden Anfragenwerden vom ersten Server bedient (dieerste IP-Adresse, die im IP-Bereichkonfiguriert ist). Dieser Server wird als derprimäre Server betrachtet, alle anderenServer als Backup. Nur, wenn der ersteServer ausfällt, werden die Anfragen an dennächsten Server in der Reihe weitergeleitet.Diese Methode empfiehlt sich für Failover-Szenarien.

• Zufällig: Anfragen werden zufällig andie Server weitergeleitet. Dennoch istauch hier sichergestellt, dass die Lastgleichmäßig auf alle konfigurierten Serververteilt wird. Daher wird dies auch UniformRandom Distribution (gleichmäßige zufälligeVerteilung) genannt. Diese Methode


XG Firewall

empfiehlt sich, wenn eine gleichmäßigeVerteilung des Datenverkehrs, aber keineSitzungsbindung noch eine bestimmteReihenfolge der Verteilung notwendig ist.

• Permanente IP: In Kombination mit derRound-Robin-Verteilung des Datenverkehrswird der eingehende Verkehr gemäß derIP-Adresse der Quelle weitergeleitet.Der gesamte Datenverkehr von einerbestimmten Quelle wird ausschließlich anden ihr zugeordneten Server weitergeleitet.Das bedeutet, dass alle Anfragen voneiner bestimmten Quellen-IP an dieselbeInstanz des Anwendungsservers gesendetwerden. Diese Methode ist nützlich, wennalle Anfragen oder Sitzungen von ein unddemselben Server verarbeitet werdenmüssen. Zum Beispiel: Webseiten vonBanken, E-Commerce-Webseiten.

Zustandsprüfung (nur wenn Lastverteilungaktiviert ist)

Anklicken, um die Zustandsprüfung bei Failoverzu aktivieren. Geben Sie die Parameter an(siehe Beschreibung unten).

• Port: Port, auf dem der Serverzustandüberwacht wird.

• Intervall: Zeit in Sekunden, nach welcherder Zustand überwacht wird.

• Testverfahren: Verwendete Methode, umden Zustand des Servers zu prüfen.

• Zeitüberschreitung: Zeit in Sekunden,innerhalb derer der Server antworten muss.

• Erneute Versuche: Anzahl der Versucheden Serverzustand zu prüfen, bevor derServer als unerreichbar eingestuft wird.

8. Geben Sie Details zur Identität an.

Übereinstimmung mit bekannten Benutzern Mit der Option „Regel auf Basis derBenutzeridentität zuordnen“ können Sieprüfen, ob der/die angegebene Benutzer/Benutzergruppe aus der ausgewählten Zonenauf den gewählten Dienst zugreifen darf odernicht.

Anklicken, um die Benutzeridentitätanzuhängen.

Aktivieren Sie die Identitätsprüfung, umdie folgenden Richtlinien auf die Benutzeranzuwenden.




XG Firewall


Benutzer oder Gruppen (verfügbar wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)


Diese Benutzeraktivität von derDatenverarbeitung ausschließen (verfügbarwenn Übereinstimmung mit bekanntenBenutzern ausgewählt ist)

Anklicken, um den Benutzerverkehrsaktivitätin die Datenverarbeitung ein- oderauszuschließen.

Standardmäßig wird derNetzwerkdatenverkehr des Benutzers bei derDatenverarbeitung berücksichtigt. AktivierenSie diese Option, um bestimmten Trafficvon der Verarbeitung der Benutzerdatenauszuschließen. Der Datenverkehr, der vondieser Firewallregel zugelassen wird, wirdfür den Benutzer nicht als Datentransferbetrachtet.

9. Legen Sie die Details für die Erweiterten Einstellungen fest.


Angriffsvorbeugung Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviertist, wird die IPS-Richtlinie des Benutzersautomatisch angewendet, aber erst wirksam,wenn das entsprechende Modul abonniertwird. Eine neue IPS-Richtlinie kann direktauf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.

Traffic-Shaping-Richtlinie Wählen Sie die erforderliche Traffic-Shaping-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie Traffic-Shaping-Richtlinie automatischangewendet.

Sie müssen die Traffic-Shaping-Richtlinie für die Regel auswählen, wennÜbereinstimmung mit bekanntenBenutzern nicht ausgewählt ist.

Eine neue Traffic-Shaping-Richtlinie kanndirekt auf dieser Seite oder über die SeiteProfile > Traffic Shaping erstellt werden.

b) Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 ausgewählt ist)

Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definierten


XG Firewall

Berechtigungen und Zugriffsrechte demBenutzer nicht gewährt.



Aktivieren Sie die Option, um die Versendungvon Heartbeats erforderlich zu machen.

Anfrage an Ziel ohne Heartbeat blockieren(nicht verfügbar wenn als Geschützte ZoneWAN ausgewählt ist)




c) Leben Sie die Details für das Routing fest.

Quelladresse umschreiben (Maskieren) Aktivieren/deaktivieren Sie das Umschreibender Quelladresse oder geben Sie eine NAT-Richtlinie an.

Ausgehende Adresse verwenden(nur verfügbar, wenn Quelladresseumschreiben aktiviert ist)



Die Standard-NAT-Richtlinie ist Maskieren.

MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewähltengeschützten Zone wie sie unter Netzwerk >Schnittstellen konfiguriert ist, wird anstelleder Schnittstellen-Standard-IP angezeigt.

Reflexive Regel erzeugen Aktivieren, um automatisch eine reflexiveFirewallregel für den geschützten Host zuerstellen.

Eine reflexive Regel verfügt über dieselbenRichtlinien, wie sie für den gehosteten Serverkonfiguriert worden. Sie werden jedoch nichtauf den Datenverkehr von Quellzone zuZielzone, sondern auf den Datenverkehr vonZielzone zu Quellzone angewendet.


XG Firewall

Die reflexive Regel wird standardmäßig nichterstellt.

10. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.



Die nicht webbasierte Richtlinie wurde erstellt und erscheint auf der Seite Firewall, wenn einentsprechender Filter eingestellt ist.

Regel für E-Mail-Clients (POP und IMAP) hinzufügen

Regeln für E-Mail-Clients (POP und IMAP) werden verwendet, um Mailserver, die öffentlichgehostet werden (WAN), zu schützen. Auf dieser Seite ist beschrieben, wie Sie eine Schutzrichtliniekonfigurieren können und den Zugriff von Mailservern, die die Anwendungsvorlage E-Mail-Clientsverwenden, kontrollieren können.

HinweisWenn Sie die Regel E-Mail-Clients löschen, werden die E-Mails, die von dieser Regel bearbeitetwerden, nicht zugestellt sondern in die Warteschleife verschoben.

Es wird empfohlen, den unten stehenden Schritten zu folgen, um nicht alle E-Mails zu verlieren, dievon dieser Regel bearbeitet werden:

1. Bevor Sie die Regel löschen, klonen Sie sie mithilfe der Option Obige klonen und ändern Siedie Maßnahme in Verwerfen. Diese geklonte Regel gilt für alle eingehenden E-Mails.

2. Gehen Sie zu E-Mail > Mail-Spool und überprüfen Sie, ob der Spool leer ist.

3. Löschen Sie beide Firewallregeln, sobald der Spool leer ist.




Anwendungsvorlage Wählen Sie E-Mail-Clients (POP & IMAP), umfür E-Mail-Clients auf POP- und IMAP-Basiseine Anwendungsfilterrichtlinie festzulegen.

Beschreibung Legen Sie die Regelbeschreibung fest.



• Oben

• Unten


Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppen


XG Firewall

hinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.



Zone Wählen Sie die erlaubte/n Quellzone/n aus.

Netzwerke Wählen Sie das/die erlaubte/n Netzwerk/e aus.Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Dienste >IP-Host erstellt werden.

5. Geben Sie die Daten des Ziels ein.

Zone Wählen Sie die Zone, für welche die Richtliniegilt.

Netzwerke Wählen Sie, welche/s Netzwerk/e geschütztwerden sollen.

Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Dienste >IP-Host erstellt werden.


Regel auf Basis der Benutzeridentitätzuordnen

Anklicken, um eine Regel auf Basis derBenutzeridentität zu aktivieren.




Benutzer oder Gruppen (nur wenn Regelauf Basis der Benutzeridentität zuordnenaktiviert ist)


Diese Benutzeraktivität von derDatenerfassung ausschließen (nur wennRegel auf Basis der Benutzeridentitätzuordnen aktiviert ist)


Standardmäßig wird der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Regel zugelassenwird, wird für den Datentransfer diesesBenutzer nicht erfasst.

7. Legen Sie die Details zum Schadprogramm-Scan fest.

IMAP/IMAPS/POP3/POP3S/SMTP/SMTPSscannen

Anklicken, um das Scannen von IMAP/IMAPS/POP3/POP3S/SMTP/SMTPS-Datenverkehr zuaktivieren/deaktivieren.

8. Legen Sie die erweiterten Einstellungen fest.


XG Firewall


Angriffsvorbeugung Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.

Traffic Shaping (nicht verfügbar, wennRegel auf Basis der Benutzeridentitätzuordnen ausgewählt ist)

Wählen Sie für die Regel eine Traffic-Shaping-Richtlinie aus.

Eine Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.


b) Legen die die Details für Security Heartbeat fest (nur wenn IPv4 aktiviert ist)

Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.



Aktivieren/deaktivieren Sie die Option, um dieVersendung von Heartbeats erforderlich zumachen.

Minimal zulässige Ziel-HBs (nichtverfügbar, wenn WAN die einzigeausgewählte Geschützte Zone ist)

Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Statuskriterium nicht eingehalten wird,werden die in dieser Richtlinie definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.


XG Firewall

HinweisSie können die Option verwenden, wennSie mehrere Zonen zusammen mit WANausgewählt haben.

Anfrage zur Richtung ohne Heartbeatblockieren (nicht verfügbar, wenn WAN dieeinzige ausgewählt Zielzone ist)




HinweisSie können die Option verwenden,wenn Sie mehrere Zonen zusammenmit WAN ausgewählt haben.



Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur wenn Maskierenausgewählt ist)

Auswählen, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.

Standard-NAT-Richtlinie für einbestimmtes Gateway überschreiben (nur,wenn Gatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)

Wählen Sie diese Option, um einen Gatewayund eine dazugehörige NAT-Richtliniefestzulegen. Es können mehrere Gatewaysund NAT-Richtlinien hinzugefügt werden.

Ausgehende Adresse verwenden (nur,wenn Quelladresse umschreiben aktiviertist und Gatewayspezifische Standard-NAT-Richtlinie verwenden deaktiviert ist)







XG Firewall


Primäres Gateway Wählen Sie das primäre Gateway zurWeiterleitung der Anfrage. Ein neuesGateway kann direkt auf dieser Seite oderauf der Seite Routing > Gateways erstelltwerden.


Backup-Gateway Wählen Sie den Backup-Gateway zurWeiterleitung der Anfrage. Ein neuesGateway kann direkt auf dieser Seite oderauf der Seite Routing > Gateways erstelltwerden.




Regel für Mailserver (SMTP) hinzufügen

Auf dieser Seite ist beschrieben, wie Sie Regeln für Mailserver (SMTP) konfigurieren können.




Anwendungsvorlage Wählen Sie Mailserver (SMTP), um Regelnfür E-Mail-Anwendungen auf SMTP-Basis zukonfigurieren.

Beschreibung Geben Sie eine Beschreibung für die Richtlinieein.



• Oben

• Unten


XG Firewall



Regelname Geben Sie einen Namen ein, um die Richtliniezu identifizieren.


Quellzonen Anklicken, um die Quellzone auszuwählen.Klicken Sie auf Neues Element hinzufügen,um eine neue LAN- oder DMZ-Zone zudefinieren.

Zugelassene Client-Netzwerke Wählen Sie zugelassene Hosts aus oder fügenSie neue hinzu, indem Sie auf Neues Elementhinzufügen klicken.


5. Legen Sie die Details für Ziel & Dienst fest.

Zielhost/-netzwerk Wählen Sie einen Zielhost oder einZielnetzwerk aus, um die Regel anzuwenden.Dies ist die öffentliche IP-Adresse, über welchedie Benutzer auf den internen Server/Host überdas Internet zugreifen können.


• IP-Adresse: Die angegebene IP-Adressewird der entsprechenden einzelnen IP-Adresse oder IP-Adressbereich zugeordnet.Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendetdie Appliance einen Round-Robin-Algorithmus, um die Last der Anfragenauszugleichen.

• IP-Bereich: Der angegebene IP-Adressbereich wird dem entsprechendenBereich von zugeordneten IP-Adressenzugewiesen. Der IP-Bereich legt den Startund das Ende des Adressbereichs fest. DerStart des Bereichs muss kleiner als dasEnde des Bereichs sein.

• Schnittstellen-IP: (Nur bei IPv4). WählenSie diese Option, wenn ein Port derAppliance, ein Alias oder eine virtuelle LAN(VLAN)-Subschnittstelle dem Zielhost oderZielnetzwerk zugeordnet werden muss.


XG Firewall

Weiterleitungsart Wählen Sie aus den verfügbaren Optionen denTyp des externen Ports aus.


• Port

• Portbereich

• Portliste

• Alles

Wenn die Option Alle ausgewählt ist, werdenalle Ports weitergeleitet. Wählen Sie andereOptionen aus, um die eigene Portweiterleitungzu aktivieren, und legen Sie die Details für diePortweiterleitung fest.

Weitergeleitete(r) Service-Port(s) (nichtverfügbar, wenn als Weiterleitungsart Allesausgewählt ist)

Geben Sie die öffentliche Nummer desPorts an, den Sie für die Portweiterleitungkonfigurieren möchten.

Protokoll (nicht verfügbar wenn alsWeiterleitungsart Alles ausgewählt ist)

Wählen Sie aus, ob das Protokoll TCP oderUDP von weitergeleiteten Paketen verwendetwerden soll.

6. Legen Sie die Details für Weiterleiten an fest.

Geschützte(r) Server Wählen Sie aus den verfügbaren Optionen, aufwelchem der Mailserver bereitgestellt werdensoll.


• IP-Adresse: Die externe IP-Adresse wird derangegebenen IP-Adresse zugeordnet.

• IP-Bereich: Der externe IP-Adressbereichwird dem angegebenen IP-Adressbereichzugeordnet.

• IP-Liste: Die externe IP-Adresse wird derangegebenen IP-Liste zugeordnet.

• FQDN: (Nur für virtuelle IPv4-Hosts). Dieexterne IP-Adresse wird dem angegebenenFQDN zugeordnet. Der intern zugeordneteServer kann über den FQDN aufgerufenwerden.

Zugeordneter Port Geben Sie die Nummer des im Zielnetzwerkzugewiesenen Ports an, welchem die öffentlichePortnummer zugeordnet wird. ZugeordneterPort muss dieselbe Anzahl an Ports haben, wiesie im öffentlichen Dienst festgelegt ist, odermindestens einen Port haben. ZugeordneterPort ist deaktiviert, wenn:

• Kein TCP/UDP-Dienst ausgewählt ist

• Mehrere Dienste ausgewählt sind

• Dienstgruppe ausgewählt ist


XG Firewall

• Der ausgewählte Dienst eine TCP/UDP-Kombination ist.

Geschützte Zone Wählen Sie die Zone, für welche dieMailserverregel gilt.

7. Legen Sie die Details für Lastverteilung fest.

Lastverteilung (nur verfügbar wenn dergewählte Geschützte Server IP-Bereich oderIP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)

Wählen Sie aus den verfügbaren Optionen dieMethode für den Lastausgleich aus.


• Round-robin: Bei dieser Methode werdendie Anfragen sequenziell abgearbeitet,wobei die erste Anfrage an den erstenServer, die zweite Anfrage an den zweitenServer usw. weitergeleitet wird. Wenneine Anfrage empfangen wird, prüftdie Appliance, welchem Server zuletzteine Anfrage zugewiesen wurde. Dieneue Anfrage wird anschließend demnächsten verfügbaren Server zugewiesen.Diese Methode empfiehlt sich, wenn einegleichmäßige Verteilung des Datenverkehrs,aber keine Sitzungsbindung notwendig ist.

• First Alive: Alle eingehenden Anfragenwerden vom ersten Server bedient (dieerste IP-Adresse, die im IP-Bereichkonfiguriert ist). Dieser Server wird als derprimäre Server betrachtet, alle anderenServer als Backup. Nur, wenn der ersteServer ausfällt, werden die Anfragen an dennächsten Server in der Reihe weitergeleitet.Diese Methode empfiehlt sich für Failover-Szenarien.

• Zufällig: Anfragen werden zufällig andie Server weitergeleitet. Dennoch istauch hier sichergestellt, dass die Lastgleichmäßig auf alle konfigurierten Serververteilt wird. Daher wird dies auch UniformRandom Distribution (gleichmäßige zufälligeVerteilung) genannt. Diese Methodeempfiehlt sich, wenn eine gleichmäßigeVerteilung des Datenverkehrs, aber keineSitzungsbindung noch eine bestimmteReihenfolge der Verteilung notwendig ist.

• Permanente IP: In Kombination mit derRound-Robin-Verteilung des Datenverkehrswird der eingehende Verkehr gemäß derIP-Adresse der Quelle weitergeleitet.Der gesamte Datenverkehr von einerbestimmten Quelle wird ausschließlich anden ihr zugeordneten Server weitergeleitet.Das bedeutet, dass alle Anfragen voneiner bestimmten Quellen-IP an dieselbe


XG Firewall

Instanz des Anwendungsservers gesendetwerden. Diese Methode ist nützlich, wennalle Anfragen oder Sitzungen von ein unddemselben Server verarbeitet werdenmüssen. Zum Beispiel: Webseiten vonBanken, E-Commerce-Webseiten.

Zustandsprüfung (nur wenn Lastverteilungaktiviert ist)

Anklicken, um die Statusprüfung bei Failover zuaktivieren. Geben Sie die Parameter an (sieheBeschreibung unten).

• Port: Port, auf dem der Serverzustandüberwacht wird.

• Intervall: Zeit in Sekunden, nach welcherder Zustand überwacht wird.

• Testverfahren: Verwendete Methode, umden Zustand des Servers zu prüfen.

• Zeitüberschreitung: Zeit in Sekunden,innerhalb derer der Server antworten muss.

• Erneute Versuche: Anzahl der Versucheden Serverzustand zu prüfen, bevor derServer als unerreichbar eingestuft wird.


Übereinstimmung mit bekannten Benutzern Mit der Option Übereinstimmung mitbekannten Benutzern können Sie prüfen, obder/die angegebene Benutzer/Benutzergruppeaus der ausgewählten Zone auf den gewähltenDienst zugreifen darf oder nicht.

Anklicken, um die Benutzeridentitätanzuhängen.




Benutzer oder Gruppen (nur verfügbar, wennÜbereinstimmung mit bekannten Benutzernaktiviert ist)


Diese Benutzeraktivität von derDatenverarbeitung ausschließen (nurverfügbar wenn Übereinstimmung mitbekannten Benutzern ausgewählt ist)


Standardmäßig wird der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Firewallregel


XG Firewall

zugelassen wird, wird für den Benutzer nicht alsDatentransfer betrachtet.

9. Legen Sie die Details zum Schadprogramm-Scan fest.

SMTP scannen Klicken, um das Scannen von SMTP-Traffic zuaktivieren/deaktivieren.

SMTPS scannen Klicken, um das Scannen von SMTPS-Traffic zuaktivieren/deaktivieren.

10. Legen Sie die Details für die Erweiterten Einstellungen fest.


Angriffsvorbeugung Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie IPS-Richtlinie des Benutzers automatischangewendet, aber erst wirksam, wenn dasentsprechende Modul abonniert wird.

Eine neue IPS-Richtlinie kann direktauf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.

Traffic-Shaping-Richtlinie (nicht verfügbarwenn Übereinstimmung mit bekanntenBenutzern ausgewählt ist)

Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie QoS-Richtlinie automatisch angewendet.


b) Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 aktiviert ist).

Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Integritätskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.



Aktivieren/deaktivieren Sie die Option, um dieVersendung von Heartbeats erforderlich zumachen.


XG Firewall

Minimal zulässige Ziel-HBs (nichtverfügbar, wenn als Geschützte Zone WANausgewählt ist)

Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Integritätskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.

Anfrage an Ziel ohne Heartbeat blockieren(nicht verfügbar wenn als Geschützte ZoneWAN ausgewählt ist)






Ausgehende Adresse verwenden(nur verfügbar, wenn Quelladresseumschreiben aktiviert ist)




MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewähltengeschützten Zone wie sie unter Netzwerk >Schnittstellen konfiguriert ist, wird anstelleder Schnittstellen-Standard-IP angezeigt.

Reflexive Regel erzeugen Wählen Sie „AN“, um für den geschütztenHost automatisch eine reflexive Firewallregelzu erstellen.

Die reflexive Regel verfügt über dieselbenRichtlinien, wie sie für den gehosteten Serverkonfiguriert worden. Sie werden jedoch nichtauf den Datenverkehr von Quellzone zuZielzone, sondern auf den Datenverkehr vonZielzone zu Quellzone angewendet.

Die reflexive Regel wird standardmäßig nichterstellt.



XG Firewall



XG Firewall

Kapitel 8

8 AngriffsvorbeugungMit Intrusion Prevention können Sie Netzwerkverkehr auf Anomalien untersuchen, um DoS- undandere Täuschungs-Angriffe zu verhindern. Mithilfe von Richtlinien können Sie Regeln festlegen, dieeine Maßnahme vorgeben, die ergriffen wird, wenn Datenverkehr mit Signatur-Kriterien übereinstimmt.Sie können den Schutz auf der Basis von Zonen festlegen und Datenverkehr auf vertrauenswürdigeMAC-Adressen oder IP–MAC-Paare beschränken. Sie können auch Regeln erstellen, um die DoS-Untersuchung zu umgehen.

8.1 DoS-AngriffeDer DoS-Angriff-Status ermöglicht Ihnen zu sehen, ob Verkehrsbeschränkungen angewendet wurdenund die Menge an Daten, die verworfen wurde, nachdem die Grenze überschritten wurde. DieFirewall wendet die Verkehrsbeschränkungen an, die in den DoS-Einstellungen festgelegt sind, undprotokolliert die zugehörigen Ereignisse. Daten stehen für Quelle und Ziel in Echtzeit zur Verfügung.

• Um Angriffsinformationen zu sehen, klicken Sie auf eine Angriffsart.

Zugehörige KonzepteProtokolleinstellungen (Seite 484)Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.

8.2 IPS-RichtlinienMit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.

• Um eine Richtlinie hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie einen Namen ein.Danach können Sie die Regeln einer bestehenden Richtlinie klonen.

• Um Regeln zu einer Richtlinie hinzuzufügen, klicken Sie auf

bei der Richtlinie, die Sie bearbeiten wollen, und klicken Sie dann auf Hinzufügen.

IPS-Richtlinienregeln

Regeln legen Signaturen fest und eine Maßnahme. Die Firewall gleicht Signaturen mitVerkehrsmustern ab und führt die in der Regel festgelegte Maßnahme durch. Die in der Regelfestgelegte Maßnahme überschreibt die Maßnahme, die von der Signatur empfohlen ist.


https://tools.ietf.org/html/rfc5424

XG Firewall

IPS-Signaturen

Signaturen identifizieren Bedrohungen und legen eine empfohlene Maßnahme fest, die ergriffenwerden soll, wenn die Firewall auf entsprechenden Verkehr trifft. Signaturen sind spezifisch fürAnwendungen, Dienste oder Plattformen. Die Firewall besitzt vordefinierte Signaturen und Siekönnen auch eigene Signaturen erstellen.

SID ID der IPS-Signatur.

Kategorie Kategorie der IPS-Signatur.

Schweregrad Grad der Bedrohungsschwere.

Plattform Signaturen, die für bestimmte Plattformenzutreffen (z.B. Microsoft Windows).

Ziel Client- oder serverbasierte Signaturen.

Empfohlene Maßnahme Maßnahme, die von der Firewall empfohlen wird,wenn Verkehr auf eine Signatur zutrifft.

Zugehörige KonzepteDienste (Seite 489)Sehen Sie den Zustand von Systemdiensten und verwalten Sie die Dienste.

Zugehörige AufgabenIPS-Richtlinie hinzufügen (Seite 133)Regeln zu Richtlinie hinzufügen (Seite 133)Regeln legen Signaturen und eine Maßnahme fest. Sie können Standard- oder eigene Signaturenauswählen. Die Firewall gleicht Signaturen mit Verkehrsmustern ab und führt die in der Regelfestgelegte Maßnahme durch. Die Firewall wertet die Regeln von oben nach unten aus.

8.2.1 IPS-Richtlinie hinzufügen

1. Gehen Sie zu Angriffsvorbeugung > IPS-Richtlinien und klicken Sie auf Hinzufügen.


3. Optional: Wählen Sie die Richtlinie, von der Sie die Regeln klonen wollen.


Fügen Sie Regeln zur Richtlinie hinzu.

Zugehörige KonzepteIPS-Richtlinien (Seite 132)Mit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.

8.2.2 Regeln zu Richtlinie hinzufügen

Regeln legen Signaturen und eine Maßnahme fest. Sie können Standard- oder eigene Signaturenauswählen. Die Firewall gleicht Signaturen mit Verkehrsmustern ab und führt die in der Regelfestgelegte Maßnahme durch. Die Firewall wertet die Regeln von oben nach unten aus.


XG Firewall

1. Gehen Sie zu Angriffsvorbeugung > IPS-Richtlinien und klicken Sie auf

für die Richtlinie, die sie bearbeiten wollen.

2. Klicken Sie auf Hinzufügen.


4. Wählen Sie die Signaturen aus.

• Klicken Sie auf Alle auswählen.

• Klicken Sie auf Individuelle Signatur auswählen und wählen Sie die Signaturen aus.

Sie können Signaturen basierend auf Kategorie, Schweregrad, Plattform und Ziel filtern. Um eineSortierung auf Basis von Suchbegriffen durchzuführen, klicken Sie auf Alle auswählen, geben Sieeinen Begriff in den Smartfilter ein und drücken Sie die Eingabetaste.

5. Optional: Klicken Sie auf Eigene Signatur und wählen Sie die Signaturen aus.

6. Wählen Sie eine Maßnahme aus, die durchgeführt werden soll, wenn die Firewall Verkehr findet,auf den die Signaturen in dieser Regel zutreffen.

Bei paketbasierten Maßnahmen überprüft die Firewall jedes Paket. Bei sitzungsbasiertenMaßnahmen überprüft sie das erste zutreffende Paket.

HinweisDie in der Regel festgelegte Maßnahme überschreibt die Maßnahme, die von der Signaturempfohlen ist.

Option Beschreibung

Empfohlen Standardmaßnahme, die für jede Signaturfestgelegt ist.

Paket zulassen Paket zulassen.

Paket verwerfen Paket verwerfen.

Deaktivieren Signatur deaktivieren. Verwenden Sie dieseEinstellung, um Fehlfunde (false positives) zuverhindern.

Sitzung verwerfen Sitzung beenden. Verwenden Sie dieseEinstellung, um einen Angriff zu verhindern.

Zurücksetzen Sitzung zurücksetzen und ein TCP-Reset-Paketan den Absender senden.

Sitzung umgehen Verkehr zulassen und für den Rest derSitzung nicht scannen. Verwenden Siediese Einstellung, um bestimmte Arten vonDatenverkehr zuzulassen.


XG Firewall


Damit die Richtlinie wirksam wird, fügen Sie sie zu einer Firewallregel hinzu.


8.3 Eigene IPS-SignaturenMit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.

Zugehörige KonzepteIPS-Syntax für eigene Patterns (Seite 572)

Zugehörige AufgabenEigene IPS-Signatur hinzufügen (Seite 135)

8.3.1 Eigene IPS-Signatur hinzufügen

1. Gehen Sie zu Angriffsvorbeugung > Eigene IPS-Signaturen und klicken Sie auf Hinzufügen.


3. Wählen Sie ein Protokoll aus.


XG Firewall

4. Legen Sie eine eigene Regel fest.

keyword:"credit score"

content:"www.facebook.com"

srcport:443

5. Wählen Sie den Schweregrad aus.

6. Wählen Sie die empfohlene Maßnahme aus, die durchgeführt werden soll, wenn die Firewallübereinstimmenden Verkehr findet.

Option Beschreibung

Paket zulassen Paket zulassen.

Paket verwerfen Paket verwerfen.

Sitzung verwerfen Sitzung beenden. Verwenden Sie dieseEinstellung, um einen Angriff zu verhindern.

Zurücksetzen Sitzung zurücksetzen und ein TCP-Reset-Paketan den Absender senden.

Sitzung umgehen Verkehr zulassen und für den Rest derSitzung nicht scannen. Verwenden Siediese Einstellung, um bestimmte Arten vonDatenverkehr zuzulassen.


Fügen Sie die Signatur zu einer Firewallregel hinzu.

Zugehörige KonzepteEigene IPS-Signaturen (Seite 135)Mit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.

8.4 DoS-& TäuschungsschutzUm Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.

• Um sich vor Täuschungsangriffen zu schützen, wählen Sie Täuschungsschutz aktivieren aus,legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um Verkehr von einerunbekannten IP-Adresse auf einer vertrauenswürdigen MAC-Adresse zu verwerfen, wählen SieUnbekannte IPs auf vertrauenswürdige MAC beschränken aus.

• Um eine vertrauenswürdige MAC-Adresse hinzuzufügen, blättern Sie zu Täuschungsschutz –Vertrauenswürdige MAC und klicken Sie auf Hinzufügen. Um Adressen zu importieren, klickenSie auf Importieren.

• Um sich vor DoS-Angriffen zu schützen, wählen Sie DoS-Einstellungen aus, legen SieEinstellungen und Zonen fest und klicken Sie auf Übernehmen. Um den aktuellen Status von DoS-Angriffen zu sehen, klicken Sie auf den angegebenen Link.


XG Firewall

• Um DoS-Kontrollen für eine bestimmte IP-Adresse oder Port zu umgehen, blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.

Allgemeine Täuschungsschutz-Einstellungen

Legen Sie die Art des Täuschungsschutzes fest und die Zonen, die Sie schützen wollen.

IP-Spoofing Wenn die Quell-IP-Adresse eines Paket nicht mitdem Eintrag in der Routingtabelle der Firewallübereinstimmt oder wenn das Paket nicht auseinem direkten Subnetz stammt, verwirft dieFirewall das Paket.

MAC-Filter Wenn das Paket keine MAC-Adresse angibt,die in der Liste der vertrauenswürdigen MAC-Adressen aufgeführt ist, verwirft die Firewall dasPaket.

HinweisUm MAC-Filter auszuwählen, müssen Siemindestens eine vertrauenswürdige MAC-Adresse hinzufügen.

Filter f. IP-MAC-Paar Ein IP–MAC-Paar ist eine vertrauenswürdigeMAC-Adresse, die an eine IP-Adresse gebundenist. Damit eine Übereinstimmung zustandekommt, müssen sowohl die IP- als auch die MAC-Adresse eines eingehenden Pakets mit einemIP–MAC-Paar übereinstimmen. Wenn entwederdie IP- oder die MAC-Adresse mit keinem Paarübereinstimmen, verwirft die Firewall das Paket.

Täuschungsschutz – Vertrauenswürdige MAC

Verwenden Sie vertrauenswürdige MAC-Adressen in der MAC-Filter-Einstellung, um Verkehr fürbestimmte Hosts zuzulassen.

Wenn Sie eine vertrauenswürdige MAC-Adresse an eine IP-Adresse binden, gleicht die FirewallVerkehr mit den IP–MAC-Paaren ab und filtert Verkehr basierend auf den Einstellungen, die für denIP–MAC-Paar-Filter festgelegt sind.

DoS-Einstellungen

Sie können Beschränkungen für gesendeten und empfangenen Verkehr festlegen und DoS-Angriffemarkieren (flag), um Flooding von Netzwerkhosts zu verhindern.

TippLegen Sie Beschränkungen basierend auf Ihren Netzwerkspezifikationen fest. Werte, die Ihreverfügbare Bandbreite oder Serverkapazität überschreiten, können die Leistung beeinflussen.Werte, die zu niedrig sind, können gültige Anfragen blockieren.


XG Firewall

Tabelle 9: Angriffsarten

Name Beschreibung

SYN-Flood Hohes Aufkommen an SYN-Anfragen, die denZielserver zwingen, eine steigenden Anzahl vonhalboffenen Verbindungen zu erstellen.

UDP-Flood Hohes Aufkommen an UDP-Paketen, die den Zielhostzwingen, die Anwendung zu prüfen, welche auf demPort lauscht, und mit einer steigenden Anzahl an ICMP-Paketen zu antworten.

TCP-Flood Hohes TCP-Paketaufkommen.

ICMP/ICMPv6-Flood Hohes Aufkommen an ICMP/ICMPv6-Echo-Anfragen.

Verworfene Pakete der Quelle Pakete verwerfen, die die Paketroute vorgeben.

ICMP/ICMPv6-Paketumleitung deaktivieren ICMP/ICMPv6-Umleitungspakete deaktivieren, dieHosts über alternative Routen informieren.

ARP-Hardening Endpoints erlauben, ARP-Antworten nur an lokale Ziel-IP-Adressen zu senden, und nur wenn sich die Quell-und Ziel-IP-Adresse im gleichen Subnetz befinden.

Paketaufkommen Anzahl an Paketen, die jeder Host je Minutesenden oder empfangen können.

Max. Datendurchsatz Gelegentliche Verkehrsspitze, die zusätzlich zurPaketrate jedem Host zugestanden wird.

HinweisMit dem maximalen Datendurchsatz könnenSie Verkehr erlauben, gelegentlich diePaketrate zu übersteigen. Die Firewall lässtaber keine häufigen oder andauerndenSpitzen über der Paketrate zu.

Flag übernehmen Die Verkehrsbeschränkung anwenden, die für dasProtokoll festgelegt ist.

Verworfener Verkehr Anzahl an verworfenen Quell- oder Zielpaketen.

Paketraten und max. Datendurchsätze

Paketrate je Quelle: 12.000 Pakete je Minute (200 Pakete je Sekunde).

Max. Datendurchsatz je Quelle: 300 Pakete je Sekunde.

Die Firewall erlaubt einem Host, bis zu 200 Pakete je Sekunde zu versenden. Wenn der Verkehrin einer bestimmten Sekunde bis zu 250 Paketen steigt (bis zum max. Datendurchsatz), lässtdie Firewall den Verkehr zu. Wenn die Verkehrsspitze jedoch für wenige Sekunden oberhalb derPaketrate weitergeht, verwirft die Firewall den Verkehr und lässt nur 200 Pakete zu (Paketrate).Dreißig Sekunden, nachdem der Verkehr verworfen wurde, startet die Firewall den Zähler für diePaketrate und den max. Datendurchsatz neu.


XG Firewall

DoS-Umgehungsregel

Sie können DoS-Einstellungen für bekannte Hosts für die festgelegten Host und Protokolleumgehen. Sie können zum Beispiel Verkehr einer VPN-Zone oder von bestimmten Hosts der VPN-Zone ermöglichen, die DoS-Kontrolle zu umgehen.

Zugehörige KonzepteProtokollansicht (Seite 569)Verwenden Sie die Protokollansicht, um Ereignisinformationen für Module wie System, Webschutz undSandstorm-Aktivität anzuzeigen.

Zugehörige AufgabenVertrauenswürdige MAC-Adresse hinzufügen (Seite 139)Vertrauenswürdige MAC-Adressen importieren (Seite 139)Sie können eine CSV-Datei mit vertrauenswürdigen MAC-Adressen importieren.

Erstellen einer DoS-Umgehungsregel (Seite 140)Verwandte InformationenIPS: DoS-UmgehungsregelIPS: DoS/DDoS-Angriffe

8.4.1 Vertrauenswürdige MAC-Adresse hinzufügen

1. Gehen Sie zu Angriffsvorbeugung > DoS-& Täuschungsschutz.

2. Blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Hinzufügen.

3. Geben Sie die vertrauenswürdige MAC-Adresse ein.

4. Optional: Binden Sie eine IPv4- oder IPv6-Adresse an die MAC-Adresse.

Wenn Sie eine MAC-Adresse an eine IP-Adresse binden, akzeptiert die Firewall ein Paket nur,wenn dessen MAC-Adresse und IP-Adresse übereinstimmen.

• Klicken Sie auf Statisch und legen Sie eine oder mehrere Adressen fest. Trennen SieAdressen durch Komma.

• Klicken Sie auf DHCP, um bezogene Adressen automatisch zu binden.


Legen Sie Täuschungsschutz-Einstellungen fest, um Datenverkehr basierend aufvertrauenswürdigen MAC-Adressen und IP–MAC-Paaren zu kontrollieren.

Zugehörige KonzepteDoS-& Täuschungsschutz (Seite 136)Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.

8.4.2 Vertrauenswürdige MAC-Adressen importieren

Sie können eine CSV-Datei mit vertrauenswürdigen MAC-Adressen importieren.



https://community.sophos.com/kb/en-us/123175


XG Firewall

2. Blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Importieren.

3. Klicken Sie auf Durchsuchen und wählen Sie die CSV-Datei aus.

Die Datei musst die folgenden Anforderungen erfüllen:

• Die erste Zeile der CSV-Datei muss die Kopfzeile sein.

• Die erste Zeile muss MAC-Adressen, IP-Zuordnung und IP-Adresse enthalten.

• MAC-Adresse und IP-Zuordnung sind Pflichtfelder.

• IP-Zuordnung muss statisch, DHCP, DHCPv6 oder keine sein.

• Bei statischer IP-Zuordnung müssen Sie eine IP-Adresse angeben. Trennen Sie Adressendurch Komma. Bei IP-Zuordnung oder DHCP-IP-Zuordnung ist keine IP-Adresse erforderlich.

HinweisDie Firewall verwirft Einträge, die eine ungültige MAC-Adresse, IP-Zuordnung oder IP-Adresseenthalten.

CSV-Datei

MAC address, IP association, IP address22:33:22:33:22:33 Static 2001::23, 2001::2422:33:22:33:22:33 Static 10.102.12.3, 10.102.12.412:23:34:12:34:45 DHCP23:34:21:34:21:67 DHCPv667:54:56:67:23:12 None22:22:22:22:22:33 Static 1.2.3.4, 2.3.4.533:22:22:12:22:13 Static 13.23.3.34, 12.13.14.15

4. Klicken Sie auf Datei hochladen.

Legen Sie Täuschungsschutz-Einstellungen fest, um Datenverkehr basierend aufvertrauenswürdigen MAC-Adressen und IP–MAC-Paaren zu kontrollieren.


8.4.3 Erstellen einer DoS-Umgehungsregel


2. Blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.

3. Wählen Sie die IP-Version aus.

4. Geben Sie die Quell- und Ziel-IP-Adressen an.

5. Wählen Sie ein Protokoll aus.

6. Geben Sie die Quell- und Ziel-Ports an.

Platzhalter werden unterstützt. Um eine beliebige IP-Adresse auszuwählen, tippen Sie *.



XG Firewall



XG Firewall

Kapitel 9

9 InternetDer Webschutz beschützt Ihre Organisation vor Angriffen, die durch das Surfen im Internethervorgerufen werden, und hilft Ihnen, die Produktivität zu erhöhen. Sie können Beschränkungenfür das Surfen mithilfe von Kategorien, URL-Gruppen und Dateitypen festlegen. Indem Sie dieseBeschränkungen zu Richtlinien hinzufügen, können Sie Webseiten blockieren oder Benutzern einenWarnhinweis anzeigen. Sie können zum Beispiel den Zugriff auf Seiten von sozialen Netzwerken undausführbaren Dateien blockieren. Allgemeine Einstellungen lassen Sie Scan-Engines und andereArten des Schutzes festlegen. Ausnahmen lassen Sie den Schutz entsprechend der Bedürfnisse IhrerOrganisation überschreiben.

9.1 RichtlinienMit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.

• Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie ändern wollen und klicken Sieauf

.

• Um Richtlinien zu testen und Fehler zu beheben, klicken Sie auf Richtlinientest.

Richtlinienregeln

Regeln legen folgende Kriterien fest:

• Benutzer, auf den/die die Regel zutrifft.

HinweisBenutzer, die in Firewallregeln vorkommen, haben Vorrang vor denen, die in Richtlinienvorkommen.

• Aktivitäten die die Art der Verwendung beschreiben, welche eingeschränkt werden soll.Diese schließen Benutzeraktivitäten, Kategorien, URL-Gruppen, Dateitypen und dynamischeKategorien ein.

• Inhaltsfilter um Internetinhalte zu beschränken, welche Terme enthalten, die in den Listendefiniert sind.

• Eine Maßnahme, die durchgeführt wird, sobald die Firewall HTTP-Verkehr entdeckt, der denausgewählten Kriterien entspricht.

Sie können auch eine separate Maßnahme für HTTPS-Verkehr und einen Zeitplan für die Regelfestlegen.

Die Firewall wertet die Regeln von oben nach unten aus. Wenn zum Beispiel eine Regel, die dengesamten Verkehr zulässt, vor einer Regel steht, die eine bestimmte Art von Verkehr blockiert, istjene Regel gültig, die allen Verkehr zulässt.


XG Firewall

HinweisDamit eine Regel in Kraft tritt, muss sie eingeschaltet sein.

• Um eine Regel einzuschalten, klicken Sie auf den Schalter Status.

• Um eine Regel zu einer Richtlinie hinzufügen, klicken Sie auf

.

• Um eine Regel zu klonen, klicken Sie auf

.

• Um Regeln innerhalb einer Richtlinie zu platzieren, klicken Sie auf die Verschiebepunkte( )und ziehen Sie die Regel an den gewünschten Platz.

Regeln platzieren

Die folgende Richtlinie enthält eine separate Regel für .mdb-Dateien. Da sich die Regel über derRegel für Datenbankdateien befindet – welche selbst den Dateityp .mdb enthält – erlaubt die RegelZugriff auf .mdb-Dateien, aber blockiert alle anderen Datenbankdateien.

Zugehörige KonzepteRichtlinientest (Seite 571)Mit dem Richtlinientest-Werkzeug können Sie sowohl Firewall- und Internetrichtlinien zuweisenund Fehlersuche bei diesen durchführen als auch daraus resultierende Sicherheitsentscheidungenansehen. Zum Beispiel können Sie eine Internetrichtlinie erstellen, die alle sozialen Netzwerke fürbestimmte Benutzer blockiert, und die Richtlinie testen, um zu sehen, ob die Inhalte nur für diebestimmten Benutzer blockiert werden. Die Ergebnisse geben die Informationen zur Maßnahme an,welche die Firewall vorgenommen hat, inklusive der relevanten Regeln und Inhaltsfilter.

Zugehörige AufgabenRegel zu Richtlinie hinzufügen (Seite 145)Eine Richtlinie hinzufügen (Seite 143)Verwandte InformationenZugriff auf Websites kontrollieren (Seite 164)Viele Organisationen müssen den Zugriff auf bestimmte Kategorien kontrollieren und oft variiert derZugriff entsprechend der Benutzergruppe. Sie wollen zum Beispiel vielleicht einigen Benutzern Zugriffauf Websites geben, die von der Standardarbeitsplatzrichtlinie blockiert werden.

9.1.1 Eine Richtlinie hinzufügen

1. Gehen Sie zu Internet > Richtlinien und klicken Sie auf Richtlinie hinzufügen.


XG Firewall


3. Regeln hinzufügen.

4. Optional: Blättern Sie zu Suchmaschinenzwang und legen Sie die Einstellungen fest.

Option Beschreibung

SafeSearch erzwingen Verhindern Sie, dass eventuell unangemesseneBilder, Videos und Text bei Suchergebnissenvon Google, Yahoo oder Bing angezeigtwerden. Sie können das Risiko, dass Benutzerunangemessenen Inhalten ausgesetzt werden,reduzieren, indem Sie zusätzliche Filteraktivieren, die nur Bilder mit einer Creative-Commons-Lizenz anzeigen.

HinweisFür Bing und Yahoo kann SafeSearchbei HTTPS-Verbindungen nur erzwungenwerden, wenn HTTPS-Scans in derFirewallregel aktiviert sind.

YouTube-Beschränkungen durchsetzen Zugriff auf eventuell unangemessene Inhalteverhindern durch Einschränkung der Videos,welche in YouTube-Suchergebnissenzurückgeliefert werden.

5. Optional: Blättern Sie zu Erweiterte Einstellungen und legen Sie die Einstellungen fest.

Option Beschreibung

Protokolle und Berichte aktivieren Die Richtlinie in Protokollen und Berichtenberücksichtigen.

Das Herunterladen großer Dateien verhindern Davor schützen, Dateien herunterzuladen diegrößer als die festgelegte Größe sind.

Anmeldungsdomänen für Google Appsbegrenzen

Das Anmelden bei Google Apps nur von denfestgelegten Domänen aus erlauben.




Richtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.


XG Firewall

9.1.2 Regel zu Richtlinie hinzufügen

1. Klicken Sie auf Regel hinzufügen.Die Firewall erstellt eine Standardregel an der Spitze der Regelhierarchie, die allen HTTP-Verkehrfür alle Benutzer blockiert. Die Regel ist ausgeschaltet.

2. Benutzer definieren.

a) Bewegen Sie in der neuen Regel den Mauszeiger über das Feld Benutzer, klicken Sie auf denBenutzer („Jeder“) und klicken Sie dann auf Neues Element hinzufügen.

b) Deaktivieren Sie das Kontrollkästchen Jeder.

c) Benutzer auswählen.

d) Klicken Sie auf Ausgewählte Elemente übernehmen.

3. Legen Sie Aktivitäten und Inhaltsfilter fest.

a) Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität (AllerInternetverkehr) und klicken Sie dann auf Neues Element hinzufügen.

b) Deaktivieren Sie das Kontrollkästchen Aller Internetverkehr auf dem Tab Aktivitäten,

c) Aktivitäten auswählen.

d) Klicken Sie auf Ausgewählte Elemente übernehmen.

e) Klicken Sie auf das Tab Inhaltsfilter und aktivieren Sie das Kontrollkästchen und mit demInhalt.


XG Firewall

f) Klicken Sie auf Neues Element hinzufügen und wählen Sie Filter aus.

g) Klicken Sie auf Ausgewählte Elemente übernehmen.

4. Legen Sie eine Maßnahme fest, die durchgeführt wird, wenn die Firewall HTTP-Verkehr entdeckt,welcher den gewählten Kriterien entspricht.

a) Bewegen Sie den Mauszeiger auf das Feld Maßnahme und klicken Sie auf die Aktionsanzeige.

b) Wählen Sie eine Option aus.

Option Beschreibung

HTTP zulassen HTTP-Verkehr zulassen, der den ausgewähltenKriterien entspricht.

Bei HTTP warnen Eine Warnmeldung anzeigen, wenn HTTP-Verkehr ermittelt wird, der den ausgewähltenKriterien entspricht.

HTTP blockieren HTTP-Verkehr blockieren, der denausgewählten Kriterien entspricht.

5. Optional: Legen Sie eine Maßnahme fest, die durchgeführt wird, wenn die Firewall HTTPS-Verkehrentdeckt, welcher den gewählten Kriterien entspricht.

HinweisFühren Sie diese Schritte nur aus, wenn Sie eine Maßnahme für HTTPS-Verkehr festlegenmöchten, die sich von der unterscheidet, die Sie für HTTP festgelegt haben.

a) Bewegen Sie den Mauszeiger auf die rechte Seite des Felds Maßnahme.Die Firewall zeigt die Liste HTTPS-Maßnahme verwenden an.

b) Wählen Sie eine Option aus.

Option Beschreibung

Maßnahme verwenden Dieselbe Maßnahme verwenden, die aktuellfür HTTP-Verkehr ausgewählt ist. Wenn Siezu einem späteren Zeitpunkt eine andereHTTP-Maßnahme festlegen, wird die dieHTTPS-Maßnahme ebenfalls diese Maßnahmeverwenden.

HTTPS zulassen HTTPS-Verkehr zulassen, der denausgewählten Kriterien entspricht.

Bei HTTPS warnen Eine Warnmeldung anzeigen, wenn HTTPS-Verkehr ermittelt wird, der den ausgewähltenKriterien entspricht.


XG Firewall

Option Beschreibung

HTTPS blockieren HTTPS-Verkehr blockieren, der denausgewählten Kriterien entspricht.

6. Optional: Bewegen Sie den Mauszeiger über das Feld Beschränkungen und wählen Sie einenZeitplan aus oder erstellen Sie einen neuen.

7. Optional: Klicken Sie auf die Regel und ziehen Sie, um die Regel in der Hierarchie zu platzieren.

Die Firewall wertet die Regeln von oben nach unten aus. Wenn zum Beispiel eine Regel, die dengesamten Verkehr zulässt, vor einer Regel steht, die eine bestimmte Art von Verkehr blockiert,ist jene Regel gültig, die allen Verkehr zulässt.

8. Klicken Sie auf den Schalter Status, um die Regel zu aktivieren.


Zugehörige KonzepteRichtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.

9.1.3 Richtlinien von vorherigen Releases migrieren

Ab Sophos XG Firewall Version 17 unterstützt die Firewall bis zu 128 Regeln in einer einzigenRichtlinie. Wenn Sie Richtlinien migrieren, die mehr als 128 Regeln enthalten, werden nur die ersten128 verwendet.

Regeln unterstützen nun kombinierte Aktivitäten. Diese schließen Benutzeraktivitäten, Kategorien,URL-Gruppen, Dateitypen und dynamische Kategorien ein. Um die Funktionalität der Richtlinieaufrechtzuerhalten, ersetzen Sie Blockierungen von benachbarten Regeln für unterschiedlicheAktivitäten mit einer einzelnen Regel, die eine Gruppe von Aktivitäten beinhaltet. Löschen oderkonsolidieren Sie Regeln bei Bedarf.

9.2 BenutzeraktivitätenBenutzeraktivitäten kombinieren Web-Kategorien, Dateitypen und URL-Gruppen in einem Container.Sie können Benutzeraktivitäten in Richtlinien einbinden, um den Zugriff auf Websites oder Dateien zusteuern, für die irgendeines der festgelegten Kriterien zutrifft.

• Um eine Benutzeraktivität zu bearbeiten, klicken Sie auf

.


XG Firewall

• Um eine Benutzeraktivität zu klonen, klicken Sie auf

.

Kategorien und URL-Gruppen in einer Benutzeraktivität kombinieren

Die folgende Benutzeraktivität kombiniert die Spyware- und Schadprogramm-Webkategorie mit einerGruppe von URLs, die als unsicher bekannt sind.

Die Benutzeraktivität wird zur Standardrichtlinie hinzugefügt. Wenn der Verkehr entweder mit derSpyware- und Schadprogramm-Kategorie übereinstimmt oder mit einer der angegeben URLs, trifftdie Benutzeraktivität zu und der Verkehr wird blockiert.

Zugehörige AufgabenBenutzeraktivität hinzufügen (Seite 148)

9.2.1 Benutzeraktivität hinzufügen

1. Gehen Sie zu Internet > Benutzeraktivitäten und klicken Sie auf Hinzufügen.


3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Kategorien aus.

HinweisDie Firewall wertet Kategorien (Webkategorie, Dateitypen und URL-Gruppen) mithilfe von„ODER“ aus. Nur eine Kategorie muss übereinstimmen, damit die Benutzeraktivität zutrifft.

TippSie können die anzuzeigenden Kategorietypen filtern, indem Sie auf Anzeigen: Alle klickenund dann einen Typ auswählen.


Zugehörige KonzepteBenutzeraktivitäten (Seite 147)Benutzeraktivitäten kombinieren Web-Kategorien, Dateitypen und URL-Gruppen in einem Container.Sie können Benutzeraktivitäten in Richtlinien einbinden, um den Zugriff auf Websites oder Dateien zusteuern, für die irgendeines der festgelegten Kriterien zutrifft.


XG Firewall

9.3 KategorienMit Webkategorien können Sie Domänen und Stichwörter in einem Container organisieren undklassifizieren. Sie können Kategorien innerhalb von Richtlinien verwenden, um den Zugriff aufWebsites zu steuern.

• Um eine Kategorie zu bearbeiten, klicken Sie auf

.

Innerhalb einer Kategorie können Sie eine Liste von Domänen und Stichwörtern erstellen, die fürIhre Organisation gültig sind, oder eine Datenbank importieren. Diese umfassen länderspezifischeBlacklists und Open-Source-Kategorisierungslisten. Die Firewall überprüft alle zwei Stunden, obneue Aktualisierungen zur Verfügung stehen.

Klassifizierung: Mit Kategorisierung können Sie Kategorien filternund verwalten.

Traffic-Shaping-Richtlinie Richtlinie, die Nutzungsbeschränkungen unddie Bandbreite festlegt, die für Upload- undDownloadverkehr reserviert wird.

Zugehörige AufgabenKategorie hinzufügen (Seite 149)

9.3.1 Kategorie hinzufügen

1. Gehen Sie zu Internet > Kategorien und klicken Sie auf Hinzufügen.


3. Wählen Sie eine Klassifikation aus.

4. Wählen Sie eine Traffic-Shaping-Richtlinie aus.

5. Wählen Sie einen Konfigurationstyp aus.

Option Beschreibung

Lokal Domänen und Stichwörter, die auf IhreOrganisation zutreffen. Akzeptable Formatesind .tar, .gz, .bz, .bz2, und .txt. (Archivdateienmüssen Textdateien enthalten.)

Externe URL-Datenbank Domänen und Stichwörter die von Drittanbieternerstellt werden, z.B. länderspezifischeBlacklists.

Beachten Sie die folgenden Anforderungen für Textdateien:

• Ein Eintrag pro Zeile.

• Einträge können Domänen, Site-Pfade oder Suchanfragen, z.B. www.example.com,example.com/path, example.com/path?data=example.

• Einträge legen kein Protokoll fest.

6. Legen Sie Domänen und Stichwörter fest.


XG Firewall

• Klicken Sie bei lokalen Konfigurationen auf Datei auswählen undwählen Sie eine Datei aus. Optional können Sie eine Domäne oderein Stichwort im Textfeld Suchen/Hinzufügen eingeben und auf

klicken.

• Für externe URL-Datenbanken geben Sie eine URL indas Textfeld Suchen/Hinzufügen ein und klicken Sie auf

.


Option Beschreibung

Standard-Benachrichtigungsseite überschreiben Zeigen Sie Benutzern die festgelegteBenachrichtigung an, wenn eine Websiteaufgrund ihrer Kategorie blockiert wird, anstattder Standardbenachrichtigung.


Zugehörige KonzepteKategorien (Seite 149)Mit Webkategorien können Sie Domänen und Stichwörter in einem Container organisieren undklassifizieren. Sie können Kategorien innerhalb von Richtlinien verwenden, um den Zugriff aufWebsites zu steuern.

9.4 URL-GruppenURL-Gruppen enthalten eine oder mehrere Domänen, die Sie in den Internetrichtlinien verwendenkönnen, um den Zugriff auf Websites zu steuern.

• Um eine URL-Gruppe bearbeiten, klicken Sie auf

.

Zugehörige AufgabenURL-Gruppe hinzufügen (Seite 150)

9.4.1 URL-Gruppe hinzufügen

1. Gehen Sie zu Internet > URL-Gruppen und klicken Sie auf Hinzufügen.


3. Geben Sie eine Domäne in das Textfeld Suchen/Hinzufügen ein und klicken Sie auf

.

Reguläre Ausdrücke sind erlaubt. Zum Beispiel trifft ^([A-Za-z0-9.-]*\.)?example\.com/auf alle Subdomänen von example.com zu. Legen Sie Musterübereinstimmungen (PatternMatches) mithilfe von ASCII-Zeichen fest. Weitere Informationen über das Konvertieren von Nicht-ASCII-Zeichen finden Sie unter RFC 3490.



XG Firewall

HinweisDie Firewall wertet Domänen mithilfe von „ODER“ aus. Nur eine Domäne mussübereinstimmen, damit die URL-Gruppe zutrifft.


Zugehörige KonzepteURL-Gruppen (Seite 150)URL-Gruppen enthalten eine oder mehrere Domänen, die Sie in den Internetrichtlinien verwendenkönnen, um den Zugriff auf Websites zu steuern.

9.5 AusnahmenMit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.

Zu den Verhaltensweisen, die Sie umgehen können, gehört die Prüfung durch Sandstorm.Ausnahmen (einschließlich jener, die in vorangegangenen Releases erstellt wurden), dieSchadprogramm-Scans auslassen, lassen auch Analyse durch Sandstorm aus.

HinweisDamit eine Ausnahme in Kraft tritt, muss sie eingeschaltet sein.

• Um eine Ausnahme zu aktivieren, klicken Sie auf den Ein/Aus-Schalter.

• Um eine Ausnahme zu klonen, klicken Sie auf

.

• Um eine Ausnahme zu bearbeiten, klicken Sie auf

.

Zugehörige AufgabenEine Ausnahme hinzufügen (Seite 151)Verwandte InformationenWebschutz anpassen (Seite 161)Manchmal müssen Sie vielleicht Webschutzeinstellungen für bestimmte Kategorien von Datenverkehroder bestimmte Domänen anpassen. Sie wollen zum Beispiel vielleicht HTTPS-Verkehr für Websitesmit Finanzdienstleistungen nicht entschlüsseln, weil diese sensible finanzielle Informationen enthalten.Sie wollen vielleicht auch Schadprogramm-Scans und Sandstorm-Analyse für Seiten auslassen, vondenen Sie wissen, dass das Risiko gering ist. Solches Verhalten können Sie mithilfe von Ausnahmenfestlegen.

9.5.1 Eine Ausnahme hinzufügen

1. Gehen Sie zu Internet > Ausnahmen und klicken Sie auf Ausnahme hinzufügen.



XG Firewall

3. Legen Sie Kriterien für den Webverkehr fest.

• Aktivieren Sie das Kontrollkästchen URL-Musterübereinstimmungen, gebenSie ein Muster in das Textfeld Suchen/Hinzufügen ein und klicken Sie auf

.Reguläre Ausdrücke sind erlaubt. Zum Beispiel trifft ^([A-Za-z0-9.-]*\.)?example\.com/ auf alle Subdomänen von example.com zu. Legen Sie Musterübereinstimmungen(Pattern Matches) mithilfe von ASCII-Zeichen fest. Weitere Informationen über dasKonvertieren von Nicht-ASCII-Zeichen finden Sie unter RFC 3490.

• Aktivieren Sie das Kontrollkästchen Website-Kategorien, klicken Sie auf Neues Elementhinzufügen und wählen Sie Kategorien aus.

• Aktivieren Sie das Kontrollkästchen Quell-IP-Adressen,geben Sie eine Endbenutzer-Adresse ein und klicken Sie auf

.

• Aktivieren Sie das Kontrollkästchen Ziel-IP-Adressen,geben Sie eine Internetadresse ein und klicken Sie auf

.

HinweisDie Firewall wertet alle Arten von Kriterien mittels „UND“ aus. Wenn Sie zum BeispielURL-Patterns und Website-Kategorien festlegen, müssen beide Arten mit der Ausnahmeübereinstimmen, damit diese angewendet wird. Innerhalb jeder Kategorie wertet die FirewallKriterien jedoch mittels „ODER“ aus.

4. Legen Sie Prüfungen oder Maßnahmen fest, die ausgelassen werden sollen, wenn die FirewallVerkehr verarbeitet, der den Kriterien entspricht.

Option Beschreibung

HTTPS-Entschlüsselung HTTPS-Verkehr nicht entschlüsseln, der denfestgelegten Kriterien entspricht.

HinweisWenn Sie HTTPS-Entschlüsselungdeaktivieren, wird die Firewall keineweiteren Prüfungen ausführen, die aufentschlüsselten Verkehr angewiesen sind,wie Schadprogramm-Scans. Die Firewallwird weiterhin HTTP-Verkehr scannen, derder Ausnahme entspricht.

Schadprogramm- und Inhaltsscans Keinen Verkehr scannen, der denentsprechenden Kriterien für Schadprogrammeentspricht oder Inhalte hat, die im Inhaltsfilterdefiniert sind.

Sandstorm Dateien, die nach den festgelegten Kriterienheruntergeladen wurden, nicht an Sandstormsenden.

Richtlinienprüfung Richtlinien nicht für Datenverkehr prüfen, derden festgelegten Kriterien entspricht.




XG Firewall

Klicken Sie auf den Schalter An/Aus, um die Ausnahme einzuschalten.

Zugehörige KonzepteAusnahmen (Seite 151)Mit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.

9.6 Allgemeine EinstellungenDie Firewall scannt HTTP(S) und FT-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregelnfestgelegt ist, und nach unangemessener Internetnutzung, wenn eine Internetrichtlinie für eine Regelausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der auf Firewallregeln zutrifft, bei denendiese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende Dateigrößeund zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, umEndbenutzern Zugriff auf Websites zu gewähren, die sonst blockiert wären.

Schadprogramm- und Inhaltsscans

Konfigurieren Sie allgemeine Beschränkungen für das Scannen und um den Verkehr nach Typ undProtokoll zu beschränken.

Auswahl der Scan-Engine Scan-Engine, die für allen Verkehr verwendetwerden soll.

HinweisWenn Sie Sandstorm verwenden, stellenSie als Einzelscan-Engine Sophos ein oderwählen Sie den Zweifachscan.

Einzelne Engine Scannen Sie den Datenverkehrmithilfe der primären Antiviren-Engine(standardmäßig Sophos). Diese Auswahl bietetoptimale Leistung.

Duale Engine Scannen Sie den Datenverkehrmit beiden Engines, zunächst mit der primärenund dann mit der sekundären. Diese Auswahlbietet eine maximale Erkennungsrateund Sicherheit, kann aber die Leistungbeeinträchtigen.

Scanmodus Scanmodus für HTTP(S)-Verkehr ImSerienmodus wird kein einziger Teil einerheruntergeladenen Datei an den Browserweitergegeben, bevor die ganze Dateiheruntergeladen und gescannt wurde. ImEchtzeitmodus, wird der heruntergeladeneDateiinhalt an den Browser weitergegeben,aber erst abgeschlossen, wenn er gescanntund als sauber eingestuft wurde. Während der


XG Firewall

Serienmodus maximalen Schutz bietet, könnte erdie Leistung beim Surfen beeinträchtigen.

Potenziell unerwünschte Anwendungenblockieren

Schützen Sie Benutzer vor dem Herunterladenpotenziell unerwünschter Anwendungen (PUAs).

Autorisierte PUAs Liste der PUAs, die Sie nicht blockieren wollen.

Maßnahme beim Fehlschlagen desSchadprogramm-Scans

Maßnahme, die durchgeführt wird, sobald dieFirewall Inhalte entdeckt, die nicht gescanntwerden konnten.

HinweisDateien, die nicht vollständig gescanntwerden können, weil sie verschlüsselt oderbeschädigt sind, könnten unentdeckteBedrohungen beinhalten. Blockieren bietetden besten Schutz.

Keine Dateien scannen, die größer sind als Maximal erlaubte Größe von Dateien in MB, diebei HTTP(S) gescannt werden. Dateien, die dieseGröße überschreiten, werden nicht gescannt.

HinweisWenn Sie Sandstorm verwenden, wurdedieser Wert auf den empfohlenen minimalenWert zurückgesetzt.

Maximale Datei-Scangröße für FTP Maximal erlaubte Größe von Dateien in MB, diebei FTP gescannt werden. Dateien, die dieseGröße überschreiten, werden nicht gescannt.

Audio- und Videodateien scannen Audio- und Videoinhalte nach Schadprogrammenund Bedrohungen scannen. Das Scannenkönnte Probleme beim Abspielen von Audio- undVideodateien verursachen.

Pharming-Schutz aktivieren Bei Pharming-Angriffen werden die Benutzer vonseriösen Websites zu betrügerischen Websitesumgeleitet, die genauso aussehen wie dieseriösen. Benutzer vor DNS-Poisoning schützen,indem DNS-Lookups vor dem Verbindenwiederholt werden.

HTTPS-Entschlüsselung und -Scans

CA für HTTPS-Scans CA für die Sicherung von gescannten HTTPS-Verbindungen.

Unbekannte SSL-Protokolle blockieren Verkehr verhindern der HTTPS-Scans vermeidetindem ungültige SSL-Protokolle verwendetwerden.

Ungültige Zertifikate blockieren Nur mit Seiten mit gültigem Zertifikat verbinden.


XG Firewall

Bei Fehlern oder Maßnahmen beiBlockierungen/Warnungen bei HTTPS-Verbindungen, wenn „HTTPS entschlüsselnund scannen“ deaktiviert ist

Wenn eine HTTPS-Anfrage eine Blockierungs-oder Warnrichtlinienmaßnahme auslöst, bei derHTTPS entschlüsseln und scannen deaktiviertist, können Sie dem Benutzer entweder eineBenachrichtigung anzeigen oder die Verbindungohne Benutzerbenachrichtigung verwerfen.

HinweisBrowser zeigen möglicherweiseZertifikatswarnungen an, wenn die HTTPS-CA nicht installiert ist.

Richtlinien-Umgehungen

Richtlinien-Umgehungen erlauben autorisierten Benutzern, zeitlich begrenzten Zugriff auf Websiteszu gewähren, welche normalerweise durch eine Internetrichtlinie blockiert wären. AutorisierteBenutzer erstellen Richtlinien-Umgehungen im Benutzerportal. Umgehungen legen Websites undKategorien fest, einen Zeitraum und Zugangscodes. Wenn ein Endbenutzer eine Seite besucht,für die eine Umgehung hinterlegt ist, enthält die Blockierungsseite ein zusätzliches Feld, in das derEndbenutzer einen Zugangscode eingeben kann.

• Um die aktuell hinterlegten Umgehungen zu sehen und zu verwalten, klicken Sie auf Umgehungensehen. Diese Einstellungen ermöglichen Ihnen, Umgehungen einund auszuschalten undUmgehungen zu löschen.

Richtlinien-Umgehung aktivieren Autorisierten Benutzern erlauben,Internetrichtlinien-Umgehungen im Benutzerportalzu erstellen.

Autorisierte Benutzer und Gruppen Benutzer und Gruppen, die Umgehungenerstellen und verwalten können.

Blockierte Websites und Kategorien Websites und Webkategorien, die nie durchInternetrichtlinien-Umgehungen umgangenwerden können.

Manuelle Eingabe von Zugangscode zulassen Angegebenen Benutzer ermöglichen, ihreeigenen Zugangscodes im Benutzerportal zuerstellen. Wenn diese Option nicht aktiviert ist,müssen Benutzer erzeugte Codes verwenden.

Zugriff auf blockierte Websites zulassen

Die folgende Richtlinienumgehung ermöglicht Benutzern in der Gruppe Lehrer, Endbenutzern Zugriffauf sonst blockierte Websites zu gewähren. Wenn die Umgehung in Kraft ist, können Endbenutzerdennoch nicht auf Websites zugreifen, die zur Kategorie Alkohol und Tabak gehören.


XG Firewall

Caching von Internetinhalten

Caching von Internetinhalten aktivieren Behalten Sie eine Kopie von kürzlich besuchtenSeiten, um den Bandbreitenverbrauch zureduzieren und die Leistung zu verbessern.

Sophos Endpoint-Updates immerzwischenspeichern

Behalten Sie eine Kopie der Sophos EndpointProtection Aktualisierungen, um die Leistung aufIhrem Netzwerk zu verbessern.

HinweisIst diese Option deaktiviert, kann es zu einerNetzwerküberlastung kommen, wenn vieleEndpoints gleichzeitig versuchen, Updatesaus dem Internet herunterzuladen.

Web-Proxy-Konfiguration

Die Firewall fängt den Datenverkehr transparent ab und erzwingt Web Protection (zumBeispiel, Richtlinien- und Schadprogramm-Scans), wenn der Web-Proxy-Dienst für eineNetzwerkzone aktiviert ist. Der Dienst ist standardmäßig für LAN- und WLAN-Zonen aktiviert. ImTransparenzmodus erlaubt die Firewall HTTP-Verkehr auf Port 80 und HTTPS-Verkehr nur auf Port443.

Sie können die Firewall so konfigurieren, dass sie als Proxy für konfigurierte Webbrowser agiert.Legen Sie dafür einen Web-Proxy Lausch-Port fest. Benutzer hinter dem Proxy müssen die LAN-oder WLAN-Adresse und den Port in den Web-Proxy-Konfigurationseinstellungen ihres Browsersfestlegen. (Weitere Informationen finden Sie in der Dokumentation des Browsers.)

Legen Sie den Web-Proxy Lausch-Port fest und die zugelassenen Zielports, wenn Sie möchten,dass die Firewall als Web-Proxy für konfigurierte Webbrowser agiert.


XG Firewall

HinweisDie IPS-Richtlinie ist auf den Datenverkehr zwischen Proxy und WAN anwendbar, aber nichtzwischen Benutzer und Proxy.

HinweisDie Traffic-Shaping-Richtlinie ist nicht auf den direkten Proxy-Datenverkehr anwendbar.

Web-Proxy Lausch-Port Port, auf dem der Web-Proxy auf HTTP-Verbindungsanfragen wartet.

Zugelassene Zielports Die Firewall könnte Anfragen erhalten, sich miteinem Nicht-Standardport auf entfernte Server zuverbinden. Legen Sie die Ports fest, auf denender Proxy die Verbindung zulassen wird. (DieseEinstellung gilt nur, wenn der Web-Proxy Lausch-Port eingestellt ist.)

AchtungDas Zulassen einer Verbindung auf Nicht-Standardports könnte ein Sicherheitsrisikodarstellen.

Verwandte InformationenWebschutz verbessern (Seite 160)Sie wollen vielleicht ein Scanverhalten einsetzen, das stärker ist als der Standard. Dafür wählen Sieeine Scan-Engine aus, legen die maximale Dateigröße fest und schalten weitere Funktionen ein.

9.7 DateitypenEin Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.

• Um einen Dateityp bearbeiten, klicken Sie auf

.

Zugehörige AufgabenDateityp hinzufügen (Seite 157)

9.7.1 Dateityp hinzufügen

1. Gehen Sie zu Internet > Dateitypen und klicken Sie auf Hinzufügen.


3. Optional: Wählen Sie eine Vorlage aus.


XG Firewall

Vorlagen organisieren häufig genutzte Dateierweiterungen und MIME-Headers nach Kategorie,z.B. Videodateien. Sie können Vorlagen verwenden, anstatt Erweiterungen und MIME-Headerseinzutippen.

4. Legen Sie Dateierweiterungen und MIME-Headers fest.

HinweisGeben Sie vor den Dateierweiterungen keinen Punkt (.) ein.


Zugehörige KonzepteDateitypen (Seite 157)Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.

9.8 SurfkontingenteSurfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.

HinweisWenn mehr als ein Kontingent auf einen Benutzer zutrifft, beschränkt die Firewall den Zugriffentsprechend der ersten Richtlinie, die ihre Grenze erreicht.

• Um ein Surfkontingent zu bearbeiten, klicken Sie auf

.

Das folgende Kontingent legt unbegrenzten Zugriff für eine Woche als einmaliges Ereignis fest.

Zugehörige AufgabenSurfkontingent hinzufügen (Seite 159)


XG Firewall

9.8.1 Surfkontingent hinzufügen

1. Gehen Sie zu Internet > Surfkontingente und klicken Sie auf Hinzufügen.


3. Legen Sie eine Zyklusart fest.

Option Beschreibung

Zyklisch Wiederkehrender Zugriff. Legen Sie dieZykluszeit fest. Sobald die festgelegte Zeitendet, erhält der Benutzer wieder Zugriff.Benutzer erhalten die festgelegte Zeit zuBeginn eines Zyklus. Ungenutzte Zeit wird nichtübertragen.

Nicht zyklisch Einmalzugriff. Sobald die festgelegte Zeit endet,wird der Benutzer getrennt.

4. Legen Sie einen Gültigkeitszeitraum fest.

• Geben Sie die Anzahl an Tagen ein.

• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie die Gültigkeit nicht beschränkenwollen.

5. Legen Sie die Höchstdauer der Zugriffszeit fest, die vom Kontingent gewährt werden soll.

• Geben Sie die Stunden und Minuten ein. Benutzer werden getrennt, nachdem dieser Werterreicht wurde, selbst wenn der Gültigkeitszeitraum des Kontingents noch nicht abgelaufen ist.

• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie keine Maximalzeit angebenwollen.


Zugehörige KonzepteSurfkontingente (Seite 158)Surfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.

9.9 BenutzerbenachrichtigungenDie Firewall zeigt Benutzern eine Benachrichtigung an, wenn eine Internetrichtlinie so eingestellt ist,dass sie Websites blockiert oder vor dem Verbinden warnt.

• Um ein Bild festzulegen, das auf den Benachrichtigungsseiten angezeigt wird, wählen Sie dasKontrollkästchen Eigene Bilder verwenden und anschließend Bilder aus.

• Um eine Blockierungs-Benachrichtigung zu erstellen, wählen Sie das Kontrollkästchen EigeneBlockieren-Meldung verwenden aus und geben Sie eine Nachricht ein.

• Um eine Warnungs-Benachrichtigung zu erstellen, wählen Sie das Kontrollkästchen EigeneWarnmeldung verwenden aus und geben Sie eine Nachricht ein.

• Um eine Benachrichtigung in Ihrem Browser anzusehen, klicken Sie auf den Vorschau-Link.


XG Firewall

9.10 InhaltsfilterEin Inhaltsfilter ist eine benannte Liste von Begriffen. Sie können Inhaltsfilter in Richtlinien verwenden,um den Zugriff auf Websites zu beschränken, die einen der aufgelisteten Begriffe enthält. DerStandard-Filtersatz enthält Begriffe, die von vielen Organisationen blockiert werden.

• Um einen Filter zu erstellen, klicken Sie auf Inhaltsfilter hinzufügen, geben Sie einen Namen einund wählen Sie eine einfache Textdatei (.txt) aus.

Beachten Sie die folgenden Anforderungen bei der Textdatei:

• Schreiben Sie jeden Begriff in eine separate Zeile. Die Firewall wertet die Datei zeilenweise aus.Damit ein Treffer erfolgt, muss die Zeile genau übereinstimmen.

• Metadaten, Kommentare und Spaltenformatierung werden nicht unterstützt.

• Wortlisten, die Zeichen außerhalb des ASCII-Zeichensatzes enthalten, müssen mit UTF-8-Codierung gespeichert werden.

• Die maximale Dateilänge beträgt 2000 Zeilen.

• Die maximale Zeilenlänge beträgt 80 Zeichen inklusive Leerzeichen und Interpunktion.

Verwandte InformationenInhalt mithilfe einer Liste von Begriffen blockieren (Seite 168)Sie wollen vielleicht für alle Benutzer den Zugriff auf Websites blockieren, die Begriffe enthalten,welche Ihre Firma als anstößig einstuft. Dafür erstellen Sie eine Liste von Begriffen und setzen sie ineiner Richtlinie ein.

9.11 Webschutz verbessernSie wollen vielleicht ein Scanverhalten einsetzen, das stärker ist als der Standard. Dafür wählen Sieeine Scan-Engine aus, legen die maximale Dateigröße fest und schalten weitere Funktionen ein.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:

• Die Scan-Engine und die maximale Dateigröße festlegen.

• Audio- und Videodateien scannen

Zugehörige KonzepteAllgemeine Einstellungen (Seite 153)Die Firewall scannt HTTP(S) und FT-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregelnfestgelegt ist, und nach unangemessener Internetnutzung, wenn eine Internetrichtlinie für eine Regelausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der auf Firewallregeln zutrifft, bei denendiese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende Dateigrößeund zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, umEndbenutzern Zugriff auf Websites zu gewähren, die sonst blockiert wären.


XG Firewall

Legen Sie allgemeine Einstellungen fest.

1. Gehen Sie zu Internet > Allgemeine Einstellungen.

2. Legen Sie die folgenden Schadprogramm-Scan-Einstellungen fest.

Option Beschreibung

Auswahl der Scan-Engine Duale Engine

Diese Auswahl bietet eine maximale Erkennungsrate und Sicherheit, kann aber die Leistungbeeinträchtigen.

3. Klicken Sie auf Erweiterte Einstellungen und legen Sie zusätzliche Einstellungen fest.

Option Beschreibung

Audio- und Videodateien scannen Aktiviert

4. Klicken Sie auf Übernehmen.

Die Firewall verwendet nun Zweifach-Scan für Internetverkehr. Audio- und Videodateien werden nungescannt.

9.12 Webschutz anpassenManchmal müssen Sie vielleicht Webschutzeinstellungen für bestimmte Kategorien von Datenverkehroder bestimmte Domänen anpassen. Sie wollen zum Beispiel vielleicht HTTPS-Verkehr für Websitesmit Finanzdienstleistungen nicht entschlüsseln, weil diese sensible finanzielle Informationen enthalten.Sie wollen vielleicht auch Schadprogramm-Scans und Sandstorm-Analyse für Seiten auslassen, vondenen Sie wissen, dass das Risiko gering ist. Solches Verhalten können Sie mithilfe von Ausnahmenfestlegen.


XG Firewall

Zielsetzungen


• Eine Ausnahme erstellen, die es Ihnen erlaubt, HTTPS-Entschlüsselung für eine bestimmteWebkategorie auszulassen.

• Eine Ausnahme erstellen, die es Ihnen erlaubt, Scans und Sandstorm-Analyse für Seitenauszulassen, von denen Sie wissen, dass das Risiko gering ist.

Zugehörige KonzepteAusnahmen (Seite 151)Mit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.

HTTPS-Entschlüsselung auslassen

Sie wollen HTTPS-Entschlüsselung für Webseiten mit Finanzdienstleistungen auslassen.



3. Wählen Sie Website-Kategorien aus.

4. Klicken Sie auf Neues Element hinzufügen und wählen Sie Finanzdienstleistungen aus.

5. Klicken Sie auf Ausgewählte Elemente übernehmen.

6. Wählen Sie HTTPS-Entschlüsselung aus.


XG Firewall


Die Firewall scannt keinen HTTPS-Verkehr zu Webseiten mit Finanzdienstleistungen.


Schadprogramm-Scans und Sandstorm-Analyse auslassen

Wir wollen Schadprogramm-Scans und Sandstorm-Analyse für Websites auslassen, von denen wirwissen, dass das Risiko gering ist.



3. Aktivieren Sie das Kontrollkästchen URL-Musterübereinstimmungen.

4. Geben Sie den folgenden Ausdruck in das Textfeld ein.

^([A-Za-z0-9.-]*\.)?example\.com/

Dieser Ausdruck trifft auf alle „example.com“-Domänen zu.

5. Klicken Sie auf

.

6. Aktivieren Sie das Kontrollkästchen Schadprogramm- und Inhaltsscans.

Das Kontrollkästchen Sandstorm ist automatisch ausgewählt.


Die Firewall scannt keinen Verkehr zu Webseiten von „example.com“ auf Schadprogramme undführt keine Sandstorm-Analyse für diesen Verkehr durch.



XG Firewall

9.13 Zugriff auf Websites kontrollierenViele Organisationen müssen den Zugriff auf bestimmte Kategorien kontrollieren und oft variiert derZugriff entsprechend der Benutzergruppe. Sie wollen zum Beispiel vielleicht einigen Benutzern Zugriffauf Websites geben, die von der Standardarbeitsplatzrichtlinie blockiert werden.

Zielsetzungen


• Eine Gruppe von Benutzern erstellen, für die Sie Zugriff auf Kategorien zulassen wollen

• Eine Richtlinie hinzufügen, die Zugriff auf Kategorien gewährt

• Eine Firewallregel für die Richtlinie erstellen und Benutzer angeben

• Die Firewallregel positionieren


Benutzergruppe erstellen

Sie wollen einer Gruppe erlauben, Zugriff auf einige Kategorie zu haben, die von derStandardarbeitsplatzrichtlinie blockiert werden. Sie erstellen eine Gruppe, die unbegrenzten Zugriffgewährt.

1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.

2. Legen Sie Einstellungen fest.

Option Beschreibung

Gruppenname Recherche

Surfkontingent Unbegrenzter Internetzugriff

Zugriffszeit Immer erlaubt


Richtlinie erstellen, die Zugriff auf Kategorien gewährt

Sie erstellen eine Richtlinie, die Zugriff auf einige Kategorie gewährt, die von derStandardarbeitsplatzrichtlinie blockiert werden.

1. Gehen Sie zu Internet > Richtlinien und klicken Sie auf Richtlinie hinzufügen.



XG Firewall

Option Beschreibung

Name Webkategorien


4. Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität (AllerInternetverkehr) und klicken Sie dann auf Neues Element hinzufügen.

5. Deaktivieren Sie das Kontrollkästchen Aller Internetverkehr.

6. Klicken Sie auf Zeige nur und wählen Sie Webkategorie aus.

7. Wählen Sie Kategorien und Ausgewählte Elemente übernehmen aus.


XG Firewall

8. Bewegen Sie den Mauszeiger auf das Feld Maßnahme, klicken Sie auf die Aktionsanzeige undwählen Sie HTTP zulassen aus.



Legen Sie eine Firewallregel an und wenden Sie die Richtliniean.

Ihre Konfiguration enthält eine Regel, die allen Benutzern mit der Default Workplace Policy den Zugriffverwehrt. Sie wollen jedoch eine Regel hinzufügen, die manchen Benutzern Zugriff auf mancheKategorien gewährt, die von der Standardrichtlinie blockiert werden. Sie legen eine Regel für dieseBenutzer an und verschieben sie an den Anfang der Liste.



Option Beschreibung

Regelname Internetrecherchegruppe

Quellzonen Alle

Zielzonen Alle

3. Blättern Sie hinunter zum Abschnitt Identität: und klicken Sie auf Neues Element hinzufügen.


XG Firewall

4. Deaktivieren Sie das Kontrollkästchen Beliebig, wählen Sie Recherche aus und klicken Sie aufAusgewählte Elemente übernehmen.

5. Blättern Sie hinunter zum Abschnitt Erweitert und wählen Sie die Richtlinie Webkategorien.

6. Klicken Sie auf Speichern.Die Firewall fügt die Regel unter der Regel für die Default Workplace Policy hinzu. Da Sie wollen,dass die Firewall die Regel für die Web Research Group zuerst verarbeitet, verschieben Sie sie andie Spitze der Reihenfolge.

7. Klicken Sie auf die Verschiebepunkte der Web Research Group und ziehen Sie die Regel an dieSpitze der Liste.


XG Firewall

Die Web-Research-Group-Regel wird zuerst verarbeitet. Jeder Datenverkehr, der dieRegelkriterien erfüllt (Benutzergruppe und Kategorien), wird zugelassen. Datenverkehr, der mitBenutzer und Kategorien der Standardregel übereinstimmt, wird blockiert.

9.14 Inhalt mithilfe einer Liste von BegriffenblockierenSie wollen vielleicht für alle Benutzer den Zugriff auf Websites blockieren, die Begriffe enthalten,welche Ihre Firma als anstößig einstuft. Dafür erstellen Sie eine Liste von Begriffen und setzen sie ineiner Richtlinie ein.

Zielsetzungen


• Eine Liste von Begriffen erstellen, die blockiert werden sollen.

• Einen Inhaltsfilter erstellen.

• Den Inhaltsfilter auf eine Richtlinie anwenden.

Zugehörige KonzepteInhaltsfilter (Seite 160)Ein Inhaltsfilter ist eine benannte Liste von Begriffen. Sie können Inhaltsfilter in Richtlinien verwenden,um den Zugriff auf Websites zu beschränken, die einen der aufgelisteten Begriffe enthält. DerStandard-Filtersatz enthält Begriffe, die von vielen Organisationen blockiert werden.

Liste von Begriffen erstellen

1. Erstellen Sie eine neue Datei mithilfe eines Textverarbeitungsprogramms.

2. Geben Sie Begriffe ein, die blockiert werden sollen.


XG Firewall

Beachten Sie die folgenden Anforderungen bei der Textdatei:

• Schreiben Sie jeden Begriff in eine separate Zeile. Die Firewall wertet die Datei zeilenweiseaus. Damit ein Treffer erfolgt, muss die Zeile genau übereinstimmen.

• Metadaten, Kommentare und Spaltenformatierung werden nicht unterstützt.

• Wortlisten, die Zeichen außerhalb des ASCII-Zeichensatzes enthalten, müssen mit UTF-8-Codierung gespeichert werden.

• Die maximale Dateilänge beträgt 2000 Zeilen.

• Die maximale Zeilenlänge beträgt 80 Zeichen inklusive Leerzeichen und Interpunktion.

3. Speichern Sie die Datei als blocked.txt ab.

Inhaltsfilter erstellen

Erstellen Sie einen Inhaltsfilter und laden Sie eine Liste von Begriffen hoch.

1. Gehen Sie zu Internet > Inhaltsfilter und klicken Sie auf Inhaltsfilter hinzufügen.


3. Klicken Sie auf Datei auswählen und wählen Sie ein Liste von Begriffen aus.


Inhaltsfilter auf eine Richtlinie anwenden

Fügen Sie eine Regel zur Standardrichtlinie hinzu und wenden Sie den Inhaltsfilter auf sie an.

1. Gehen Sie zu Internet > Richtlinien.

2. Für die Standardrichtlinie, klicken Sie auf

.



4. Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität („GesamterInternetverkehr“) und klicken Sie dann auf das Tab Inhaltsfilter.

5. Aktivieren Sie das Kontrollkästchen und mit dem Inhalt.

6. Wählen Sie den Inhaltsfilter „Offensive“ (anstößig) und klicken Sie auf Ausgewählte Elementeübernehmen.



Die Firewall besitzt nun eine Richtlinie, die Zugriff aus Websites blockiert, welche Wörter von derblockierten Liste enthalten.


Kapitel 10

10 AnwendungenApplication Protection trägt dazu bei, Ihre Organisation vor Angriffen und Schadprogrammen zuschützen, welche durch Exploits im Anwendungsdatenverkehr hervorgerufen werden. Sie können auchdie Bandbreite beschränken und Verkehr von Anwendungen einschränken, welche die Produktivitätsenken. Anwendungsfilter erlauben Ihnen, Verkehr nach Kategorie oder auf individueller Basis zusteuern. Mit Synchronized Application Control können Sie Verkehr auf Endpoints beschränken, diemit Sophos Central verwaltet werden. Das Verwalten von Cloud-Anwendungsverkehr wird ebenfallsunterstützt.

10.1 AnwendungsfilterMit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.

In den Anwendungsfilterrichtlinien ermittelt der Web-Proxy Anwendungen, die HTTPS verwenden.

• Um eine Anwendungsfilter-Richtlinie hinzuzufügen, klicken Sie auf Hinzufügen. Wenn Sie eineRichtlinie hinzufügen, können Sie eine beliebige Richtlinie als Vorlage auswählen. Dann, nachdemSie die Richtlinie gespeichert haben, können Sie Regeln hinzufügen oder bearbeiten.

• Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie ändern wollen und klicken Sieauf

.

Tabelle 10: Standard-Anwendungsfilter-Richtlinie

Name Beschreibung

Allow All Erlaubt Verkehr von allen Anwendungen.

Deny All Verwirft Verkehr von allen Anwendungen.

Block filter avoidance apps Verwirft Verkehr von Anwendungen, die als Tunnelfür andere Anwendungen dienen, von Proxy- undTunnelanwendungen und von Anwendungen, dieFirewallrichtlinien umgehen können.

Block generally unwanted apps Verwirft Verkehr von Dateiübertragungen, Proxy-und Tunnelanwendungen, riskanten Anwendungen,Peer-to-Peer-Netzwerken (P2P) und sonstigenAnwendungen, die sich negativ auf die Produktivitätauswirken.

Block high risk (Risk Level 4 and 5) apps Verwirft Verkehr von Hochrisikoanwendungen.

Block peer to peer (P2P) networking apps Verwirft Verkehr von P2P-Anwendungen. DieseAnwendungen können dazu verwenden werden,Bots, Spyware, Werbesoftware, Trojaner, Rootkits,Würmer oder andere Arten von Schadprogrammenzu verbreiten. Es ist empfehlenswert, dass Sie P2P-Anwendungen in Ihrem Netzwerk blockieren.

XG Firewall

Name Beschreibung

Block very high risk (Risk Level 5) apps Verwirft Verkehr von Anwendungen mit sehr hohemRisiko.

Zugehörige AufgabenAnwendungsfilter-Richtlinie hinzufügen (Seite 172)Anwendungsfilter-Richtlinienregel hinzufügen (Seite 172)Verwandte InformationenHochrisikoanwendungen blockieren (Seite 177)Um Ihre Netzwerk vor Schadprogrammen zu schützen, müssen viele Organisationen den Zugriff aufAnwendungen kontrollieren, die als risikoreich eingestuft sind. Sie können Richtlinien erstellen, umDatenverkehr zu allen Anwendungen zu beschränken, die als risikoreich kategorisiert sind. Wenndie Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungen automatischzu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neue Signatur füreine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter, der alleHochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.

10.1.1 Anwendungsfilter-Richtlinie hinzufügen

1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf Hinzufügen.



Sie können eine beliebige Anwendungsfilter-Richtlinie als Vorlage verwenden.


Fügen Sie Regeln zur Richtlinie hinzu. Damit die Richtlinie wirksam wird, fügen Sie sie zu einerFirewallregel hinzu.

Zugehörige KonzepteAnwendungsfilter (Seite 171)Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.

10.1.2 Anwendungsfilter-Richtlinienregel hinzufügen

1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf

für die Richtlinie, die sie bearbeiten wollen.


3. Wählen Sie Anwendungen aus.

• Klicken Sie auf Alle auswählen und wenden Sie Filter auf die Liste an mithilfe einerKombination von Kategorien, Risiko, Eigenschaften, Technologie oder Klassifizierung. Siekönnen auch einen Ausdruck in den Smartfilter eingeben. Der Smartfilter durchsucht denNamen sowie die Beschreibung einer Anwendung.

• Klicken Sie auf Individuelle Anwendung auswählen und verwenden Sie Filter, um die Listezu verbessern. Wählen Sie dann einzelne Anwendungen aus der Liste aus.


XG Firewall

HinweisKlassifizierung ist nur auf Cloud-Anwendungen anwendbar. Wenn eine Klassifizierungaktualisiert wird (zum Beispiel, mit neuem Cloud-Anwendungsverkehr), werden alleverwendeten Richtlinienregeln sofort aktualisiert.

4. Legen Sie eine Aktion für die Regel fest.

5. Legen Sie einen Zeitplan für die Regel fest.



Anwendungsfilter (Seite 171)Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.

10.2 Synchronized Application ControlSynchronized Application Control Überwacht alle Anwendungen auf Endpoints, die über SecurityHeartbeat verbunden sind. Erkannte Anwendungen werden hier angezeigt. Sie können neu erkannteAnwendungen sehen, bekannte Anwendungen verbergen, Anwendungen in Kategorien einordnen undihren Verkehr mithilfe von Anwendungsfiltern steuern. Synchronized Application Control unterstützt biszu 10.000 Anwendungen.

HinweisWenn Sie Synchronized Application Control zum ersten Mal verwenden, müssen Sie es unterZentrale Synchronisierung einschalten.

Anwendungskategorien und Label

XG Firewall besitzt eine Standardauswahl an Kategorien, welche die bekanntesten Anwendungenumfasst. Wenn XG Firewall eine bekannte Anwendung erkennt, kategorisiert es die Anwendungentsprechend. Erkannte unbekannte Anwendungen erhalten die Kategorie SyncAppCtl discoveredoder General Internet. Sie können diese Anwendungen umbenennen und anpassen. Weisen SieAnwendungen Anwendungsfiltern zu, um ihren Verkehr zu steuern.

Wenn XG Firewall mehr als ein Vorkommen einer Anwendung erkennt,können Sie alle Orte der Anwendung auf allen Endpoints sehen, andenen sie erkannt wurden, indem Sie die Anwendungsansicht aufklappen

( ).

Anwendungen haben die folgenden Label, die Sie in der Spalte Verwalten sehen können:

• Neu: Neu erkannte Anwendungen, die Sophos XG Firewall noch nicht kennt.


XG Firewall

• Zugeordnet: Erkannte Anwendungen, die automatisch einer Anwendungskategorie zugeordnetwurden.

• Angepasst: Anwendungen, die manuell zugeordnet wurden.

Anwendungen verwalten

Bestätigen Bestätigen Sie neue Anwendungen, um zuvermerken, dass Sie sie gesehen haben und ihreMerkmale nicht ändern wollen. Das ist sinnvollbei Anwendungen, die Sie nicht anpassen wollenund die nicht länger als Neu angezeigt werdensollen. Ihr neues Label wird auch Angepasstsein.

Anpassen Anwendungen anzupassen bedeutet,dass Sie den Anwendungsnamen und dieKategorie ändern können. Das Label derAnwendung wird danach Angepasst sein.Sie können diese Merkmale stets ändern.Um eine Anwendung anzupassen, klickenSie auf die Schaltfläche für mehr Optionen

( )in der Spalte Verwalten und wählen SieAnpassen aus.

Verbergen/Anzeigen Anwendungen verbergen, die Sie bereits kennenund nicht mehr zu sehen brauchen. Sie werdendann nur angezeigt, wenn Sie AusgeblendeteAnwendungen auswählen. Von dort aus könnenSie sie in anderen Ansichten wieder anzeigenlassen, indem Sie auf Anzeigen klicken.

Löschen Das Löschen von Anwendungen entfernt dieseauch vom Anwendungsfilter. Wenn XG Firewalleine gelöschte Anwendung erneut auf einemEndpoint erkennt, erscheint diese erneut in derAnwendungsliste.

Nach Anwendungen suchen

Sie können nach Anwendungen unter Angabe des Anwendungsnamens, des Pfads, der Kategorieoder des Endpoints suchen. Um den Suchbereich zu steuern, wählen Sie eine Option aus der Listeaus (Beispiel: Systemanwendungen).

Zugehörige AufgabenErkannte Anwendung anpassen (Seite 175)Sie können den Namen oder die Kategorie einer Anwendung anpassen, die auf einem Endpointerkannt wurde, der von Sophos Central verwaltet wird.


XG Firewall

10.2.1 Erkannte Anwendung anpassen

Sie können den Namen oder die Kategorie einer Anwendung anpassen, die auf einem Endpointerkannt wurde, der von Sophos Central verwaltet wird.

1. Gehen Sie zu Anwendungen > Synchronized Application Control.

2. Suchen Sie die Anwendung, die Sie ändern wollen und klicken Sie auf Anpassen.

3. Geben Sie einen Namen für die Anwendung ein.

4. Wählen Sie eine Kategorie für die Anwendung aus.


Zugehörige KonzepteSynchronized Application Control (Seite 173)Synchronized Application Control Überwacht alle Anwendungen auf Endpoints, die über SecurityHeartbeat verbunden sind. Erkannte Anwendungen werden hier angezeigt. Sie können neu erkannteAnwendungen sehen, bekannte Anwendungen verbergen, Anwendungen in Kategorien einordnen undihren Verkehr mithilfe von Anwendungsfiltern steuern. Synchronized Application Control unterstützt biszu 10.000 Anwendungen.

10.3 Cloud-AnwendungenDurch die Analyse von Cloud-Anwendungsverkehr, können Sie Risiken umgehen, die durch dieVerwendung von Cloud-Anwendungen entstehen. Optionen erlauben Ihnen, Verkehr zu klassifizierenund Traffic-Shaping-Richtlinien einzusetzen.

Verwenden Sie die Filter, um die Suchergebnisse durch Datum, Klassifizierung, Kategorie oderübertragene Bytes weiter einzuschränken. Zum Beispiel können Sie Verkehr so filtern, dass nurunbefugter Datenverkehr zu sozialen Netzwerken für einen bestimmten Zeitraum angezeigt wird.

HinweisDie Ergebnisse umfassen nur zugelassenen Verkehr und nur Anwendungen, die Verkehr erzeugthaben. Überprüfen Sie Ihre blockierten Anwendungseinstellungen.

HinweisDie Anzahl der Uploads und Downloads sowie Informationen zum Dateityp können nur für Verkehrangezeigt werden, für welchen HTTPS-Entschlüsselung aktiviert ist. Einige Anwendungenverwenden keine Standard-Methoden für den Versand und den Empfang von Dateien, was dazuführen kann, dass diese Datenpunkte leer sind oder einen nicht akkuraten Eindruck machen.


XG Firewall

• Um Verkehrsinformationen zu sehen, klicken Sie auf

.

Standardmäßig wird aller Anwendungsdatenverkehr als neu klassifiziert.

• Um eine andere Klassifizierung anzuwenden, klicken Sie auf Klassifizieren, wählen Sie eineKlassifizierung aus und klicken Sie auf Übernehmen.

HinweisDie neue Klassifizierung wird nur auf neuen Verkehr von dieser Anwendung angewendet.

Um die Bandbreitennutzung durch Cloud-Anwendungen zu steuern, können Sie eine Traffic-Shaping-Richtlinie einsetzen. Zum Beispiel wollen Sie vielleicht das Streamen von Videodateneinschränken.

• Um die Bandbreitennutzung zu steuern, klicken Sie auf Traffic Shaping, wählen Sie eine Richtlinieaus und klicken Sie auf Speichern.

Empfohlene Einstellungen

Um die Effektivität der Cloud-Verkehrsberichte zu maximieren, verwenden Sie die folgendenFirewallregel-Einstellungen:

• Für den Basisbericht über verbrauchte Bytes (Bytes eingehend und ausgehend)), aktivieren SieFirewallverkehr protokollieren.

• Für mehr Genauigkeit und Details aktivieren Sie HTTPS entschlüsseln und scannen, undwählen Sie eine Internetrichtlinie aus, die nicht „Keine“ ist.

10.4 AnwendungslisteDie Anwendungsliste enthält viele häufig eingesetzte Anwendungen. Sie können Anwendungen nachihrer Kategorie, Risiko, Technologie, Eigenschaften und Klassifikation sortieren.

Wenn die Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungenautomatisch zu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neueSignatur für eine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter,der alle Hochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.

10.5 Traffic-Shaping-StandardSie können Bandbreitenbeschränkungen mithilfe von Traffic-Shaping-Richtlinien umsetzen. Sie könnenStandard-Traffic-Shaping-Richtlinien auf Kategorien oder einzelne Anwendungen anwenden.

• Um eine Traffic-Shaping-Richtlinie zu sehen oder zu ändern, die mit einer Kategorie verbunden ist,klicken Sie auf

.

• Um die Anwendungen innerhalb einer Kategorie zu sehen, klicken Sie auf

.Um eine Richtlinie zu sehen oder zu ändern, die mit einer Anwendung verbunden ist, klicken Sieauf

.


XG Firewall

Zugehörige AufgabenStandard-Traffic-Shaping-Richtlinie anwenden (Seite 177)

10.5.1 Standard-Traffic-Shaping-Richtlinie anwenden

1. Gehen Sie zu Anwendungen > Traffic-Shaping-Standard.

2. Suchen Sie die Kategorie oder Anwendung, die Sie ändern wollen.

• Suchen Sie die Kategorie, die Sie ändern wollen und klicken Sie auf

.

• Suchen Sie die Kategorie, die Sie ändern wollen und klicken Sie auf

.Suchen Sie dann die Anwendung, die Sie ändern wollen und klicken Sie auf

.

3. Wählen Sie eine Traffic-Shaping-Richtlinie aus.


HinweisDiese Richtlinie ist wirksam außer sie wird von einer Traffic-Shaping-Richtlinie innerhalb einerFirewallregel überschrieben.

Zugehörige KonzepteTraffic-Shaping-Standard (Seite 176)Sie können Bandbreitenbeschränkungen mithilfe von Traffic-Shaping-Richtlinien umsetzen. Sie könnenStandard-Traffic-Shaping-Richtlinien auf Kategorien oder einzelne Anwendungen anwenden.

10.6 Hochrisikoanwendungen blockierenUm Ihre Netzwerk vor Schadprogrammen zu schützen, müssen viele Organisationen den Zugriff aufAnwendungen kontrollieren, die als risikoreich eingestuft sind. Sie können Richtlinien erstellen, umDatenverkehr zu allen Anwendungen zu beschränken, die als risikoreich kategorisiert sind. Wenndie Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungen automatischzu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neue Signatur füreine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter, der alleHochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.

Zielsetzungen


• Eine Anwendungsfilter-Richtlinie erstellen, um Datenverkehr für Hochrisikoanwendungen zublockieren.

• Eine Firewallregel erstellen und die Richtlinie hinzufügen.

Zugehörige KonzepteAnwendungsfilter (Seite 171)


XG Firewall

Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.

Anwendungsfilter-Richtlinie erstellen

Erstellen Sie eine Anwendungsfilter-Richtlinie, die alle Hochrisikoanwendungen blockiert.

1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf Hinzufügen.Die Firewall erstellt eine leere Richtlinie. Standardmäßig nimmt die Richtlinie allen Verkehr an. Sielegen die Regeln an, nachdem Sie die Richtlinie gespeichert haben.


Option Beschreibung

Name Hochrisiko_Apps_blockieren


4. In der Liste der Anwendungsfilter, suchen Sie den Filter, den Sie eben hinzugefügt haben, undklicken Sie auf

.


6. Klicken Sie auf Alle auswählen, um alle Anwendungen einzuschließen, die von den Filterkriterienzurückgeliefert werden.

7. Wählen Sie Hoch und Sehr hoch aus dem Filter Risiko und klicken Sie auf OK.


XG Firewall


Option Beschreibung

Maßnahme Ablehnen

Zeitplan Jederzeit

9. Klicken Sie auf Speichern, um die Regel hinzuzufügen.

10. Klicken Sie auf Speichern, um die Richtlinie zu aktualisieren.

Legen Sie eine Firewallregel an und wenden Sie die Richtliniean.

Die Anwendungsfilter-Richtlinie tritt in Kraft, wenn Sie sie zu einer Firewallregel hinzufügen. In diesemFall blockiert die Regel Zugang zu allen Hochrisikoanwendungen für alle Benutzer.



Option Beschreibung

Regelname Hochrisiko_Apps_blockieren_Regel

Quellzonen Beliebig

Zielzonen Beliebig

3. Blättern Sie zum Abschnitt Erweitert und wählen Sie die Richtlinie Hochrisiko_Apps_blockierenaus.



Kapitel 11

11 WLANWireless Protection lässt Sie WLAN-Netzwerke festlegen und den Zugriff auf diese steuern.Die Firewall unterstützt die neueste Sicherheit und Verschlüsselung, einschließlich Scans aufunautorisierte Access Points und WPA2. Wireless Protection erlaubt Ihnen, Access Points, WLAN-Netzwerke und -Clients zu konfigurieren und zu verwalten. Sie können auch Mesh-Netzwerke undHotspots hinzufügen und verwalten.

11.1 WLAN-EinstellungenVerwenden Sie diese Einstellungen, um WLAN-Schutz zu aktivieren, dieBenachrichtungszeitüberschreitung einzustellen und einen RADIUS-Server für Enterprise-Authentifizierung zu konfigurieren.

AP-Firmware

Wenn keine Access-Point-Firmware installiert ist, klicken Sie auf den Link, um sie herunterzuladenund zu installieren.

Globale Einstellungen

Wireless Protection aktivieren Allen Datenverkehr in der angegeben Zone nachBedrohungen und Schadprogrammen scannen.

Zugelassene Zone Netzwerkzonen, die Access-Point-Konnektivitäterlauben. Sie können Access Points in denangegebenen Zonen einsetzen.

Erweiterte Einstellungen

Zeitüberschreitung Die Zeit in Minuten zwischen dem Zeitpunkt,wenn ein Access Point ausfällt unddem Zeitpunkt, wenn die Firewall eineBenachrichtigung über die Zeitüberschreitungsendet. Nach dem festgelegten Zeitraum wird derAccess Point als inaktiv eingestuft.

RADIUS-Server RADIUS-Server, der für die Enterprise-Authentifizierung verwendet werden soll. AccessPoints kommunizieren für die Authentifizierungmit der Firewall, nicht mit dem RADIUS-Server.Für die RADIUS-Kommunikation zwischen derFirewall und den Access Points wird Port 414verwendet. Access Points senden Accounting-Informationen über Port 417 an die Firewall.Die Firewall leitet die Informationen dann aufdem konfigurierten Accountingport 1813 an den

XG Firewall

RADIUS-Server. Zwischenzeitliche Accounting-Aktualisierungen werden nicht unterstützt.Accounting Request oder Accounting Responseenthält Informationen zum Accounting. Dasist unabhängig von Zugriffs-, Antwort- oderChallenge-Anfragen.

Sie müssen das WLAN-Netzwerk mit 802.1x-Authentifizierung einrichten.

Sie müssen Accounting für Ihren RADIUS-Server einschalten. RADIUS-Accounting wirdunterstützt von AP15, AP15C, AP55, AP55C,AP100, AP100C, AP100X und WLAN-fähigenAppliances.

Sie müssen eine Netzwerk-Übersetzungsrichtlinie(NAT) für die Access-Point-Netzwerkehinzufügen, wenn der RADIUS-Server über einenIPsec-Tunnel mit der Firewall verbunden ist.Dabei wird die Quelladresse mit der IP-Adresseder Firewall ersetzt, welche dann verwendet wird,um den RADIUS-Server zu erreichen.

HinweisRADIUS-SSO wird nicht bei WLAN-Enterprise-Authentifizierung unterstützt.

Sekundärer RADIUS-Server Ein Backup-RADIUS-Server für Enterprise-Authentifizierung, wenn die Firewall den primärenRADIUS-Server nicht erreichen kann.

HinweisDie Sophos APX Serie, AP10, AP30, AP50,und WLAN-fähige Appliances können nur aufden primären RADIUS-Server zugreifen.

Verwandte InformationenZweigstellen-Benutzer mit dem AD-Server der Hauptgeschäftsstelle authentifizieren

11.2 WLAN-Client-ListeDie WLAN-Client-Liste zeigt alle Clients an, die momentan mit einem WLAN-Netzwerk über einenAccess Point verbunden sind. Sie können Clients nach Access Point oder SSID aufgeschlüsselt sehen.Verbindungseigenschaften wie Signalstärke und Frequenz werden ebenfalls angezeigt.

11.3 WLAN-NetzwerkeEin WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.



XG Firewall

Wenn Sie ein WLAN-Netzwerk zu einem Access Point hinzufügen, legen Sie die Methode fest, wieDatenverkehr vom WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.

Tabelle 11: Client-Verkehrsarten

Name Beschreibung

Separate Zone Das WLAN-Netzwerk wird als separates Netzwerk mitdem festgelegten IP-Adressbereich behandelt. Dergesamte Verkehr aus einer separaten Zone wird mittelsVXLAN-Protokoll an die XG Firewall gesendet.

Bridge ins AP-LAN Das WLAN-Netzwerk wird über eine Bridge in dasNetzwerk des gewählten Access Points eingebunden.Clients teilen sich den IP-Adressbereich des AccessPoints.

Bridge ins VLAN Das WLAN-Netzwerk wird über eine Bridge in einVLAN eingebunden. Verwenden Sie diese Methode,wenn Sie Access Points in einem gemeinsamenNetzwerk getrennt von den WLAN-Clients einsetzenmöchten.

Allgemeine Einstellungen

Client-Verkehr Methode, wie der Datenverkehr aus dem WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.

Verschlüsselung Verschlüsselungsalgorithmus, der für denNetzwerkverkehr verwendet werden soll. AESwird empfohlen.

Zeitbasierter Zugriff Zugriff auf das WLAN-Netzwerk entsprechendden Richtlinien des angegebenen Zeitplanszulassen.

Clientisolation Datenverkehr zwischen WLAN-Clients verhindern,die sich mit derselben SSID auf demselbenSender verbinden. Diese Einstellung wirdüblicherweise in Gastnetzwerken verwendet.

SSID verbergen WLAN-Netzwerk-SSID nicht anzeigen.

Fast Transition WLAN-Netzwerke zwingen, den Standard IEEE802.11r zu verwenden.

MAC-Filterung Legen Sie fest, welche MAC-Adressen sich mitdem WLAN-Netzwerk verbinden dürfen. Blacklistslassen alle MAC-Adressen zu außer denen,die Teil der ausgewählten Liste sind. Whitelistsverbieten alle MAC-Adressen außer denen, dieTeil der ausgewählten Liste sind.

Zugehörige KonzepteDHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.





XG Firewall

Zugehörige AufgabenWLAN-Netzwerk zu Access Point hinzufügen (Seite 191)Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.

WLAN-Netzwerk hinzufügen (Seite 184)Verwandte InformationenWLAN-Netzwerk als separate Zone einsetzen (Seite 205)Wir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.

WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichten (Seite 208)Wir wollen, dass WLAN-Clients den gleichen Adressbereich verwenden wie ein Access-Point-LAN.

11.3.1 WLAN-Netzwerk hinzufügen

1. Gehen Sie zu WLAN > WLAN-Netzwerke und klicken Sie auf Hinzufügen.

2. Geben Sie einen Namen und einen Service Set Identifier (SSID) ein.

Die SSID kann auch aus 1-32 druckbaren ASCII-Zeichen bestehen.

3. Wählen Sie einen Sicherheitsmodus aus.

WPA2 wird empfohlen. Die Firewall unterstützt IEEE 802.11r auf Netzwerken, die mithilfe vonWPA2 gesichert werden.

HinweisWenn Sie Enterprise-Authentifizierung verwenden, müssen Sie auch einen RADIUS-Serverkonfigurieren. Verwenden Sie den WLAN-Netzwerknamen als NAS-ID.

4. Wählen Sie aus der Liste Client-Verkehr die Methode aus, mit der Datenverkehr aus dem WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.

Option Beschreibung

Separate Zone Das WLAN-Netzwerk wird als separatesNetzwerk mit dem festgelegten IP-Adressbereich behandelt. Wenn Sie einNetzwerk als separate Zone erstellen,erstellt die Firewall eine zugehörige virtuelleSchnittstelle. Um Clients eine Adresse undein Gateway zuzuweisen, erstellen Sie einenDHCP-Server für die Schnittstelle.

Bridge ins AP-LAN Das WLAN-Netzwerk wird über eine Bridge indas Netzwerk des gewählten Access Pointseingebunden. Clients teilen sich den IP-Adressbereich des Access Points. Wenn Sieein Netzwerk dieses Typs zu einem AccessPoint hinzufügen, erstellt die Firewall eineentsprechende Schnittstelle. Um das Netzwerkim Bridge-Modus einzusetzen, erstellen Sieeine Bridge-Schnittstelle. Um das Netzwerk imGateway-Modus einzusetzen, legen Sie eineZone und IP-Adresse fest und erstellen Sieeinen DHCP-Server.


https://en.wikipedia.org/wiki/ASCII#ASCII_printable_characters

XG Firewall

Option Beschreibung

Bridge ins VLAN Das WLAN-Netzwerk wird über eine Bridgein ein VLAN eingebunden. Verwenden Siediese Methode, wenn Sie Access Points ineinem gemeinsamen Netzwerk getrennt vonden WLAN-Clients einsetzen möchten. WennSie Enterprise-Authentifizierung verwenden,können Sie festlegen, wie die Client-VLAN-IDbestimmt wird. Wenn Sie „Statisch“ auswählen,verwendet der Access Point immer die Bridgezur angegebenen VLAN-ID. Wenn Sie „RADIUSund statisch“ wählen, teilt der RADIUS-Serverdem Access Point mit, welche VLAN-IDs füreinen bestimmten Benutzer verwendet werdensollen. Wurde einem Benutzer kein VLAN-ID-Attribut zugewiesen, verwendet der AccessPoint die Bridge in die angegebene VLAN-ID.


Option Beschreibung

Verschlüsselung Verschlüsselungsalgorithmus, der für denNetzwerkverkehr verwendet werden soll. AESwird empfohlen.

Zeitbasierter Zugriff Zugriff auf das WLAN-Netzwerk entsprechendden Richtlinien des angegebenen Zeitplanszulassen.

Clientisolation Datenverkehr zwischen WLAN-Clientsverhindern, die sich mit derselben SSID aufdemselben Sender verbinden. Diese Einstellungwird üblicherweise in Gastnetzwerkenverwendet.

SSID verbergen WLAN-Netzwerk-SSID nicht anzeigen.

Fast Transition WLAN-Netzwerke zwingen, den Standard IEEE802.11r zu verwenden.

HinweisDiese Funktion funktioniert nicht zwischenälteren Sophos Access Points und AccessPoints der Sophos APX Serie.

MAC-Filterung Legen Sie fest, welche MAC-Adressen sichmit dem WLAN-Netzwerk verbinden dürfen.Blacklists lassen alle MAC-Adressen zu außerdenen, die Teil der ausgewählten Liste sind.Whitelists verbieten alle MAC-Adressen außerdenen, die Teil der ausgewählten Liste sind.


Gehen Sie zu WLAN > Access Points und fügen Sie das WLAN-Netzwerk zu einem Access Pointhinzu.


XG Firewall

Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.

11.4 Access PointsEin Wireless Access Point (WAP) ist ein Hardwaregerät, das WLAN-Clients erlaubt, sich mit IhremKabelnetzwerk zu verbinden. Die Firewall erhält die Konfigurations- und Statusinformationen von denAccess Points über eine AES-verschlüsselte Kommunikation. Verwenden Sie diese Einstellungen, umSophos Access Points zu erlauben, sich mit Ihrem Netzwerk zu verbinden, und um die Access Pointsin Ihrem Netzwerk zu verwalten.

HinweisDamit sich Access Points mit Ihrem WLAN-Netzwerk verbinden können, müssen Sie die Ports443, 80 und 123 öffnen.

• Um einem Access Point zu erlauben, sich mit Ihrem Netzwerk zu verbinden, wählen Sie einenAccess Point aus und klicken Sie auf Annehmen.

• Um einen Access Point zu löschen, nachdem er aus Ihrem Netzwerk entfernt wurde, wählen Sieeinen Access Point aus und klicken Sie auf Löschen.

Zugehörige AufgabenWLAN-Netzwerk zu Access Point hinzufügen (Seite 191)Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.

Verwandte InformationenNetzwerke: Integrierter WLAN-Access-PointWLAN-Access-PointsWireless Access Point Models and Specifications

11.4.1 Unterstützte Access Points

Hier sind alle unterstützten Access Points zusammen mit einigen Informationen aufgeführt.

Dedizierte Access Points

Name Standards Band Band fürMesh-Netzwerke

FCC-Geltungsbereich(hauptsächlichUSA)

ETSI-Geltungsbereich(hauptsächlichEuropa)

AP 15 802.11b/g/n 2,4 GHz 2,4 GHz Kanäle 1-11 Kanäle 1-13

AP 15C 802.11b/g/n 2,4/5 GHzDual-Bandoder Single-Radio

2,4 GHz Kanäle1-11, 36-48,149-165

Kanäle 1–13,36-48


https://www.youtube.com/watch?v=NsfF7tz1h-0

https://www.sophos.com/en-us/search-results.aspx?search=wireless%20access%20points

https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/OEM-solutions/sophos-wireless-access-points-dsna.pdf

XG Firewall

Name Standards Band Band fürMesh-Netzwerke



AP 55 802.11a/b/g/n/ac

2,4/5 GHzDual-Bandoder Dual-Radio

2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140

AP 55C 802.11a/b/g/n/ac


2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140

AP 100 802.11a/b/g/n/ac


2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140

AP 100C 802.11a/b/g/n/ac


2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140

APX 320 802.11a/b/g/n/ac-wave2


(2.4 GHz & 5GHz unteresBand (CH36-CH-64))

oder

(5 GHzunteresBand (CH36-CH-64)& 5 GHzoberes Band(CH100-CH165))

2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140



2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140



2,4 GHz und5 GHz

Kanäle1-11, 36-64,100-140,149-165

Kanäle1-13, 36-64,100-116,132-140


XG Firewall

Access Points für den Außenbereich

Name Standards Band Bandbreitefür Mesh-Netzwerke



AP 100X 802.11a/b/g/n/ac

2,4/5 GHzDual-Band/Dual-Radio

2,4 GHz Kanäle1-11, 36-64,100-116,132-140

Kanäle 1-13,100-116,132-140

11.4.2 Informationen zu Access Points

Sie können WLAN-Netzwerke zum Access Point hinzufügen, um separate WLAN-Netzwerkefür verschiedene Zonen anzubieten, zum Beispiel ein Unternehmensnetzwerk in Büros und einGästenetzwerk in öffentlichen Bereichen. Sie können den Access Point auch ein Mesh-Netzwerkausstrahlen lassen. Verwenden Sie diese Einstellungen, um Netzwerke auszuwählen und legen Sieerweiterte Einstellungen fest, wie z.B. Kanal, Sendeleistung und VLAN-Tagging.

• Um ein WLAN-Netzwerk zu einem Access Point hinzuzufügen, klicken Sie auf Neues Elementhinzufügen und wählen Sie eine WLAN-Netzwerk aus.

• Um ein Mesh-Netzwerk über den Access Point auszustrahlen, klicken Sie auf

,wählen Sie ein Netzwerk aus und legen Sie eine Rolle fest.

TippUm Netzwerkeinstellungen für mehr als einen Access Point gleichzeitig zu verwalten, verwendenSie Access-Point-Gruppen.

Access Point bearbeiten

ID Access-Point-ID (Seriennummer).

Bezeichner Bezeichner oder Identifikation des Access Pointsin Ihrem Netzwerk.

Land Land in dem sich der Access Point befindet. DieLändereinstellung bestimmt, welche Kanäle zurVerfügung stehen.


XG Firewall

HinweisWenn Sie in Access Points der Sophos APXSerie das Land ändern, zeigt die Kanallistenur die Option Auto, bis Sie die Einstellungenspeichern. Darüber hinaus behält ein AccessPoint der Sophos APX Serie die zuvoreingestellte Kanalliste des Landes solange,bis er neu startet und aktiv ist.

Gruppe Gruppe, welcher der Access Point angehört.

Mesh-Netzwerke Wählen Sie die Mesh-Netzwerke aus, dievon dem Access Point ausgestrahlt werdensollen. Sie können auf dieser Seite auch APshinzufügen, die Mesh-Netzwerke übertragensollen, indem Sie auf Neu erstellen klicken.

HinweisDiese Option wird nur angezeigt, wenn einMesh-Netzwerk konfiguriert ist.

HinweisAlle Access Points außer AP 10 und AP 30können Mesh-Netzwerke ausstrahlen.


Bridge ins Ethernet Einschalten, um den lokalen WLAN-Access-Point über eine Bridge mit dem Ethernet zuverbinden. Der bestehende DHCP-Server wirdfür den Bridge-Port verwendet. Falls kein DHCP-Server existiert, wird automatisch ein neuerServer erstellt. Wenn Sie es ausschalten, wird dieBridge gelöscht und alle Konfigurationen auf derphysikalischen Schnittstelle wiederhergestellt.

HinweisDiese Funktion ist ausschließlich in IP4-Konfigurationen verfügbar und ist nur aufSSIDs anwendbar, die zum Typ „Bridge insLAN“ gehören.

Bridge-Port Den Port für die Bridge-Verbindung wählen.


XG Firewall

HinweisDie Schnittstelle muss eine IP-Adressehaben und sollte zu keinem WAN-Port odereiner anderen Bridge gehören. Bridgingzwischen VLAN-Schnittstelle und lokalemWLAN ist nicht erlaubt.

Zone Die Zone für die Bridge-Verbindung wählen. Siekönnen hier nicht die WAN-Zone auswählen.

Kanal 2,4 GHz/5 GHz Kanaleinstellungen für 2,4-GHz- und 5-GHz-Bänder.

HinweisWenn Sie Auto wählen, wird automatischder am wenigsten genutzte Kanal für dieÜbertragung verwendet. Dies verbessert dieÜbertragungsqualität und -geschwindigkeit.

HinweisBei APX 320 müssen beide Sender auf 5GHz eingestellt sein, um alle verfügbarenKanäle nutzen zu können.

Kanalbreite Wählen Sie die Kanalbreite für das 2,4-GHz-Band aus. Wenn Sie die Kanalbreite erhöhen,erhöht sich der Durchsatz in WLAN-Umgebungenmit niedriger Dichte und verringert sich inUmgebungen mit hoher Dichte.

Standard: 20 MHz

Kanalbreite 5 GHz Wählen Sie die Kanalbreite für das 5-GHz-Band aus. Wenn Sie die Kanalbreite erhöhen,erhöht sich der Durchsatz in WLAN-Umgebungenmit niedriger Dichte und verringert sich inUmgebungen mit hoher Dichte.

Standard: 40 MHz

Dyn. Kanal Ermöglicht dem Access Point regelmäßig nachdem besten Kanal zu suchen.

Zeitbasierter Scan (verfügbar, wenn Dyn.Kanal aktiviert ist)

Ermöglicht Ihnen, eine Zeit für die Suchefestzulegen.

Scanzeit auswählen (verfügbar, wennZeitbasierter Scan aktiviert ist)

Klicken Sie auf Neues Element hinzufügen undwählen Sie einen Zeitplan für den Scan.

TX Power Steuert die Sendeleistung ausgehenderÜbertragungen vom Router zur Antenne.Die Anpassung der Sendeleistung kann beiProblemen mit Abdeckung und Datenrateweiterhelfen. Durch Reduzieren der Leistung


XG Firewall

wird die Reichweite verringert, um beispielsweiseInterferenzen zu minimieren.

TX Power 5 GHz Wählen Sie die Sendeleistung für den AP.

Standard: 100 %

STP Das Spanning Tree Protocol (STP) verhindertBridge-Loops.

VLAN-Tagging Verbindet den Access Point mit der angegebenenVLAN-Schnittstelle.

AP VLAN-ID VLAN-ID, die für das VLAN-Tagging verwendetwerden soll.

11.4.3 Anforderungen für VLAN-Tagging

Sie können einen Access Point einem WLAN-Netzwerk nur zuweisen, wenn die Client-Datenverkehr-Option des WLAN-Netzwerks und das VLAN-Tagging des Access Points kompatibel sind.

Beachten Sie folgende Anforderungen:

• Bei WLAN-Netzwerken, die als separate Zone konfiguriert sind, kann VLAN-Tagging für denAccess Point einoder ausgeschaltet werden.

• Bei WLAN-Netzwerken, die als Bridge in ein Access-Point-VLAN konfiguriert sind, muss VLAN-Tagging für den Access Point ausgeschaltet sein.

• Bei WLAN-Netzwerken, die als Bridge in ein VLAN konfiguriert sind, muss VLAN-Tagging fürden Access Point eingeschaltet sein. Die WLAN-Clients nutzen entweder die Bridge zur VLAN-ID, wie für das WLAN-Netzwerk angegeben, oder sie erhalten ihre VLAN-ID vom RADIUS-Server, falls einer angegeben ist.

11.4.4 WLAN-Netzwerk zu Access Point hinzufügen

Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.

1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen Access Point.

2. Klicken Sie im Listenfeld WLAN-Netzwerke auf Neues Element hinzufügen und wählen Sie einNetzwerk aus.


Access Points (Seite 186)Ein Wireless Access Point (WAP) ist ein Hardwaregerät, das WLAN-Clients erlaubt, sich mit IhremKabelnetzwerk zu verbinden. Die Firewall erhält die Konfigurations- und Statusinformationen von denAccess Points über eine AES-verschlüsselte Kommunikation. Verwenden Sie diese Einstellungen, umSophos Access Points zu erlauben, sich mit Ihrem Netzwerk zu verbinden, und um die Access Pointsin Ihrem Netzwerk zu verwalten.


XG Firewall

11.5 Suche nach unautorisierten APsEin unautorisierter (rogue) Access Point bezeichnet einen Access Point, der ohne Autorisierung mitIhrem Netzwerk verbunden ist. Angreifer können unautorisierte Access Points verwenden, um Verkehrmitzulesen und für andere Zwecke, z.B. Man-in-the-Middle-Angriffe. Sie können diese Bedrohungenumgehen, indem Sie die Access Points in Ihrem Netzwerk scannen und unautorisierte Access Pointsals solche markieren.

• Um Scans zeitlich zu planen, wählen Sie das Kontrollkästchen Vom System angestoßenen Scanplanen um, legen Sie einen Zeitplan fest und klicken Sie auf Übernehmen.

• Um Ihr Netzwerk auf unautorisierte Access Points zu scannen, klicken Sie auf Jetzt scannen.

• Um einen Access Point zu autorisieren, klicken Sie auf

.

• Um einen Access Point als unautorisierten Access Point zu markieren, klicken Sie auf

.


11.6 Access-Point-GruppenMit Access-Point-Gruppen können Sie einer Gruppe von Access Points WLAN-Netzwerke zuweisenund VLAN-Tagging festlegen. Gruppen bieten eine bequeme Methode, WLAN-Netzwerke für mehrereAccess Points auf einmal zu verwalten.

HinweisWenn Sie eine Gruppe ausschalten, hören alle zugehörigen Access Points auf, die WLAN-Netzwerke auszustrahlen.


WLAN-Netzwerke WLAN-Netzwerke, die zur Gruppe gehörensollen. Alle Netzwerke werden den Access Pointszugewiesen, die Sie angeben.

VLAN-Tagging Access Points mit der angegebenen VLAN-Ethernet-Schnittstelle verbinden.

Access Points Access Points, denen die angegebenen WLAN-Netzwerke zugewiesen werden.


XG Firewall

Zugehörige AufgabenAccess-Point-Gruppe hinzufügen (Seite 193)

11.6.1 Access-Point-Gruppe hinzufügen

1. Gehen Sie zu WLAN > Access-Point-Gruppen und klicken Sie auf Hinzufügen.


3. Klicken Sie unter WLAN-Netzwerke auf Neues Element hinzufügen und wählen Sie die WLAN-Netzwerke aus.


Option Beschreibung

VLAN-Tagging Access Points mit der angegebenen VLAN-Ethernet-Schnittstelle verbinden.

5. Klicken Sie unter Access Points auf Neues Element hinzufügen und wählen Sie die AccessPoints aus.


Zugehörige KonzepteAccess-Point-Gruppen (Seite 192)Mit Access-Point-Gruppen können Sie einer Gruppe von Access Points WLAN-Netzwerke zuweisenund VLAN-Tagging festlegen. Gruppen bieten eine bequeme Methode, WLAN-Netzwerke für mehrereAccess Points auf einmal zu verwalten.

11.7 Mesh-NetzwerkeEin Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.

Repeater-Konfiguration

Wenn ein Access Point startet, versucht er sich über eine LAN-Verbindung mit der Firewall zuverbinden. Wenn das funktioniert, nimmt er die Rolle des Root-Access-Points an. Wenn das nichtfunktioniert, nimmt er die Rolle eines Mesh-Access-Points and und tritt dem Netzwerk als Client bei.Mesh-Access-Points strahlen die SSID des Root-Access-Points aus.


XG Firewall

Bridge-Konfiguration

In einer Bridge-Konfiguration können Sie ein Mesh-Netzwerk als eine WLAN-Verbindung zwischenzwei Ethernet-Netzwerken einsetzen. Um eine WLAN-Bridge herzustellen, verbinden Sie das zweiteEthernet-Segment physikalisch mit der Ethernet-Schnittstelle des Mesh-Access-Points.


Mesh-ID Eindeutige ID für das Mesh-Netzwerk. AccessPoints suchen nach anderen, die dieselbe Mesh-ID bekanntgeben.

Frequenzband Band, auf dem das Mesh-Netzwerk operiert.

Access Points Access Points, die zum Mesh-Netzwerk gehörensollen.

Zugehörige AufgabenMesh-Netzwerk hinzufügen (Seite 194)Verwandte InformationenMesh-Netzwerk einrichten (Seite 204)Wir wollen ein Mesh-Netzwerk einrichten, das einen Root-Access-Point und einen Mesh-Access-Pointenthält.

11.7.1 Mesh-Netzwerk hinzufügen

Beim Einrichten eines Mesh-Netzwerks wird ein WPA2-Personal-Netzwerk mit einem zufälligerzeugten Zugangscode eingerichtet, der an alle Access Points verteilt wird, die gemäßKonfiguration die Mesh-ID senden.

1. Verbinden Sie alle Access Points, die Sie im Mesh-Netzwerk einsetzen wollen, mit der Firewallüber eine kabelgebundene LAN-Verbindung.

HinweisAlle Mesh-Access-Points in Ihrem Netzwerk müssen den gleichen Kanal verwenden.Vermeiden Sie dynamische Kanalauswahl, da sich die Kanäle nach einem Neustartunterscheiden können.


XG Firewall

TippUm die Netzwerk-Effizienz zu maximieren, stellen Sie die SSID der Benutzer auf 5 GHz unddie Mesh-SSID auf 2,4 GHz ein.

2. Gehen Sie zu WLAN > Access Points und akzeptieren Sie alle ausstehenden Access Points, dieSie einsetzen wollen.

3. Gehen Sie zu WLAN > Mesh-Netzwerke und klicken Sie auf Hinzufügen.

4. Geben Sie eine Mesh-ID ein und wählen Sie ein Frequenzband aus.

5. Klicken Sie auf

,um einen Access Point auszuwählen, und legen Sie eine Rolle fest.

HinweisSie müssen mindestens einen Access Point als Root festlegen. Sie können entweder SophosAccess Points oder Access Points der Sophos APX Serie auswählen.

HinweisSie können kein Mesh-Netzwerk zwischen Sophos Access Points und Access Points der SerieSophos APX erstellen. Ebenso können Sie kein Mesh-Netzwerk mit Access Points der SerieSophos APX erstellen, wenn beide Sender das 5-GHz-Band verwenden.

HinweisSie brauchen keine Mesh-Netzwerk-Rolle für Access Points der Sophos APX Seriefestzulegen.

6. Fügen Sie bei Bedarf weitere Access Points hinzu.


8. Trennen Sie die Mesh-Access-Points vom LAN und stellen Sie sie am gewünschten Ort auf.

9. Starten Sie die Access Points neu und warten Sie fünf Minuten.

Zugehörige KonzepteMesh-Netzwerke (Seite 193)Ein Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.

11.7.2 Fehler in Mesh-Netzwerken beheben

Mesh-Netzwerk nicht benutzbar

Das Mesh-Netzwerk ist sichtbar, aber Clients können sich nicht mit dem Internet verbinden.

Ihr Netzwerk könnte falsch konfiguriert sein.

• Überprüfen Sie, ob Sie mindestens einen Root-Access-Point und einen Mesh-Access-Point haben.

• Stellen Sie sicher, dass der Root-Access-Point mit dem Netzwerk über eine kabelgebundene LAN-Verbindung verbunden ist.


XG Firewall

• Überprüfen Sie, ob Ihre Mesh-Access-Points sich auf demselben Kanal befinden.

• Stellen Sie sicher, dass sich Access Points, die nicht Teil des Mesh-Netzwerks sind, auf einemanderen Kanal befinden.

Mesh-Netzwerk nicht sichtbar

Das Mesh-Netzwerk ist hergestellt, aber Clients können die Mesh-ID nicht sehen.

Es kann bis zu fünf Minuten dauern, bis das Mesh-Netzwerk nach der Konfiguration zur Verfügungsteht.

1. Starten Sie Ihre Access Points neu.

2. Warten Sie fünf Minuten, bis das Netzwerk erscheint.

Das Spanning Tree Protocol (STP) blockiert Ihre Mesh-Konfiguration.

1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen Access Point, der sich in IhremMesh-Netzwerk befindet.

2. Deaktivieren Sie STP.

3. Deaktivieren Sie STP für alle anderen Access Points in Ihrem Mesh-Netzwerk.

4. Starten Sie Ihre Access Points neu.

5. Warten Sie fünf Minuten, bis das Netzwerk erscheint.

Mesh-Access-Points fehlen im Netzwerk

Das Mesh-Netzwerk ist eingerichtet, aber Sie haben Verbindungsausfälle.

Einige Access Points könnten nicht mit dem Mesh-Netzwerk verbunden sein.

• Stelle Sie sicher, dass alle Mesh-Access-Points die Konfiguration besitzen. Um eine Konfigurationzu erhalten, müssen die Access Points anfänglich über eine kabelgebundene LAN-Verbindungverbunden sein. Nachdem die Konfiguration gespeichert ist, können Sie die Mesh-Access-Pointstrennen (außer einem) und sie neu starten.

• Stellen Sie sicher, dass das LAN-Kabel mit nur einem Mesh-Access-Point verbunden ist.

11.8 HotspotsEin Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.

Wenn Sie einen Hotspot hinzufügen, erstellt die Firewall eine entsprechende Firewallregel. Mitdieser Regel können Sie Richtlinien durchsetzen und Datenverkehr scannen.

HinweisIn einigen Regionen unterliegen öffentliche Hotspots Beschränkungen im Hinblick auf Inhalt undNutzung. Es könnte für Sie auch erforderlich sein, Ihren Hotspot zu registrieren. Bevor Sie einenHotspot einrichten, informieren Sie sich über die gültigen Gesetze.

Sie können Benutzer zu einem Captive-Portal oder einer Anmeldeseite umleiten, auf der Benutzerdie Nutzungsbedingungen annehmen oder sich mittels eines erzeugten Kennworts oder Vouchers


XG Firewall

authentifizieren müssen. Nach der Anmeldung können Sie Benutzer zu einer bestimmten URLweiterleiten, zum Beispiel Ihrer Unternehmensseite.


Zu HTTPS weiterleiten Datenverkehr über HTTPS umleiten, mithilfeder Standard-IP-Adresse oder dem festgelegtenHostnamen.

Nach der Anmeldung zu URL weiterleiten Benutzer nach der Anmeldung zur angegebenenSeite umleiten (z.B. Ihre Unternehmensseite).

Anpassung aktivieren Bieten Sie eine angepasste Anmeldeseite oderVoucher an.

Zugehörige AufgabenHotspot hinzufügen (Seite 197)Verwandte InformationenHotspot mit einer eigenen Anmeldeseite einrichten (Seite 210)Wir wollen einen Hotspot mit einer selbstdefinierten Anmeldeseite für den Endbenutzer erstellen.

11.8.1 Hotspot hinzufügen

1. Gehen Sie zu WLAN > Hotspots und klicken Sie auf Hinzufügen.


3. Klicken Sie unter Schnittstellen auf Neues Element hinzufügen und wählen Sie dieSchnittstellen für den Hotspot aus.

4. Wählen Sie Richtlinien nach Bedarf aus.

Option Beschreibung

Anwendungsfilter-Richtlinie Steuern Sie den Zugriff auf Anwendungenmithilfe der gewählten Richtlinie.

Internetrichtlinie Steuern Sie den Zugriff auf Internetinhaltemithilfe der gewählten Richtlinie.

IPS-Richtlinie Schützen Sie Ihr Netzwerk vor Angriffen mithilfeder gewählten Richtlinie.

Traffic-Shaping-Richtlinie Steuern Sie den Datenverkehr mithilfe dergewählten Richtlinie.


Option Beschreibung

Zu HTTPS weiterleiten Datenverkehr über HTTPS umleiten, mithilfeder Standard-IP-Adresse oder dem festgelegtenHostnamen.

6. Wählen Sie den Hotspot-Typ aus.


XG Firewall

Option Beschreibung

Annahme der Nutzungsbedingungen Gewähren Sie Benutzern Zugang zum Internet,nachdem sie den Nutzungsbedingungenzugestimmt haben.

Sie können den Gültigkeitszeitraum für dieSitzung festlegen. Nach Ablauf der Zeitmüssen Benutzer den Nutzungsbedingungenerneut zustimmen.

Geben Sie die Nutzungsbedingungen in dasvorgegebene Feld ein.

Tageskennwort Gewähren Sie Benutzern Zugang zum Internetmithilfe eines erzeugten Kennworts.

Das Kennwort ist solange gültig bis einneues Kennwort entsprechend der gewähltenErstellungszeit erzeugt wird. Nachdem einneues Kennwort erzeugt wurde, werdenaktuelle Sitzungen beendet und Benutzermüssen sich mit dem neuen Kennwortanmelden.

Benutzer können das Kennwort imBenutzerportal finden. Außerdem habenSie die Möglichkeit, das Kennwort an dieangegebene E-Mail-Adresse zu senden.

Wenn Sie das Kennwort mit dem PSKdes WLAN-Netzwerks der gewähltenSchnittstellen synchronisieren, werdenalle entsprechenden Access Points neukonfiguriert und neu gestartet.

Legen Sie Administrator-Benutzer fest, diedas Kennwort ändern können.

Sie können von Benutzern auch verlangen,dass sie den Nutzungsbedingungenzustimmen. Geben Sie dieNutzungsbedingungen in das vorgegebeneFeld ein.

Voucher Gewähren Sie Benutzern Zugang zum Internetmithilfe der festgelegten Voucher-Definitionen.

Benutzer erhalten Voucher im Benutzerportal.

Legen Sie die Geräteanzahl fest, die sich miteinem einzigen Voucher verbinden können.

Legen Sie Administrator-Benutzer fest, dieVoucher erzeugen können.

Sie können von Benutzern auch verlangen,dass sie den Nutzungsbedingungenzustimmen. Geben Sie dieNutzungsbedingungen in das vorgegebeneFeld ein.


XG Firewall


Option Beschreibung

Nach der Anmeldung zu URL weiterleiten Benutzer nach der Anmeldung zurangegebenen Seite umleiten (z.B. IhreUnternehmensseite).

8. Wenn Sie eine selbstdefinierte Anmeldeseite oder Voucher bereitstellen wollen, klicken Sie auf denSchalter Anpassung aktivieren und legen Sie eine Art der Anpassung fest.

• Wählen Sie Komplett aus und laden Sie eine Anmeldeseitenvorlage und Formatvorlage hoch.

• Wählen Sie Grundlegend aus und legen Sie Einstellungen fest. Mit den grundlegendenAnpassungen können Sie ein Logo auswählen und selbstdefinierten Text festlegen, derBenutzern angezeigt werden soll.

Option Beschreibung

Logo Bilddatei, die auf der Anmeldeseite angezeigtwerden soll. Unterstützt werden folgendeBilddateitypen: jpg, jpeg, png und gif. Einemaximale Bildbreite von 300 Pixel und eineHöhe von 100 Pixel ist empfehlenswert.

Logo auf empfohlene Seite skalieren Verkleinern Sie das Logo auf die empfohleneGröße, falls es die empfohlene Größeüberschreitet.

Titel Hauptüberschrift (Banner) auf derAnmeldeseite.

Eigener Text Zusätzlicher Text, der auf der Anmeldeseiteangezeigt werden soll, z.B. die Netzwerk-SSID.Einfache HTML-Anweisungen und Links sindzulässig.

Voucher-Vorlage Laden Sie eine Voucher-Vorlage hoch.


Zugehörige KonzepteHotspots (Seite 196)Ein Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.

11.8.2 Anmeldeseitenvorlage

Eine Anmeldeseitenvorlage enthält Zugangsinformationen und Formulare, die erforderlich sind, damitBenutzer sich über einen Hotspot an Ihrem Netzwerk anmelden können. Anmeldeseiten sind in HTMLgeschrieben und enthalten Variablen, die während der Erzeugung der Seite ersetzt werden. Siekönnen auch Blöcke mit Bedingungen erstellen, die nur eingeblendet werden, wenn die vorgegebenenBedingungen erfüllt sind. Weitere Beispiele für die Verwendung von Anmeldeseitenvorlagen finden Sieunter WLAN > Hotspot-Einstellungen.


XG Firewall

Tabelle 12: Variablen

Name Definition

<?admin_message?> „Bei administrativen Fragen wenden Sie sich bitte an:“

<?admin_contact?> Benachrichtigungen an die E-Mail-Adresse senden, dieunter Verwaltung > Benachrichtigungseinstellungenangegeben ist.

<?asset_path?> Verzeichnis, in dem Bilder und Formatvorlagen für dievollständige Anpassung gespeichert sind. Beispiel:<img src="<?asset_path?>/logo.png">.

<?company_logo?> Das Firmenlogo, das in der Basis-Anpassungverwendet werden soll und unter WLAN > Hotspotsangegeben ist.

<?company_text?> Standard-Unternehmenstext, wie er unter WLAN >Hotspots angegeben ist.

<?error?> Fehler, der nach einem Anmeldeversuchzurückgegeben wurde

<?location?> URL, die der Nutzer angefragt hat

<?location_host?> Hostname der URL, die der Nutzer angefragt hat

<?login_form?> Anmeldeformular, das sich für den Hotspot-Typ eignet,z.B. Benutzername- und Kennwort-Textfelder, einToken-Textfeld oder ein „Annehmen“-Kontrollkästchen.

<?maclimit?> Anzahl an Geräten, die je Voucher zugelassen sind,wie unter WLAN > Hotspots angegeben.

<?numdevices?> Anzahl an Geräten, die den Voucher benutzen, wie inder Vorlage angegeben.

<?redirect_host?> Umleitungs-URL wie unter WLAN > Hotspotsangegeben.

<?terms?> Nutzungsbedingungen wie unter WLAN > Hotspotsangegeben.

<?time_total?> Vom Voucher gewährte Gesamtzeit des Kontingents,wie unter WLAN > Hotspot-Voucher-Definitionangegeben.

<?timeend?> Im Voucher festgelegter Gültigkeitszeitraum, wie unterWLAN > Hotspot-Voucher-Definition angegeben.

<?traffic_total?> Vom Voucher gewährte Gesamtdatenmenge, wie unterWLAN > Hotspot-Voucher-Definition angegeben.

Tabelle 13: Bedingungsblöcke

Name Definition

<?if_loggedin?> Abschnitt wird angezeigt, wenn der Benutzer sicherfolgreich angemeldet hat.

<?if_notloggedin?> Abschnitt wird angezeigt, wenn sich der Benutzernoch nicht angemeldet hat, z. B. wenn dieNutzungsbedingungen angenommen werden müssenoder wenn ein Fehler aufgetreten ist.

<?if_authtype_password?> Abschnitt wird angezeigt, wenn der Hotspot-Typ„Tageskennwort“ ist.


XG Firewall

Name Definition

<?if_authtype_disclaimer?> Abschnitt wird angezeigt, wenn der Hotspot vom Typ„Annahme der Nutzungsbedingungen“ ist.

<?if_authtype_token?> Abschnitt wird angezeigt, wenn der Hotspot vom Typ„Voucher“ ist.

<?if_location?> Abschnitt wird angezeigt, wenn der Benutzerumgeleitet wurde.

<?if_redirect_url?> Abschnitt wird angezeigt, wenn Nach der Anmeldungzu URL weiterleiten eingeschaltet ist.

<?if_not_redirect_url?> Abschnitt wird angezeigt, wenn Nach der Anmeldungzu URL weiterleiten ausgeschaltet ist.

<?if_timelimit?> Abschnitt wird angezeigt, wenn für einen Voucher einGültigkeitszeitraum festgelegt ist.

<?if_trafficlimit?> Abschnitt wird angezeigt, wenn für einen Voucher einDatenlimit festgelegt ist.

<?if_timequota?> Abschnitt wird angezeigt, wenn für einen Voucher einZeitkontingent festgelegt ist.

<?if_maclimit?> Abschnitt wird angezeigt, wenn ein Wert für Geräte jeVoucher festgelegt ist.

<?if_terms?> Abschnitt wird angezeigt, wennNutzungsbedingungen eingeschaltet ist undNutzungsbedingungen festgelegt sind.

<?if_error?> Abschnitt wird angezeigt, wenn während einesAnmeldeversuchs ein Fehler aufgetreten ist.

Eigene Anmeldeformulare

Sie können ein Anmeldeformular erstellen, statt die vordefinierte Variable <?login_form?> zuverwenden.

Schließen Sie das Formular in folgende Tags ein:

<form action="?action=login" method="POST"> ... </form>

Fügen Sie für einen Hotspot des Typs „Annahme der Nutzungsbedingungen“ ein Auswahlkästchenzum Annehmen hinzu:

<input type="checkbox" name="accept" value="true">

Fügen Sie für Hotspots des Typs „Tageskennwort“ oder Voucher ein Token-Textfeld hinzu:

<input type="text" name="token">

Fügen Sie eine Funktion zum Senden des Formulars hinzu, z.B. eine Anmelde-Schaltfläche:

<input type="submit" name="login" value="Login">


XG Firewall

11.8.3 Voucher-Vorlage

Eine Voucher-Vorlage enthält Informationen wie Zeit und Nutzungszuweisungen. Voucher werdenBenutzern zur Verfügung gestellt, die Zugriff auf Ihr Netzwerk über einen Hotspot mit Voucher-Konfiguration anfordern. Sie können eine Voucher-Vorlage erstellen, indem Sie Ihr bevorzugtes Seiten-Layout oder Textverarbeitungsprogramm verwenden und als PDF abspeichern. Vorlagen unterstützenVariablen, die während der Voucher-Erzeugung ersetzt werden. Weitere Beispiele für die Verwendungvon Voucher-Vorlagen finden Sie unter WLAN > Hotspot-Einstellungen.

Tabelle 14: Variablen

Name Definition

<?ssid0?><?ssid1?>, <?ssid2?>, ... WLAN-Netzwerk-SSID(s) wie unter WLAN-Netzwerkefestgelegt.

<?psk0?><?psk1?>, <?psk2?>, ... WLAN-Netzwerk-Kennwort/PSK(s) wie unter WLAN-Netzwerke festgelegt.

<?code?> Voucher-Code

<?validity?> Voucher-Gültigkeitszeitraum wie unter Hotspot-Voucher-Definition festgelegt.

<?datalimit?> Voucher-Datenmenge wie unter Hotspot-Voucher-Definition festgelegt.

<?timelimit?> Voucher-Zeitkontingent wie unter Hotspot-Voucher-Definition festgelegt.

<?comment?> Beschreibung wie unter Hotspot-Voucher-Definitionfestgelegt.

<?qr0?> QR-Code mit kodierten Hotspot-Zugangsdaten

Empfehlungen

• Platzieren Sie jede Variable in einer separaten Zeile.

• Verwenden Sie nur Standard-Systemschriften.

• Legen Sie den Zeichensatz in der letzten Zeile Ihrer PDF-Datei fest. Diese Zeichenfolge wirdwährend der Voucher-Erzeugung entfernt. Weitere Informationen finden Sie in der Beispiel-Vorlage.

11.9 Hotspot-EinstellungenVerwenden Sie diese Einstellungen, um verschiedene Hotspot-Einstellungen zu konfigurieren, wie z.B.Löschoptionen und Zertifikate, die für die HTTPS-Authentifizierung verwendet werden sollen.

• Um abgelaufene Voucher aus der Datenbank zu löschen, schalten Sie Abgelaufene Voucherlöschen ein, legen Sie ein Intervall fest und klicken Sie auf Übernehmen.

• Um ein Zertifikat für HTTPS-Anmeldung zu verwenden, wählen Sie ein Zertifikat und klicken Sieauf Übernehmen.


XG Firewall

• Um Netzwerke festzulegen, auf die Benutzer zugreifen dürfen, welche keine Anmeldungdurchführen, klicken Sie auf Neues Element hinzufügen, wählen Sie Netzwerke oder Hosts ausund klicken Sie auf Übernehmen.

Vorlagen herunterladen

Sie können Anmeldeseitenvorlagen und Voucher-Vorlagen herunterladen und sie verändern, umIhren Anforderungen an den Markenauftritt und Sicherheitsanforderungen anzupassen.

11.10 Hotspot-Voucher-DefinitionHotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.


Gültigkeitszeitraum Zeitraum, für die Voucher mit diesem Typ gültigsein sollen. Der Zeitraum beginnt mit der erstenAnmeldung.

Zeitkontingent Maximale Verbindungszeit für Voucher diesenTyps. Das Zeitkontingent beginnt mit derAnmeldung und endet bei der Abmeldung. DieZeitmessung wird nach fünf Minuten Inaktivitätangehalten.

Datenmenge Maximales Datenvolumen, das für Voucherdiesen Typs übertragen werden darf.

Zugehörige AufgabenHotspot-Voucher-Definition hinzufügen (Seite 203)Verwandte InformationenGastzugang mithilfe eines Hotspot-Vouchers bieten (Seite 211)Wir wollen Gastbenutzern erlauben, mithilfe eines Vouchers auf ein WLAN-Netzwerk zuzugreifen.

11.10.1 Hotspot-Voucher-Definition hinzufügen

1. Gehen Sie zu WLAN > Hotspot-Voucher-Definition und klicken Sie auf Hinzufügen.



Option Beschreibung

Gültigkeitszeitraum Zeitraum, für die Voucher mit diesem Typ gültigsein sollen. Der Zeitraum beginnt mit der erstenAnmeldung.

Zeitkontingent Maximale Verbindungszeit für Voucher diesenTyps. Das Zeitkontingent beginnt mit derAnmeldung und endet bei der Abmeldung. Die


XG Firewall

Option Beschreibung

Zeitmessung wird nach fünf Minuten Inaktivitätangehalten.

Datenmenge Maximales Datenvolumen, das für Voucherdiesen Typs übertragen werden darf.


Zugehörige KonzepteHotspot-Voucher-Definition (Seite 203)Hotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.

11.11 Mesh-Netzwerk einrichtenWir wollen ein Mesh-Netzwerk einrichten, das einen Root-Access-Point und einen Mesh-Access-Pointenthält.

Zielsetzungen


• Access Points verbinden, sodass sie eine Mesh-Konfiguration empfangen können.

• Ein Mesh-Netzwerk mit einem Root-Access-Point und einem Mesh-Access-Point konfigurieren.

Zugehörige KonzepteMesh-Netzwerke (Seite 193)Ein Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.

Verbinden Sie Access Points mit der Firewall.

1. Verbinden Sie alle Access Points, die Sie im Mesh-Netzwerk einsetzen wollen, mit der Firewallüber eine kabelgebundene LAN-Verbindung.

HinweisAlle Mesh-Access-Points in Ihrem Netzwerk müssen den gleichen Kanal verwenden.Vermeiden Sie dynamische Kanalauswahl, da sich die Kanäle nach einem Neustartunterscheiden können.

TippUm die Netzwerkeffizienz zu maximieren, stellen Sie den Root-Access-Point auf 5 GHz unddie Mesh-Access-Points auf 2,4 GHz.


XG Firewall

2. Gehen Sie zu WLAN > Access Points und akzeptieren Sie alle ausstehenden Access Points, dieSie einsetzen wollen.

Mesh-Netzwerk erstellen und Access Points konfigurieren

1. Gehen Sie zu WLAN > Mesh-Netzwerke und klicken Sie auf Hinzufügen.


Option Beschreibung

Mesh-ID <Mein Mesh-Netzwerk>

Frequenzband 5 GHz

3. Klicken Sie auf

und legen Sie die Einstellungen fest.

Option Beschreibung

Access Points <AP>

Rolle Root-Access-Point

HinweisSie müssen mindestens einen Access Point als Root-Access-Point und einen als Mesh-Access-Point festlegen.

HinweisSie können kein Mesh-Netzwerk zwischen Sophos Access Points und Access Points der SerieSophos APX. Ebenso können Sie kein Mesh-Netzwerk mit Access Points der Serie SophosAPX erstellen, wenn beide Sender das 5-GB-Band verwenden.

4. Fügen Sie mindestens einen weiteren Access Point hinzu.

5. Klicken Sie auf Speichern.Die Mesh-Access-Points können nun vom Kabelnetzwerk getrennt werden.

6. Trennen Sie die Mesh-Access-Points vom Kabelnetzwerk und positionieren Sie sie amgewünschten Ort.

7. Starten Sie die Access Points neu und warten Sie fünf Minuten.

11.12 WLAN-Netzwerk als separate ZoneeinsetzenWir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.


XG Firewall

Zielsetzungen


• Eine designierte WLAN-Zone vor Bedrohungen und Schadprogrammen schützen

• Ein Gast-WLAN-Netzwerk für eine Zone erstellen und dem Netzwerk einen Adressbereichzuweisen

• Netzwerkzugriff durch angegebene Hosts verhindern

• Einen DHCP-Server für das Netzwerk erstellen, sodass Hosts eine IP-Adresse und Gatewayerhalten können

• Das Netzwerk einem Access Point zuweisen


DHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.

WLAN-Zone vor Bedrohungen und Schadprogrammenschützen

1. Gehen Sie zu WLAN > WLAN-Einstellungen.

2. Klicken Sie auf den Schalter An/Aus, um Wireless Protection einzuschalten.

3. Klicken Sie in der Liste der zugelassenen Zonen auf Neues Element hinzufügen und aktivierenSie das Kontrollkästchen WLAN.


Die Firewall scannt Datenverkehr in der ausgewählten Zone nach Bedrohungen undSchadprogrammen.





XG Firewall

Hostliste erstellen, die blockiert werden soll

1. Gehen Sie zu Hosts und Dienste > MAC-Host und klicken Sie auf Hinzufügen.


Option Beschreibung

Name Unerlaubte Hosts

Typ MAC-Liste

MAC-Adresse 00:16:76:49:33:CE, 00-16-76-49-33-CE

WLAN-Netzwerk als separate Zone erstellen



Option Beschreibung

Name Gast

SSID Gast

Sicherheitsmodus WPA2 Personal

Client-Verkehr Separate Zone

Zone WLAN

IP-Adresse 192.0.2.1

Netzmaske /24 (255.255.255.0)

3. Geben Sie ein Kennwort ein und bestätigen Sie es.

4. Klicken Sie auf Erweiterte Einstellungen und legen Sie die Einstellungen fest.

Option Beschreibung

MAC-Filterung Blacklist

MAC-Liste Unerlaubte Hosts

Die Firewall besitzt ein festgelegtes WLAN-Netzwerk und eine passende virtuelle Schnittstelle.Wenn Gäste auf das Netzwerk zugreifen, wird Ihnen eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen. Geräte auf der Blacklist können nicht auf das Netzwerk zugreifen.

DHCP-Server erstellen

1. Gehen Sie zu Netzwerk > DHCP.

2. Klicken Sie Hinzufügen in der Serverliste.


Option Beschreibung

Name Gast DHCP


XG Firewall

Option Beschreibung

Schnittstelle Gast

Anfangs-IP 192.0.2.2

End-IP 192.0.2.255

Subnetzmaske /24 (255.255.255.0)

Domänenname guest.example.com

Gateway Schnittstellen-IP als Gateway verwenden

Standard-Lease-Zeit 1440

Maximale Lease-Zeit 2880

Konflikterfassung Aktivieren

DNS-Server DNS-Einstellungen von XG Firewall verwenden

Gästen, die auf das Gastnetzwerk zugreifen, wird nun eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen.

WLAN-Netzwerk zu Access Point hinzufügen

1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen aktiven Access Point.

2. Wählen Sie das Land aus, in dem sich der Access Point befindet.

3. Klicken Sie in der WLAN-Netzwerk-Liste auf Neues Element hinzufügen und wählen Sie dasangeforderte Netzwerk aus.

Das Netzwerk ist nun eingerichtet.

11.13 WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichtenWir wollen, dass WLAN-Clients den gleichen Adressbereich verwenden wie ein Access-Point-LAN.

Zielsetzungen


• Ein WLAN-Netzwerk erstellen, das über eine Bridge mit einem Access-Point-LAN verbundenwerden soll.

• Sicherstellen, dass Geräte auf der Blacklist nicht auf das Netzwerk zugreifen können.

• Das Netzwerk einem Access Point zuweisen

• Eine Bridge-Schnittstelle erstellen



XG Firewall

WLAN-Netzwerk als Bridge ins AP-LAN erstellen



Option Beschreibung

Name Bridge

SSID Bridge

Sicherheitsmodus WPA2 Personal

Client-Verkehr Bridge ins AP-LAN


4. Klicken Sie auf Erweiterte Einstellungen und legen Sie die Einstellungen fest.

Option Beschreibung

MAC-Filterung Blacklist

MAC-Liste Unerlaubte Hosts

Die Firewall besitzt ein festgelegtes WLAN-Netzwerk und eine passende virtuelle Schnittstelle.Geräte auf der Blacklist können nicht auf das Netzwerk zugreifen.

WLAN-Netzwerk zu Access Point hinzufügen

1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen aktiven Access Point.

2. Wählen Sie das Land aus, in dem sich der Access Point befindet.

3. Klicken Sie in der WLAN-Netzwerk-Liste auf Neues Element hinzufügen und wählen Sie dasangeforderte Netzwerk aus.

Das Netzwerk ist nun eingerichtet.

Bridge-Schnittstelle erstellen

1. Gehen Sie zu Netzwerk > Schnittstelle.

2. Klicken Sie auf Schnittstelle hinzufügen und wählen Sie Bridge hinzufügen.

3. Legen Sie die folgenden Einstellungen fest.

Option Beschreibung

Name Bridge-Schnittstelle

Schnittstelle Port1 > LAN

Schnittstelle Port2 > WiFi

Anfangs-IP <IP-Adresse>

End-IP <IP-Adresse>

Subnetzmaske /24 (255.255.255.0)


XG Firewall

Option Beschreibung

Domänenname site.example.com

Gateway Schnittstellen-IP als Gateway verwenden

Clients, die auf das Gastnetzwerk zugreifen, wird nun eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen.

11.14 Hotspot mit einer eigenen AnmeldeseiteeinrichtenWir wollen einen Hotspot mit einer selbstdefinierten Anmeldeseite für den Endbenutzer erstellen.

Zielsetzungen


• Einen Hotspot erstellen

• Die Anmeldeseitenvorlage anpassen

Zugehörige KonzepteHotspots (Seite 196)Ein Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.

Einen Hotspot erstellen



3. Klicken Sie in der Schnittstellenliste auf Neues Element hinzufügen und wählen Sie dieerforderliche Schnittstelle aus.



Anmeldeseitenvorlage anpassen

1. Gehen Sie zu WLAN > Hotspot-Einstellungen.

2. Klicken Sie auf Anmeldeseitenvorlage, um diese herunterzuladen.

3. Passen Sie die Vorlage an.

4. Gehen Sie zu WLAN > Hotspots und klicken Sie auf den erforderlichen Hotspot.



XG Firewall

Option Beschreibung

Anpassung ermöglichen Aktivieren

Art der Anpassung Komplett

Anmeldeseitenvorlage Suchen

Bilder/Formatvorlage Suchen und Hochladen

11.15 Gastzugang mithilfe eines Hotspot-VouchersbietenWir wollen Gastbenutzern erlauben, mithilfe eines Vouchers auf ein WLAN-Netzwerk zuzugreifen.

Zielsetzungen


• Voucher-Definition erstellen

• Hotspot erstellen, der Zugriff mithilfe eines Vouchers zulässt

Zugehörige KonzepteHotspot-Voucher-Definition (Seite 203)Hotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.

Voucher-Definition erstellen

1. Gehen Sie zu WLAN > Hotspot-Voucher-Definition und klicken Sie auf Hinzufügen.


Option Beschreibung

Name 1 Woche, 5 GB

Gültigkeitszeitraum 7 Tage

Datenmenge 5 GB

Nun haben Sie einen Voucher, der für sieben Tage gültig ist, mit 5 GB Datenvolumen.

Voucher-Hotspot erstellen



Option Beschreibung

Name Gäste


Option Beschreibung

Schnittstellen GuestAP

Hotspot-Typ Voucher

Voucher-Definitionen 1 Woche, 5 GB

Administrative Benutzer Gastgruppe

Kapitel 12

12 E-MailDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.

Auf der Registerkarte „E-Mail“ können Sie SMTP/S-, POP/S- und IMAP/S-Einstellungen, E-Mail-Sicherheitsrichtlinien, Secure PDF eXchange (SPX)- und Datenkontrolle konfigurieren.

Die Appliance bietet umfassende E-Mail-Sicherheit, indem sie hochentwickelte Formen von Zero-Hour-Bedrohungen und gemischten Angriffe verhindert, einschließlich Spam, Botnets, Phishing,Spyware usw. Die Email Protection-Basiskonfiguration beinhaltet:

• Das Erstellen von Richtlinien, um E-Mail-Verkehr von und zu Ihrem Mailserver zu erlauben oder zuverbieten.

• Spam-, Schadprogramm-, Daten- und Dateischutz auf E-Mail-Verkehr anwenden.

• SPX

• Konfiguration einer maximalen E-Mail-Größe für Scans

• Festlegung von Maßnahmen, die ergriffen werden, wenn ein Virus entdeckt wird

• Blockieren von E-Mails basierend auf Absender oder Empfänger

• Blockieren von E-Mails mit bestimmten Dateitypen

SMTP-Einsatzmodi

Zwei Einsatzmodi stehen zur Verfügung:

• Legacy-Modus

• MTA-Modus

Legacy-Modus

Im Legacy-Modus agiert Sophos XG Firewall als ein transparenter Proxy, der E-Mails aufSchadprogramme und Spam scannt, SPX-Verschlüsselung und Datenschutz einsetzt.

MTA-Modus

Im MTA-Modus agiert Sophos XG Firewall als Mail-Transfer-Agent (MTA). MTA ist ein Dienst, derdafür verantwortlich ist, E-Mails zu empfangen und an die angegebenen Ziele weiterzuleiten.

Verwenden Sie den MTA-Einsatzmodus, wenn Sie E-Mails routen müssen, anstatt E-Mail-Verkehrals Proxy weiterzuleiten.

Im MTA-Modus führt Sophos XG Firewall folgende Funktionen aus:

• Führt die Weitergabe und das Routing von E-Mails aus. Das Relay von E-Mails können Sie unterE-Mail > Relay-Einstellungen konfigurieren.

• Schützt mehrere Mailserver mithilfe von SMTP-Richtlinien. Sie können den Schutz für Ihre E-Mail-Domänen unter E-Mail > Richtlinien > SMTP-Richtlinien festlegen.

• Zeigt E-Mails, die entweder warten oder deren Auslieferung fehlgeschlagen ist, unter E-Mail >Mail-Spool an.

• Zeigt Protokolle aller E-Mails an, die von der Appliance verarbeitet wurden (E-Mail > E-Mail-Protokolle.

XG Firewall

12.1 MTA-Modus

12.1.1 Richtlinien und Ausnahmen

Mit Richtlinien und Ausnahmen können Sie das Routen von E-Mails verwalten sowie Spam-,Schadprogramm-, Datei- und Datenschutz. Sie können Ausnahmen von Prüfungen für bestimmteAbsender und Empfänger erstellen. Sie können SMTP- und POP-IMAP-Richtlinien festlegen.

Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.

Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.

• Um eine neue SMTP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen und klickenSie dann auf SMTP-Route & -Scan.

• Um eine neue POP-IMAP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf POP-IMAP-Scan.

• Um eine Richtlinie zu bearbeiten, klicken Sie auf

.

SMTP-Routing- und -Scanrichtlinien

SMTP-Routing- und -Scanrichtlinien können verwendet werden, um mehrere Domänen auf Ihreminternen Mailserver zu schützen. Wenn Sie diese Richtlinien verwenden, schützt die Firewall Servervor Remote-Angriffen und stellt Virenscans, E-Mail-Verschlüsselung und E-Mail-Filterdienste bereit.

POP-IMAP-Scanrichtlinien

XG Firewall wendet die Standard-POP-IMAP-Scan-Richtlinie (default-pop-av) auf POP3/S- undIMAP/S-Verkehr an, wobei mit Viren infizierte Anhänge von E-Mails entfernt werden und der E-Mail-Textkörper durch eine Benachrichtigung ersetzt wird.

Die Spam-Quarantäne speichert automatisch Spam-E-Mails. Benutzer können ihren isolierten Spamund wahrscheinlichen Spam verwalten.

Erkennung von Spam-Attributen

Die Appliance nutzt Inhaltsfilterung sowie Premium- und Standard Realtime Blackhole Lists RBLy,um SMTP/S-, POP3/S- und IMAP/S-E-Mails auf Spam-Attribute zu prüfen.

RBL ist eine Liste von IP-Adressen, welche entweder direkt für Spamverbreitung verantwortlich sindoder indirekt, indem Sie als Spam-Relay gekapert wurden. Die Firewall gleicht die verbindende IP-Adresse mit jeder RBL ab. Wenn die IP-Adresse in der Liste gefunden wird, führt die Firewall dieMaßnahme durch, die in der Richtlinie festgelegt ist.

SMTP-Routing und -Scanrichtlinie hinzufügen


XG Firewall

SMTP-Routing und -Scanrichtlinien werden nur angezeigt, wenn der MTA-Modus (MailTransfer Agent) aktiviert ist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105,Cyberoam CR25iNG, Sophos UTM SG105 und höheren Modellen.

Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.

SMTP-Routing und -Scanrichtlinie ermöglicht es Ihnen, E-Mails vor Spam und Schadprogrammen zuschützen, E-Mails mit SPX zu verschlüsseln, und bietet Schutz für Daten und Dateien.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Richtlinie hinzufügen.Klicken Sie auf SMTP-Routing & -Scans.


3. Geben Sie Details unter Domänen und Routenziel an.

Geschützte Domäne Wählen Sie die Domänen aus. DieRichtlinie gilt für E-Mails an und von dengewählten Domänen. Um eine neue Domänehinzuzufügen, klicken Sie auf Neu erstellen.

E-Mails, die von Benutzern der geschütztenDomänen empfangen werden, sindEingehende E-Mails.

E-Mails, die von Benutzern der geschütztenDomänen gesendet werden, sindAusgehende E-Mails.

E-Mails, die unter Benutzern der geschütztenDomänen versendet werden, sind Interne E-Mails.

HinweisSie können keine E-Mail-Adressenangeben. Bei bestehenden oder migriertenE-Mail-Adressen wendet XG Firewallweiterhin die festgelegten Einstellungenan, aber Sie können diese Adressen nichtbearbeiten.

Route nach Wählen Sie den Mailserver, an den die E-Mailsweitergeleitet werden sollen. Wählen Sie ausden folgenden Servertypen aus:


Statischer Host: Wählen Sie aus derHostliste die statische IP-Adresse des internenMailservers aus. Wenn der erste Host in dergewählten Liste nicht erreichbar ist, leitet dieAppliance die E-Mails an den jeweils nächstenHost weiter bis das Ende der Liste erreicht ist.Um einen neuen Host hinzuzufügen, klickenSie auf Erstellen. DNS-Host Wählen SieDNS-Hostname und geben Sie ihn an, z.B.mailserver.example.com. Bei einemDNS-Namen mit mehreren A-Einträgen,liefert die Firewall die E-Mails zufällig an dieverschiedenen Server aus. Fälllt ein Server aus,


XG Firewall

leitet die Firewall die E-Mails automatisch andie anderen Server um. MX: Wählen Sie dieseOption, um E-Mails basierend auf MX-Einträgenzu routen.

Globale Maßnahme Wählen Sie die Maßnahme aus.Annehmen:Nimmt alle E-Mails an, die an die definiertenDomänen adressiert sind. Sie können SPX-Verschlüsselung auf ausgehende E-Mailsanwenden, indem Sie eine SPX-Vorlage ausder Auswahlliste auswählen.Ablehnen: Lehntalle E-Mails ab, die an die definierten Domänenadressiert sind. Der Absender wird darüberinformiert.

4. Schalten Sie Spamschutz ein.

a) Wählen Sie Auf eingehenden Spam prüfen aus.

b) Wählen Sie Greylisting verwenden aus, wenn Sie wollen, dass die Firewall eingehende E-Mails von IP-Adressen von unbekannten Mailservern vorübergehend ablehnt. Legitime Serverversuchen abgelehnte E-Mails in regelmäßigen Abständen erneut zu senden, und die Firewallnimmt diese E-Mails an, wobei sie die Absender-IP-Adresse für einen bestimmten Zeitraum aufdie Greylist setzt.

c) Wählen Sie Aufgrund von SPF zurückweisen aus. Mithilfe des Sender Policy Framework(SPF) verifiziert die Firewall die IP-Adresse des Mailservers des Absenders in DNS-Einträgenund lehnt E-Mails von unautorisierten Servern ab.

d) Wählen Sie Aufgrund der RBL zurückweisen aus und wählen Sie die RBL-Dienste aus, umE-Mails von negativ eingestuften IP-Adressen abzulehnen.

e) Legen Sie die Einstellungen für Empfängerverifizierung fest.

Verfügbare Maßnahmen:

• Aus

• Mit Callout. Prüft die Empfänger-E-Mail-Adresse auf Übereinstimmung mit demBenutzerkonto auf dem Zielmailserver. Die Firewall lehnt E-Mail an nicht vorhandeneBenutzer ab. Sie nimmt E-Mails für Empfänger an, wenn der Mailserver für einenbestimmten Zeitraum nicht erreichbar ist.

• In Active Directory. Verifiziert Empfänger von eingehenden E-Mails auf dem AD-Serverüber die Protokolle Simple, SSL und STARTTLS. Geben Sie den AD-Server, Bind-DNund BaseDN an.

HinweisDie Verifizierung läuft nach 30 Sekunden ab.

HinweisBind-DN ist der vollständige Distinguished Name (DN), einschließlich dem allgemeinenNamen (common name, CN) des Administrator-Benutzers, der auf dem angegebenen AD-Server konfiguriert ist.

CN=Administrator,CN=Users,DC=example,DC=com


XG Firewall

HinweisBaseDN ist der Base Distinguished Name (DN), welches der Ausgangspunkt von Suchenauf dem AD-Server ist.

DC=example,DC=com

f) Wählen Sie Spam-Maßnahme aus und Maßnahme bei wahrscheinlichem Spam, wenn Siedie obigen Einstellungen anwenden wollen.

HinweisDiese Maßnahmen gelten nicht für SPF- und RBL-Prüfungen. Wenn die Prüfungenfehlschlagen, lehnt die Firewall die E-Mail ab.


• Kein

• Warnen: Die E-Mail wird an den Empfänger zugestellt, nachdem ein Präfix zum Betreffhinzugefügt wurde. Geben Sie das Präfix bei Präfix im Betreff einfügen an.

• Isolieren

• Verwerfen: Verwirft die E-Mail, ohne Nachricht an den Absender.

Standard: Verwerfen

5. Schalten Sie Malware Protection ein.

Scannen Wählen Sie die Scan-Maßnahme aus.


Deaktivieren: E-Mails werden nicht gescannt.Aktivieren: E-Mails werden von der Antiviren-Engine der Appliance gescannt.

HinweisIn Sophos Firewall XG105, CyberoamCR500iNG, Sophos UTM SG105 undhöheren Modellen sind anstelle vonAktivieren folgende Optionen verfügbar.

Einzelne Antiviren-Engine: Die primäreAntiviren-Engine scannt die E-Mails.

Zwei Antiviren-Engines: Die erste unddie zweite Engine scannen E-Mailsnacheinander.

Gehen Sie zu E-Mail > AllgemeineEinstellungen > Malware Protection undwählen Sie Primäre Antiviren-Engine aus.

Zero-Day-Bedrohungen mit Sandstormerkennen (Sandstorm-Modul erforderlich)

Aktivieren, um E-Mails zur Sandstorm-Analysezu schicken. E-Mails, die von Sandstorm alsunbedenklich eingestuft wurden, werden an dieEmpfänger ausgeliefert. Bei den als schädlich


XG Firewall

eingestuften E-Mails wird die festgelegteMaßnahme durchgeführt.

HinweisSie können Sandstorm nicht mit derEinstellung „Einzelne Antiviren-Engine“aktivieren, wenn Avira die primäreAntiviren-Engine ist. Um die Engine zuwechseln, gehen Sie zu AllgemeineEinstellungen > Malware Protection oderSystemdienste > Malware Protection.

Gescannte Dateigröße (verfügbar wenn„Zero-Day-Bedrohungen mit Sandstormerkennen“ aktiviert ist)

Geben Sie die Größe der Dateien an, die durchSandstorm analysiert werden können. Dateien,die größer sind, werden nicht analysiert.

Antiviren-Maßnahme Wählen Sie die Maßnahme, die für bösartige E-Mails durchgeführt werden soll.


• Kein

• Warnen: Die E-Mail wird an den Empfängerzugestellt, nachdem ein Präfix zum Betreffhinzugefügt wurde. Geben Sie das Präfixbei Präfix im Betreff einfügen an.

• Isolieren

• Verwerfen: Verwirft die E-Mail, ohneNachricht an den Absender.

Absender benachrichtigen Auswählen, um den Absender über die infizierteE-Mail zu benachrichtigen.

Nicht scanbaren Inhalt isolieren Auswählen, um E-Mails zu isolieren,deren Inhalt nicht gescannt werden kann.Darunter fallen kaputte, verschlüsselte undkomprimierte Dateien, zu große E-Mails undE-Mails, die aufgrund eines internen Fehlersnicht gescannt werden können.

6. Schalten Sie Dateischutz ein, um bestimmte Anhänge herauszufiltern.

Dateitypen blockieren Wählen Sie die Art des Anhangs, die Sieblockieren wollen: In der MIME-Whitelistwerden die entsprechenden MIME-Headerangezeigt.

Um mehr als einen Dateityp auszuwählen,drücken Sie Strg + Umschalttaste.

Die Appliance verfügt über eine Standardlistemit Dateitypen mit den relevantenDateierweiterungen. Gehen Sie zu E-Mail

... > Dateityp um die Liste derDateierweiterungen einzusehen.


XG Firewall

Wählen Sie Alle aus, um E-Mails mitAnhängen zu blockieren.

Wählen Sie Keine aus, um E-Mails mitAnhängen zuzulassen.

MIME-Whitelist Wählen Sie die MIME-Header aus, die währendder Suche nach Schadsoftware zugelassenwerden sollen. Nicht ausgewählte Headerwerden blockiert.

Meldungen verwerfen, die größer sind als Geben Sie die maximale Dateigröße (in KB) an,die von der Appliance gescannt werden soll.Größere E-Mails werden verworfen.

Standard: 51200 KB

7. Schalten Sie Datenschutz ein. (Betrifft nur ausgehende E-Mails)

Datenkontrollliste Wählen Sie die Liste, die verwendet werdensoll, um E-Mails auf sensible Informationen zudurchsuchen.

Datenkontrolllisten (DCL) könnenaus der vorkonfigurierten SophosInhaltskontrollliste (IKL) erstellt werden,welche übliche Datentypen zu finanziellenInformationen und persönlicher Identifikationenthält, wie Kreditkartennummern,Sozialversicherungsnummern, postalischeAdressen oder E-Mail-Adressen.

Sie können eine Liste unter E-Mail >Datenkontrollliste erstellen.

Datenkontrolllisten-Maßnahme Wählen Sie die Maßnahme, die bei E-Mailsmit sensiblen Informationen durchgeführtwerden soll.


Annehmen: Nimmt die E-Mail an und stellt siean den Empfänger zu.

Mit SPX annehmen: Nimmt die E-Mail an undverschlüsselt sie mit SPX, bevor sie an denEmpfänger zugestellt wird. Wählen Sie dieSPX-Vorlage aus, die für die E-Mail verwendetwerden soll. Sie können SPX-Vorlagen unterE-Mail > Verschlüsselung erstellen.

Verwerfen: Verwirft die E-Mail, ohne Nachrichtan den Absender.

Absender benachrichtigen Auswählen, wenn der Absenderbenachrichtigt werden soll, dass die E-Mailsensible Informationen enthält.

POP/IMAP-Scanrichtlinie hinzufügen


XG Firewall


Fügen Sie eine POP/IMAP-Scanrichtlinie hinzu, um einund ausgehenden Spam in POP/S- undIMAP/S-Verkehr zu erkennen.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen.

2. Klicken Sie auf Richtlinie hinzufügen und klicken Sie auf POP-IMAP-Scan.


4. Tragen Sie die Details für E-Mail-Adresse/Domänengruppe ein.

Absender Um die Absender-E-Mail-Adresse festzulegen,wählen Sie aus den folgenden Optionen:

Enthält: Legen Sie Stichwörter fest, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Absender-E-Mail-Adressen zu:[email protected].

Gleicht: Geben Sie die genaue E-Mail-Adresse des Absenders ein.

Um eine Liste von Stichwörtern oder E-Mail-Adressen hinzuzufügen, klicken Sie auf Neuerstellen.

Empfänger Um die Empfänger-E-Mail-Adressefestzulegen, wählen Sie aus den folgendenOptionen:

Enthält: Legen Sie Stichwörter fest, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Empfänger-E-Mail-Adressen zu:[email protected].

Gleicht: Geben Sie die genaue E-Mail-Adresse des Empfängers ein.


5. Wählen Sie ein Kriterium aus den folgenden Filterkriterien. Für dieses wird die angegebeneMaßnahme durchgeführt.

Eingehende E-Mail ist Wählen Sie aus den folgenden Optionen:

Spam Wahrscheinlich Spam VirenverbreitungWahrscheinliche Virenverbreitung

Quell-IP-Adresse/-Netzwerkadresse Absender-IP-Adresse stimmt mit angegebenerIP-Adresse überein.

Größe der Nachricht Die Nachrichtengröße des Absenders stimmtmit der angegebenen Begrenzung derNachrichtengröße überein.


XG Firewall

Nachrichten-Header Wählen Sie einen der folgenden Nachrichten-Header aus, auf den das angegebeneStichwort zutreffen muss:

Betreff Von An Anderer

Wählen Sie, worauf das Stichwort zutreffenmuss:

Enthält: Geben Sie die Stichwörter ein, die mitdem Nachrichten-Header abgeglichen werden.

Gleicht: Geben Sie die genaueÜbereinstimmung mit den tatsächlichenHeadern ein.

Keine Auswählen um eine Richtlinie zwischenbestimmten Absendern und Empfängernanzulegen, ohne weitere Bedingungenfestzulegen.

6. Wählen Sie die Maßnahme aus.

Maßnahme Wählen Sie aus den verfügbaren Optioneneine Maßnahme:


Annehmen: Die E-Mail wird zugelassen undan den vorgesehenen Empfänger zugestellt.Präfix im Betreff einfügen: Die E-Mail wirdzugelassen und an den vorgesehenenEmpfänger zugestellt, jedoch erst nachdem derBetreffzeile ein bestimmtes Präfix hinzugefügtwurde. Geben Sie das Präfix im An-Feldan. Sie können über das Präfix kenntlichmachen, welches Filterkriterium erfüllt wurde.Beispiel: Original-Betreffzeile: Test-E-MailMarkierter Inhalt: Wahrscheinlich Spam DerEmpfänger erhält die E-Mail mit der Betreffzeile:„Wahrscheinlich Spam: Test-E-Mail“


Ausnahmen hinzufügen

Mit Hilfe von Ausnahmen können Sie Sicherheitsprüfungen für Hosts, Netzwerke, Absender- oderEmpfänger-E-Mail-Adressen auslassen, z.B. Prüfungen auf Spam, Schadprogramme und weitere.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Ausnahme hinzufügen.


3. Wählen Sie Sicherheitsprüfungen aus, die ausgelassen werden sollen.

Option Beschreibung

Diese Prüfungen auslassen Wählen Sie eine oder mehrereSicherheitsprüfungen aus.

Unter Spamschutz können Sie Prüfungenwie RBL, Antispam, Greylisting,


XG Firewall

Option Beschreibung

Empfängerverifizierung, IP-Reputation, RDNS/HELO und SPF auslassen. Unter MalwareProtection können Sie Schadprogrammeoder Sandstorm auswählen. Unter Sonstigekönnen Sie Datenschutz, Dateischutz,Verschlüsselung und Fußzeilenergänzungauslassen.

4. Wählen Sie eine der folgenden Optionen, für die die Ausnahme gelten soll:

Option Beschreibung

Für diese Quellen/Hosts Fügen Sie Quellen oder Hosts hinzu, für diekeine Sicherheitsprüfungen durchgeführtwerden sollen.

HinweisSie brauchen keine Ausnahme für localhostzu erstellen. Nachrichten von localhostwerden standardmäßig nicht gescannt.

Oder diese Absenderadressen Fügen Sie Absenderadressen hinzu, für diekeine Sicherheitsprüfungen durchgeführtwerden sollen. Geben Sie eine gültige E-Mail-Adresse ein ([email protected]) oder einenPlatzhalter (*@example.com).

Oder diese Empfängeradressen Fügen Sie Empfängeradressen hinzu, fürdie keine Sicherheitsprüfungen durchgeführtwerden sollen. Geben Sie eine gültige E-Mail-Adresse ein ([email protected]) oder einenPlatzhalter (*@example.com).


12.1.2 Datenkontrollliste


Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM und Sophos Firewall Modellen.

Sie können eine Datenkontrollliste mit vertraulichen Daten erstellen, indem Sie sie aus derInhaltskontrollliste (CCL) auswählen. Die Firewall stellt Inhaltskontrolllisten (content control lists,CCLs) zur Verfügung, basierend auf fachkundigen Definitionen von gängigen finanziellen undpersonenbezogenen Datentypen. Z.B. Kreditkarten- und Sozialversicherungsnummer, postalischeund E-Mail-Adressen.

Danach können Sie Datenkontrolllisten verwenden, um Datenschutz für E-Mails festzulegen.


XG Firewall

Datenkontrollliste hinzufügen


Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM-Modellen.

Datenkontrollliste Hinzufügen ermöglicht es Ihnen, eine Liste vertraulicher Dateitypen zu erstellen.Die Firewall stellt Inhaltskontrolllisten (content control lists, CCLs) zur Verfügung basierend auffachkundigen Definitionen von gängigen finanziellen und personenbezogenen Datentypen.

1. Gehen Sie zu E-Mail > Datenkontrollliste und klicken Sie auf Hinzufügen.

2. Geben Sie den Namen ein.

3. Wählen Sie die Inhaltskontrolllisten und filtern Sie sie nach Typ und Region.


12.1.3 SMTP-Quarantäne

SMTP-Quarantäne ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


SMTP-Quarantäne ermöglicht Ihnen, nach isolierten E-Mails zu filtern. Die Seite zeigt alle E-Mailsan, die von der Appliance aus folgenden Gründen isoliert wurden:

• Von einer blockierten Quell-IP-Adresse

• Ziel ist eine blockierte Ziel-IP-Adresse

• Ist mit einem Virus infiziert

• Zu groß

• Enthält einen blockierten Header

• Enthält nicht-scanbare Inhalte oder geschützte Anhänge

• Ist von RBL blockiert

• Ist durch Data Protection (DP) blockiert

• Spam

• Als bösartig eingestuft von Sandstorm

• Aus einem anderen Grund isoliert

Mithilfe des Filters können Sie in der Liste isolierter E-Mails nach E-Mails suchen.

Als Filterergebnis wird eine Liste aller isolierten E-Mails ausgegeben, die den Filterkriterienentsprechen.

Die Gesamtnutzung gibt den Prozentsatz des Quarantänebereichs an, der von isolierten E-Mailsverwendet wird. Wenn der Quarantänespeicher voll ist, werden ältere E-Mails gelöscht.

Quarantäne-Auszug

Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Quarantänebereich des Benutzers befinden. Sofern konfiguriert,


XG Firewall

erhält der Benutzer einen Quarantäne-Auszug in den unter E-Mail > Quarantäne-Auszugfestgelegten Abständen. Der Auszug enthält auch einen Link zum Benutzerportal, wo der BenutzerZugriff auf die isolierten E-Mails hat und die erforderlichen Maßnahmen ergreifen kann.

Freigabe von isolierten E-Mails

Isolierte E-Mails können vom Administrator oder von einem Benutzer freigegeben werden.Der Administrator kann die isolierten E-Mails aus dem Quarantänebereich freigeben; derBenutzer hat diese Möglichkeit im Benutzerportal. Freigegebene isolierte E-Mails werden an denPosteingangsordner des vorgesehenen Empfängers verschickt. Der Administrator kann unter E-Mail > SMTP-Quarantäne auf den Quarantänebereich zugreifen, während der Benutzer sich imBenutzerportal anmelden und unter SMTP-Quarantäne auf den Quarantänebereich zugreifen kann.Wenn der Quarantäne-Auszug konfiguriert ist, erhält der Benutzer in den festgelegten Abständeneinen Auszug der isolierten E-Mails.

Hinweis• Mit einem Virus infizierte E-Mails und E-Mails, die von Sandstorm als bösartig eingestuft

wurden, können nicht freigegeben werden.

• Um mit Sandstorm verbundene E-Mails zu löschen, benötigen Sie Lese- und Schreibrechte fürSandstorm-Aktivität.

12.1.4 Mail-Spool

Mail-Spool zeigt E-Mails an, die entweder auf Zustellung warten oder einen Fehler verursacht haben.Verwenden Sie die Optionen, um die angezeigten Einträge nach dem angegebenen Datumsbereich zufiltern.

Mail-Spool wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviert ist. DerMTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTMSG105 und höheren Modellen.


Anfangs- und Enddatum Geben Sie einen Datumsbereich für den Filteran.

Standard: Aktueller Tag

Empfänger-Domäne Geben Sie die Empfänger-Domäne an, für die E-Mails angezeigt werden sollen.

Status-Filter Wählen Sie einen der folgenden Filter, um E-Mails anzuzeigen, für die zutrifft:

• In Warteschlange

• Fehlgeschlagen

• SPX blockiert Warten darauf, dass derEmpfänger ein Kennwort erzeugt (wennder SPX-Kennworttyp auf Vom Empfängerfestgelegt steht).

• Sophos Sandstorm: Warten aufSandstorm-Analyse.

• Fehler: E-Mails, die einen Fehler verursachthaben.


XG Firewall

HinweisSie können E-Mails in derFehlerschlange nur herunterladen oderlöschen.

Standard: Alle Filter ausgewählt

Hinweis• Um mit Sandstorm verbundene E-Mails zu löschen oder erneut zu versuchen zu senden,

benötigen Sie Lese- und Schreibrechte für Sandstorm-Aktivität.

• Die Appliance versucht drei Tage lang E-Mails erneut zu versenden. Nach Ablauf weiterervier Tage werden die E-Mails verworfen. Sie können verworfene E-Mails in den E-Mail-Protokollen sehen.

Um die ausgewählten Einstellungen anzuwenden, klicken Sie auf Filter.

Um die Filteroptionen zurückzusetzen, klicken Sie auf Löschen.

12.1.5 E-Mail-Protokolle

E-Mail-Protokolle wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviertist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


Diese Seite zeigt die Protokolle aller verarbeiteten E-Mails an.

Anfangs- und Enddatum Wählen Sie das Anfangs- und Enddatuminnerhalb welchem die Meldung verarbeitetwurde.

Empfänger-Domäne Legen Sie die Domäne des Empfängers fest,dessen E-Mails Sie anzeigen möchten.

Ergebnisfilter Wählen Sie aus, welche Art von Meldungangezeigt werden soll.

• Zugestellt: Erfolgreich zugestellte E-Mails.

• Abgelehnt: E-Mails, die von der Applianceverworfen und bei denen Absenderbenachrichtigt wurde.

• Verworfen: E-Mails, die von der Applianceverworfen und bei denen der Absender nichtbenachrichtigt wurde.

• Isoliert: Isolierte E-Mails.

• Abgewiesen E-Mails, die automatischnach mehreren fehlgeschlagenenZustellversuchen von der Applianceverworfen wurden.


XG Firewall

• Gelöscht: E-Mails, die manuell gelöschtwurden.

Ursachen-Filter Email-Protokolle nach den folgenden Ursachenfiltern:

• Mit Schadsoftware infiziert

• Spam

• Enthalten blockierte Dateien/Anhänge

• Enthalten nicht-scanbare Inhalte odergeschützte Anhänge

• Blockiert durch Data Protection (DP)

• SPX-verschlüsselt

• Nicht zugestellt und SPX-verschlüsselt

• Kein SPF-Eintrag gefunden oder passend

• Blockiert von RBL


• Aus anderem Grund blockiert

Filtern Anklicken, um den Filter auf die dargestelltenProtokolle anzuwenden.

Löschen Anklicken, um die Filteroptionen zurückzusetzen.Die Standardoptionen zeigen den aktuellen Tagals Start- und Enddatum und alle Filter sindausgewählt.

12.1.6 Verschlüsselung

SPX-Verschlüsselung ist verfügbar in Sophos Firewall XG105 und höheren Modellen, inCyberoam CR25iNG und höheren Modellen und in allen Sophos UTM Modellen.


Was ist SPX-Verschlüsselung?

Die Verschlüsselung Secure PDF eXchange (SPX) ist eine E-Mail-Verschlüsselung der nächstenGeneration. Sie funktioniert clientlos und lässt sich in jeder Umgebung äußerst bequem einrichtenund anpassen. Mit SPX werden E-Mail-Nachrichten und Anhänge, die an die Firewall geschicktwerden, in ein PDF-Dokument umgewandelt, das dann mit einem Kennwort verschlüsselt wird. Siekönnen die Firewall so konfigurieren, dass der Absender Kennwörter für die Empfänger festlegendarf. Oder der Server erzeugt das Kennwort für den Empfänger und speichert es für diesen. Oderder Server erstellt ein Einmalkennwort für den Empfänger.

Die verschlüsselte Nachricht wird an den Mailserver des Empfängers gesendet. Der Empfängerkann mithilfe eines PDF-Readers die E-Mail mit dem Kennwort, das zur Verschlüsselung des PDF-Dokuments verwendet wurde, entschlüsseln. Sämtliche gängigen Smartphone-Plattformen, die PDF-Dateien selbst oder über Drittanbieter unterstützen (inkl. Android-, iOS-, Blackberry- und WindowsMobilegeräte), können SPX-verschlüsselte E-Mails verarbeiten.


XG Firewall

Die mit SPX verschlüsselte E-Mail beinhaltet eine Antworten-Schaltfläche, die zum SPX-Reply-Portal führt. Mit dem SPX-Reply-Portal kann der Empfänger auf sichere Weise antworten.

SPX-Verschlüsselung anstoßen

SPX-Verschlüsselung kann durch die folgenden Methoden angestoßen werden. Wenn Sie mehr alseine Methode konfiguriert haben, wird Verschlüsselung in der folgenden Rangfolge auf ausgehendeE-Mails angewendet.

• SPX-Verschlüsselung bei allen ausgehenden E-Mails von bestimmten Domänen durchführen.

• Wenn ein Treffer bei Inhalten oder dem Schutz vor Datenverlust (DLP, data loss prevention)erzielt wurde.

HinweisSie können diese in der Richtlinie SMTP-Route & -Scan konfigurieren.

Unter Domänen und Routenziel, stellen Sie SPX-Vorlage auf Keine, wenn Sie E-Mailsallein aufgrund von Inhalt oder DLP verschlüsseln wollen.

• Vom Absender angestoßenes SPX. Es wird von Endbenutzern im E-Mail-Header angewendet.Endbenutzer müssen folgendermaßen vorgehen, um jede E-Mail zu verschlüsseln:

— Bei Microsoft Outlook:

1. Gehen Sie ins Benutzerportal. Laden Sie Sophos Outlook Add-in herunter undinstallieren Sie es.

2. In Outlook, klicken Sie auf Verschlüsseln, um E-Mails zu verschlüsseln.

— Ohne Microsoft Outlook:

1. Setzen Sie das E-Mail-Header-Feld X-Sophos-SPXEncrypt auf „ja“. Das Gerätverwendet die Standard-SPX-Vorlage, sobald der SPX-Header in E-Mails gefunden wird.

SPX-Konfiguration

Standard-SPX-Vorlage Wählen Sie die SPX-Vorlage aus, diestandardmäßig verwendet werden soll. DieStandardvorlage wird verwendet, wennein Benutzer eine E-Mail explizit mit SPXverschlüsselt und keine Vorlage in derInhaltsscanregel ausgewählt ist.

Wenn die Standard-SPX-Vorlage auf Keinegestellt ist, wird die SPX-Verschlüsselung nichtauf die E-Mail angewendet.

Sichere Antwort zulassen für Geben Sie die maximale Zeit (in Tagen) an, dieder die Empfänger sicher über das SPX-Reply-Portal auf SPX-verschlüsselte E-Mails antwortenkann.

Nicht verwendete Kennwörter behalten für Geben Sie das Ablaufdatum in Tagen für nichtverwendete Kennwörter an.


XG Firewall

Wenn zum Beispiel Nicht verwendeteKennwörter behalten für auf drei Tageeingestellt ist, läuft das Kennwort am drittenTag um 00:00 Uhr ab. Das gilt wenn keine SPX-verschlüsselte Nachricht an einen bestimmtenEmpfänger gesendet wurde.

Standard: 30 Tage

Kennwortregistrierung zulassen für Geben Sie den Zeitraum in Tagen an, nachdem der Link zum Kennwortregistrierungsportalabläuft.

Standard: 10 Tage

Fehlerbenachrichtigung senden an Geben Sie den Empfänger einer SPX-Fehlerbenachrichtigung an. Sie können dieBenachrichtigung an den Sender schickenoder gar keine Benachrichtigung senden. AlleFehlermeldungen werden im SMTP-Protokollaufgeführt.

SPX-Portaleinstellungen

Hostname Geben Sie die IP-Adresse oder Domäne an,unter welcher das Kennwortregistrierungsportalbereitgestellt wird.

Zugelassene Netzwerke Geben Sie die Netzwerke an, von welchenAnfragen zur Kennwortregistrierung akzeptiertwerden.

Port Geben Sie den Port an, auf dem das SPX-Kennwortregistrierungsportal lauschen soll.

Standard: 8094

SPX-Kennwortzurücksetzung

Kennwort zurücksetzen für Geben Sie die E-Mail-Adresse des Empfängersein, dessen Kennwort Sie zurücksetzenmöchten. Wenn an diese Adresse eineneue SPX-E-Mail versendet wird, muss derEmpfänger vom Absender ein neues Kennworterhalten.

SPX-Vorlagen

Die SPX-Vorlage definiert das Layout der PDF-Datei, die Kennworteinstellungen und dieEmpfängeranweisungen. Sie können auch mehrere SPX-Vorlagen definieren. Wenn Sie mehrereKundendomänen verwalten, können Sie diesen selbstdefinierte SPX-Vorlagen zuweisen, die zumBeispiel die passenden Unternehmenslogos und -Texte enthalten.


XG Firewall

Eine SPX-Vorlage hinzufügen



Auf dieser Seite können Sie neue SPX-Vorlagen definieren oder bestehende Vorlagen ändern.

1. Gehen Sie zu E-Mail > Verschlüsselung > SPX-Vorlagen und klicken Sie auf Hinzufügen.

2. Geben Sie die Parameterwerte für die folgenden Basiseinstellungen ein.

Name Geben Sie einen Namen ein, um die Vorlageeindeutig zu identifizieren. Der Name mussaus einer Zeichenfolge mit alphanumerischenund Sonderzeichen bestehen, mit Ausnahmevon Schrägstrich (/), Backslash (\), Komma(,), Anführungszeichen (") und einfachenAnführungszeichen (').

Beschreibung Geben Sie nähere Informationen zur Vorlagean.

Unternehmensname Geben Sie an, welcher Unternehmensname inden Benachrichtigungen bezüglich SPX, die jenach Ihren Einstellungen an den Administratoroder den E-Mail-Empfänger versendet werden,erscheinen soll.

PDF-Verschlüsselung Wählen Sie den Verschlüsselungsstandard fürPDF-Dateien.

Seitengröße Wählen Sie die Seitengröße der PDF-Datei.

3. Geben Sie die Kennworteinstellungen ein.

Kennworttyp Wählen Sie, wie Sie das Kennwort für denZugriff auf die verschlüsselte E-Mail erzeugenmöchten. Der Absender muss dafür sorgen,dass das Kennwort sicher an den Empfängerübermittelt wird, es sei denn die Option VomEmpfänger festgelegt wurde gewählt.


Vom Absender festgelegt:

Der Absender muss ein Kennwort in denBetreff in folgendem Format eingeben:[secure:<password>]<subjecttext>, wobei <password> das Kennwortzum Öffnen der verschlüsselten PDF-Datei und <subject text> einbeliebiger Betreff ist. Zum Beispiel, Betreff:[Secure:secretp@assword]. Der Absendermuss dem Empfänger das Kennwort separatzukommen lassen. Das Kennwort wirdnicht gespeichert. Das Firewall entferntdas Kennwort, sobald die E-Mail gesendet


XG Firewall

wird. Diese Methode kann mit jeder Artdes Anstoßes der SPX-Verschlüsselungverwendet werden.

Einmaliges Kennwort für jede E-Mailerzeugt:

Die Firewall erzeugt das Kennwort undschickt es per E-Mail an den Absender.Der Absender muss dem Empfänger dasKennwort zukommen lassen. Das Kennwortwird nicht gespeichert.

Der HTML-Inhalt dieser E-Mail kannals Betreff der Benachrichtigungoder Benachrichtigungstext formatiertwerden. Sie können den Standardinhaltwiederherstellen, indem Sie auf Zurücksetzen

klicken.

Vom Empfänger festgelegt:

Die Firewall schickt per E-Mail einenKennwortregistrierungslink an Empfänger,die noch nicht für ein Kennwort registriertsind. Nach der Registrierung schickt dieFirewall eine verschlüsselte E-Mail an denEmpfänger, für welche sie das gleicheKennwort verwendet. Das Kennwort wird biszum Ablaufdatum gespeichert. Der Empfängerkann alle zukünftigen E-Mails der Organisationmit diesem Kennwort entschlüsseln. Siekönnen die Ablaufzeit für das Kennwort unterSPX-Konfiguration festlegen.

HinweisWenn ein Empfänger verschiedene E-Mails erhält mit Kennwörtern, die durchErzeugt und für Empfänger gespeichertund Vom Empfänger festgelegt erzeugtwurden, müssen die jeweiligen Kennwörterverwendet werden, um die E-Mails zuentschlüsseln.

4. Anweisungen für den Empfänger festlegen:

Anweisungen für Empfänger Der Nachrichtentext der E-Mail, die überdie Firewall an den E-Mail-Empfängergesendet wird und Anweisungen bezüglich derVerschlüsselung der E-Mail enthält. EinfachesHTML und Hyperlinks sind erlaubt. Sie könnenauch Variablen verwenden, zum Beispiel,

%%ORGANIZATION_NAME%%


XG Firewall

TippDie Standard-SPX-Vorlage auf dieser Registerkarte enthält alle verfügbaren Variablen und istein gutes Beispiel für Empfängeranweisungen. Die verwendeten Variablen sind:

• ENVELOPE_TO: Der Empfänger, für den das Kennwort erstellt wird.

• PASSWORD: Das Kennwort zum Öffnen der SPX-verschlüsselten E-Mail

• ORGANIZATION_NAME: Der Name aus dem Feld Name der Organisation

• SENDER: Absender der E-Mail

• REG_LINK: Link zum Registrierungsportal zur Registrierung des Kennworts.

5. Die SPX-Portaleinstellungen aktivieren

SPX-Reply-Portal aktivieren Klicken Sie hier, um den Benutzern zuermöglichen, mit Hilfe des SPX-Reply-Portalssicher auf SPX-verschlüsselte E-Mails zuantworten.

Originalmeldung in die Antwort integrieren Auswählen, um die Originalmeldung in dieAntwort zu integrieren.

12.1.7 Allgemeine Einstellungen

EinschränkungDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigemEmail-Protection-Abonnement aktiviert.

HinweisDer MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTMSG105 und höheren Modellen.

SMTP-Einsatzmodus

Um in den MTA-Modus zu wechseln, klicken Sie auf die Schaltfläche.

Im MTA-Modus agiert die Firewall als Mail-Transfer-Agent (MTA). Im Legacy-Modus agiert sie alstransparenter Proxy.

Als ein MTA, XG Firewall routet E-Mails der geschützten Mailserver. Sie können ein- undausgehenden Mail-Relay konfigurieren, SMTP-Profile erstellen, um mehrere Domänen auf deminternen Mailserver oder mehrere Mailserver zu schützen, E-Mails sehen, die auf Auslieferungwarten oder einen Fehler verursacht haben, und E-Mail-Protokolle ansehen.

Standard: Der MTA-Modus ist aktiviert.


XG Firewall

Hinweis• Wenn Sie den MTA-Modus einschalten, wird automatisch eine Firewallregel erstellt, die SMTP/

SMTPS-Verkehr zulässt.

• Wenn Sie von CyberoamOS oder SFOSv15 nach SFOSv16 migriert haben ist der Legacy-Modus automatisch aktiviert.

Fußzeilen-Einstellungen ausgehend

E-Mail-Fußzeilenmodus Wählen Sie aus, wie Fußzeilen an ausgehende E-Mails angehängt werden sollen.

HinweisDamit eine Fußzeile angehängt wird,wählen Sie SMTP scannen und SMTPSscannen unter Scans in der betreffendenGeschäftsanwendungsregel aus.

E-Mail-Fußzeile Legen Sie eine Fußzeile fest, die an ausgehendeE-Mails angehängt wird. Es sind nur Textbannerzulässig.

Beispiel:

Diese E-Mail enthält vertrauliche Informationen.Sie sind nicht berechtigt, die Inhalte ohneZustimmung des Absenders zu kopieren.Drucken Sie diese E-Mail nur aus, wenn diesunbedingt notwendig ist. Tun Sie etwas für dieUmwelt.

SMTP-Einstellungen

SMTP-Hostname Legen Sie fest, welcher SMTP-Hostname inHELO- und SMTP-Fußzeilen-Strings verwendetwerden soll. Standardmäßig verwendet XGFirewall „Sophos“ als Hostnamen.

Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über SMTP/Seingehen und diese Größe überschreiten, werdennicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung für Scans auf 51200 KBzu erhöhen.

Maßnahme bei übergroßen E-Mails Legen Sie die Maßnahme bei übergroßen E-Mailsfest.



XG Firewall

Annehmen: Alle übergroßen E-Mails werden ohneScan an den Empfänger weitergeleitet.Ablehnen:Alle übergroßen E-Mails werden abgewiesen undder Absender wird benachrichtigt.Verwerfen: Alleübergroßen E-Mails werden verworfen, ohne dassder Absender benachrichtigt wird.

Aufgrund der IP-Reputation zurückweisen Auswählen, um E-Mails mit einer schlechtenAbsender-Reputation abzulehnen.

HinweisDie Firewall überprüft die IP-Reputation desAbsenders vor den Spam-Prüfungen, diein der SMTP-Routing- und -Scanrichtlinienfestgelegt sind.

SMTP-DoS-Einstellungen Aktivieren Sie diese Option, um die SMTP-DoS-Einstellungen zu konfigurieren, die das Netzwerkvor SMTP-DoS-Angriffen schützen.

Wird diese Option aktiviert, legen Sie Wertefür Max. Anzahl Verbindungen, Max. AnzahlVerbindungen/Host, Max. Anzahl E-Mails/Verbindung, Max. Anzahl Empfänger/E-Mail, E-Mail-Durchsatz je Minute/Host undVerbindungsdurchsatz je Sekunde/Host fest.

Max. Anzahl Verbindungen Automatisch auf den Maximalwert gesetzt,basierend auf RAM und Prozessorkapazität.

Max. Anzahl Verbindungen/Host Automatisch auf den Maximalwert gesetzt,basierend auf RAM und Prozessorkapazität.

Max. Anzahl E-Mails/Verbindung Legen Sie die maximale Anzahl von E-Mailsfest, die in einer einzelnen Verbindung geschicktwerden können.

Standard: 1000

Zulässiger Bereich: 1 bis 1000

Max. Anzahl Empfänger/E-Mail Legen Sie die maximale Anzahl an Empfängerneiner E-Mail fest.

Standard: 100


E-Mail-Durchsatz Legen Sie die Anzahl von E-Mails fest, dieinnerhalb einer Minute von einem Host gesendetwerden können.

Standard: 1000


Verbindungsrate Legen Sie die Anzahl von Verbindungen fest, dieinnerhalb einer Sekunde von einem Host zumMailserver aufgebaut werden dürfen.

Standard: 100


XG Firewall


HinweisWenn Sie SFOS auf Version 17.5 oder später aktualisieren, migriert XG Firewall die festgelegtenWerte von E-Mail-Durchsatz und Verbindungsrate, wenn sich diese im zulässigen Bereichbefinden. Stellt automatisch den Standardwert ein, wenn die festgelegten Werte die Obergrenzeüberschreiten.

POP/S- und IMAP/S-Einstellungen

Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über POP/IMAP eingehen und diese Größe überschreiten,werden nicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung auf 10240 KB zuerhöhen.

Empfänger-Header Legen Sie den Header zur Ermittlung desEmpfängers für POP3/IMAP fest.

Standard: Delivered-To, Received, X-RCPT-TO

SMTP-TLS-Konfiguration

TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendas CA-Zertifikat oder Server-Zertifikat für diePrüfung des SMTP-Datenverkehrs über SSLaus.


Default Appliance-ZertifikatSecurityAppliance_SSL_CA Liste eigener CAsund Server-Zertifikaten, falls vorhanden. Siekönnen eine eigene CA unter Zertifikate >Zertifizierungsstellen (CA) erstellen und eineigenes Server-Zertifikat unter Zertifikate >Zertifikate.

Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden SMTP-über-SSL-Verbindungen mit ungültigem Zertifikat vomMailserver zugelassen. Deaktivieren Sie dieseOption, wenn solche Verbindungen abgewiesenwerden sollen.

Standard: Aktiviert

Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlen


XG Firewall

wir die Deaktivierung von veralteten TLS-Protokollen.

Standard: Deaktivieren

TLS-Aushandlung erfordern Wählen Sie aus den verfügbaren Optionenden Remote-Host (Mailserver) oder dasNetzwerk aus, bei dem TLS-Verschlüsselungeingesetzt werden soll. Mit anderen Worten,die Appliance initiiert immer TLS-gesicherteVerbindungen, wenn E-Mails an ausgewählteHosts/Netzwerke geschickt werden sollen. WennTLS durchgesetzt wird, aber die Verbindungnicht hergestellt werden kann, werden E-Mails an den betreffenden Host/das Netzwerkverworfen.

Absender-E-Mail-Domänen erfordern Geben Sie die Absenderdomäne an, für dieTLS-Verschlüsselung bei E-Mail-Verbindungenerzwungen werden soll. Die Absender-Domäneist die Domäne des E-Mail-Absenders. E-Mailsvon der festgelegten Absender-Domäne werdennur über TLS-verschlüsselte Verbindungengesendet. Wenn TLS eingesetzt wird, aberdie Verbindung nicht hergestellt werden kann,werden E-Mails von der betreffenden Absender-Domäne verworfen.

TLS-Aushandlung auslassen Wählen Sie aus den verfügbaren Optionenden entfernten Host (Mailserver) oder dasNetzwerk aus, bei dessen Verbindungen dieTLS-Verschlüsselung übersprungen oderumgangen werden soll. Sofern konfiguriert,werden SMTP-Verbindungen zu ausgewähltenHosts in Klartext und unverschlüsselt hergestellt.

POP- und IMAP-TLS-Konfiguration

TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendie CA für die Prüfung des POP- und IMAP-Datenverkehrs über SSL aus.


DefaultSecurityAppliance_SSL_CAListe eigenerCAs, sofern hinzufügt. Sie können eine eigeneCA unter Zertifikate > Zertifizierungsstellen(CA) erstellen.

Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden POP-und IMAP-Verbindungen über SSL mitungültigem Zertifikat vom Mailserver zugelassen.Deaktivieren Sie diese Option, wenn solcheVerbindungen abgelehnt werden sollen.

Standard: Aktiviert


XG Firewall

Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlenwir die Deaktivierung von veralteten TLS-Protokollen.


Blockierte Absender

Um E-Mail-Adressen zu blockieren, fügen Sie sie hier hinzu.

Malware Protection

Malware Protection ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR500iNG,Sophos UTM SG105 und höheren Modellen.

Sophos XG Firewall bietet duale Viren-Scans an, bei welchen der Datenverkehr von zwei (2) Anti-Virus-Engines geprüft wird. Zuerst wird der Datenverkehr von der primären Engine gescannt undanschließend von der sekundären Engine.

Primäre Antiviren-Engine Wählen Sie die primäre Anti-Virus-Engine zurPrüfung des Datenverkehrs aus. Bei dualenScans werden die Pakete erst von der primärenAnti-Virus-Engine gescannt, dann von dersekundären. Beim Einzelscan wird nur dieprimäre Engine verwendet.


SophosAvira

HinweisDie Auswahl von Avira deaktiviert Sandstorm in allen SMTP-Richtlinien mit einem einfachemAntivirenscan.

Smarthost-Einstellungen

Ein Smarthost ist ein MTA (Mail Transfer Agent) der als Zwischenserver zwischen den Mailserverndes Absenders und Empfängers agiert. Wenn Sie einen Smarthost konfigurieren, leitet die Applianceausgehende E-Mails an den festgelegten Server weiter, der sie dann an den Mailserver desEmpfängers routet. Aktivieren Sie Smarthost verwenden.

Hostname Wählen Sie den Host aus, der als Smarthostagieren wird.

HinweisSie können für den Smarthost nicht dieSchnittstellen-IP-Adresse der Applianceverwenden. Eine Routing-Schleife wäre dieFolge.


XG Firewall

Port Geben Sie die Portnummer an.

Standard: 25

Appliance an Smarthost authentifizieren Wählen Sie, ob die Appliance sich erst amSmarthost authentifizieren muss, bevorer E-Mails routet. Sowohl Plain als auchLogin werden als Authentifizierungsmethodeunterstützt. Geben Sie Benutzername undKennwort ein.

Erweiterte SMTP-Einstellungen (nur im MTA-Modus)

Ungültige HELO oder fehlende RDNSablehnen

Wählen Sie diese Option, wenn Sie Hostsablehnen wollen, die ungültige HELO/EHLO-Argumente senden oder bei denen rDNS-Einträgefehlen. Wählen Sie Strikte rDNS-Prüfungendurchführen, wenn Sie zusätzlich E-Mails vonHosts mit ungültigen rDNS-Einträgen ablehnenwollen. Ein rDNS-Eintrag ist ungültig wenn dergefundene Hostname nicht zurück zur originalenIP-Adresse auflöst.

Ausgehende Mails scannen Aktivieren Sie das Scannen des gesamtenausgehenden E-Mail-Verkehrs. Die E-Mail wirdisoliert, wenn Sie mit Schadprogrammen infiziertoder als Spam markiert ist.

12.1.8 Adressgruppen

Richtlinien und Ausnahmen werden auf E-Mail-Adressen angewendet. Um die Konfiguration zuerleichtern, kann der Administrator Adressen gruppieren, die dieselbe Scanrichtlinie erfordern.Die Richtlinie, die auf die Adressgruppe angewendet wird, gilt für alle Gruppenmitglieder. Wirddie Gruppe in einer Reihe von Regeln verwendet, ist es daher wesentlich einfacher, der GruppeAdressen hinzuzufügen oder Adressen aus dieser zu entfernen, anstatt einzelne Regeln zuaktualisieren. Denn auf diese Weise kann der Administrator mit nur einer Aktualisierung alle Regelngleichzeitig anpassen.

Eine Adressgruppe ist eine Gruppierung anhand von:

• E-Mail-Adresse oder Domäne

• IP-Adresse

• Realtime Blackhole List (RBL) (nur für Spam-E-Mails anwendbar)

Eine Adresse kann zu mehreren Gruppen gehören.

Eine RBL ist eine Liste mit IP-Adressen, deren Eigentümer selbst für Spam verantwortlich sindoder deren System zur Verbreitung von Spam missbraucht wird. Diese IP-Adressen können auchzur Verbreitung von Viren genutzt werden. Die Appliance gleicht die verbindende IP-Adresse mitjeder RBL ab. Wird die IP-Adresse in einer der RBLs gefunden, wird die Maßnahme durchgeführt,die in der Richtlinie festgelegt ist. Der Administrator kann entweder die beiden im Lieferumfang derAppliance enthaltenen Standard-RBL-Gruppen verwenden oder diese entsprechend den eigenenAnforderungen aktualisieren:

• Premium-RBL-Dienste


XG Firewall

• Standard-RBL-Dienste

Die Seite „Adressgruppe“ enthält eine Liste mit allen Standardgruppen sowie allenbenutzerdefinierten Gruppen. Über die Optionen auf der Seite können Gruppen hinzugefügt,Parameter aktualisiert, Adressen in bestehende Gruppen importiert oder eine Gruppe gelöschtwerden. Sie können die Liste anhand des Namens der Adressgruppe filtern.

Adressgruppe hinzufügen

1. Gehen Sie zu E-Mail > Adressgruppe und klicken Sie auf Hinzufügen.

2. Geben Sie einen Namen und eine Beschreibung ein.

3. Gruppentyp: Auswählen um E-Mail-Adressen oder Domänen zur Adressgruppe hinzuzufügen.


RBL (IPv4) oder RBL (IPv6):

Auswählen, um RBLs mit IPv4 oder IPv6-Adressen oder Domänennamen hinzuzufügen.

Wenn die sich verbindende IP-Adresse in der RBL gefunden wird, führt die Appliance dieMaßnahme durch, die in der entsprechenden Richtlinie definiert ist.

E-Mail-Adresse/Domäne:

Auswählen, um E-Mail-Adresse oder Domänenname hinzuzufügen.

Importieren: Auswählen, um eine CSV- oder Textdatei hochzuladen.

Manuell: Auswählen, um individuelle E-Mail-Adressen oder Domänen hinzuzufügen.

Hinweis• Sie können maximal 400 E-Mail-Adressen oder Domänen in einer einzigen Datei

importieren.

• Ungültige und doppelte Einträge werden nicht importiert.


12.1.9 Relay-Einstellungen

Relay-Einstellungen wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviertist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


Sophos XG Firewall kann konfiguriert werden, um als E-Mail-Relay zu agieren, was bestimmtenHosts das Weiterleiten (d.h. Senden) von E-Mails über bestimmte Domänen erlaubt.

Host-basiertes Relay

Relay von Hosts/Netzwerken zulassen Wählen Sie die Hosts/Netzwerke, die Sophos XGFirewall als E-Mail-Relay verwenden kann. Siekönnen den Link Neu erstellen verwenden, um


XG Firewall

einen neuen Host zu erstellen. Klicken Sie aufÜbernehmen um die Konfiguration zu speichern.

HinweisEs ist sehr wichtig, für die zugelassenenHosts/Netzwerke nicht Alle auszuwählen, dadies zu einem offenen Relay führt, das esjedem im Internet ermöglicht, Nachrichtenüber Sophos XG Firewall zu versenden.Spamversender werden dies schnellherausfinden, was zu einem massiven E-Mail-Aufkommen führt. Im schlimmstenFall werden Sie als Spamversender aufDrittanbieter-Blacklists geführt. In denmeisten Konfigurationen sind die einzigenHosts, die für Relay-E-Mails erlaubt werdensollten, die Mail-Server in Ihrem Netzwerk.

HinweisDie Firewall wird IP-Adressen scannen undablehnen, die Sie für das host-basierte Relayzugelassen haben, wenn sie den Scan nichtbestehen.

Relay von Hosts/Netzwerken blockieren Legen Sie die Hosts/Netzwerke fest, die vonder Appliance blockiert werden sollen. Siekönnen den Link Neu erstellen verwenden, umeinen neuen Host zu erstellen. Klicken Sie aufÜbernehmen um die Konfiguration zu speichern.

Upstream-Host

Relay von Hosts/Netzwerken zulassen Legen Sie die Upstream-Hosts/Netzwerke fest,von denen Sie eingehende E-Mails erlaubenmöchten. Typischerweise Ihre ISP oder externeMX. Sie können den Link Neu erstellenverwenden, um einen neuen Host zu erstellen.

Relay von Hosts/Netzwerken blockieren Legen Sie die Hosts/Netzwerke fest, dereneingehende E-Mails von der Appliance blockiertwerden sollen. Sie können den Link Neuerstellen verwenden, um einen neuen Host zuerstellen.

HinweisDie Liste „Zulassen“ für host-basiertes Relay und Upstream-Host hat höhere Priorität als die Liste„Blockieren“. Wenn zum Beispiel ein Host/Netzwerk sowohl in der Liste „Zulassen“ als auch in„Blockieren“ erscheint, wird Sophos XG Firewall das Relay von diesem Host/Netzwerk erlauben.


XG Firewall

Einstellungen für authentifizierte Relays

Authentifiziertes Relay aktivieren Aktivieren Sie dies, um den authentifiziertenBenutzern oder Gruppen, die unten ausgewähltsind, zu erlauben, die Appliance als E-Mail-Relayzu verwenden.

Benutzer oder Gruppen Wählen Sie die Benutzer oder Gruppen, denenes erlaubt ist, die Appliance als E-Mail-Relay zuverwenden. Sie können den Link Neu erstellenverwenden, um einen neuen Benutzer oder eineneue Gruppe zu erstellen.

12.1.10 Dateitypen

Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.


.


Dateityp hinzufügen










XG Firewall

12.1.11 Quarantäne-Auszug

Quarantäne-Auszug ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Benutzer-Quarantänebereich befinden. Sofern konfiguriert, erhältder Benutzer einen Quarantäne-Auszug in den auf dieser Seite festgelegten Abständen. Der Auszugenthält auch einen Link zum Benutzerportal, wo der Benutzer Zugriff auf die isolierten E-Mails hatund die erforderlichen Maßnahmen ergreifen kann.

Die Einstellungen für den Quarantäne-Auszug können global für alle Benutzer oder für einzelneBenutzer konfiguriert werden. Der Benutzer erhält den Quarantäne-Auszug in der festgelegtenHäufigkeit.

Der Quarantäne-Auszug enthält für jede isolierte Nachricht folgende Informationen:

• Datum und Uhrzeit: Datum und Uhrzeit des Erhalts der Nachricht

• Absender: E-Mail-Adresse des Absenders

• Empfänger: E-Mail-Adresse des Empfängers

• Betreff: Betreff der Nachricht

HinweisDer Quarantäne-Auszug ist nicht für WLAN-Geräte verfügbar.

Quarantäne-Auszug für alle Benutzer konfigurieren

Quarantäne-Auszug aktivieren Aktivieren Sie den Quarantäne-Auszug,um den Auszugservice für alle Benutzer zukonfigurieren.

E-Mail-Häufigkeit Legen Sie die Häufigkeit für den Versand desAuszugs fest.

Auszüge können stündlich, täglich zurkonfigurierten Uhrzeit oder wöchentlich an demkonfigurierten Tag zu der festgelegten Uhrzeitversendet werden.

Von E-Mail-Adresse Geben Sie die E-Mail-Adresse an, von der dieE-Mail gesendet werden soll.

Name anzeigen Legen Sie den Namen des E-Mail-Absendersfest. Die Auszug-E-Mail wird mit diesem Namengesendet.

Test-E-Mail senden Klicken Sie hier und geben Sie eine E-Mail-Adresse ein, an welche die Nachricht zur


XG Firewall

Überprüfung der E-Mail-Adresse gesendetwerden soll.

Referenz-Benutzerportal-IP Wählen Sie aus der Auswahlliste Referenz-Benutzerportal-IP die Schnittstellen-/Port-IPaus.

Der Link zum Benutzerportal in der Auszug-E-Mail verweist auf diese IP-Adresse. DerBenutzer kann auf den Link klicken, um zuseinen isolierten Nachrichten zu gelangen unddie erforderlichen Maßnahmen zu ergreifen.Benutzer, die sich nicht über die festgelegteSchnittstelle verbinden, haben direkt über ihrKonto Zugriff auf die isolierten E-Mails.

Quarantäneberichte auslassen Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse desjenigen ein, dessen isolierte E-Mails Sie vom Quarantäne-Auszug ausschließenwollen. Sie können zum Beispiel die Alias-E-Mail-Adresse „[email protected]“ hinzufügen,um deren isolierte E-Mails vom Quarantäne-Auszug auszuschließen, welcher an Benutzergesendet wird, die Teil des Alias sind.

Quarantäne-Auszug-Einstellungen desBenutzers ändern

Klicken Sie hier, um die Auszug-Einstellungeneinzelner Benutzer zu ändern.

Hier können Sie die Gruppe auswählen unddie Quarantäne-Auszug-Einstellungen vonGruppenmitgliedern aktualisieren.

Quarantäne-Auszug-Einstellungen für bestimmte Benutzer überschreiben

Klicken Sie auf Quarantäne-Auszug-Einstellungen des Benutzers ändern, um die Auszug-Einstellungen für einzelne Benutzer zu ändern. Daraufhin öffnet sich ein neues Popup-Fensternamens Quarantäne-Auszug verwalten, in dem Sie nach Gruppen und Benutzern suchen können.

Sie können einzeln nach Benutzern und Benutzergruppen suchen.

Setzen Sie zum Aktivieren des Quarantäne-Auszug ein Häkchen in das Auswahlkästchen nebendem betreffenden Benutzer. Ist diese Option aktiviert, gelten für den Benutzer die konfiguriertenQuarantäne-Auszug-Einstellungen.

12.2 Legacy-Modus

12.2.1 Richtlinien

Mit Richtlinien können Sie sich vor Spam und Schadprogrammen schützen und Datei- undDatenschutz durchsetzen. Sie können SMTP- und POP-IMAP-Richtlinien festlegen. Im Legacy-Modusagiert die Firewall als transparenter Proxy.



XG Firewall

• Um eine neue SMTP-Schadprogramm-Richtlinie hinzuzufügen, klicken Sie auf Richtliniehinzufügen und klicken Sie dann auf SMTP-Schadprogramm-Scan.

• Um eine neue SMTP-Spam-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf SMTP-Spam-Scan.

• Um eine neue POP-IMAP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf POP-IMAP-Scan.

• Um eine Richtlinie zu bearbeiten, klicken Sie auf

.

SMTP-Schadprogramm-Scanrichtlinien

SMTP-Schadprogramm-Scanrichtlinien ermöglichen Ihnen, Maßnahmen festzulegen, die für E-Mailsdurchgeführt werden, die mit einem Virus infiziert sind oder einen geschützten Anhang enthalten.Auf Basis der in der Regel festgelegten Maßnahme können solche E-Mails unverändert zugestellt,bereinigt und zugestellt oder isoliert werden.

In einer Schadprogramm-Scanrichtlinie wird Folgendes festgelegt:

• ob die E-Mail isoliert wird

• ob der Absender, Empfänger oder Administrator benachrichtigt wird

• ob eine E-Mail, die einen bestimmten Dateityp enthält, blockiert wird

• welche Maßnahme durchzuführen ist, wenn eine E-Mail infiziert ist oder einen geschütztenAnhang enthält: zustellen, verwerfen, bereinigen und dann zustellen

In der Firewall ist eine Standard SMTP-Schadprogramm-Scanrichtlinie namens default-smtp-avvordefiniert, die auf den gesamten SMTP-Verkehr angewendet wird, sobald Sie das Modul EmailProtection abonniert haben. Wir empfehlen, dass Sie separate Regeln erstellen, die genau aufIhre spezifischen Netzwerkanforderungen abgestimmt sind, um das Risiko für Bedrohungen zuminimieren.

SMTP-Spam-Scan- und POP/IMAP-Scanrichtlinien

Eine Richtlinie legt die Maßnahme fest, die durchgeführt wird, wenn eine E-Mail als Spam,wahrscheinlicher Spam, Teil einer Virusausbreitung oder einer wahrscheinlichen Virusausbreitungerkannt wird.

Die Spam-Quarantäne speichert automatisch Spam-E-Mails. Benutzer können ihren isolierten Spamund wahrscheinlichen Spam verwalten.

XG Firewall wendet die Standard-POP-IMAP-Scan-Richtlinie (default-pop-av) auf POP3/S- undIMAP/S-Verkehr an, wobei mit Viren infizierte Anhänge von E-Mails entfernt werden und der E-Mail-Textkörper durch eine Benachrichtigung ersetzt wird.

Erkennung von Spam-Attributen

Die Appliance nutzt Inhaltsfilterung sowie Premium- und Standard Realtime Blackhole Lists RBLy,um SMTP/S-, POP3/S- und IMAP/S-E-Mails auf Spam-Attribute zu prüfen.

RBL ist eine Liste von IP-Adressen, welche entweder direkt für Spamverbreitung verantwortlich sindoder indirekt, indem Sie als Spam-Relay gekapert wurden. Die Firewall gleicht die verbindende IP-Adresse mit jeder RBL ab. Wenn die IP-Adresse in der Liste gefunden wird, führt die Firewall dieMaßnahme durch, die in der Richtlinie festgelegt ist.


XG Firewall

SMTP-Schadprogramm-Scanrichtlinie hinzufügen

SMTP-Schadprogramm-Scanrichtlinien werden nur angezeigt, wenn der Legacy-Modusaktiviert ist. Die Appliance agiert als transparenter Proxy.


Auf der Seite SMTP-Schadprogramm-Scanrichtlinien hinzufügen können Sie eine Scanrichtlinieeinrichten, um Schadprogramme in E-Mail-Datenverkehr zu erkennen und entsprechendeMaßnahmen durchzuführen.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen, klicken Sie auf Richtlinie hinzufügen unddann auf SMTP-Schadprogramm-Scanrichtlinie hinzufügen.


3. Geben Sie Details für die E-Mail-Adresse/Domänengruppe ein.

Absender Wählen Sie den Namen des Senders aus derListe der Benutzer aus.

Wählen Sie Alle aus, wenn die Regel auf alleAbsender angewendet werden soll.

Sie können auch RBLs oder eine Liste mit E-Mail-Adressen hinzufügen, indem Sie auf denLink Neu erstellen klicken.

Empfänger Wählen Sie den Namen des Empfängers ausder Liste der Benutzer aus.

Wählen Sie Alle aus, wenn die Regel auf alleEmpfänger angewendet werden soll.

Sie können auch RBLs oder eine Liste mit E-Mail-Adressen hinzufügen, indem Sie auf denLink Neu erstellen klicken.

4. Geben Sie die Anhangsfilter-Details ein.

Dateitypen blockieren Wählen Sie Dateitypen aus, die alsAnhang blockiert werden sollen, um alleDateien zu entfernen, die eine potenzielleGefahr darstellen, und um Virusangriffenvorzubeugen.

Mit den Tasten Strg/Umschalt können Siemehrere Dateitypen gleichzeitig auswählen.

XG Firewall verfügt über eine Standardlistemit Dateitypen, wobei jeder Dateityp relevanteDateierweiterungen enthält. Unter E-Mail> Dateityp können Sie eine Liste mit allenDateierweiterungen anzeigen, die blockiertwerden können.

Wählen Sie Alle aus, um alle E-Mails mitAnhängen zu blockieren.


XG Firewall

Wählen Sie Keine aus, um alle E-Mails mitAnhängen zuzulassen.

MIME-Whitelist Wenn ein oder mehrere Dateitypen unterDateityp blockieren ausgewählt ist, wirddieses Feld mit den zugehörigen MIME-Headern befüllt, die zu den ausgewähltenDateitypen gehören.

Wählen Sie die MIME-Header der gewähltenDateitypen aus. Nur die ausgewählten Headerwerden zugelassen, während alle anderenHeader des gewählten Dateityps beimAntiviren-Scan von E-Mail-Anhängen blockiertwerden.

5. Geben Sie die Schadprogramm-Filter-Details ein.

Scannen Wählen Sie die Scan-Maßnahme aus.


Deaktivieren: E-Mails werden nicht gescannt.Aktivieren: E-Mails werden von der Antiviren-Engine der Appliance gescannt.

HinweisIn Sophos XG Firewall XG105, CyberoamCR500iNG und Sophos UTM SG105und höheren Modellen sind anstelle vonAktivieren folgende Optionen verfügbar.

Einzelne Antiviren-Engine: Die primäreAntiviren-Engine scannt die E-Mails.

Zwei Antiviren-Engines: Die erste unddie zweite Engine scannen E-Mailsnacheinander.

Wählen Sie Primäre Antiviren-Engineunter E-Mail > Allgemeine Einstellungen >Malware Protection.

Maßnahme (nur verfügbar, wenn Scannenaktiviert ist)

Aktivieren Sie unter den zur Verfügungstehenden Optionen die Maßnahme, diedurchgeführt werden soll, wenn die E-Mailempfangen wird:Isolieren: Wenn diese Optionaktiviert ist, wird die E-Mail in die Quarantäne-Dateiliste kopiert. Die E-Mail wird entsprechendder Einstellungen für Empfängermaßnahmeentweder an den Empfänger übermittelt oderverworfen. Details zur E-Mail wie z.B. Absenderund Empfänger der E-Mail können in derQuarantäne angezeigt werden. Administratorenhaben unter E-Mail > SMTP-QuarantäneZugriff auf die Quarantäne und Benutzerkönnen über das Benutzerportal auf siezugreifen.Absender benachrichtigen. Wenn


XG Firewall

aktiviert, wird die ursprüngliche Nachricht vonder Appliance zurückgehalten und es wird eineBenachrichtigung an den Absender geschickt,dass die E-Mail infiziert war. Der Absendererhält die Benachrichtigung nur, wenn fürdie Empfängermaßnahme „Nicht zustellen“konfiguriert ist.


Versandmöglichkeit für infizierten Anhang/geschützten Anhang (nur verfügbar, wennScannen aktiviert ist)

Empfängermaßnahme Wählen Sie aus, welche Maßnahme ergriffenwerden soll, wenn eine Nachricht als infiziertoder verdächtig erkannt wurde oder diese einengeschützten Anhang enthält.


Nicht zustellen Der Empfänger erhält weder dieNachricht noch erhält er die Benachrichtigungüber die infizierte E-Mail.Original zustellenDer Empfänger erhält die ursprüngliche E-Mail.Entfernen und zustellen Der infizierteTeil der E-Mail wird vor der Zustellungentfernt. Der Empfänger erhält außerdem dieBenachrichtigung, dass die E-Mail infiziertwar und der infizierte Teil der E-Mail entferntwurde. Dies gilt nicht für blockierte Anhänge(Dateitypen blockieren).

HinweisGeschützte Anhänge werden nichtgescannt, der Empfänger wird aberbenachrichtigt, falls keine andere Optiongewählt wurde.

Administrator benachrichtigen Wählen Sie aus, dass der Administratorbenachrichtigt wird, wenn eine Nachricht alsinfiziert oder verdächtig erkannt wurde oderdiese einen geschützten Anhang enthält.


Nicht zustellen Der Administrator erhältkeine Benachrichtigung über die infizierte E-Mail.Original versenden Der Administrator erhältdie ursprüngliche E-Mail.Anhang entfernenDer Empfänger erhält die Nachricht ohneAnhang und der Administrator erhält eineBenachrichtigung, dass der E-Mail-Anhanginfiziert war und entfernt wurde, bevor die E-Mail zugestellt wurde.


XG Firewall

HinweisGeschützte Anhänge werden nichtgescannt, der Empfänger wird aberbenachrichtigt, falls keine andere Optiongewählt wurde.


SMTP-Spam-Scanrichtlinie hinzufügen

SMTP-Spam-Scanrichtlinien werden nur angezeigt, wenn der Legacy-Modus aktiviert ist. DieAppliance agiert als transparenter Proxy.


SMTP-Scanrichtlinie hinzufügen ermöglicht Ihnen, Scan-Richtlinien zu konfigurieren, umeingehenden und ausgehenden Spam im E-Mail-Verkehr zu erkennen und entsprechendeMaßnahmen zu ergreifen.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen, klicken Sie auf Richtlinie hinzufügen unddann auf SMTP-Spam-Scan.


3. Tragen Sie die Informationen für E-Mail-Adresse und Domänengruppe ein.

Absender Tragen Sie die E-Mail-Adressen der Absenderein. Sie können folgende Optionen auswählen:

Enthält: Tragen Sie Stichwörter ein, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Die Regel gilt für Adressen, die dieseStichwörter enthalten. Zum Beispiel: Wirddas Stichwort „mail“ eingetragen, erfasstdie Regel die [email protected], [email protected].

Gleicht: Tragen Sie die genauen E-Mail-Adressen der Absender ein.

Über den Link Neu erstellen können Sie auchRBLs, eine Liste mit E-Mail-Adressen oder mitStichwörtern hinzufügen.

Empfänger Tragen Sie die E-Mail-Adressen derEmpfänger ein. Sie können folgende Optionenauswählen:

Enthält: Tragen Sie Stichwörter ein, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Die Regel gilt für Adressen, die dieseStichwörter enthalten. Zum Beispiel: Wirddas Stichwort „mail“ eingetragen, erfasstdie Regel die Empfä[email protected], [email protected].


XG Firewall

Gleicht: Tragen Sie die genauen E-Mail-Adressen der Empfänger ein.

Über den Link Neu erstellen können Sie auchRBLs, eine Liste mit E-Mail-Adressen oder mitStichwörtern hinzufügen.

4. Wählen Sie die Filterkriterien aus.

Eingehende E-Mail ist Alle E-Mails, die von den Benutzern in ihrenPosteingängen empfangen werden, werdenals „eingehend“ bezeichnet.

Wenn Sie eingehenden Spam auswählen,werden alle E-Mails, die von den Benutzernempfangen werden, von der Appliance aufSpam und Viren gescannt.

Erkennt die Appliance in der eingehenden E-Mail eine der folgenden Bedrohungen, wird diejeweils festgelegte Maßnahme durchgeführt:


Ausgehende E-Mail ist E-Mails, die von einem Benutzer im Netzwerkan einen Remote-Benutzer auf einem anderenE-Mail-System gesendet werden, werden als„ausgehend“ bezeichnet.

Wenn Sie ausgehenden Spam auswählen,werden alle E-Mails, die von den lokalenBenutzern gesendet werden, von derAppliance auf Spam und Viren gescannt,bevor Sie übermittelt werden.

Erkennt die Appliance in der ausgehenden E-Mail eine der folgenden Bedrohungen, wird diejeweils festgelegte Maßnahme durchgeführt:


Quell-IP-Adresse/-Netzwerkadresse Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn die IP-Adresse des E-Mail-Absenders mit derhinterlegten IP-Adresse übereinstimmt.

Ziel-IP-Adresse/-Netzwerkadresse Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn die IP-Adresse des E-Mail-Empfängers mit derhinterlegten IP-Adresse übereinstimmt.

Absender entfernter Blacklist Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn der Absenderin der ausgewählten RBL-Gruppe enthaltenist.


XG Firewall

Größe der Nachricht Die festgelegte Maßnahme wird durchgeführt,wenn die Größe der E-Mail mit derfestgelegten Größe übereinstimmt.

Nachrichten-Header Die festgelegte Maßnahme wird durchgeführt,wenn der Nachrichten-Header mit demfestgelegten Text übereinstimmt oder diesenenthält.

Enthält: Geben Sie Stichwörter ein, diemit dem Nachrichten-Header abgeglichenwerden. Die Regel erfasst Header, die dieseStichwörter enthalten.

Gleicht: Tragen Sie die exakten Header ein,nach denen gescannt werden soll.

Sie können Nachrichten-Header anhandfolgender Felder auf Spam scannen:

Betreff: Die festgelegte Maßnahme wirddurchgeführt, wenn der Nachrichten-Headerden entsprechenden Text im Betreff enthält.Von: Die festgelegte Maßnahme wirddurchgeführt, wenn der Nachrichten-Headerden zutreffenden Text enthält. An: Diefestgelegte Maßnahme wird durchgeführt, wennder Nachrichten-Header den zutreffenden Textenthält. Sonstige: Die festgelegte Maßnahmewird durchgeführt, wenn der entsprechendeText in den Headern gefunden wird.

Datenkontrollliste Die festgelegte Maßnahme wirddurchgeführt, wenn die NachrichtDaten enthält, die mit der konfiguriertenDatenschutzrichtlinie übereinstimmen. Siekönnen Datenschutzrichtlinien unter E-Mail >Datenkontrollliste erstellen.

HinweisDatenschutz ist nur auf ausgehende E-Mails anwendbar.

Keine Wählen Sie diese Option aus, um ohneweitere Bedingungen eine Regel für E-Mailszwischen einem bestimmten Sender undEmpfänger zu erstellen. Sie können alleinauf Basis des Senders und EmpfängersMaßnahmen für SMTP/S-, POP3/S- oderIMAP/S-E-Mails festlegen.


Maßnahme Wählen Sie die Maßnahme aus, die für denSMTP/S-Datenverkehr durchgeführt werdensoll.


XG Firewall


Ablehnen: Die E-Mail wird abgelehnt undeine entsprechende Nachricht wird an denE-Mail-Absender geschickt. Annehmen(Nicht verfügbar für ausgehenden Spam):Die E-Mail wird zugelassen und an denvorgesehenen Empfänger zugestellt. DerAdministrator kann diese Maßnahme mit einerSPX-Vorlage verbinden, sodass die E-Mail anden vorgesehenen Empfänger zugestellt wird,nachdem sie per SPX verschlüsselt wurde.

HinweisSPX-Verschlüsselung ist nur aufausgehende E-Mails anwendbar.

Empfänger ändern: Die E-Mail wird zugelassen,aber nicht an den Empfänger zugestellt, anden die Nachricht ursprünglich gesendetwurde. Stattdessen wird die E-Mail an denEmpfänger gesendet, der in der Spam-Richtlinie festgelegt ist. Präfix im Betreffeinfügen (Nicht verfügbar für ausgehendenSpam): Die E-Mail wird zugelassen und an denvorgesehenen Empfänger zugestellt, jedocherst nachdem der Betreffzeile ein bestimmterText hinzugefügt wurde. Der Administrator kanneine SPX-Vorlage an diese Maßnahme binden,sodass die E-Mail an den vorgesehenenEmpfänger zugestellt wird, nachdem sie perSPX verschlüsselt wurde. Kennzeichnungenwerden im Feld An spezifiziert. Sie könnendie zum Betreff hinzugefügte Kennzeichnungso anpassen, dass der Empfänger weiß, dasses sich um eine Spam-E-Mail handelt. Hiereinige Beispiele, welche Kennzeichnungendem ursprünglichen Betreff hinzugefügt werdenkönnen: „Spam-Benachrichtigung von XGFirewall –“ Ursprünglicher Betreff: „Dies ist einTest“ Empfänger erhält E-Mail mit folgendemBetreff: „Spam-Benachrichtigung von XGFirewall – Dies ist ein Test“ Verwerfen: DieE-Mail wird abgelehnt, es wird jedoch keineentsprechende Nachricht an den E-Mail-Absender geschickt.

SPX-Vorlage Wenn die gewählte Maßnahme Annehmen,Präfix im Betreff einfügen oder Mit SPXannehmen ausgewählt wurde, wählen Siedie SPX-Vorlage aus, die auf die E-Mailangewendet werden soll. Sie können eineSPX-Vorlage unter E-Mail > Verschlüsselungerstellen.


XG Firewall

HinweisSPX-Verschlüsselung ist nur aufausgehende E-Mails anwendbar.

Isolieren Wenn diese Option aktiviert ist, stellt dieAppliance E-Mails nicht zu, sondern kopiertsie stattdessen in die Quarantäne-Dateiliste.Details zur E-Mail wie z.B. Absenderund Empfänger der E-Mail können in derQuarantäne-Dateiliste angezeigt werden.


POP/IMAP-Scanrichtlinie hinzufügen


Fügen Sie eine POP/IMAP-Scanrichtlinie hinzu, um einund ausgehenden Spam in POP/S- undIMAP/S-Verkehr zu erkennen.

1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen.

2. Klicken Sie auf Richtlinie hinzufügen und klicken Sie auf POP-IMAP-Scan.


4. Tragen Sie die Details für E-Mail-Adresse/Domänengruppe ein.

Absender Um die Absender-E-Mail-Adresse festzulegen,wählen Sie aus den folgenden Optionen:

Enthält: Legen Sie Stichwörter fest, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Absender-E-Mail-Adressen zu:[email protected].

Gleicht: Geben Sie die genaue E-Mail-Adresse des Absenders ein.


Empfänger Um die Empfänger-E-Mail-Adressefestzulegen, wählen Sie aus den folgendenOptionen:

Enthält: Legen Sie Stichwörter fest, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Empfänger-E-Mail-Adressen zu:[email protected].

Gleicht: Geben Sie die genaue E-Mail-Adresse des Empfängers ein.


XG Firewall


5. Wählen Sie ein Kriterium aus den folgenden Filterkriterien. Für dieses wird die angegebeneMaßnahme durchgeführt.

Eingehende E-Mail ist Wählen Sie aus den folgenden Optionen:


Quell-IP-Adresse/-Netzwerkadresse Absender-IP-Adresse stimmt mit angegebenerIP-Adresse überein.

Größe der Nachricht Die Nachrichtengröße des Absenders stimmtmit der angegebenen Begrenzung derNachrichtengröße überein.

Nachrichten-Header Wählen Sie einen der folgenden Nachrichten-Header aus, auf den das angegebeneStichwort zutreffen muss:

Betreff Von An Anderer

Wählen Sie, worauf das Stichwort zutreffenmuss:

Enthält: Geben Sie die Stichwörter ein, die mitdem Nachrichten-Header abgeglichen werden.

Gleicht: Geben Sie die genaueÜbereinstimmung mit den tatsächlichenHeadern ein.

Keine Auswählen um eine Richtlinie zwischenbestimmten Absendern und Empfängernanzulegen, ohne weitere Bedingungenfestzulegen.


Maßnahme Wählen Sie aus den verfügbaren Optioneneine Maßnahme:


Annehmen: Die E-Mail wird zugelassen undan den vorgesehenen Empfänger zugestellt.Präfix im Betreff einfügen: Die E-Mail wirdzugelassen und an den vorgesehenenEmpfänger zugestellt, jedoch erst nachdem derBetreffzeile ein bestimmtes Präfix hinzugefügtwurde. Geben Sie das Präfix im An-Feldan. Sie können über das Präfix kenntlichmachen, welches Filterkriterium erfüllt wurde.Beispiel: Original-Betreffzeile: Test-E-MailMarkierter Inhalt: Wahrscheinlich Spam DerEmpfänger erhält die E-Mail mit der Betreffzeile:„Wahrscheinlich Spam: Test-E-Mail“


XG Firewall


12.2.2 Datenkontrollliste


Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM und Sophos Firewall Modellen.

Sie können eine Datenkontrollliste mit vertraulichen Daten erstellen, indem Sie sie aus derInhaltskontrollliste (CCL) auswählen. Die Firewall stellt Inhaltskontrolllisten (content control lists,CCLs) zur Verfügung, basierend auf fachkundigen Definitionen von gängigen finanziellen undpersonenbezogenen Datentypen. Z.B. Kreditkarten- und Sozialversicherungsnummer, postalischeund E-Mail-Adressen.

Danach können Sie Datenkontrolllisten verwenden, um Datenschutz für E-Mails festzulegen.

Datenkontrollliste hinzufügen


Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM-Modellen.

Datenkontrollliste Hinzufügen ermöglicht es Ihnen, eine Liste vertraulicher Dateitypen zu erstellen.Die Firewall stellt Inhaltskontrolllisten (content control lists, CCLs) zur Verfügung basierend auffachkundigen Definitionen von gängigen finanziellen und personenbezogenen Datentypen.

1. Gehen Sie zu E-Mail > Datenkontrollliste und klicken Sie auf Hinzufügen.

2. Geben Sie den Namen ein.

3. Wählen Sie die Inhaltskontrolllisten und filtern Sie sie nach Typ und Region.


12.2.3 SMTP-Quarantäne

SMTP-Quarantäne ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


SMTP-Quarantäne ermöglicht Ihnen, nach isolierten E-Mails zu filtern. Die Seite zeigt alle E-Mailsan, die von der Appliance aus folgenden Gründen isoliert wurden:

• Von einer blockierten Quell-IP-Adresse

• Ziel ist eine blockierte Ziel-IP-Adresse

• Ist mit einem Virus infiziert

• Zu groß

• Enthält einen blockierten Header

• Enthält nicht-scanbare Inhalte oder geschützte Anhänge

• Ist von RBL blockiert


XG Firewall

• Ist durch Data Protection (DP) blockiert

• Spam


• Aus einem anderen Grund isoliert

Mithilfe des Filters können Sie in der Liste isolierter E-Mails nach E-Mails suchen.

Als Filterergebnis wird eine Liste aller isolierten E-Mails ausgegeben, die den Filterkriterienentsprechen.

Die Gesamtnutzung gibt den Prozentsatz des Quarantänebereichs an, der von isolierten E-Mailsverwendet wird. Wenn der Quarantänespeicher voll ist, werden ältere E-Mails gelöscht.

Quarantäne-Auszug

Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Quarantänebereich des Benutzers befinden. Sofern konfiguriert,erhält der Benutzer einen Quarantäne-Auszug in den unter E-Mail > Quarantäne-Auszugfestgelegten Abständen. Der Auszug enthält auch einen Link zum Benutzerportal, wo der BenutzerZugriff auf die isolierten E-Mails hat und die erforderlichen Maßnahmen ergreifen kann.

Freigabe von isolierten E-Mails

Isolierte E-Mails können vom Administrator oder von einem Benutzer freigegeben werden.Der Administrator kann die isolierten E-Mails aus dem Quarantänebereich freigeben; derBenutzer hat diese Möglichkeit im Benutzerportal. Freigegebene isolierte E-Mails werden an denPosteingangsordner des vorgesehenen Empfängers verschickt. Der Administrator kann unter E-Mail > SMTP-Quarantäne auf den Quarantänebereich zugreifen, während der Benutzer sich imBenutzerportal anmelden und unter SMTP-Quarantäne auf den Quarantänebereich zugreifen kann.Wenn der Quarantäne-Auszug konfiguriert ist, erhält der Benutzer in den festgelegten Abständeneinen Auszug der isolierten E-Mails.

Hinweis• Mit einem Virus infizierte E-Mails und E-Mails, die von Sandstorm als bösartig eingestuft

wurden, können nicht freigegeben werden.

• Um mit Sandstorm verbundene E-Mails zu löschen, benötigen Sie Lese- und Schreibrechte fürSandstorm-Aktivität.

12.2.4 Email Encryption



Was ist SPX-Verschlüsselung?

Die Verschlüsselung Secure PDF eXchange (SPX) ist eine E-Mail-Verschlüsselung der nächstenGeneration. Sie funktioniert clientlos und lässt sich in jeder Umgebung äußerst bequem einrichtenund anpassen. Mit der SPX-Verschlüsselung werden E-Mail-Nachrichten und Anhänge, die an dieAppliance geschickt werden, in ein PDF-Dokument umgewandelt, das dann mit einem Kennwortverschlüsselt wird. Sie können die Appliance so konfigurieren, dass der Absender die Kennwörter fürdie Empfänger selbst festlegen muss. Eine andere Möglichkeit ist, dass der Server das Kennwort für


XG Firewall

den Empfänger erzeugt und es für diesen speichert. Oder der Server erstellt ein Einmalkennwort fürden Empfänger.

Die verschlüsselte Nachricht wird an den Mailserver des Empfängers gesendet. Der Empfängerkann mithilfe eines PDF-Readers die E-Mail mit dem Kennwort, das zur Verschlüsselung des PDF-Dokuments verwendet wurde, entschlüsseln. Sämtliche gängigen Smartphone-Plattformen, die PDF-Dateien selbst oder über Drittanbieter unterstützen (inkl. Android-, iOS-, Blackberry- und WindowsMobilegeräte), können SPX-verschlüsselte E-Mails verarbeiten.

Die mit SPX verschlüsselte E-Mail beinhaltet eine Antworten-Schaltfläche, die zum SPX-Reply-Portal führt. Mit dem SPX-Reply-Portal kann der Empfänger auf sichere Weise antworten.

SPX-Verschlüsselung anstoßen

SPX-Verschlüsselung kann durch die folgenden Methoden angestoßen werden. Wenn Sie mehrals eine Methode konfiguriert haben, wird Verschlüsselung in der folgenden Reihenfolge aufausgehende E-Mails angewendet.

1. SPX-Verschlüsselung bei allen ausgehenden E-Mails von bestimmten Domänen durchführen.

2. Wenn ein Treffer bei Inhalten oder dem Schutz vor Datenverlust (DLP, data loss prevention)erzielt wurde.

HinweisSie können diese in der Richtlinie SMTP-Route & -Scan konfigurieren.

Unter Domänen und Routenziel, stellen Sie SPX-Vorlage auf Keine, wenn Sie E-Mailsallein aufgrund von Inhalt oder DLP verschlüsseln wollen.

3. Vom Absender angestoßenes SPX. Es wird von Endbenutzern im E-Mail-Header angewendet.Endbenutzer müssen folgendermaßen vorgehen, um jede E-Mail zu verschlüsseln:

• Bei Microsoft Outlook:

a) Gehen Sie ins Benutzerportal. Laden Sie Sophos Outlook Add-in herunter undinstallieren Sie es.

b) In Outlook, klicken Sie auf Verschlüsseln, um E-Mails zu verschlüsseln.

• Ohne Microsoft Outlook:

a) Setzen Sie das E-Mail-Header-Feld X-Sophos-SPXEncrypt auf „yes“. Das Gerätverwendet die Standard-SPX-Vorlage, sobald der SPX-Header in E-Mails gefunden wird.

SPX-Konfiguration

Standard-SPX-Vorlage Wählen Sie die SPX-Vorlage aus, diestandardmäßig verwendet werden soll. DieStandardvorlage wird verwendet, wennein Benutzer eine E-Mail explizit mit SPXverschlüsselt und keine Vorlage in derInhaltsscanregel ausgewählt ist.

Wenn die Standard-SPX-Vorlage auf Keinegestellt ist, wird die SPX-Verschlüsselung nichtauf die E-Mail angewendet.


XG Firewall

Sichere Antwort zulassen Geben Sie die maximale Zeit (in Tagen) an, dieder die Empfänger sicher über das SPX-Reply-Portal auf SPX-verschlüsselte E-Mails antwortenkann.

Nicht verwendete Kennwörter behalten für Geben Sie das Ablaufdatum in Tagen für nichtverwendete Kennwörter an.

Wenn zum Beispiel Nicht verwendeteKennwörter behalten für auf drei Tageeingestellt ist, läuft das Kennwort am dritten Tagum 00:00 Uhr ab. Das gilt, wenn keine SPX-verschlüsselte Nachricht an einen bestimmtenEmpfänger gesendet wurde.

Standard: 30 Tage

Kennwortregistrierung zulassen für Geben Sie den Zeitraum in Tagen an, nachdem der Link zum Kennwortregistrierungsportalabläuft.

Standard: 10 Tage

Fehlerbenachrichtigung senden an Geben Sie den Empfänger einer SPX-Fehlerbenachrichtigung an. Sie können dieBenachrichtigung an den Sender schickenoder gar keine Benachrichtigung senden. AlleFehlermeldungen werden im SMTP-Protokollaufgeführt.

SPX-Portaleinstellungen

Hostname Geben Sie die IP-Adresse oder Domäne an,unter welcher das Kennwortregistrierungsportalbereitgestellt wird.

Zugelassene Netzwerke Geben Sie die Netzwerke an, von welchenAnfragen zur Kennwortregistrierung akzeptiertwerden.

Port Geben Sie den Port an, auf dem das SPX-Kennwortregistrierungsportal lauschen soll.

Standard: 8094

SPX-Kennwortzurücksetzung

Kennwort zurücksetzen für Geben Sie die E-Mail-Adresse des Empfängersein, dessen Kennwort Sie zurücksetzenmöchten. Wenn an diese Adresse eineneue SPX-E-Mail versendet wird, muss derEmpfänger vom Absender ein neues Kennworterhalten.


XG Firewall

SPX-Vorlagen

Die SPX-Vorlage definiert das Layout der PDF-Datei, die Kennworteinstellungen und dieEmpfängeranweisungen. Sie können auch mehrere SPX-Vorlagen definieren. Wenn Sie mehrereKundendomänen verwalten, können Sie diesen selbstdefinierte SPX-Vorlagen zuweisen, die zumBeispiel die passenden Unternehmenslogos und -Texte enthalten.

Eine SPX-Vorlage hinzufügen



Auf dieser Seite können Sie neue SPX-Vorlagen definieren oder bestehende Vorlagen ändern.

1. Gehen Sie zu E-Mail > Verschlüsselung > SPX-Vorlagen und klicken Sie auf Hinzufügen.

2. Geben Sie die Parameterwerte für die folgenden Basiseinstellungen ein.

Name Geben Sie einen Namen ein, um die Vorlageeindeutig zu identifizieren. Der Name mussaus einer Zeichenfolge mit alphanumerischenund Sonderzeichen bestehen, mit Ausnahmevon Schrägstrich (/), Backslash (\), Komma(,), Anführungszeichen (") und einfachenAnführungszeichen (').

Beschreibung Geben Sie nähere Informationen zur Vorlagean.

Unternehmensname Geben Sie an, welcher Unternehmensname inden Benachrichtigungen bezüglich SPX, die jenach Ihren Einstellungen an den Administratoroder den E-Mail-Empfänger versendet werden,erscheinen soll.

PDF-Verschlüsselung Wählen Sie den Verschlüsselungsstandard fürPDF-Dateien.

Seitengröße Wählen Sie die Seitengröße der PDF-Datei.

3. Geben Sie die Kennworteinstellungen ein.

Kennworttyp Wählen Sie, wie Sie das Kennwort für denZugriff auf die verschlüsselte E-Mail erzeugenmöchten. Der Absender muss dafür sorgen,dass das Kennwort sicher an den Empfängerübermittelt wird, es sei denn die Option VomEmpfänger festgelegt wurde gewählt.


Vom Absender festgelegt:

Der Absender muss ein Kennwort in denBetreff in folgendem Format eingeben:[secure:<password>]<subjecttext> wobei <password> das Kennwort


XG Firewall

ist, um die verschlüsselte PDF-Dateizu öffnen und <subject text> derzufällige Betreff ist. Zum Beispiel, Betreff:[Secure:secretp@assword]. Der Absendermuss dem Empfänger das Kennwort separatzukommen lassen. Das Kennwort wirdnicht gespeichert. Das Firewall entferntdas Kennwort, sobald die E-Mail gesendetwird. Diese Methode kann mit jeder Artdes Anstoßes der SPX-Verschlüsselungverwendet werden.

Die Firewall erzeugt das Kennwort undschickt es per E-Mail an den Absender.Der Absender muss dem Empfänger dasKennwort zukommen lassen. Das Kennwortwird nicht gespeichert.

Der HTML-Inhalt dieser E-Mail kannals Betreff der Benachrichtigungoder Benachrichtigungstext formatiertwerden. Sie können den Standardinhaltwiederherstellen, indem Sie auf Zurücksetzen

klicken.

Vom Empfänger festgelegt:

Die Firewall schickt per E-Mail einenKennwortregistrierungslink an Empfänger,die noch nicht für ein Kennwort registriertsind. Nach der Registrierung schickt dieFirewall eine verschlüsselte E-Mail an denEmpfänger, für welche sie das gleicheKennwort verwendet. Das Kennwort wird biszum Ablaufdatum gespeichert. Der Empfängerkann alle zukünftigen E-Mails der Organisationmit diesem Kennwort entschlüsseln. Siekönnen die Ablaufzeit für das Kennwort unterSPX-Konfiguration festlegen.

HinweisWenn ein Empfänger verschiedene E-Mails erhält mit Kennwörtern, die durchErzeugt und für Empfänger gespeichertund Vom Empfänger festgelegt erzeugtwurden, müssen die jeweiligen Kennwörterverwendet werden, um die E-Mails zuentschlüsseln.

4. Anweisungen für den Empfänger festlegen:

Anweisungen für Empfänger Der Nachrichtentext der E-Mail, die überdie Firewall an den E-Mail-Empfängergesendet wird und Anweisungen bezüglich derVerschlüsselung der E-Mail enthält. Einfaches


XG Firewall

HTML und Hyperlinks sind erlaubt. Sie könnenauch Variablen verwenden, zum Beispiel,

%%ORGANIZATION_NAME%%

TippDie Standard-SPX-Vorlage auf dieser Registerkarte enthält alle verfügbaren Variablen und istein gutes Beispiel für Empfängeranweisungen. Die verwendeten Variablen sind:

• ENVELOPE_TO: Der Empfänger, für den das Kennwort erstellt wird.

• PASSWORD: Das Kennwort zum Öffnen der SPX-verschlüsselten E-Mail

• ORGANIZATION_NAME: Der Name aus dem Feld Name der Organisation

• SENDER: Absender der E-Mail

• REG_LINK: Link zum Registrierungsportal zur Registrierung des Kennworts.

5. SPX-Portaleinstellungen

SPX-Reply-Portal aktivieren Auswählen, um den Benutzern zu ermöglichen,mithilfe des SPX-Reply-Portals sicher auf SPX-verschlüsselte E-Mails zu antworten.

Originalmeldung in die Antwort integrieren Auswählen, um die Originalmeldung in dieAntwort zu integrieren.

12.2.5 Allgemeine Einstellungen

EinschränkungDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigemEmail-Protection-Abonnement aktiviert.

SMTP-Einsatzmodus

Um in den Legacy-Modus zu wechseln, klicken Sie auf die Schaltfläche.

Fußzeilen-Einstellungen ausgehend

E-Mail-Fußzeilenmodus Wählen Sie aus, wie Fußzeilen an ausgehende E-Mails angehängt werden sollen.

HinweisDamit eine Fußzeile angehängt wird,wählen Sie SMTP scannen und SMTPSscannen unter Scans in der betreffendenGeschäftsanwendungsregel aus.


XG Firewall

E-Mail-Fußzeile Legen Sie eine Fußzeile fest, die an ausgehendeE-Mails angehängt wird. Es sind nur Textbannerzulässig.

Beispiel:

Diese E-Mail enthält vertrauliche Informationen.Sie sind nicht berechtigt, die Inhalte ohneZustimmung des Absenders zu kopieren.Drucken Sie diese E-Mail nur aus, wenn diesunbedingt notwendig ist. Tun Sie etwas für dieUmwelt.

SMTP-Einstellungen

SMTP-Hostname Legen Sie fest, welcher SMTP-Hostname inHELO- und SMTP-Fußzeilen-Strings verwendetwerden soll. Standardmäßig verwendet XGFirewall „Sophos“ als Hostnamen. DieserHostname wird nur für vom System erzeugteBenachrichtigungen verwendet.

Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über SMTP/Seingehen und diese Größe überschreiten, werdennicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung für Scans auf 51200 KBzu erhöhen.

Maßnahme bei übergroßen E-Mails Legen Sie die Maßnahme bei übergroßen E-Mailsfest.


Annehmen: Alle übergroßen E-Mails werden ohneScan an den Empfänger weitergeleitet.Ablehnen:Alle übergroßen E-Mails werden abgewiesen undder Absender wird benachrichtigt.Verwerfen: Alleübergroßen E-Mails werden verworfen, ohne dassder Absender benachrichtigt wird.

Spamprüfung für SMTP/authentifizierteVerbindungen umgehen

Aktivieren Sie diese Option, damit dieSpamprüfung bei SMTP/S-Verbindungenumgangen wird, welche vom Mailserverauthentifiziert wurden.

Reputation der Absender-IP überprüfen Aktivieren, um die Reputation der IP-Adressedes Absenders zu überprüfen. Ist diese Optionaktiviert, überprüft die Appliance dynamisch dieIP-Adresse des Absenders aller E-Mails. Wirdfestgestellt, dass die IP-Adresse für den Versandvon Spam-Mails oder schädlichen Inhaltenverantwortlich ist, führt die Appliance die in denScanregeln konfigurierte Maßnahme durch.


XG Firewall

Wird diese Option aktiviert, legen Sie dieMaßnahme für bestätigte Spam-Mails undwahrscheinliche Spam-Mails fest.


Annehmen: Alle Spam-Mails werden nach demScan gemäß der Konfiguration an den Empfängerweitergeleitet. Ablehnen: Alle Spam-Mails werdenabgewiesen und der Absender der E-Mail erhälteine Benachrichtigung. Verwerfen: Alle Spam-Mails werden verworfen, ohne dass der Absenderbenachrichtigt wird.

Da es sich hierbei um eine globale Optionhandelt, werden – sofern die Spamprüfungaktiviert ist – alle E-Mails zunächst einer IP-Reputationsfilterung unterzogen; daran schließtsich eine Filterung basierend auf den in derSpam-Richtlinie konfigurierten Maßnahmen an.


SMTP-DoS-Einstellungen Aktivieren Sie diese Option, um die SMTP-DoS-Einstellungen zu konfigurieren, die das Netzwerkvor SMTP-DoS-Angriffen schützen.

Wird diese Option aktiviert, legen Sie Wertefür Max. Anzahl Verbindungen, Max. AnzahlVerbindungen/Host, Max. Anzahl E-Mails/Verbindung, Max. Anzahl Empfänger/E-Mail, E-Mail-Durchsatz je Minute/Host undVerbindungsdurchsatz je Sekunde/Host fest.

Max. Anzahl Verbindungen Legen Sie die maximale Anzahl der Verbindungenfest, die mit dem Mailserver aufgebaut werdenkönnen.

Standard: 1024


Max. Anzahl Verbindungen/Host Legen Sie die maximale Anzahl der Verbindungenfest, die mit dem Mailserver aufgebaut werdendürfen.

Standard: 64


Max. Anzahl E-Mails/Verbindung Legen Sie die maximale Anzahl von E-Mailsfest, die in einer einzelnen Verbindung geschicktwerden können.

Standard: 512


Max. Anzahl Empfänger/E-Mail Legen Sie die maximale Anzahl an Empfängerneiner E-Mail fest.

Standard: 100


XG Firewall


E-Mail-Durchsatz Legen Sie die Anzahl von E-Mails fest, dieinnerhalb einer Minute von einem Host gesendetwerden können.

Standard: 512


Verbindungsrate Legen Sie die Anzahl von Verbindungen fest, dieinnerhalb einer Sekunde von einem Host zumMailserver aufgebaut werden dürfen.

Standard: 8


POP/S- und IMAP/S-Einstellungen

Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über POP/IMAP eingehen und diese Größe überschreiten,werden nicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung auf 10240 KB zuerhöhen.

Empfänger-Header Legen Sie den Header zur Ermittlung desEmpfängers für POP3/IMAP fest.

Standard: Delivered-To, Received, X-RCPT-TO

SMTP-TLS-Konfiguration

TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendas CA-Zertifikat oder Server-Zertifikat für diePrüfung des SMTP-Datenverkehrs über SSLaus.


Default Appliance-ZertifikatSecurityAppliance_SSL_CA Liste eigener CAsund Server-Zertifikaten, falls vorhanden. Siekönnen eine eigene CA unter Zertifikate >Zertifizierungsstellen (CA) erstellen und eineigenes Server-Zertifikat unter Zertifikate >Zertifikate.

Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden SMTP-über-SSL-Verbindungen mit ungültigem Zertifikat vomMailserver zugelassen. Deaktivieren Sie diese


XG Firewall

Option, wenn solche Verbindungen abgewiesenwerden sollen.

Standard: Aktiviert



TLS-Aushandlung erfordern Wählen Sie aus den verfügbaren Optionenden Remote-Host (Mailserver) oder dasNetzwerk aus, bei dem TLS-Verschlüsselungeingesetzt werden soll. Mit anderen Worten,die Appliance initiiert immer TLS-gesicherteVerbindungen, wenn E-Mails an ausgewählteHosts/Netzwerke geschickt werden sollen. WennTLS durchgesetzt wird, aber die Verbindungnicht hergestellt werden kann, werden E-Mails an den betreffenden Host/das Netzwerkverworfen.

Absender-E-Mail-Domänen erfordern Geben Sie die Absenderdomäne an, für dieTLS-Verschlüsselung bei E-Mail-Verbindungenerzwungen werden soll. Die Absender-Domäneist die Domäne des E-Mail-Absenders. E-Mailsvon der festgelegten Absender-Domäne werdennur über TLS-verschlüsselte Verbindungengesendet. Wenn TLS eingesetzt wird, aberdie Verbindung nicht hergestellt werden kann,werden E-Mails von der betreffenden Absender-Domäne verworfen.

TLS-Aushandlung auslassen Wählen Sie aus den verfügbaren Optionenden entfernten Host (Mailserver) oder dasNetzwerk aus, bei dessen Verbindungen dieTLS-Verschlüsselung übersprungen oderumgangen werden soll. Sofern konfiguriert,werden SMTP-Verbindungen zu ausgewähltenHosts in Klartext und unverschlüsselt hergestellt.

POP- und IMAP-TLS-Konfiguration

TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendie CA für die Prüfung des POP- und IMAP-Datenverkehrs über SSL aus.


DefaultSecurityAppliance_SSL_CAListe eigenerCAs, sofern hinzufügt. Sie können eine eigeneCA unter Zertifikate > Zertifizierungsstellen(CA) erstellen.


XG Firewall

Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden POP-und IMAP-Verbindungen über SSL mitungültigem Zertifikat vom Mailserver zugelassen.Deaktivieren Sie diese Option, wenn solcheVerbindungen abgelehnt werden sollen.

Standard: Aktiviert



E-Mail-Journaling

Da E-Mails zu den wichtigsten Kommunikationsmedien gehören und mittlerweile fester Bestandteilim Geschäftsalltag sind, ist das Aufbewahren von E-Mails in Unternehmen unerlässlich geworden.

Mithilfe des E-Mail-Journaling können Sie alle eingehenden E-Mails oder E-Mails für einenbestimmten Empfänger oder eine Empfängergruppe aufbewahren und dadurch ein Auge aufPreisgabe von Daten haben.

Die Appliance kann alle E-Mails aufbewahren, die an einen oder mehrere Empfänger gerichtet sind,und diese dann an einen oder mehrere Administratoren weiterleiten.

In diesem Bereich wird eine Liste der erstellten Archivdateien angezeigt und Sie haben dieMöglichkeit, eine neue Archivdatei hinzuzufügen, die Einstellungen einer vorhandenen Archivdateizu aktualisieren oder die Archivdatei zu löschen. Sie können die Liste nach Empfängername filtern.

Malware Protection

Malware Protection ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR500iNG,Sophos UTM SG105 und höheren Modellen.

Sophos XG Firewall bietet duale Viren-Scans an, bei welchen der Datenverkehr von zwei (2) Anti-Virus-Engines geprüft wird. Zuerst wird der Datenverkehr von der primären Engine gescannt undanschließend von der sekundären Engine.

Primäre Antiviren-Engine Wählen Sie die primäre Anti-Virus-Engine zurPrüfung des Datenverkehrs aus. Bei dualenScans werden die Pakete erst von der primärenAnti-Virus-Engine gescannt, dann von dersekundären. Beim Einzelscan wird nur dieprimäre Engine verwendet.


SophosAvira

HinweisDie Auswahl von Avira deaktiviert Sandstorm in allen SMTP-Richtlinien mit einem einfachemAntivirenscan.


XG Firewall

E-Mail-Journal hinzufügen

E-Mail-Journal gibt es nur im Legacy-Modus (wenn die Appliance als a transparenter Proxyagiert).


E-Mail-Journal hinzufügen ermöglicht es Ihnen, Kopien von E-Mails von bestimmten Empfängernan andere E-Mail-Adressen weiterzuleiten. Sie können zum Beispiel einen Administrator alsEmpfänger angeben.

1. Gehen Sie zu E-Mail > Allgemeine Einstellungen und klicken Sie unter E-Mail-Journal aufHinzufügen.


3. Wählen Sie als Empfänger Alle, um alle eingehenden E-Mail ins Journal aufzunehmen. Alternativkönnen Sie die Adressgruppen auswählen, von deren E-Mails dann Kopien an die verschiedenenE-Mail-Adressen weitergeleitet werden.

4. Geben Sie bei Kopie der E-Mail senden an die E-Mail-Adresse an, an die eine Kopie der E-Mailsweitergeleitet werden soll.

HinweisKopie der E-Mail senden an (nur bei SMTP/S-Protokoll).


12.2.6 Adressgruppen

Richtlinien und Ausnahmen werden auf E-Mail-Adressen angewendet. Um die Konfiguration zuerleichtern, kann der Administrator Adressen gruppieren, die dieselbe Scanrichtlinie erfordern.Die Richtlinie, die auf die Adressgruppe angewendet wird, gilt für alle Gruppenmitglieder. Wirddie Gruppe in einer Reihe von Regeln verwendet, ist es daher wesentlich einfacher, der GruppeAdressen hinzuzufügen oder Adressen aus dieser zu entfernen, anstatt einzelne Regeln zuaktualisieren. Denn auf diese Weise kann der Administrator mit nur einer Aktualisierung alle Regelngleichzeitig anpassen.

Eine Adressgruppe ist eine Gruppierung anhand von:

• E-Mail-Adresse oder Domäne

• IP-Adresse

• Realtime Blackhole List (RBL) (nur für Spam-E-Mails anwendbar)

Eine Adresse kann zu mehreren Gruppen gehören.

Eine RBL ist eine Liste mit IP-Adressen, deren Eigentümer selbst für Spam verantwortlich sindoder deren System zur Verbreitung von Spam missbraucht wird. Diese IP-Adressen können auchzur Verbreitung von Viren genutzt werden. Die Appliance gleicht die verbindende IP-Adresse mitjeder RBL ab. Wird die IP-Adresse in einer der RBLs gefunden, wird die Maßnahme durchgeführt,die in der Richtlinie festgelegt ist. Der Administrator kann entweder die beiden im Lieferumfang derAppliance enthaltenen Standard-RBL-Gruppen verwenden oder diese entsprechend den eigenenAnforderungen aktualisieren:

• Premium-RBL-Dienste


XG Firewall

• Standard-RBL-Dienste

Die Seite „Adressgruppe“ enthält eine Liste mit allen Standardgruppen sowie allenbenutzerdefinierten Gruppen. Über die Optionen auf der Seite können Gruppen hinzugefügt,Parameter aktualisiert, Adressen in bestehende Gruppen importiert oder eine Gruppe gelöschtwerden. Sie können die Liste anhand des Namens der Adressgruppe filtern.

Adressgruppe hinzufügen

1. Gehen Sie zu E-Mail > Adressgruppe und klicken Sie auf Hinzufügen.

2. Geben Sie einen Namen und eine Beschreibung ein.

3. Gruppentyp: Auswählen um E-Mail-Adressen oder Domänen zur Adressgruppe hinzuzufügen.


RBL (IPv4) oder RBL (IPv6):

Auswählen, um RBLs mit IPv4 oder IPv6-Adressen oder Domänennamen hinzuzufügen.

Wenn die sich verbindende IP-Adresse in der RBL gefunden wird, führt die Appliance dieMaßnahme durch, die in der entsprechenden Richtlinie definiert ist.

E-Mail-Adresse/Domäne:

Auswählen, um E-Mail-Adresse oder Domänenname hinzuzufügen.

Importieren: Auswählen, um eine CSV- oder Textdatei hochzuladen.

Manuell: Auswählen, um individuelle E-Mail-Adressen oder Domänen hinzuzufügen.

Hinweis• Sie können maximal 400 E-Mail-Adressen oder Domänen in einer einzigen Datei

importieren.

• Ungültige und doppelte Einträge werden nicht importiert.


12.2.7 Dateitypen

Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.


.


Dateityp hinzufügen





XG Firewall






12.2.8 Quarantäne-Auszug

Quarantäne-Auszug ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.


Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Benutzer-Quarantänebereich befinden. Sofern konfiguriert, erhältder Benutzer einen Quarantäne-Auszug in den auf dieser Seite festgelegten Abständen. Der Auszugenthält auch einen Link zum Benutzerportal, wo der Benutzer Zugriff auf die isolierten E-Mails hatund die erforderlichen Maßnahmen ergreifen kann.

Die Einstellungen für den Quarantäne-Auszug können global für alle Benutzer oder für einzelneBenutzer konfiguriert werden. Der Benutzer erhält den Quarantäne-Auszug in der festgelegtenHäufigkeit.

Der Quarantäne-Auszug enthält für jede isolierte Nachricht folgende Informationen:

• Datum und Uhrzeit: Datum und Uhrzeit des Erhalts der Nachricht

• Absender: E-Mail-Adresse des Absenders

• Empfänger: E-Mail-Adresse des Empfängers

• Betreff: Betreff der Nachricht

HinweisDer Quarantäne-Auszug ist nicht für WLAN-Geräte verfügbar.

Quarantäne-Auszug für alle Benutzer konfigurieren

Quarantäne-Auszug aktivieren Aktivieren Sie den Quarantäne-Auszug,um den Auszugservice für alle Benutzer zukonfigurieren.


XG Firewall

E-Mail-Häufigkeit Legen Sie die Häufigkeit für den Versand desAuszugs fest.

Auszüge können stündlich, täglich zurkonfigurierten Uhrzeit oder wöchentlich an demkonfigurierten Tag zu der festgelegten Uhrzeitversendet werden.

Von E-Mail-Adresse Geben Sie die E-Mail-Adresse an, von der dieE-Mail gesendet werden soll.

Name anzeigen Legen Sie den Namen des E-Mail-Absendersfest. Die Auszug-E-Mail wird mit diesem Namengesendet.

Test-E-Mail senden Klicken Sie hier und geben Sie eine E-Mail-Adresse ein, an welche die Nachricht zurÜberprüfung der E-Mail-Adresse gesendetwerden soll.

Referenz-Benutzerportal-IP Wählen Sie aus der Auswahlliste Referenz-Benutzerportal-IP die Schnittstellen-/Port-IPaus.

Der Link zum Benutzerportal in der Auszug-E-Mail verweist auf diese IP-Adresse. DerBenutzer kann auf den Link klicken, um zuseinen isolierten Nachrichten zu gelangen unddie erforderlichen Maßnahmen zu ergreifen.Benutzer, die sich nicht über die festgelegteSchnittstelle verbinden, haben direkt über ihrKonto Zugriff auf die isolierten E-Mails.

Quarantäneberichte auslassen Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse desjenigen ein, dessen isolierte E-Mails Sie vom Quarantäne-Auszug ausschließenwollen. Sie können zum Beispiel die Alias-E-Mail-Adresse „[email protected]“ hinzufügen,um deren isolierte E-Mails vom Quarantäne-Auszug auszuschließen, welcher an Benutzergesendet wird, die Teil des Alias sind.

Quarantäne-Auszug-Einstellungen desBenutzers ändern

Klicken Sie hier, um die Auszug-Einstellungeneinzelner Benutzer zu ändern.

Hier können Sie die Gruppe auswählen unddie Quarantäne-Auszug-Einstellungen vonGruppenmitgliedern aktualisieren.

Quarantäne-Auszug-Einstellungen für bestimmte Benutzer überschreiben

Klicken Sie auf Quarantäne-Auszug-Einstellungen des Benutzers ändern, um die Auszug-Einstellungen für einzelne Benutzer zu ändern. Daraufhin öffnet sich ein neues Popup-Fensternamens Quarantäne-Auszug verwalten, in dem Sie nach Gruppen und Benutzern suchen können.

Sie können einzeln nach Benutzern und Benutzergruppen suchen.


XG Firewall

Setzen Sie zum Aktivieren des Quarantäne-Auszug ein Häkchen in das Auswahlkästchen nebendem betreffenden Benutzer. Ist diese Option aktiviert, gelten für den Benutzer die konfiguriertenQuarantäne-Auszug-Einstellungen.


XG Firewall

Kapitel 13

13 WebserverSie können Webserver vor Layer-7-Schwachstellen-Exploits schützen. Diese Angriffe umfassenManipulationen von Cookies, URLs und Formularen. Verwenden Sie diese Einstellungen, umWebserver, Schutzrichtlinien und Authentifizierungsrichtlinien für die Verwendung in WAF-Regen(Web Application Firewall) zu definieren. Allgemeine Einstellungen erlauben Ihnen, Webserver vorSlowHTTP-Angriffen zu schützen.

• Um den WAF-Dienst zu verwalten, gehen Sie zu Systemdienste > Dienste.

13.1 WebserverLegen Sie die Server fest, die geschützt werden sollen. Webserver legen einen Host, einen Typ undweitere Verbindungseinstellungen fest. Sie können Klartext- (HTTP) und verschlüsselte (HTTPS)Server schützen.

Zugehörige AufgabenWebserver hinzufügen (Seite 270)

13.1.1 Webserver hinzufügen

Sie müssen einen IP-Host oder FQDN-Host erstellen.

1. Gehen Sie zu Webserver > Webserver und klicken Sie auf Hinzufügen.



Option Beschreibung

Host Serverhost. Sie müssen einen IP-Host oderFQDN-Host erstellen oder auswählen.

HinweisFQDN-Hosts sind mit mehreren Servernkompatibel.

Typ Protokoll, das für die Kommunikation zwischender Firewall und dem Server verwendetwerden soll. Sie können Klartext- (HTTP) undverschlüsselte (HTTPS) Server schützen.

Port Server-Port. Standardmäßig wird derStandardport des ausgewählten Webservertypsangegeben.

Aufrechterhaltung Die Verbindung zwischen der Firewall unddem Webserver offenhalten, um nicht für jedeAnfrage eine neue Verbindung herstellen zumüssen.


XG Firewall

Option Beschreibung

HinweisÜberprüfen Sie, ob Ihr WebserverAufrechterhaltung (keep-alive) unterstützt,bevor Sie diese Einstellung einschalten.

Zeitüberschreitung Zeit in Sekunden, die die Verbindung offengehalten werden soll.

Backendverbindungen nicht wiederverwenden Alte Verbindungen aus dem Verbindungspoolnicht wiederverwenden und stattdessen jedesMal eine neue Verbindung mit dem Backend-Server herstellen.

HinweisDas Einschalten dieser Einstellung kannzu reduzierter Leistung führen und wird nurzum Zweck der Fehlersuche empfohlen.


Zugehörige KonzepteIP-Host (Seite 498)Auf der Seite IP-Host wird eine Liste aller dynamischen Hosts, Standardhosts und manuellhinzugefügten Hosts angezeigt.

FQDN-Host (Seite 501)Auf der Seite FQDN-Host wird eine Liste aller verfügbaren FQDN-Hosts angezeigt.

Webserver (Seite 270)Legen Sie die Server fest, die geschützt werden sollen. Webserver legen einen Host, einen Typ undweitere Verbindungseinstellungen fest. Sie können Klartext- (HTTP) und verschlüsselte (HTTPS)Server schützen.

13.2 SchutzrichtlinienMithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wieder Manipulation von Cookies, URLs oder Formularen. Richtlinien verhindern auch verbreiteteBedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe. Die Firewall bietetStandardrichtlinien für die Verwendung mit gängigen Internetdiensten.

Schutzeinstellungen

Cookie-Signierung Mit Cookie-Signierung können Sie Versuche,private Sitzungsdaten zu erlangen undbetrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen, vereiteln. Wennder Webserver einen Cookie setzt, wird einzweiter Cookie dem ersten hinzugefügt. Dieserenthält einen Hash, der aus Namen und Wert des


XG Firewall

primären Cookies erstellt ist, und ein Geheimnis,das nur der Firewall bekannt ist. Wenn eineAnfrage kein stimmiges Cookie-Paar ergibt, wirdder Cookie verworfen.

Statisches URL-Hardening Statisches URL-Hardening verhindert, dassBenutzer so genannte „Deep Links“ manuellerstellen, über die sich Unbefugte Zugriffverschaffen können. Wenn ein Client eineWebseite anfragt, werden alle statischen URLsder Webseite signiert, wobei eine Methodeähnlich der Cookie-Signierung verwendetwird. Zudem wird die Anfrage vom Webserveranalysiert und auf Links geprüft, die als nächstesordnungsgemäß angefragt werden können.

Form-Hardening Um SQL-Injection und andere Exploitszu verhindern, erhält Form-Hardening dieursprüngliche Struktur des Webformulars aufrechtund signiert es. Wenn sich die Struktur einesFormulars beim Abschicken verändert hat, weistdie Firewall die Anfrage ab.

Antivirus Einen Webserver vor Viren schützen.

Clients mit schlechtem Ruf blockieren Clients blockieren, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL)und der GeoIP-Information einen schlechtenRuf haben. Als RBLs verwendet die FirewallCyren IP reputation intelligence und SORBS.Für GeoIP verwendet die Firewall Maxmind. DieFirewall blockiert Clients, die zu den A1 (anonymeProxys oder VPN-Dienste) und A2 (Satelliten-ISP)Klassifikationen gehören.

Allgemeiner Bedrohungsschutz

Protokollverletzungen Einhaltung der RFC-Standardspezifikation desHTTP/S Protokolls erzwingen. Wenn dieseStandards nicht eingehalten werden, weist dies inder Regel auf eine bösartige Absicht hin.

Protokollanomalien Nach häufig auftretenden Benutzungsmusternsuchen. Wenn solche Muster fehlen, weist dieshäufig auf bösartige Anfragen hin. Zu diesenMustern gehören unter anderem HTTP-Kopfzeilenwie „Host“ und „User-Agent“.

Grenzwerte anfragen Angemessene Grenzwerte in Bezugauf die Anzahl und den Bereich vonAnfrageargumenten erzwingen. Wenn übermäßigviele Anfrageargumente genutzt werden, ist diesein typischer Angriffsvektor.

HTTPS-Richtlinie Die zulässige Nutzung des HTTP-Protokollseinschränken. Webbrowser nutzen in der Regelnur einen begrenzten Teil aller möglichen HTTP-Optionen. Wenn selten genutzte Optionen nicht


https://www.cyren.com/

http://www.sorbs.net/

https://www.maxmind.com

XG Firewall

erlaubt sind, schützt dies vor Angreifern, die aufdiese wenig unterstützten Optionen abzielen.

Schädliche Roboter Nach Eigenschaften der Nutzungsmuster vonBots und Crawlern suchen. Indem diesender Zugriff verweigert wird, können möglicheSchwachstellen Ihrer Webserver nicht so einfachentdeckt werden.

Generische Angriffe Nach versuchten Ausführungen von Befehlensuchen, die häufig bei Angriffen zum Einsatzkommen. Wenn ein Angreifer einen Webservererreicht hat, versucht er in der Regel auf demServer Befehle auszuführen, zum Beispielzur Erweiterung von Berechtigungen oderManipulation von Datenspeichern. Indem nachdiesen Ausführungsversuchen gesucht wird,können Angriffe erkannt werden, die ansonsteneventuell nicht bemerkt werden, zum Beispiel weilsie mittels legitimen Zugriff auf einen gefährdetenDienst abzielen.

SQL-Injection-Angriffe Die Anfrageargumente auf eingebettete SQL-Befehle und Maskierungszeichen prüfen. Diemeisten Angriffe auf einen Webserver zielen aufdie Eingabefelder ab, die für direkte eingebetteteSQL-Befehle an die Datenbank verwendetwerden.

XSS-Angriffe Die Anfrageargumente auf eingebettete Script-Tags und Code prüfen. Typische Scripting-Angriffe über mehrere Webseiten hinweg zielendarauf ab, in die Eingabefelder eines ZielserversScript-Code zu injizieren, oftmals auf legitimeWeise.

Hohe Sicherheit Engmaschige Sicherheitsprüfungen für Anfragendurchführen, z.B. Prüfung auf verbotene Path-Traversal-Versuche.

Trojaner Auf Nutzungsmuster prüfen, die typisch sind fürTrojaner.

HinweisDiese Einstellung verhindert nicht dieInstallation von Trojanern. Der Schutzvor Trojanern wird durch Antiviren-Scanssichergestellt.

Ausgehend Verhindern, dass Webserver Informationen anden Client preisgeben. Hierzu gehören unteranderem Fehlermeldungen, die von Servernversendet werden und die von Angreifern genutztwerden, um sensible Daten zu sammeln oderSchwachstellen zu erkennen.


XG Firewall

Zugehörige AufgabenSchutzrichtlinie hinzufügen (Seite 274)

13.2.1 Schutzrichtlinie hinzufügen

1. Gehen Sie zu Webserver > Schutzrichtlinien und klicken Sie auf Hinzufügen.


3. Legen Sie Schutzeinstellungen fest.

Option Beschreibung

Outlook Anywhere durchlassen Externen Microsoft Outlook Clients erlauben,Web Server Protection zu umgehen, um aufden Microsoft Exchange Server zuzugreifen.

Modus Verhalten bei HTTP-Anfragen. (Die Firewallprotokolliert überwachte Anfragen.)

Cookie-Signierung Schutz vor Cookie-Manipulationen.

Statisches URL-Hardening Schutz der angegebenen URLs vorUmschreiben (rewriting).

HinweisDiese Einstellung hat keinen Effekt beidynamischen URLs, die vom Client, zumBeispiel mit JavaScript, erstellt werden.

Form-Hardening Schutz der Formulare vor Umschreiben(rewriting).

Antivirus Schutz vor Viren. Wenn Sie diese Einstellungeinschalten, können Sie zusätzliches Verhaltenfestlegen.

Clients mit schlechtem Ruf blockieren Blockieren Sie Clients, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists,RBL) und der GeoIP-Information einenschlechten Ruf haben.

TippRemote-Lookups bei Clients mit einemschlechten Ruf auszulassen, kann dieLeistung verbessern.

Filter für allgemeine Bedrohungen Legen Sie einen Schutz vorallgemeinen Bedrohungen fest, z.B. vorProtokollverletzungen und Cross-Site-Scripting-Angriffen (XSS). Abhängig von denErgebnissen wird im Live-Protokoll entweder einHinweis oder eine Warnung angezeigt oder dieAnfrage wird direkt blockiert.

Sie können eine strenge Filterungverwenden, um die Durchsetzung von


XG Firewall

Option Beschreibung

Regeln zu verstärken, die für die gewähltenBedrohungsarten gelten.

HinweisDas Einschalten von strenger Filterungkann aber zu Fehlfunden führen.

Um Fehlfunde, die von einer bestimmtenRegel erzeugt wurden, zu vermeiden,fügen Sie die Nummer der Regel hinzu, dieübersprungen werden soll.

HinweisStatisches URL-Hardening und Form-Hardening betreffen alle Dateien mit der Inhaltsart HTMLoder XML. Binärdateien und andere Dateien können durch diese Art von Schutz beschädigtwerden, wenn sie als HTML oder XML angegeben sind. Um Dateien auszuschließen, ändernSie Ihre Webserver-Einstellungen, sodass betroffene Dateien mit einer anderen Inhaltsartausgeliefert werden, z.B. application/octet-stream.

4. Optional: Wenn Sie Antivirenschutz eingeschaltet haben, können Sie zusätzliches Verhaltenfestlegen.

Option Beschreibung

Modus Antiviren-Engine oder Zweifachscan.

Richtung Uploads oder Downloads oder beides.

Nicht scanbaren Inhalt blockieren Dateien blockieren, die nicht gescannt werdenkönnen, z.B. wenn sie verschlüsselt oderbeschädigt sind.

Scangröße beschränken Keine Dateien scannen, die größer als dieangegebene Größe sind. Sie können 0angeben oder diesen Wert leer lassen, um jedeDatei zu scannen.

HinweisDie Größenbeschränkung für den Scanbezieht sich auf das gesamte Upload-Volumen und nicht auf eine einzelne Datei.Wenn Sie zum Beispiel die Größe auf50 MB beschränken und innerhalb einesUpload-Vorgangs mehrere Dateien mitden Größen 45 MB, 5 MB und 10 MBhochladen, wird die letzte Datei nichtgescannt. In diesem Fall würde ein Virus inder letzten Datei nicht erkannt werden.



XG Firewall

Zugehörige KonzepteSchutzrichtlinien (Seite 271)Mithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wieder Manipulation von Cookies, URLs oder Formularen. Richtlinien verhindern auch verbreiteteBedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe. Die Firewall bietetStandardrichtlinien für die Verwendung mit gängigen Internetdiensten.

13.3 AuthentifizierungsrichtlinienMit Authentifizierungsrichtlinien können Sie formularbasierte oder Basis-Reverseproxy-Authentifizierung für Ihre Webserver anbieten. Sie können sie auch verwenden, um den Zugriff auf diePfade zu steuern, die in Firewallregeln hinterlegt sind. Die Firewall unterstützt HTTP-Authentifizierungwie in RFC 7617 beschrieben. Authentifizierungsrichtlinien legen eine Authentifizierungsmethode undBenutzer fest.

Zugehörige AufgabenAuthentifizierungsrichtlinie hinzufügen (Seite 276)

13.3.1 Authentifizierungsrichtlinie hinzufügen

1. Gehen Sie zu Webserver > Authentifizierungsrichtlinien und klicken Sie auf Hinzufügen.


3. Wählen Sie einen Client-Authentifizierungsmodus aus.

Option Beschreibung

Grundlegend Benutzer authentifizieren sich mit einfacherHTTP-Authentifizierung, d.h. indem sie ihrenBenutzernamen und Kennwort eingeben. Eswerden keine Sitzungs-Cookies erzeugt und eingezieltes Abmelden ist nicht möglich.

TippDa die Zugangsdaten unverschlüsseltgesendet werden, verwenden Sie diesenModus mit HTTPS.

Formular Benutzer geben ihre Zugangsdaten in einFormular ein. Es werden Sitzungs-Cookieserzeugt und ein gezieltes Abmelden ist möglich.

4. Legen Sie zusätzliche Client-Authentifizierungseinstellungen fest.

Option Beschreibung

Basisanzeige Bei der einfachen Benutzerauthentifizierungder Text, der Benutzern Anweisungen gibt, z.B.„Bitte geben Sie Ihre Zugangsdaten ein“.

Authentifizierungsvorlage Bei formularbasierter Authentifizierung dasFormular, das Benutzern angezeigt wird.



XG Firewall

Option Beschreibung

Benutzer oder Gruppen Benutzer oder Benutzergruppen, die diesemProfil zugewiesen sein sollten.

5. Legen Sie einen Modus für die Authentifizierungsweiterleitung fest.

Der Modus muss den Authentifizierungseinstellungen des Webservers entsprechen.

Option Beschreibung

Grundlegend Authentifizierung arbeitet mit einfacher HTTP-Authentifizierung durch Übermittlung vonBenutzername und Kennwort.

Keine Keine Authentifizierung zwischen der Firewallund den Webservern.

HinweisBenutzer werden über den Frontendmodusauthentifiziert, auch wenn Authentifizierungvon Ihren Webservern nicht unterstütztwird.

6. Legen Sie zusätzliche Einstellungen für die Authentifizierungsweiterleitung fest.

Option Beschreibung

Benutzername Zusatz Bei einfacher Authentifizierung der Affix-Typ, der automatisch zum Benutzernamenhinzugefügt wird. Zusätze sind nützlich, wennDomänen und E-Mail-Adressen verwendetwerden.

HinweisPräfix und Suffix werden hinzugefügt,wenn Benutzer nur einen Benutzernameneingeben.

Basic-Header entfernen Um keine Authentifizierung durchzuführen, denBasic-Header von Sophos XG Firewall nicht anden Webserver senden.

7. Optional: Legen Sie für formularbasierte Authentifizierung Einstellungen für die Benutzersitzungfest.

Option Beschreibung

Sitzungszeitüberschreitung Wenn innerhalb des festgelegten Intervallskeine Aktivität festgestellt wird, Benutzerzwingen, sich neu anzumelden.

Sitzungsdauer Begrenzen Sie die Zeit auf das festgelegteIntervall, während dem Benutzer angemeldetbleiben, unabhängig von der Aktivität.



XG Firewall

Zugehörige KonzepteAuthentifizierungsrichtlinien (Seite 276)Mit Authentifizierungsrichtlinien können Sie formularbasierte oder Basis-Reverseproxy-Authentifizierung für Ihre Webserver anbieten. Sie können sie auch verwenden, um den Zugriff auf diePfade zu steuern, die in Firewallregeln hinterlegt sind. Die Firewall unterstützt HTTP-Authentifizierungwie in RFC 7617 beschrieben. Authentifizierungsrichtlinien legen eine Authentifizierungsmethode undBenutzer fest.

13.4 AuthentifizierungsvorlagenAuthentifizierungsvorlagen legen HTML-Formulare für die Benutzung in formularbasiertenAuthentifizierungsrichtlinien fest.

Zugehörige AufgabenAuthentifizierungsvorlage hinzufügen (Seite 278)

13.4.1 Authentifizierungsvorlage hinzufügen

1. Gehen Sie zu Webserver > Authentifizierungsvorlagen und klicken Sie auf Hinzufügen.


3. Wählen Sie eine HTML-Vorlage aus.

4. Optional: Wählen Sie ein oder mehrere Bilder, Formatvorlagen oder JavaScript-Dateien aus, dievon der ausgewählten Vorlage verwendet werden.

5. Klicken Sie auf Hochladen.


Zugehörige KonzepteAuthentifizierungsvorlagen (Seite 278)Authentifizierungsvorlagen legen HTML-Formulare für die Benutzung in formularbasiertenAuthentifizierungsrichtlinien fest.

13.5 Allgemeine EinstellungenSie können SlowHTTP-Schutz konfigurieren und die TLS-Version einstellen.

SlowHTTP-Schutzeinstellungen

SlowHTTP-Angriffe sind DOS-Angriffe (Denial of Service), bei denen der Angreifer HTTP-Anfragenlangsam und in kleinen Stücken, eins nach dem anderen, an den Webserver sendet. Wenn eineHTTP-Anfrage nicht vollständig ist oder die Übertragungsrate sehr niedrig ist, hält der Server seineRessourcen in Bereitschaft und wartet auf den Rest der Daten. Wenn der Verbindungspool desServers sein Maximum an gleichzeitigen Verbindungen erreicht, entsteht der DoS.

SlowHTTP-Schutz hilft vor SlowHTTP-Angriffen zu schützen, indem eine Zeitüberschreitung fürAnfrageheader gesetzt wird.

Soft limit Minimale Zeitspanne für den Empfang einesAnfrageheaders.



XG Firewall

Hard limit Maximale Zeitspanne für den Empfang desAnfrageheaders.

Verlängerungsrate Menge an Daten in Bytes, um dieZeitüberschreitung um die weiche Grenze zuverlängern. Jedes Mal, wenn die Rate verlängertwird, verringert sich die weiche Grenze um eineSekunde.

Übersprungene Netzwerke/Hosts Netzwerke oder Hosts, die nicht vom SlowHTTP-Schutz betroffen sein sollen.

TLS-Versionseinstellungen

Wählen Sie TLS-Version aus, die erforderlich ist, um sich mit der WAF zu verbinden.

HinweisÜberprüfen Sie die TLS-Unterstützung Ihres Browsers, bevor Sie eine Version auswählen.

Verwandte InformationenHow to protect from slow HTTP attacks

13.6 Einen Webserver vor Angriffen schützenSie können einen Webserver vor Angriffen schützen, indem Sie eine Geschäftsanwendungsregelverwenden.

Zielsetzungen


• Einen Webserver konfigurieren, der geschützt werden soll.

• Schutzeinstellungen festlegen.

• Eine Geschäftsanwendungsregel festlegen, um den Webserver zu schützen.

FQDN-Host hinzufügen

Legen Sie einen Host für den Webserver fest.

1. Gehen Sie zu Hosts und Dienste > FQDN-Host und klicken Sie auf Hinzufügen.


Option Beschreibung

Name Meine Website

FQDN example.com




XG Firewall

Webserver konfigurieren

Konfigurieren Sie einen Webserver, der eine Website hosten soll.

1. Gehen Sie zu Webserver > Webserver und klicken Sie auf Hinzufügen.


HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.

Option Beschreibung

Name Mein Webserver

Host Meine Website


Schutzrichtlinie festlegen

Diese Einstellungen schützen das Netzwerk vor unberechtigtem Zugriff und üblichen Bedrohungen.

1. Gehen Sie zu Webserver > Schutzrichtlinien und klicken Sie auf Hinzufügen.


Option Beschreibung

Name Webserver-Schutz

3. Legen Sie Schutzeinstellungen fest.

Option Beschreibung

Outlook Anywhere durchlassen Aus

Modus Ablehnen

Cookie-Signierung Aus

Statisches URL-Hardening An

Einstiegs-URLs /

Form-Hardening An

Antivirus An

Clients mit schlechtem Ruf blockieren An

Keine Fernabfrage für Clients mit schlechtemRuf

Aus

Filter für allgemeine Bedrohungen An



XG Firewall

Geschäftsanwendungsregel festlegen

Um einen Webserver for Anwendungsexploits zu schützen, legen Sie eine Geschäftsanwendungsregelfest, welche die WAF-Vorlage verwendet. Sie geben den Webserver, Authentifizierungseinstellung undSchutzeinstellungen an.

1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen >Geschäftsanwendungsregel.


Option Beschreibung

Anwendungsvorlage Webserver-Schutz (WAF)

Regelname Meinen Webserver beschützen

3. Legen Sie Einstellungen für den gehosteten Server fest.

Option Beschreibung

Gehostete Adresse #Port1

Domänen webserver.example.com


XG Firewall

4. Legen Sie Einstellungen für den geschützten Server fest.

Option Beschreibung

Webserver-Liste Mein Webserver

5. Legen Sie Einstellungen für die Zugangsberechtigungen fest.

Option Beschreibung

Authentifizierung Basic with passthrough


Option Beschreibung

Schutz Webserver-Schutz



XG Firewall

Der Webserver wird vor den Angriffen geschützt, die in der Schutzrichtlinie festgelegt sind.


XG Firewall

Kapitel 14

14 Komplexe BedrohungenAdvanced Threat Protection ermöglicht Ihnen, allen Verkehr in Ihrem Netzwerk auf Bedrohungen zuüberwachen und entsprechende Maßnahmen zu ergreifen, zum Beispiel Pakete zu verwerfen. Siekönnen auch Sandstorm Aktivitäten und die Ergebnisse von Dateianalysen ansehen. VerwendenSie diese Ergebnisse, um das Risiko einzustufen, dem Ihr Netzwerk bei Freigabe dieser Dateienausgesetzt ist.

14.1 Schutz vor komplexen BedrohungenAdvanced Threat Protection analysiert eingehenden und ausgehenden Netzwerkverkehr (z.B. DNS-Anfragen, HTTPS-Anfragen und IP-Pakete) auf Bedrohungen. Mit ATP können Sie kompromittierteClients in Ihrem Netzwerk schnell erkennen und einen Alarm auslösen oder den Verkehr dieser Clientsverwerfen.

• Um Advanced Threat Protection einzuschalten, klicken Sie auf den Schalter ein/aus.

• Um eine Maßnahme festzulegen für den Fall, dass ATP eine Bedrohung erkennt, wählen Sie Nurprotokollieren, um das Datenpaket zu protokollieren oder Protokollieren und verwerfen, um dasPaket zu protokollieren und zu verwerfen. (Standardmäßig ist Protokollieren für ATP-Ereignisseaktiviert.)

• Um bekannte Hosts festzulegen, die von ATP ignoriert werden sollen, klicken Sie auf NeuesElement hinzufügen und wählen Sie Hosts aus.

• Um Ziel-IP-Adressen oder -Domänennamen hinzuzufügen, die bei den vonATP durchgeführten Scans auf Bedrohungen ausgenommen werden sollen,geben Sie eine Adresse ein und klicken Sie auf die Schaltfläche Hinzufügen

.

AchtungIndem Sie Quellen oder Ziele ausschließen, setzen Sie Ihr Netzwerk unter Umständen hohenRisiken aus.

14.2 Sandstorm-AktivitätAktivitätseinträge bieten grundlegende Informationen wie Zeit und Datum, an dem Dateien oder E-Mails mit verdächtigen Anhängen an Sandstorm geschickt wurden. Sie geben auch den Status zurAnalyse und Freigabe an. Verwenden Sie die hinterlegten Links, um einen detaillierten Bericht und diefreigegebenen Dateien oder E-Mails zu sehen.



• Um Informationen zu einer Sandstorm-Analyse zu sehen, klicken Sie auf Bericht anzeigen.

Berichte beinhalten folgendes:

• Download-Informationen, z.B. die Quelle und die Download-Zeit


XG Firewall

• Dateiinformationen, z.B. den Dateinamen und -typ

• Ergebnis der Analyse

• Beschreibung der möglichen Bedrohungen, die in der Datei enthalten sind

• Eine Liste aller Benutzer, die die Datei heruntergeladen haben.

• Bei E-Mails die Absender- und Empfängeradresse

Wenn Sie eine Datei freigeben, können Benutzer sie sofort herunterladen. Nur Dateien, diemomentan analysiert werden oder die mit einem Fehler beendet wurden, können nicht freigegebenwerden. Sandstorm führt die Analyse weiterhin aus, selbst wenn Sie die Datei freigeben.

AchtungDie Freigabe einer Datei bevor die Analyse abgeschlossen ist, kann dazu führen, dass Benutzerbösartigen Inhalt herunterladen.

• Um eine Datei oder E-Mail freizugeben, klicken Sie auf Jetzt freigeben.

14.3 Sandstorm-EinstellungenVerwenden Sie diese Einstellungen, um ein Rechenzentrum festzulegen und Dateien von derSandstorm-Analyse auszuschließen.

Sandstorm Rechenzentrum-Standort Dateien, die analysiert werden sollen, werdenan ein Sandstorm-Rechenzentrum in derCloud über eine sichere SSL-Verbindungübermittelt. Standardmäßig wählt die Firewalldas nächste Rechenzentrum. Sie können diesesVerhalten jedoch überschreiben, indem Sie einRechenzentrum auswählen.

AchtungEine Änderung des Rechenzentrums kannaktuell aktive Analysen abbrechen.

Dateitypen ausschließen Schließen Sie die gewählten Arten von E-Mail-Anhängen und Internetdownloads von derSandstorm-Analyse aus. (Der Dateityp wird vonder Dateierweiterung und dem MIME-Headerbestimmt.)

HinweisArchive, die Dateien der ausgewählten Typenenthalten, werden ebenfalls ausgeschlossen,unabhängig davon, welche anderenDateitypen sie noch enthalten.


HinweisObwohl Sie beliebige Dateitypenausschließen können, werden viele Typen,die als sicher betrachtet werden (z.B. Bilder),nie zur Analyse gesendet. Nur riskanteDateitypen, die Sandstorm ausführen undanalysieren kann, werden übermittelt.

Kapitel 15

15 Zentrale SynchronisierungDurch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.

• Um Security Heartbeat oder Synchronized Application Control einzuschalten, klicken Sie aufRegistrieren.

• Um Security Heartbeat zu konfigurieren, klicken Sie auf Optionale Konfigurationen und fügen SieZonen zum Feld Zonen mit fehlendem Heartbeat hinzu.

HinweisFehlende Heartbeats werden nur in diesen Zonen erkannt. Wenn eine Zone durch eineRichtlinie blockiert ist, hier aber keine Zone hinzugefügt ist, zeigt das Widget SecurityHeartbeat im Kontrollzentrum Fehlend an.

Wenn Sie die Verwaltung über Security Heartbeat, Synchronized Application Control oder SophosCentral ausschalten, sind Sie weiterhin mit Ihrem Sophos Central-Konto registriert.

• Um Ihre Registrierung bei Sophos Central aufzuheben, klicken Sie auf Registrierung aufheben.

Security Heartbeat

Security Heartbeat ermöglicht XG Firewall und Endpoints, die durch Sophos Endpoint Protectionverwaltet werden, über Sophos Central miteinander zu kommunizieren und Informationen zumSicherheitszustand der Endpoints auszutauschen, dem sogenannten Integritätsstatus. XG FirewallAdministratoren sowie Sophos Central Administratoren können Richtlinien für den Netzwerkzugriffbasierend auf dem Integritätsstatus von Endpoints festlegen. Endpoints mit Sicherheitsvorfällenkönnen sofort isoliert werden, wodurch verhindert wird, dass sich Bedrohungen über das Netzwerkverbreiten.

Endpoints authentifizieren sich über Sophos Central. Dafür müssen Endpoints den Sophos EndpointProtection Client installiert haben, der vom Sophos Central Administrator bereitgestellt werdenmuss. Sophos Endpoint Protection stellt sicher, dass der Endpoint zur Organisation gehört undeine Berechtigung für den Netzwerkzugriff hat. Diese Endpoints senden in regelmäßigen IntervallenAktualisierungen zu ihrem Integritätsstatus an XG Firewall, die im Gegenzug die festgelegtenRichtlinien basierend auf dieser Information anwendet.

Sie müssen bei Sophos Central registriert sein, um diese Funktion zu nutzen.

Das Widget Security Heartbeat auf der Seite Kontrollzentrum bietet Informationen zumIntegritätsstatus der Endpoints.

Konfigurieren Sie die Zonen mit fehlendem Heartbeat, wenn Sie Security Heartbeat einschalten.Regulieren Sie Verkehr basierend auf Heartbeat-Informationen im Bereich Erweitert der Benutzer-/Netzwerk-Firewallregeln.

Damit Security Heartbeat richtig funktioniert, müssen die folgenden Bedingungen erfüllt sein:

• Es wird kein Verkehr durch einen VPN-Tunnel geleitet, bevor die Heartbeat-Verbindunghergestellt ist. Andernfalls wird der Heartbeat-Verkehr auch durch den VPN-Tunnel geleitet.Dadurch kann die Firewall den Heartbeat-Verkehr nicht sehen und markiert den Endpoint als

fehlend. Wenn der Endpoint den Status „fehlend“ hat, wird der gesamte Datenverkehr über dieFirewall von diesem Endpoint blockiert.

HinweisSophos Connect kann die Heartbeat-Signale senden, die von einem Sophos Endpointerzeugt wurden, wenn die Verbindungsrichtlinie zulässt, dass das Heartbeat-Signal durchein VPN gesendet wird. Sie können das in Sophos Connect Admin konfigurieren.

• Der Endpoint darf sich nicht hinter einem zwischengeschalteten Router befinden. Andernfallswird ein fehlender Heartbeat nicht erkannt, was nicht so falschen Ergebnissen führt, und derEndpoint wird weiterhin seinen Integritätsstatus mitteilen.

• Der Router darf kein NAT-Gateway sein. Andernfalls können Endpoints ihren IntegritätsstatusXG Firewall nicht mitteilen.

Synchronized Application Control

Synchronized Application Control erkennt Anwendungsverkehr in Ihrem Netzwerk und kategorisiertbekannte Anwendungen automatisch. Unbekannte Anwendungen können Sie umbenennen undkategorisieren. Sie können Anwendungsverkehr basierend auf dieser Information steuern. Dieinteraktive Berichterstattung über Anwendungen gewährt tiefe Einblicke in den Netzwerkverkehr.


Verwaltung durch Sophos Central


• Um XG Firewall so zu konfigurieren, dass sie über Sophos Central überwacht und verwaltetwerden kann, klicken Sie auf Durch Sophos Central verwalten. Der Sophos Central Administratormuss XG Firewall akzeptieren, bevor Sie beginnen können, sie über Sophos Central zu verwalten.

• Um eine Firewall-Sicherung einzurichten, klicken Sie auf Konfigurieren. Die Sicherung wird aufSophos Central gespeichert.

Zugehörige AufgabenBenutzer-/Netzwerkregel hinzufügen (IPv4) (Seite 62)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

Benutzer-/Netzwerkregel hinzufügen (IPv6) (Seite 68)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

Verwandte InformationenSophos Endpoint Security and Control for Windows

https://www.sophos.com/en-us/support/documentation/endpoint-security-and-control-for-windows.aspx

Kapitel 16

16 VPNEin Virtuelles Privates Netzwerk (VPN) ist ein Tunnel, der privaten Netzwerkverkehr von einemEndpunkt zu einem anderen über ein öffentliches Netzwerk wie das Internet leitet. VPN ermöglichtBenutzern Daten zu übertragen, als ob ihre Geräte direkt im einem privaten Netzwerk verbundenwären. Sie können ein VPN verwenden, um sichere Verbindungen von einzelnen Hosts zu eineminternen Netzwerk und zwischen Netzwerken bereitzustellen. VPNs werden häufig verwendet, um dieKommunikation zwischen Mitarbeitern außerhalb der Organisation und einem internen Netzwerk undvon einer Zweigstelle zur Firmenzentrale zu sichern.

16.1 IPsec-RichtlinienInternet-Protocol-Security-(IPsec)-Profile legen eine Reihe von Verschlüsselungs- undAuthentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch)fest. Sie können Profile verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. DieStandardauswahl an Profilen unterstützt einige üblicherweise verwendeten VPN-Einsatzszenarien.

• Um ein Profil zu duplizieren, klicken Sie auf

.


Schlüsselaustausch Internet Key Exchange (IKE) Version, dieverwendet soll. IKEv2 erfordert wenigerBandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, nebenweiteren Verbesserungen.

Authentifizierungsmethode Modus, der für den Austausch vonAuthentifizierungsinformationen (Phase 1)verwendet wird.

Schlüsselaushandlungsversuche Maximale Anzahl anSchlüsselaushandlungsversuchen.

Schlüsselerneuerung zulassen Lassen Sie zu, dass die Aushandlungautomatisch von jeder Gegenstelle eingeleitetwerden kann, bevor der aktuelle Schlüsselverfällt.

Daten in komprimierten Format übergeben Daten in komprimiertem Format übergeben, umdadurch den Durchsatz zu erhöhen.

SHA-2 mit 96-Bit-Verkürzung Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.

Phase 1

Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden.

XG Firewall

Zeit bis zur Schlüsselerneuerung Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerungerneut durchgeführt werden sollte.

Zeit zufällig variieren um Faktor, um den die Schlüsselerneuerungszeit inzufälliger Weise variiert.

DH-Gruppe Diffie–Hellman-Gruppe, die für dieVerschlüsselung verwendet werden soll.

Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendetwerden sollen, um die Integrität desDatenaustauschs sicherzustellen.

Phase 2

PFS-Gruppe Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einenneuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen.



Dead Peer Detection

Dead Peer Detection Im festgelegten Intervall überprüfen, ob dieGegenstelle aktiv ist.

Gegenstelle überprüfen alle Intervall in Sekunden, in dem die Gegenstellegeprüft wird.

Auf Antwort warten bis zu Zeit in Sekunden, die auf die Rückmeldung derGegenstelle gewartet wird.

Maßnahme, wenn Gegenstelle unerreichbar Maßnahme, die durchgeführt werden soll, wennfestgestellt wird, dass die Gegenstelle inaktiv ist.

Zugehörige AufgabenEine IPsec-Richtlinie hinzufügen (Seite 291)

16.1.1 Internet Key Exchange

Internet Key Exchange ist das Protokoll, das verwendet wird, um eine Security Association (SA,Sicherheitsverbindung) in IPsec herzustellen. Die Firewall unterstützt IKE wie in RFC 2409 definiert.

Der Schlüsselaustausch besteht aus den folgenden Phasen:

• Authentifizierung (Phase 1). Während Phase 1 authentifizieren sich die Gegenstellen selbstmithilfe eines verteilten Schlüssels oder digitalen Zertifikats. Ein sicherer, authentifizierter


https://www.ietf.org/rfc/rfc2409.txt

XG Firewall

Kommunikationskanal wird erstellt, indem der Diffie–Hellman-Algorithmus einen vereinbartenSchlüssel erzeugt, um die weitere Kommunikation zu verschlüsseln. Diese Aushandlung ergibtSitzungsschlüssel und eine Sicherheitsverbindung.

• Schlüsselaustausch (Phase 2). In Phase 2 verwenden die Gegenstellen den gesicherten Kanal,der in Phase 1 hergestellt wurde, um eine IPsec-Sicherheitsverbindung auszuhandeln. DasSchlüsselmaterial für diese Verbindung wird mithilfe der Schlüssel aus IKE Phase 1 erstellt oderindem ein neuer Schlüsselaustausch entsprechend den PFS-Einstellungen durchgeführt wird.Diese Verbindung verschlüsselt die wirklichen Benutzerdaten, die zwischen den Gegenstellenausgetauscht werden.

Diffie–Hellman-Schlüsselaustausch

Der Diffie–Hellman-Schlüsselaustausch ist eine Methode, um kryptografische Schlüssel sicherüber einen unsicheren Kanal auszutauschen. Der Diffie–Hellman-Algorithmus wurde erfunden,um sichere verschlüsselte Schlüssel davor zu bewahren, während der Übermittlung über dasInternet angegriffen zu werden. Die Verwendung von Diffie–Hellman-Schlüsselaustausch mit einemAuthentifizierungsalgorithmus bietet Schutz vor Spoofing- und Man-in-the-Middle-Angriffen.

Perfect Forward Secrecy (PFS)

Perfect Forward Secrecy (PFS) ist eine Methode, um Phase-2-Schlüssel unabhängig von denvorhergehenden Schlüsseln abzuleiten. Wenn Sie PFS einstellen, wird bei jeder Aushandlung einerneuer Schlüssel erzeugt und ein erneuter Schlüsselaustausch durchgeführt. PFS bietet verbesserteSicherheit, da ein Netzwerkeindringling einen zusätzlichen Schlüssel knacken müsste.

16.1.2 Eine IPsec-Richtlinie hinzufügen

1. Gehen Sie zu VPN > IPsec-Richtlinien und klicken Sie auf Hinzufügen.


3. Legen Sie allgemeine Einstellungen fest.

Option Beschreibung

Schlüsselaustausch Internet Key Exchange (IKE) Version, dieverwendet soll. IKEv2 erfordert wenigerBandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, nebenweiteren Verbesserungen.

Authentifizierungsmethode Modus, der für den Austausch vonAuthentifizierungsinformationen (Phase 1)verwendet wird.

Hauptmodus Führt den Diffie–HellmanSchlüsselaustausch in drei Zwei-Wege-Austauschvorgängen durch.

Aggressiver Modus Führt den Diffie–HellmanSchlüsselaustausch mit drei Nachrichtendurch. Ein Tunnel kann schneller eingerichtetwerden, da während der Authentifizierungweniger Nachrichten ausgetauschtwerden und zur Verschlüsselung der


XG Firewall

Option Beschreibung

Authentifizierungsinformationen keinkryptografischer Algorithmus verwendetwird. Verwenden Sie diese Option, wenndie entfernte Gegenstelle dynamische IP-Adressen besitzt.

WarnungDer aggressive Modus ist unsicher unddeshalb nicht empfehlenswert.

Schlüsselaushandlungsversuche Maximale Anzahl anSchlüsselaushandlungsversuchen.

Schlüsselerneuerung zulassen Aktivieren Sie die Schlüsselerneuerung, um dieAushandlung automatisch vor Schlüsselablaufzu starten. Die Aushandlung kann durch dielokale oder entfernte Gegenstelle eingeleitetwerden. Je nach PFS-Einstellung wird für dieAushandlung derselbe Schlüssel verwendetoder ein neuer Schlüssel erzeugt. KonfigurierenSie die Schlüssel-Lebensdauer (key life) fürPhase 1 und 2, wenn die Option aktiviert ist.

Deaktivieren, um den Aushandlungsprozessnur zu starten, wenn die Gegenstelle eineSchlüsselerneuerungsanfrage sendet. Fallsdie Gegenstelle so konfiguriert ist, dass sienicht nach einer Schlüsselerneuerung fürdie Verbindung fragt, dann verwendet dieVerbindung denselben Schlüssel, bis dieSchlüssel-Lebensdauer abläuft. Dadurchwird die Verbindung unsicher, da kein neuerSchlüssel erzeugt wird. Das Ziel ist es, dieZeit zu begrenzen, in der ein Dritter, welcherKontrolle über die Gegenstelle erlangt hat, dieSicherheitsbeziehungen ausnutzen kann.

Daten in komprimierten Format übergeben Daten in komprimiertem Format übergeben, umdadurch den Durchsatz zu erhöhen.

SHA-2 mit 96-Bit-Verkürzung Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.

4. Legen Sie die Phase-1-Einstellungen fest.

Option Beschreibung


Zeit bis zur Schlüsselerneuerung Zeit in Sekunden der verbleibendenSchlüssel-Lebensdauer nach der dieSchlüsselerneuerung erneut durchgeführtwerden sollte. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stundenbeträgt und für die Schlüsselerneuerung einZeitrahmen von zehn Minuten zur Verfügung


XG Firewall

Option Beschreibung

steht, beginnt der Aushandlungsprozess nachsieben Stunden und 50 Minuten.

Zeit zufällig variieren um Faktor, um den die Schlüsselerneuerungszeitin zufälliger Weise variiert. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stundenbeträgt, die Schlüsselerneuerung zehn Minutenund die Varianz auf 20% eingestellt ist, beginntdie Aushandlung nach acht Minuten und endetbei zwölf Minuten.

DH-Gruppe Diffie–Hellman-Gruppe, die für dieVerschlüsselung verwendet werden soll.Die Gruppe gibt die für die Verschlüsselungverwendete Schlüssellänge vor.

HinweisDie entfernte Gegenstelle muss dieselbeGruppe verwenden.


HinweisDie entfernte Gegenstelle mussmindestens eine der festgelegtenKombinationen verwenden.

5. Legen Sie die Phase-2-Einstellungen fest.

Option Beschreibung

PFS-Gruppe Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll,um einen neuen Schlüsselaustausch für jedenPhase-2-Tunnel zu erzwingen.

HinweisDer Einsatz von PFS ist sicherer, dafürkann die Schlüsselerneuerung längerdauern. Nicht alle Hersteller unterstützenPDF. Überprüfen Sie Ihre Hardware-Spezifikationen bevor Sie eine Gruppeauswählen.

Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden. DieSchlüssel-Lebensdauer von Phase 2 musskürzer sein als die von Phase 1.

Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendet


XG Firewall

Option Beschreibung

werden sollen, um die Integrität desDatenaustauschs sicherzustellen.

HinweisDie entfernte Gegenstelle mussmindestens eine der festgelegtenKombinationen verwenden.

6. Legen Sie die Einstellungen für Dead Peer Detection fest.

Option Beschreibung

Dead Peer Detection Im festgelegten Intervall überprüfen, ob dieGegenstelle aktiv ist. Bei Verbindungenmit statischen Endpunkten wird der Tunnelautomatisch neu ausgehandelt. Verbindungenmit dynamischen Endpunkten erfordern von derRemote-Seite, den Tunnel neu auszuhandeln.

Gegenstelle überprüfen alle Intervall in Sekunden, in dem die Gegenstellegeprüft wird.

Auf Antwort warten bis zu Zeit in Sekunden, die auf die Rückmeldungder Gegenstelle gewartet wird. Wenn nichtinnerhalb des festgelegten Intervalls eineAntwort empfangen wird, wird die Gegenstelleals inaktiv eingestuft.

Maßnahme, wenn Gegenstelle unerreichbar Maßnahme, die durchgeführt werden soll, wennfestgestellt wird, dass die Gegenstelle inaktivist.


Zugehörige KonzepteIPsec-Richtlinien (Seite 289)Internet-Protocol-Security-(IPsec)-Profile legen eine Reihe von Verschlüsselungs- undAuthentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch)fest. Sie können Profile verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. DieStandardauswahl an Profilen unterstützt einige üblicherweise verwendeten VPN-Einsatzszenarien.

16.2 IPsec-VerbindungenBei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.

• Um eine Verbindung hinzuzufügen, klicken Sie auf Hinzufügen.

• Um eine Verbindung mithilfe des Verbindungsassistenten hinzuzufügen, klicken Sie auf Assistent.

• Um eine Verbindung zu aktivieren, klicken Sie auf die Statusanzeige Aktiv.



XG Firewall

• Um sich zu verbinden, klicken Sie auf die Statusanzeige.

• Um eine Verbindung herunterzuladen, klicken Sie auf

.

Tabelle 15: Verbindungs-Statusanzeigen

Aktiv Verbindung Beschreibung

Die Verbindung ist aktiv, aber nichtverbunden.

Die Verbindung ist aktiv undverbunden.

Die Verbindung ist aktiv, aber nurteilweise verbunden. Wenn fürdas LAN- oder Remote-Netzwerkmehrere Subnetze konfiguriertwerden, erstellt die Appliancefür jedes Subnetz eine Sub-Verbindung. Diese Status weistdarauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.

Verbindung ist nicht aktiv.

Failover-Gruppen

Eine Failover-Gruppe ist eine Folge von IPsec-Verbindungen.Wenn die erste Verbindungfehlschlägt, übernimmt automatisch die zweite (oder folgende) aktive Verbindung und erhältDatenfluss.

Während einem Verbindungsfehlschlag überprüft die Firewall alle 60 Sekunden den Zustand derersten Verbindung. Wenn die erste Verbindung wiederhergestellt ist, kehrt die zweite Verbindungzurück in ihre ursprüngliche Position in der Gruppe.

• Um eine Gruppe zu aktivieren und die primäre Verbindung herzustellen, klicken Sie auf die Aktiv-Statusanzeige.

Das Ausschalten einer Failover-Gruppe deaktiviert den aktiven Tunnel, der in dieser Gruppeverwendet wird.

Zugehörige AufgabenIPsec-Verbindung hinzufügen (Seite 295)

Failovergruppe hinzufügen (Seite 298)Verwandte InformationenSite-to-Site IPsec-VPN erstellen (Seite 323)Wir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen undeinrichten. Wir verwenden einen verteilten Schlüssel für die Authentifizierung.

16.2.1 IPsec-Verbindung hinzufügen

1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.



XG Firewall


Option Beschreibung

IP-Version IP-Version, die vom Tunnel unterstützt wird. DerTunnel leitet nur die Daten weiter, welche dieangegebene IP-Version verwenden.

Verbindungstyp Fernzugriff Stellt eine sichere Verbindungzwischen einzelnen Hosts und einem privatenNetzwerk über das Internet her. Sie Art derVerbindung wird gewöhnlich von Mitarbeiternverwendet, die von außerhalb der Firma auf dasFirmennetzwerk zugreifen müssen. Um eineFernzugriffsverbindung herzustellen, müssenRemote-Benutzer VPN-Clientsoftware besitzen.

Site-to-Site Stellt eine sichere Verbindungzwischen einem ganzen Netzwerk (z.B.LAN oder WAN) und einem entferntenNetzwerk über das Internet her. Diese Artder Verbindung wird häufig verwendet, umZweigstellen mit der Firmenzentrale zuverbinden.

Host-zu-Host Stellt eine sichere Verbindungzwischen zwei Hosts, z.B. einemArbeitsplatzrechner zu einem anderenArbeitsplatzrechner her.

Gateway-Typ Maßnahme, die durchgeführt werden soll,wenn der VPN-Dienst oder das VPN-Gerät neustarten.

Deaktivieren: Die Verbindung bleibtdeaktiviert, bis der Benutzer sie aktiviert.

Nur antworten: Die Verbindung befindet sichin Bereitschaft, um auf eingehende Anfragenzu antworten.

Die Verbindung initiieren Stellt die Verbindungjedes Mal her, wenn VPN-Dienste oder dasGerät neu starten.

Beim Speichern aktivieren Aktiviert die Verbindung, sobald Sie aufSpeichern klicken.

Firewallregel erstellen Erstellt eine Firewallregel für diese Verbindung.

4. Legen Sie Verschlüsselungseinstellungen fest.

Option Beschreibung

Richtlinie IPsec-Profil, das für den Datenverkehrverwendet werden soll.

Authentifizierungsmethode Authentifizierung, die für die Verbindungverwendet werden soll.

Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.


XG Firewall

Option Beschreibung

Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.

RSA-Schlüssel Authentifiziert Endpoints mithilfevon RSA-Schlüsseln.

Lokales Zertifikat Zertifikat, das für die Authentifizierung durch dieFirewall verwendet werden soll.

Entferntes Zertifikat Zertifikat, das von der entfernten Gegenstellefür die Authentifizierung verwendet werden soll.

HinweisVerwenden Sie keine öffentlicheCA als Remote-CA-Zertifikat fürdie Verschlüsselung. Dies stellt einSicherheitsrisiko für Ihre Verbindung dar,da unautorisierte Personen ein gültigesZertifikat von dieser CA erlangen könnten.

5. Legen Sie Einstellungen für das lokale Gateway fest.

Option Beschreibung

Lausch-Schnittstelle Schnittstelle, die auf Verbindungsanfragenlauscht.

Lokale ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein.

Lokales Subnetz Lokale Netzwerke, für welche Sie Fernzugriffanbieten wollen.

NAT Aktivieren Sie NAT-Traversal, wenn sichzwischen Ihren Endpunkten ein NAT-Gerätbefindet, d.h. wenn die entfernte Gegenstelleeine private oder nicht-routingfähige IP-Adressehat.

6. Legen Sie Einstellungen für das entfernte Gateway fest.

Option Beschreibung

Gateway-Adresse IP-Adresse und Port des Remote-Gateways.(Um einen beliebigen Port festzulegen, gebenSie „*“ ein.)

Entfernte ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein.

Entferntes Subnetz Remote-Netzwerke, denen Sie Zugriff gebenwollen.



XG Firewall

Option Beschreibung

Benutzerauthentifizierungsmodus Authentifizierung von VPN-Clients wird vonXAUTH erfordert.

Keine Authentifizierung nicht erforderlich.

Als Client Benutzername und Kennworterforderlich für die Authentifizierung durch dasRemote-Gateway.

Als Server Alle Benutzer, denen Zugriffgewährt werden soll.

Verbindung trennen im Leerlauf Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.

Zeitlimit bei inaktiver Sitzung Zeit in Sekunden, nach der inaktive Clientsgetrennt werden.


Zugehörige KonzepteIPsec-Verbindungen (Seite 294)Bei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.

16.2.2 Failovergruppe hinzufügen

1. Gehen Sie zu VPN > IPsec-Verbindungen.

2. Blättern Sie zu Failover-Gruppen und klicken Sie auf Hinzufügen.


4. Wählen Sie mindestens zwei Verbindungen aus.

Wenn die erste Verbindung fehlschlägt, übernimmt automatisch die zweite (oder folgende) aktiveVerbindung und erhält Datenfluss.

HinweisDie IP-Adresse der entfernten ID muss die gleiche sein für alle Verbindungen in der Gruppe.

5. Optional: Aktivieren Sie E-Mail-Benachrichtigung, um Benachrichtigungen überVerbindungsausfälle zu erhalten.

6. Optional: Aktivieren Sie Automatisches Failback, um automatisch zur primären IPsec-Verbindungzurückzukehren, wenn diese wiederhergestellt ist.

7. Legen Sie die Failover-Bedingung fest.

Die Firewall betrachtet eine Verbindung als fehlgeschlagen, wenn die Failover-Bedingung nichterfüllt ist.


Klicken Sie auf die Status-Schaltfläche, um die Gruppe zu aktivieren und die primäre Verbindungherzustellen.



XG Firewall


16.2.3 VPN-Failover

VPN-Failover bietet eine automatische Backup-Verbindung für VPN-Verkehr und stellt dadurch fürIPsec-Verbindungen eine „Immer an“-Konnektivität sicher.

Eine Failover-Gruppe ist eine Folge von IPsec-Verbindungen.Wenn die erste Verbindungfehlschlägt, übernimmt automatisch die zweite (oder folgende) aktive Verbindung und erhältDatenfluss.

Während einem Verbindungsfehlschlag überprüft die Firewall alle 60 Sekunden den Zustand derersten Verbindung. Wenn die erste Verbindung wiederhergestellt ist, kehrt die zweite Verbindungzurück in ihre ursprüngliche Position in der Gruppe.

• Pakete des in der Failover-Bedingung angegebenen Protokolls müssen vom lokalen Server anden Remote-Server zugelassen sein und die Antwort muss auf dem lokalen und entfernten Servererfolgen können.

• Eine Verbindung kann nur einer Gruppe angehören.

• Die Verbindung muss aktiv sein, um bei einem Failover berücksichtigt zu werden.

• Sobald die Verbindung als ein Mitglied zur Gruppe hinzugefügt wurde, wird Dead Peer Detectiondeaktiviert und Schlüsselaushandlungsversuche wird auf 3 gesetzt.

• Sobald die Verbindung aus der Gruppe entfernt wird, werden die ursprünglichen Richtlinien- undVerbindungskonfigurationen berücksichtigt.

• Wenn die Verbindung zum Zeitpunkt, an dem sie der Failover-Gruppe hinzugefügt wurde, bereitsbesteht, wird sie getrennt.

• Bei Rückstellung auf Werkseinstellungen wird die Failover-Konfiguration nicht beibehalten.

• Fernzugriffsverbindungen können nicht Teil einer Failover-Gruppe sein.

16.3 VPN-EinstellungenLegen Sie Einstellungen fest, die für den Fernzugriff über SSL VPN und L2TP erforderlich sind. Diesschließt Protokolle, Serverzertifikate und IP-Adressen für Clients ein.

SSL-VPN

Protokoll Protokoll, das alle SSL-VPN-Clients verwendenmüssen. TCP wird für Anwendungen empfohlen,die eine hohe Verlässlichkeit haben müssen, wieE-Mail, Internetverkehr und FTP. UDP eignet sichfür Anwendungen, die schnell und effizient Daten



XG Firewall

übertragen müssen, wie z.B. Streaming-Medien,DNS, VoIP und TFTP.

SSL-Serverzertifikat Zertifikat, das vom SSL-VPN-Server verwendetwerden soll, um sich gegenüber Clients zuidentifizieren.

Hostnamen überschreiben Hostname, der verwendet werden soll, wenn derFirewall-Hostname nicht erreichbar ist. LassenSie dieses Feld leer, wenn Sie wollen, dass derFirewall-Hostname der Zielhostname für Client-VPN-Verbindungen sein soll.

Port Falls erforderlich, ändern Sie die Portnummerauf welcher der SSL-VPN-Server lauscht. Siekönnen den gleichen Port (z.B. 443) für sichereVerbindungen zum Benutzerportal und SSL-VPN-Verbindungen verwenden, die TCP verwenden.

IPv4-Lease-Bereich IPv4-Adressbereich für SSL-Clients. Dies sollteein privater IP-Adressbereich sein.

Subnetzmaske Subnetzmaske, die für den IPv4-Adressbereichverwendet werden soll.

IPv6-Lease (IPv6Präfix) IPv6-Adressbereich für SSL-Clients.

Lease-Modus Nur IPv4-Adressen oder sowohl IPv4- als auchIPv6-Adressen zuweisen.

IPv4-DNS Primärer und sekundärer DNS-Server für IhreOrganisation.

IPv4-WINS Primärer und sekundärer Windows-Internet-Naming-Service-(WINS)-Server für IhreOrganisation.

Domänenname Hostname der Firewall. Muss als vollständigerDomänenname (FQDN) angegeben werden. DerHostname wird in Mitteilungen verwendet, um dieFirewall zu identifizieren.

Tote Gegenstelle trennen nach Zeit in Sekunden, nach der eine tote Verbindungvon der Firewall beendet wird.

Inaktive Gegenstelle trennen nach Zeit in Minuten, nach der eine inaktive Verbindungvon der Firewall beendet wird.

Verschlüsselungsalgorithmus Algorithmus zur Verschlüsselung der Daten, dieüber den VPN-Tunnel gesendet werden.

Authentifizierungsalgorithmus Algorithmus, der für Authentifizungsmeldungenverwendet werden soll.

Schlüssellänge Schlüssellänge in Bits. Längere Schlüssel sindsicherer.

Schlüsselgültigkeit Zeit in Sekunden, nach welcher die Schlüsselablaufen.

SSL-VPN-Verkehr komprimieren Daten, die über SSL-VPN-Tunnel gesendetwerden, vor der Verschlüsselung komprimieren.

Fehlersuchmodus aktivieren Mehr Informationen im SSL-VPN-Protokollbereitstellen, die nützlich zur Fehlersuche sind.


XG Firewall

L2TP

• Um Benutzern Zugang zu Ihrem Netzwerk über L2TP zu gewähren, legen Sie die Einstellungenfest und klicken Sie auf Übernehmen. Klicken Sie danach auf Mitglieder hinzufügen und wählenSie Benutzer aus.

• Um die Benutzer zu sehen, denen der Zugang über L2TP gewährt wird, klicken Sie auf Mitgliederanzeigen.

L2TP aktivieren Gewähren Sie bestimmten Benutzern Zugang zuIhrem Netzwerk über L2TP.

IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendetdie zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.

HinweisL2TP- und PPTP-Bereiche dürfen sich nichtüberschneiden.

Zulassen, dass L2TP-, PPTP- und SophosConnect Client ihre IP-Adresse vom RADIUS-Server beziehen

Wenn Benutzer an einem RADIUS-Serverauthentifiziert werden, die IP-Adresse verwenden,die vom RADIUS-Server vergeben wird. Wennvom RADIUS-Server keine Adressen vergebenwerden, wird die für den Benutzer konfiguriertestatische Adresse zugewiesen oder es wird eineAdresse aus dem angegebenen Adressbereichvergeben.

Clientdaten Primärer DNS-Server, der für Verbindungenverwendet werden soll. Optional können Sieeinen sekundären DNS-Server und WINS-Serverfestlegen.

16.4 SSL-VPN (Fernzugriff)Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.

Benutzer können ein für sie angepasstes SSL-VPN-Client-Programmpaket vom Benutzerportalherunterladen. Das Paket beinhaltet einen SSL-VPN-Client, SSL-Zertifikate und eine Konfiguration.Der Client unterstützt viele übliche Geschäftsanwendungen.

Fernzugriffs-Richtlinien verwenden OpenVPN, eine umfangreiche SSL-VPN-Lösung.

Zugehörige AufgabenFernzugriffs-Richtlinie hinzufügen (Seite 302)Verwandte InformationenRemote-Zugriff SSL-VPN erstellen (Seite 313)


XG Firewall

Wir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf einlokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriffauf Firmenressourcen über TCP-Port 443 anzubieten.

16.4.1 Fernzugriffs-Richtlinie hinzufügen

1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.


3. Legen Sie Identitätseinstellungen fest.

Option Beschreibung

Mitglieder der Richtlinie Benutzer oder Gruppen, die Zugriff auf dieNetzwerk-Ressourcen haben sollen.

4. Legen Sie Tunnelzugriffseinstellungen fest.

Option Beschreibung

Als Standardgateway verwenden Diese Fernzugriffs-Richtlinie alsStandardgateway verwenden. Imeingeschalteten Zustand wird aller Verkehrinklusive externen Internetanfrage anein Standardgateway weitergeleitet. Imausgeschalteten Zustand werden interner undexterner Verkehr von verschiedenen Gatewaysgehandhabt.

Zugelassene Netzwerkressourcen Ressourcen (z.B. Schnittstellen), auf die dieseRichtlinie zugreifen darf.

5. Legen Sie Einstellungen für Abmeldung bei Zeitüberschreitung fest.

Option Beschreibung

Inaktive Client-Verbindungen trennen Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.

Globale Zeitüberschreitung überschreiben Zeit, nach der inaktive Clients getrennt werden.


Gehen Sie zu Verwaltung > Appliance-Zugriff und aktivieren Sie LAN- und WAN-Zonen für dasBenutzerportal.

Zugehörige KonzepteSSL-VPN (Fernzugriff) (Seite 301)Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.

16.5 SSL-VPN (Site-to-Site)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf die


XG Firewall

Client-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.

• Um eine Serververbindung herunterzuladen, klicken Sie auf

.

Zugehörige AufgabenServer-Verbindung hinzufügen (Seite 303)Erstellen Sie den Server für den Site-to-Site-VPN-Tunnel.

Client-Verbindung hinzufügen (Seite 304)Erstellen Sie den Client für den Site-to-Site-VPN-Tunnel.

Verwandte InformationenSite-to-Site-SSL-VPN erstellen (Seite 319)Wir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPNerlaubt einer Zweigstelle sich mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstellewerden sich mit dem LAN der Hauptgeschäftsstelle verbinden können.

Netzwerke: Site-to-Site IPsec-VPN verteilte Schlüssel

16.5.1 Server-Verbindung hinzufügen

Erstellen Sie den Server für den Site-to-Site-VPN-Tunnel.

1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).

2. Klicken Sie im Bereich Server auf Hinzufügen.



Option Beschreibung

Statische virtuelle IP-Adresse verwenden Weisen Sie dem Client lieber die angegebeneIP-Adresse zu als eine Adresse aus demAdresspool. Aktivieren Sie diese Option, um zuverhindern, dass eine Adresse vergeben wird,die schon in Verwendung ist. Legen Sie eine IP-Adresse fest, die keinen Konflikt mit anderenHosts erzeugt, wie z.B. eine private IP-Adresse.

Lokale Netzwerke Netzwerke, mit denen sich Remote-Netzwerkeüber den Tunnel verbinden dürfen.

Remote-Netzwerke Netzwerke, auf die auf der Remote-Firewallüber den Tunnel zugegriffen wird.


Laden Sie die Server-Konfigurationsdatei herunter und erstellen Sie die Client-Verbindung.

Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiieren


https://www.youtube.com/watch?v=F8jVQ-6b230

XG Firewall

können. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.

16.5.2 Client-Verbindung hinzufügen

Erstellen Sie den Client für den Site-to-Site-VPN-Tunnel.

Um eine Client-Verbindung hinzufügen zu können, müssen Sie eine Server-Konfigurationsdateihaben.


2. Klicken Sie im Bereich Client auf Hinzufügen.


4. Klicken Sie auf Datei auswählen und wählen Sie eine Server-Konfigurationsdatei aus.

5. Wenn die Datei verschlüsselt ist, geben Sie das Kennwort ein.

6. Optional: Legen Sie Einstellungen fest.

Option Beschreibung

HTTP-Proxy-Server verwenden Erlauben Sie dem Tunnel, sich über denangegebenen Web-Proxy-Server zu verbinden.Dies wird üblicherweise frei gelassen.

Gegenstellen-Hostnamen überschreiben Hostname, der verwenden werden soll, wennder Hostname auf der Serverseite nichtöffentlich geroutet werden kann. Dies wirdüblicherweise frei gelassen.


Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.

16.6 Sophos Connect ClientSophos Connect Client ist eine VPN-Software, die auf Microsoft Windows 7 SP2 und neuer sowie MacOS 10.12 und neuer läuft. Sie baut höchst sichere, verschlüsselte VPN-Tunnel für Remote-Mitarbeiterauf. Sie können den Sophos Connect Client und Sophos Connect Admin herunterladen, indem Sie aufHerunterladen auf der Seite Sophos Connect Client klicken. Sie können unter Sicherung & Firmware> Pattern-Updates überprüfen, ob das Pattern für die Sophos Connect Clients heruntergeladen wurde.

• Um Fernzugriff auf Ihr Netzwerk über den Sophos Connect Client zu gewähren, legen SieEinstellungen fest, fügen Sie Benutzer hinzu, aktivieren Sie den Sophos Connect Client und klickenSie auf Übernehmen.


XG Firewall

HinweisDie hier konfigurierte Sophos Connect Client Richtlinie ist eine „Alles tunneln“-Richtlinie.Sie können die Richtlinie in von Sophos Connect Admin ändern, um getrenntes Tunneln zuverwenden. Anweisungen, wie Sie die Richtlinie ändern können, finden Sie unter SophosConnect Admin.

• Um eine Verbindung zu exportieren, aktivieren Sie den Sophos Connect Client und klicken Sie aufVerbindung exportieren.

HinweisSie können die Verbindung nicht exportieren, solange ein externes Zertifikat als EntferntesZertifikat ausgewählt ist.

Die Remote-Benutzer importieren die Verbindungsdatei (.tgb) und stellen eine Verbindung mithilfevon Sophos Connect Client her. Weitere Informationen finden Sie unter Sophos Connect Hilfe(englisch).

• Um zu den Werkseinstellungen zurückzukehren, klicken Sie auf Zurücksetzen.


Sophos Connect Client Aktivieren Sie den Sophos Connect Client.

Schnittstelle Wählen Sie den WAN-Port, der als Endpoint fürIhren Tunnel agiert.


• Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.

• Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.

Lokale ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein. DER ASN1DN(X.509) ist nicht zulässig.

Entfernte ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein. DER ASN1DN(X.509) ist nicht zulässig.

Zugelassene Benutzer Benutzer, die sich mithilfe des konfiguriertenSophos Connect Clients verbinden dürfen.

Clientdaten

IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendet


http://docs.sophos.com/nsg/sophos-connect/configuration/en-us/scon_cg.html

http://docs.sophos.com/nsg/sophos-connect/configuration/en-us/scon_cg.html

http://docs.sophos.com/nsg/sophos-connect/help/en-us/index.html

http://docs.sophos.com/nsg/sophos-connect/help/en-us/index.html

XG Firewall

die zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.





Verbindung abbrechen, wenn Tunnel inaktivist

Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.


Verwandte InformationenNetzwerke: Cisco IPsec VPN Client

16.7 L2TP (Fernzugriff)Das Layer Two Tunneling Protocol (L2TP) ermöglicht Ihnen, Verbindungen zu Ihrem Netzwerk überprivate Tunnel über das Internet anzubieten. Die Firewall unterstützt L2TP wie in RFC 3931 definiert.

HinweisUm eine Verbindung zu aktivieren, müssen Sie zunächst L2TP einschalten. Klicken Sie auf VPN-Einstellungen anzeigen und klicken Sie auf das Tab L2TP.

• Um eine Verbindung zu aktivieren, klicken Sie auf die Statusanzeige Aktiv.

• Um sich zu verbinden, klicken Sie auf die Statusanzeige.

Tabelle 16: Verbindungs-Statusanzeigen


Die Verbindung ist aktiv, aber nichtverbunden.

Die Verbindung ist aktiv undverbunden.


https://www.youtube.com/watch?v=_YG-kDOf8HM


XG Firewall


Die Verbindung ist aktiv, aber nurteilweise verbunden. Wenn fürdas LAN- oder Remote-Netzwerkmehrere Subnetze konfiguriertwerden, erstellt die Appliancefür jedes Subnetz eine Sub-Verbindung. Diese Status weistdarauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.

Verbindung ist nicht aktiv.

Zugehörige AufgabenFernzugriffsverbindung hinzufügen (Seite 307)

16.7.1 Fernzugriffsverbindung hinzufügen

1. Gehen Sie zu VPN > L2TP (Fernzugriff) und klicken Sie auf Hinzufügen.



Option Beschreibung

Richtlinie IPsec-Profil, das für den Datenverkehrverwendet werden soll.

Gateway-Typ Maßnahme, die durchgeführt werden soll,wenn der VPN-Dienst oder das VPN-Gerät neustarten.

Deaktivieren: Die Verbindung bleibtdeaktiviert, bis der Benutzer sie aktiviert.

Nur antworten: Die Verbindung befindet sichin Bereitschaft, um auf eingehende Anfragenzu antworten.

4. Legen Sie Authentifizierungseinstellungen fest.

Option Beschreibung


Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.

Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.

5. Legen Sie die lokalen Netzwerkinformationen fest.


XG Firewall

Option Beschreibung

Lokaler WAN-Port WAN-Port, der als Endpoint für Ihren Tunnelagiert.

Lokale ID Bei verteiltem Schlüssel, wählen Sie einenID-Typ und geben Sie einen Wert ein. DERASN1DN (X.509) ist nicht zulässig.

6. Legen Sie die entfernten Netzwerkinformationen fest.

Option Beschreibung

Remote-Host IP-Adresse oder Hostname des entferntenEndpunkts.(Um eine beliebige IP-Adressefestzulegen, geben Sie „*“ ein.)

NAT-Traversal zulassen Aktivieren Sie NAT-Traversal, wenn sichzwischen Ihren Endpunkten ein NAT-Gerätbefindet, d.h. wenn die entfernte Gegenstelleeine private oder nicht-routingfähige IP-Adressehat.

Entferntes Subnetz Remote-Netzwerke, denen Sie Zugriff gebenwollen.

Entfernte ID Bei verteiltem Schlüssel, wählen Sie einenID-Typ und geben Sie einen Wert ein. DERASN1DN (X.509) ist nicht zulässig.

7. Legen Sie die Schnellmodus-Kennzeichner fest.

Option Beschreibung

Lokaler Port Port, den die lokale Gegenstelle für TCP- oderUDP-Verkehr verwendet.(Um einen beliebigenPort festzulegen, geben Sie „*“ ein.)

Entfernter Port Port, den die entfernte Gegenstelle für TCP-oder UDP-Verkehr verwendet.(Um einenbeliebigen Port festzulegen, geben Sie „*“ ein.)


Option Beschreibung

Verbindung abbrechen, wenn Tunnel inaktiv ist Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.



Zugehörige KonzepteL2TP (Fernzugriff) (Seite 306)Das Layer Two Tunneling Protocol (L2TP) ermöglicht Ihnen, Verbindungen zu Ihrem Netzwerk überprivate Tunnel über das Internet anzubieten. Die Firewall unterstützt L2TP wie in RFC 3931 definiert.



XG Firewall

16.8 PPTP (Fernzugriff)Mithilfe des Point-to-Point Tunneling Protocol (PPTP) können Sie Verbindungen zu IhremNetzwerk über private Tunnel über das Internet anbieten. Das Protokoll selbst besitzt keineVerschlüsselungs- oder Authentifizierungsfunktionen. Die Firewall unterstützt jedoch verschiedeneAuthentifizierungsoptionen wie Password Authentication Protocol (PAP), Challenge HandshakeAuthentication Protocol (CHAP) und Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2). Die Firewall unterstützt PPTP wie in RFC 2637 beschrieben.

• Um Benutzern Zugang zu Ihrem Netzwerk über PPTP zu gewähren, legen Sie die Einstellungenfest und klicken Sie auf Übernehmen. Klicken Sie danach auf Mitglieder hinzufügen und wählenSie Benutzer aus.

• Um die Benutzer zu sehen, denen der Zugang über PPTP gewährt wird, klicken Sie auf Mitgliederanzeigen.

PPTP aktivieren

PPTP aktivieren Gewähren Sie bestimmten Benutzern Zugang zuIhrem Netzwerk über PPTP.


IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendetdie zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.




Clientdaten Primärer DNS-Server, der für Verbindungenverwendet werden soll. Optional können Sieeinen sekundären DNS-Server und WINS-Serverfestlegen.



XG Firewall

16.9 Clientloser ZugriffErmöglichen Sie Benutzern, mithilfe eines Browsers und ohne zusätzliche Plug-Ins, auf Dienste undBereiche (wie zum Beispiel entfernte Desktops und Dateien) in Ihrem Netzwerk zuzugreifen. Richtlinienfür clientlosen Zugriff legen Benutzer (Richtlinien-Mitglieder) und Lesezeichen fest.

Verwenden Sie clientlose Zugriffsrichtlinien, um Zugriff auf interne Ressourcen zu gewähren, dieselbst nicht den Multi-User-Modus unterstützen (z.B. Netzwerkhardware wie Switches) oder denZugriff auf bestimmte Dienst beschränken, anstatt Zugriff auf ganze System oder Netzwerke zugeben. Benutzer erhalten Zugriff zu Ihrem Netzwerk über die Lesezeichen auf der Seite VPN imBenutzerportal.

TippUm Benutzern von außerhalb Ihres Netzwerks clientlosen Zugriff zu gewähren, erlauben SieWAN-Zugriff auf das Benutzerportal.

Zugehörige AufgabenClientlose Zugriffsrichtlinie hinzufügen (Seite 310)

16.9.1 Clientlose Zugriffsrichtlinie hinzufügen

Um eine Richtlinie konfigurieren zu können, müssen Sie mindestens ein Lesezeichen erstellen.

1. Gehen Sie zu VPN > Clientloser Zugriff und klicken Sie auf Hinzufügen.


3. Legen Sie Identitätseinstellungen fest.

Option Beschreibung

Mitglieder der Richtlinie Benutzer oder Gruppen, die Zugriff auf dieLesezeichen haben sollen.

4. Legen Sie clientlose Portaleinstellungen fest.

Option Beschreibung

Veröffentlichte Lesezeichen Lesezeichen oder Lesezeichengruppen, auf dieRichtlinienmitglieder Zugriff haben.

Webanwendungen beschränken Bereich Sicheres Internetsurfen imBenutzerportal nicht anzeigen. Dieserbeschränkt die Benutzer auf URLs, die in denLesezeichen festgelegt sind.


Zugehörige KonzepteClientloser Zugriff (Seite 310)Ermöglichen Sie Benutzern, mithilfe eines Browsers und ohne zusätzliche Plug-Ins, auf Dienste undBereiche (wie zum Beispiel entfernte Desktops und Dateien) in Ihrem Netzwerk zuzugreifen. Richtlinienfür clientlosen Zugriff legen Benutzer (Richtlinien-Mitglieder) und Lesezeichen fest.


XG Firewall

16.10 LesezeichenLesezeichen legen eine URL, einen Verbindungstyp und Sicherheitseinstellungen fest. Verwenden SieLesezeichen mit Richtlinien für den clientlosen Zugriff, um den Benutzern Zugriff auf interne Netzwerkeoder Dienste zu geben. Zum Beispiel möchten Sie vielleicht Zugriff auf Dateien ermöglichen oder aufentfernte Desktops. Benutzer können auf Lesezeichen über die Seite VPN im Benutzerportal zugreifen.

Zugehörige AufgabenLesezeichen hinzufügen (Seite 311)

16.10.1 Lesezeichen hinzufügen

1. Gehen Sie zu VPN > Lesezeichen und klicken Sie auf Hinzufügen.


3. Wählen Sie einen Typ (Protokoll) aus.

HinweisWenn Sie einen sicheren Typ auswählen, müssen Sie die Sicherheitseinstellungen festlegen.

Option Beschreibung

HTTPS Sicherer, browser-basierter Zugriff zuWebanwendungen mithilfe des HypertextTransfer Protocol.

HTTP Nicht-sicherer, browser-basierter Zugriff zuWebanwendungen mithilfe des HypertextTransfer Protocol.

RDP Zugriff zu entfernten Desktops mithilfe desRemote Desktop Protocol.

TLS-, NLA- und RPD-Protokollsicherheit wirdunterstützt. Ihre Sicherheitseinstellungenmüssen mit den Servereinstellungen vereinbarsein.

TELNET Terminal-Zugriff mit dem Telnet-Protokoll.

SSH Sicherer Terminal-Zugriff mit Secure SocketShell.

FTP Nicht-sicherer Zugriff zu Servern mit dem FileTransfer Protocol.

FTPS Sicherer Zugriff zu Servern mit dem FileTransfer Protocol. Die Sicherheit ist durch TLSund SSL gewährleistet.

SFTP Sicherer Zugriff zu Servern mit dem Secure FileTransfer Protocol. Die Sicherheit ist durch SSHgewährleistet.


XG Firewall

Option Beschreibung

SMB Zugriff auf Server mit dem Server MessageBlock Dateitausch-Protokoll.

VNC Entfernter Zugriff auf Linux-/UNIX-Hosts mitVirtual Network Computing.

Klassische VNC-Authentifizierung (nurKennwort) wird unterstützt.

4. Geben Sie die URL der Website oder die IP-Adresse des Servers ein, zu dem Sie Zugriff gebenmöchten.

HinweisDie Standard-Portnummer sollten nur erfahrene Benutzer ändern.

5. Legen Sie die benötigten Sicherheitseinstellungen fest.

• Für SSH: Legen Sie einen Benutzernamen fest und fügen Sie den öffentlichen Hostschlüsselein.

• Für FTPS: Fügen Sie den öffentlichen Hostschlüssel ein.

• Für SFTP: Geben Sie einen Benutzernamen ein und wählen Sie eineAuthentifizierungsmethode. Legen Sie ein Kennwort fest und fügen Sie die erforderlichenSchlüssel ein.


Option Beschreibung

Automatische Anmeldung Wenn aktiviert, müssen Benutzer keineAnmeldedaten angeben. Die Sitzung wird unterVerwendung des festgelegten Benutzernamensund Kennworts aufgebaut.

Sitzung teilen Wenn aktiviert, können Benutzer die gleicheVerbindung simultan verwenden, was ihnenerlaubt, denselben Bildschirminhalt zu sehen.

Domäne Domäne, auf die der Benutzer zugreifen darf.

Verwiesene Domänen Domänen oder URLs, die Formatierungenoder Skripte enthalten (z.B. CSS oderJavaScript), welche erforderlich sind, um diemit einem Lesezeichen gekennzeichnete URLentsprechend darzustellen.

Entferntes Verzeichnis initialisieren Entferntes Verzeichnis Nach erfolgreicherAuthentifizierung wird der Benutzer zumangegebenen Ordner auf dem entferntenServer umgeleitet.


Zugehörige KonzepteLesezeichen (Seite 311)Lesezeichen legen eine URL, einen Verbindungstyp und Sicherheitseinstellungen fest. Verwenden SieLesezeichen mit Richtlinien für den clientlosen Zugriff, um den Benutzern Zugriff auf interne Netzwerke


XG Firewall

oder Dienste zu geben. Zum Beispiel möchten Sie vielleicht Zugriff auf Dateien ermöglichen oder aufentfernte Desktops. Benutzer können auf Lesezeichen über die Seite VPN im Benutzerportal zugreifen.

16.11 LesezeichengruppenLesezeichengruppen ermöglicht es Ihnen, Lesezeichen für einfaches Auffinden zu kombinieren. Siekönnen zum Beispiel eine Gruppe erstellen, die alle Lesezeichen für entfernte Desktops beinhaltet,sodass Sie den Zugriff nicht individuell definieren müssen.

Zugehörige AufgabenLesezeichengruppe hinzufügen (Seite 313)

16.11.1 Lesezeichengruppe hinzufügen

1. Gehen Sie zu VPN > Lesezeichengruppen und klicken Sie auf Hinzufügen.


3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Lesezeichen aus.


Zugehörige KonzepteLesezeichengruppen (Seite 313)Lesezeichengruppen ermöglicht es Ihnen, Lesezeichen für einfaches Auffinden zu kombinieren. Siekönnen zum Beispiel eine Gruppe erstellen, die alle Lesezeichen für entfernte Desktops beinhaltet,sodass Sie den Zugriff nicht individuell definieren müssen.

16.12 Remote-Zugriff SSL-VPN erstellenWir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf einlokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriffauf Firmenressourcen über TCP-Port 443 anzubieten.

Zielsetzungen


• Einen Adressbereich für SSL-VPN-Clients angeben.

• Eine Benutzergruppe für SSL-VPN-Clients erstellen und einen Benutzer hinzufügen.

• Ein lokales Subnetz und einen entfernten SSL-VPN-Bereich festlegen.

• Eine SSL-VPN-Fernzugriffs-Richtlinie hinzufügen.

• Firewallregel hinzufügen.

• SSL-VPN-Client-Software vom Client herunterladen und mit dem internen Netzwerk verbinden.

• Verbindung prüfen.

Zugehörige KonzepteSSL-VPN (Fernzugriff) (Seite 301)


XG Firewall

Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.

VPN-Einstellungen angeben

Wir geben einen IP-Adressbereich für SSL-Clients an. Dies ist ein privater Adressbereich. Wenn sichSSL-Clients anmelden, wird Ihnen eine Adresse aus dem Adressbereich zugewiesen.

1. Gehen Sie zu VPN und klicken Sie auf VPN-Einstellungen anzeigen.

2. Geben Sie einen Lease-Bereich an.


Benutzergruppe und Benutzer hinzufügen

Wir legen eine Benutzergruppe für das Remote-SSL-VPN an und fügen einen Benutzer hinzu. DieGruppe legt ein Surfkontingent und die Zugriffszeit fest. Benutzer der Gruppe haben unbegrenztenZugriff.



Option Beschreibung

Name Remote-SSL-VPN-Gruppe




4. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.


Option Beschreibung

Benutzername john.smith


XG Firewall

Option Beschreibung

Name John Smith

Gruppe Remote-SSL-VPN-Gruppe


Lokales Subnetz und entfernten SSL-VPN-Bereich festlegen

Wir erstellen Hosts für das lokale Subnetz und den entfernten SSL-VPN-Bereich. Die lokalen Subnetzelegen die Netzwerkressourcen fest, auf welche Remote-Clients zugreifen können werden.

1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.

2. Geben Sie einen Namen für das lokale Subnetz ein.



5. Geben Sie einen Namen für das entfernte Subnetz ein.


SSL-VPN-Fernzugriffs-Richtlinie hinzufügen

Wir erstellen eine Richtlinie, die es Clients in der „Remote-SSL-VPN-Gruppe“ ermöglicht, sich zuverbinden. Diese Benutzern ist es erlaubt, auf die Ressourcen im lokalen Subnetz zuzugreifen.

1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.

2. Geben Sie einen Namen ein und geben Sie Mitglieder der Richtlinie und zugelasseneNetzwerkressourcen an.


XG Firewall


Authentifizierungsdienste überprüfen

Wir verwenden lokale Authentifizierung für die Firewall-Authentifizierungsmethoden und SSL-VPN-Authentifizierungsmethoden.

1. Gehen Sie zu Authentifizierung > Dienste.

2. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.

3. Blättern Sie zu SSL-VPN-Authentifizierungsmethoden.

4. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.


XG Firewall

Appliance-Zugriffseinstellungen überprüfen

Um die Verbindung einsetzen zu können und sicherzustellen, dass Benutzer Zugang zur Verbindunghaben, müssen der Appliance-Zugriff für SSL-VPN und das Benutzerportal aktiviert sein.

1. Gehen Sie zu Verwaltung > Appliance-Zugriff.

2. Überprüfen Sie den Zugriff auf SSL-VPN und das Benutzerportal.


Firewallregel hinzufügen



XG Firewall



Verbindung einrichten

Remote-Benutzer installieren einen Authentifizierungsclient und verbinden sich mithilfe der VPN-Verbindung mit dem internen Netzwerk.

Die folgenden Schritte werden auf der Client-Computer ausgeführt.

1. Melden Sie sich am Benutzerportal an, indem Sie die öffentliche IP-Adresse der Firewall und denHTTPS-Port des Benutzerportals verwenden.


XG Firewall

TippSie können den HTTPS-Port des Benutzerportals herausfinden, indem Sie zu Verwaltung >Admin-Einstellungen gehen.

In diesem Beispiel ist das Benutzerportal über https://192.0.2.15:4443 erreichbar.

2. Laden Sie den SSL-VPN-Client herunter.

3. Doppelklicken Sie auf die Client-Installationsdatei und folgen Sie den Anweisungen, um dieInstallation abzuschließen.

4. Starten Sie den Client und melden Sie sich mit Benutzernamen und Kennwort an.

Konnektivität prüfen

Wir überprüfen die Konnektivität vom Client aus und auf der Firewall.

• Überprüfen Sie auf dem Client, dass Sie eine IP-Adresse aus dem SSL-VPN-Bereich erhaltenhaben, der zuvor auf der Firewall konfiguriert wurde.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ipconfig ein. Sie sollten eineAdresse im Bereich 10.81.234.5 – 10.81.234.55 sehen.

• Klicken Sie auf der Firewall auf Firewall und sehen Sie sich den Verkehr an.

16.13 Site-to-Site-SSL-VPN erstellenWir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPNerlaubt einer Zweigstelle sich mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstellewerden sich mit dem LAN der Hauptgeschäftsstelle verbinden können.

Zielsetzungen


• LANs festlegen.

• Eine SSL-VPN-(Site-to-Site)-Server-Verbindung hinzufügen.


XG Firewall

• Die Client-Konfigurationsdatei herunterladen.

• Eine SSL-VPN-(Site-to-Site)-Client-Verbindung hinzufügen.

• Fehler in den SSL-VPN-Einstellungen beheben.

Voraussetzungen

Bevor Sie beginnen, wählen Sie eine Firewall als Server aus. Wenn es einen Unterschied bei denModellen gibt, ist es sinnvoll, die leistungsfähigere auszuwählen. Wenn ein System eine dynamischeIP-Adresse besitzt und das andere eine statische, verwenden Sie das System mit der statischenAdresse.

Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.

LANs festlegen.

Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Zweigstelle.

Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.


2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.



5. Erstellen Sie einen Host für das LAN der Zweigstelle.



XG Firewall

SSL-VPN-Site-to-Site-Server-Verbindung hinzufügen

Wir erstellen eine Verbindung und laden die Datei herunter, die verwendet wird, um das Clientsystemzu konfigurieren.

Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.


2. Klicken Sie im Bereich Server auf Hinzufügen.

3. Geben Sie den logischen Namen für den Tunnel und die Netzwerk an, die über den Tunnel erreichtwerden können.

4. Klicken Sie auf Speichern.Die Verbindung wird erstellt und erscheint in der Serverliste.

5. Klicken Sie auf

und speichern Sie die Datei, die verwendet wird, um das Clientsystem zu konfigurieren.

Sie können ein Kennwort eingeben, um die Datei bei Bedarf zu verschlüsseln. Das Dateiformatist .apc.

SSL-VPN-Site-to-Site-Client-Verbindung hinzufügen

Wir verwenden die Datei, die auf dem Server erstellt wurde, um eine Clientverbindung zu erstellen undzu konfigurieren.

Die folgenden Schritte werden auf der Client-Firewall ausgeführt.



XG Firewall

2. Klicken Sie im Bereich Client auf Hinzufügen.


Option Beschreibung

Verbindungsname HQ_to_branch_client

4. Klicken Sie auf Datei auswählen und wählen Sie die Datei aus, die Sie vom SSL-VPN-Serverheruntergeladen haben.


Die neue Verbindung wird in der Clientliste angezeigt. Der Tunnel ist funktionsfähig, wenn dieStatusanzeige grün zeigt.

Fehler in den VPN-Einstellungen beheben

Bei den SSL-VPN-Einstellungen sollten üblicherweise die Standardeinstellungen beibehaltenwerden. Hier sind einige der häufigsten Änderungen, die Sie vielleicht vornehmen müssen:

• Protokoll: Hier wird eigentlich immer TCP verwendet, aber das VPN wird auch funktionieren,wenn beide Seiten UDP verwenden.

• Hostnamen überschreiben: Wenn Ihr System einen Hostnamen besitzt, der nicht öffentlicherreichbar ist, fügen Sie hier Ihre öffentliche IP-Adresse ein.

• Kryptografische Einstellungen: Sie können die kryptografischen Einstellungen ändern, wenn Siewollen. So lange beide Seiten des Tunnels übereinstimmen, wird die Funktionalität des Tunnelsnicht beeinträchtigt.

• SSL-VPN-Verkehr komprimieren: Wenn Sie Pakete im Tunnel komprimieren wollen, umBandbreite zu sparen, aktivieren Sie diese Option.

• Fehlersuchmodus aktivieren: Wenn Sie Schwierigkeiten mit der Verbindung haben, können Sieden Fehlersuchmodus aktivieren, damit zusätzliche Informationen ins Protokoll geschriebenwerden.


XG Firewall

16.14 Site-to-Site IPsec-VPN erstellenWir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen undeinrichten. Wir verwenden einen verteilten Schlüssel für die Authentifizierung.

Zielsetzungen


• Das IPsec-VPN der Hauptgeschäftsstelle konfigurieren. Dafür müssen Sie LANs festlegen, eineIPsec-Verbindung hinzufügen, eine Firewallregel bearbeiten und eine Firewallregel erstellen.

• Das IPsec-VPN der Zweigstelle konfigurieren.

• Verbindung prüfen.


LANs in der Hauptgeschäftsstelle festlegen

Wir erstellen Hosts für die Hauptgeschäftsstelle und Zweigstellennetzwerke in derHauptgeschäftsstelle.


2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.



5. Erstellen Sie einen Host für das LAN der Zweigstelle.



XG Firewall


IPsec-Verbindung in der Hauptgeschäftsstelle hinzufügen

Wir erstellen und aktivieren eine IPsec-Verbindung in der Hauptgeschäftsstelle. Die Verbindung gibtdie Endpunkt- und Netzwerkinformationen und einen verteilten Schlüssel an.



Wir wollen eine Firewallregel für die Verbindung erstellen, deshalb aktivieren wir Firewallregelerstellen.


HinweisNotieren Sie sich den verteilten Schlüssel, da Sie ihn später brauchen werden, wenn Sie dieZweigstellenverbindung konfigurieren.



XG Firewall


Wir wollen, dass die Verbindung sich mit jeder Schnittstelle des Remote-Gateways verbinden kann,deshalb geben wir einen Platzhalter (*) an.

6. Klicken Sie auf Speichern.Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.

7. Klicken Sie auf die Statusanzeige

( ),um die Verbindung zu aktivieren.


XG Firewall

Bearbeiten Sie die Firewallregel

Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben.Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec HQ to Branch“.

2. Ändern Sie den Namen der Regel und legen Sie Einstellungen fest.


XG Firewall



Wir erstellen eine Regel für eingehenden VPN-Verkehr.



Option Beschreibung

Regelname Eingehender VPN-Verkehr


XG Firewall

Option Beschreibung

Quellzonen VPN

Quellnetzwerke und Geräte Branch_LAN

Zielzonen LAN

Zielnetzwerke HQ_LAN


LANs in der Zweigstelle erstellen

Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Hauptgeschäftsstelle in der Zweigstelle.


2. Legen Sie die lokalen LAN-Einstellungen fest.

Option Beschreibung

Name Branch_LAN

Typ Netzwerk


3. Legen Sie die entfernten LAN-Einstellungen fest.

Option Beschreibung

Name HQ_LAN

Typ Netzwerk


IPsec-Verbindung in der Zweigstelle hinzufügen

Wir erstellen und aktivieren eine IPsec-Verbindung in der Zweigstelle.



Option Beschreibung

Name Branch_to_HQ

Verbindungstyp Standort-zu-Standort

Gateway-Typ Initiieren

Firewallregel erstellen Aktiviert


Option Beschreibung

Richtlinie DefaultBranchOffice

Authentifizierungsmethode Verteilter Schlüssel

4. Geben Sie den verteilten Schlüssel ein und bestätigen Sie ihn.


XG Firewall

HinweisStellen Sie sicher, dass Sie denselben verteilten Schlüssel wie in der Hauptgeschäftsstelleverwenden.


Option Beschreibung

Lausch-Schnittstelle Port1 – 10.118.96.115

Lokales Subnetz Branch_LAN


Option Beschreibung

Gateway-Adresse *

Entfernte ID IP-Adresse – 10.118.96.91

Entferntes Subnetz HQ_LAN

7. Klicken Sie auf Speichern.Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.

8. Klicken Sie auf die Statusanzeige

( ),um die Verbindung zu aktivieren.

Bearbeiten Sie die Firewallregel

Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben.Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec Branch to HQ“.


Option Beschreibung

Regelname Ausgehender VPN-Verkehr

Quellzonen LAN

Quellnetzwerke und Geräte Branch_LAN

Zielzonen VPN

Zielnetzwerke HQ_LAN



Wir erstellen eine Regel für eingehenden VPN-Verkehr.




Option Beschreibung

Regelname Eingehender VPN-Verkehr

Quellzonen VPN

Quellnetzwerke und Geräte HQ_LAN

Zielzonen LAN

Zielnetzwerke Branch_LAN


Konnektivität prüfen

Wir überprüfen die Konnektivität von der Hauptgeschäftsstelle zur Zweigstelle und umgekehrt.

• Überprüfen Sie von der Hauptgeschäftsstelle aus, dass Sie die Zweigstelle anpingen können.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.3.0 ein.

• Überprüfen Sie von der Zweigstelle aus, dass Sie die Hauptgeschäftsstelle anpingen können.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.2.0 ein.

• Klicken Sie in der Hauptgeschäftsstelle auf Firewall und sehen Sie sich den Verkehr an.

• Klicken Sie in der Zweigstelle auf Firewall und sehen Sie sich den Verkehr an.

Konfiguration von Hauptgeschäftsstelle und Zweigstelle

In einer Konfiguration von Hauptgeschäftsstelle und Zweigstelle initiiert die Firewall in derZweigstelle den Tunnel und die Firewall in der Hauptgeschäftsstelle antwortet aus den folgendenGründen:

• Wenn das Zweigstellengerät mit einer dynamischen IP-Adresse konfiguriert ist, kann dasHauptgeschäftsstellengerät die Verbindung nicht initiieren.

• Da die Anzahl der Zweigstellen variiert, ist es empfehlenswert, dass jede Zweigstelle selbstversucht sich zu verbinden, anstatt dass die Hauptgeschäftsstelle versucht, sich mit allenZweigstellen zu verbinden.

Kapitel 17

17 NetzwerkNetzwerkobjekte ermöglichen Ihnen, die Sicherheit zu verbessern und die Leistungen von Gerätenhinter der Firewall zu optimieren. Sie können diese Einstellungen verwenden, um physikalische Portszu konfigurieren, virtuelle Netzwerke zu erstellen und Remote Ethernet Devices zu unterstützen.Zonen ermöglichen Ihnen, Schnittstellen zu gruppieren und Firewallregeln auf alle zugehörigenGeräte anzuwenden. Netzwerkredundanz und -verfügbarkeit wird durch Failover und Lastverteilunggewährleistet. Andere Einstellungen ermöglichen Ihnen, sicheren WLAN-Breitbanddienst für mobileGeräte anzubieten und erweiterte Unterstützung für die Einrichtung von IPv6-Geräten und fürDatenverkehrstunnel zu konfigurieren.

17.1 SchnittstellenDie Firewall wird mit physikalischen und virtuellen Schnittstellen ausgeliefert. Eine physikalischeSchnittstelle ist ein Port, z.B. Port1, PortA oder eth0. Eine virtuelle Schnittstelle ist eine logischeDarstellung einer Schnittstelle, mit welcher Sie Ihr Netzwerk unter Verwendung der vorhandenenPorts erweitern können. Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstellebinden, indem Sie ein Alias verwenden. Sie können auch Schnittstellen erstellen und konfigurieren, dieRemote Ethernet Devices unterstützen.

• Um eine virtuelle Schnittstelle oder ein Alias zu erstellen, klicken Sie auf Schnittstelle hinzufügenund wählen Sie einen Typ aus.

• Um eine Schnittstelle zu aktualisieren, klicken Sie auf

und wählen Sie Schnittstelle bearbeiten aus.

• Um eine virtuelle Schnittstelle zu löschen, klicken Sie auf

und wählen Sie Schnittstelle löschen aus.

AchtungDas Aktualisieren oder Löschen von Schnittstellen kann sich auf zugehörige Konfigurationenauswirken.

Tabelle 17: Virtuelle Schnittstellen

Name Beschreibung

Bridge Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.

LAG Linkbündelungsgruppen (link aggregration groups)vereinen physikalische Links zu einem logischen Link,der die Firewall mit einem anderen Netzwerk verbindet.

VLAN Virtuelle LANs sind isolierte Broadcast-Domäneninnerhalb eines Netzwerks. Sie können ein VLANeinem oder mehreren Ports auf einem einzelnen Switchzuweisen.

XG Firewall

Name Beschreibung

RED Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. DasRED stellt ein VPN zurück zur Firewall her, so dassalles, was an das RED angeschlossen ist, als Teil desNetzwerks anerkannt wird.

Tabelle 18: Andere Schnittstellen

Name Beschreibung

WLAN-Netzwerk Ein WLAN-Netzwerk bietet typischeVerbindungseinstellungen für WLAN-Clients. DieseEinstellungen umfassen SSID, Sicherheitsmodus unddie Methode zum Umgang mit Client-Verkehr. WennSie ein Netzwerk als separate Zone erstellen, erstelltdie Firewall eine zugehörige virtuelle Schnittstelle.

Mobiles WAN Wireless-WAN-Netzwerke bieten mobilen Gerätensicheren WLAN-Breitband-Dienst. Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle.

Test-Access-Point (TAP) Indem Sie die Firewall im Erkennungsmodus einsetzen,können Sie den gesamten Netzwerkdatenverkehrüberwachen, ohne Änderungen am Netzwerkschemavorzunehmen. Sie können den Erkennungsmodusaktivieren und einen Port über die Konsolekonfigurieren. Die Firewall führt die entsprechendeSchnittstelle als „Discover, physical (TAP)“ auf.

Tabelle 19: Statusmeldungen der Schnittstelle

Name Beschreibung

Deaktiviert Schnittstelle ist momentan an keine Zone gebunden.

Verbunden Schnittstelle ist konfiguriert und verbunden.

Verbindung wird hergestellt Eine neue IP-Adresse wird bezogen.

Nicht verbunden IP-Adresse wurde freigegeben.

Verbindung wird getrennt IP-Adresse wird freigegeben.

Nicht angeschlossen Keine physikalische Verbindung.

Nicht verfügbar FleXi Ports wurden konfiguriert und das FleXi PortModul wurde entfernt.

Verwandte InformationenNetzwerke: Zonen und Schnittstellen

17.1.1 Schnittstellen aktualisieren und löschen

Die Aktualisierung von Schnittstellen kann sich auf abhängige Konfigurationen auswirken,einschließlich der Bindung der Schnittstelle an eine Zone, DNS, Gateway, schnittstellenbasierte Hosts,VLAN-Schnittstellen und dynamisches DNS.


https://www.youtube.com/watch?v=YaX5PdtyDS4

XG Firewall

Das Löschen einer Schnittstelle wird auch alle abhängigen Konfigurationen entfernen, inklusiveSchnittstellen-Zonen-Anbindung, DHCP-Server oder -Relay, schnittstellenbasierte Firewallregel,ARP (statisch und Proxy), geschützte Server, geschützte, serverbasierte Firewallregeln,schnittstellenbasierte Hosts und Referenzen von Hostgruppen sowie Unicast- und Multicast-Routen.

Das Löschen einer virtuellen Schnittstelle löscht auch die für sie festgelegte Firewallregel.

Ihre Netzwerkverbindungen können zeitweise nicht reagieren oder unerreichbar sein, nachdem SieSchnittstellen aktualisiert oder gelöscht haben.

17.1.2 Physikalische Schnittstellen


Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.

Netzwerkzone Zone, die einem Netzwerk zugewiesen ist.


Schnittstellengeschwindigkeit Schnittstellengeschwindigkeit für dieSynchronisierung.

HinweisStimmt die Geschwindigkeit zwischen derAppliance und Routern oder Switches vonDrittanbietern nicht überein, kann dieszu Fehlern oder Kollisionen, fehlenderVerbindung, erhöhter Latenz oder geringerLeistung führen.

MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).

MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.

Standard-MAC-Adresse verwenden Die Standard-MAC-Adresse der Schnittstelleverwenden. Der erste Port, der als Mitglied-Portaufgenommen wird, wird standardmäßig dieStandard-MAC-Adresse.

Standard-MAC-Adresse überschreiben Überschreiben Sie die Standard-MAC-Adresseder Schnittstelle und geben Sie eine neueAdresse ein. Bei einer Werksrücksetzung wirddie Adresse auf die Standard-MAC-Adressezurückgesetzt.


XG Firewall

DAD-Versuche Anzahl der nacheinander gesendeten Neighbor-Solicitation-Nachrichten während DuplicateAddress Detection (DAD, Erkennung doppelterAdressen) für eine vorläufige Adressedurchgeführt wird.

Zugelassene RA-Server Fernzugriff-Server, die sich über die Schnittstelleverbinden dürfen.

Zugehörige AufgabenAlias hinzufügen (Seite 336)Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstelle binden, indem Sie einAlias verwenden.

IPv4-Konfiguration

Methode, mit der einer Schnittstelle eine IPv4-Adresse zugewiesen wird.

Statisch

Geben Sie die IP-Adresse an.

IPv4/Netzmaske IPv4-Adresse und Subnetzmaske.

Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.

PPPoE

Eine IP-Adresse von einem PPPoE-Server beziehen.

Bevorzugte IP Bevorzugte IP-Adresse für die PPPoE-Verbindung. Viele Internetdienstanbieter weisenPPPoE-Verbindungen eine statische IP-Adressezu. Die Firewall ermöglicht es Ihnen, die statischeIP-Adresse an die PPPoE-Verbindung zu binden.

HinweisAbhängig von der PPPoE-Server-Konfiguration kann der PPPoE-Verbindungeine andere Adresse zugewiesen werden alsdie bevorzugte IP-Adresse.


Benutzername Benutzername des PPPoE-Kontos.

Kennwort Kennwort des PPPoE-Kontos.

Zugangs-Konzentrator/Dienstname Access-Concentrator und Dienstname. DieFirewall erlaubt nur Sitzungen mit einem Access-Concentrator, der den festgelegten Dienstanbietet.


XG Firewall

LCP-Echo-Intervall Zeit in Sekunden wie lange das System wartensoll, bevor es eine Echo-Anfrage sendet, umzu prüfen, ob der Link aktiv ist. Sobald einVersuch unternommen wurde, wartet die Firewalldie festgelegte Zeit, bevor ein neuer Versuchunternommen wird.

LCP-Fehlschlag Anzahl der Versuche (Echo-Anfragen), dieunternommen werden sollen. Sobald diefestgelegte Anzahl an Versuchen unternommenwurde, ohne eine Antwort vom Client zu erhalten,beendet die Firewall die PPPoE-Verbindung.

Zeit für Wiederverbindung planen Die Adresse, die einer PPPoE-Verbindungzugewiesen ist, egal ob dynamisch oderstatisch (bevorzugt), kann eine vordefinierteGültigkeitsdauer haben. Nach Ablauf derGültigkeit wird die PPPoE-Verbindungbeendet und erneut hergestellt. Um eineWiederverbindung während der Arbeitszeitenzu vermeiden, aktivieren Sie die Zeitplanung fürPPPoE.

HinweisBei der Wiederverbindung könnte derPPPoE-Verbindung eine andere Adresse alsdie bevorzugte IP-Adresse (falls angegeben)zugewiesen werden.

DHCP

Eine IP-Adresse von einem DHCP-Server beziehen.


IPv6-Konfiguration

Methode, mit der einer Schnittstelle eine IPv6-Adresse zugewiesen wird.

Statisch

Geben Sie die IP-Adresse an.

IPv6/Präfix IPv6-Adresse und Präfix.



XG Firewall

DHCP

Eine IP-Adresse von einem DHCP-Server beziehen.

Modus Sie können IPv6-Adresszuweisung sokonfigurieren, dass zustandsbehaftete oderzustandslose Methoden verwendet werden.

• Auto Konfigurieren Sie die IPv6-Adresse mithilfe von DHCPv6 oderzustandsloser automatischer automatischenAdresskonfiguration (SLAAC) entsprechenddem Kennzeichen (flag) für eine verwalteteAdresskonfiguration (M) oder eineandere Konfiguration (O), die im Router-Advertisement bekannt gegeben wird.

• Manuell Konfigurieren Sie die IPv6-Adresse mithilfe von DHCPv6 oder SLAACentsprechend den angegebenen Optionen.Bei Nur DHCP wird der Client die Adresseund andere Parameter mithilfe des DHCPv6-Servers konfigurieren. Bei Zustandslos wirdder Client die Adresse mithilfe von SLAACbasierend auf der bekannt gegebenenRA-Nachricht konfigurieren. Sie könnenAndere Konfiguration von DHCP annehmenauswählen, um weitere Parameter mithilfe desDHCPv6-Servers zu konfigurieren.

DHCP Rapid Commit Konfigurieren Sie die Schnittstelle mithilfe desAustauschs zweier Nachrichten (Solicit undReply) anstatt vier (Solicit, Advertise, Request,und Reply). Diese Option bietet eine schnellereClient-Konfiguration.

HinweisAuf dem DHCPv6-Server muss außerdemRapid Commit aktiviert sein.


Alias hinzufügen

Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstelle binden, indem Sie einAlias verwenden.

1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-Alias aus.



XG Firewall

HinweisDie Alias-IP-Adresse kann in einem anderen Subnetz sein als die ursprüngliche IP-Adresse,die der Schnittstelle zugewiesen ist, und muss die gleiche IP-Version verwenden, wie jene,die für die physikalische Schnittstelle verwendet wird. Wenn die Schnittstelle zum Beispiel miteiner IPv4-Adresse konfiguriert ist, muss der Alias eine IPv4-Adresse sein.

Option Beschreibung

Physikalische Schnittstelle Schnittstelle, an die der Alias gebunden wird.

IP-Version IP-Version, die mit der gewählten Schnittstelleübereinstimmt.

IPv4/Netzmaske IPv4-Adresse und Subnetzmaske.

IPv6/Präfix IPv6-Adresse und Präfix.


Die IP-Adresse ist an die gewählte Schnittstelle gebunden.

Zugehörige KonzeptePhysikalische Schnittstellen (Seite 333)

17.1.3 Bridges

Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.


Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.

Netzwerkzone Zone, die einem Netzwerk zugewiesen ist.

IP-Zuweisung Zuweisungsmethode für IP-Adressen.




XG Firewall


MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.



Zugehörige AufgabenBridge hinzufügen (Seite 338)

Bridge hinzufügen

1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-Bridge aus.



Option Beschreibung

Routing auf diesem Bridge-Paar zulassen Routing auf dieser Bridge aktivieren.

Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.

Zone Zone, die einem Netzwerk zugewiesen ist.

4. Geben Sie die IP-Zuweisungsinformationen an.

• IPv4-Konfiguration (Seite 334)


5. Optional: Legen Sie erweiterte Einstellungen fest.

Option Beschreibung



XG Firewall

Option Beschreibung

MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einemTCP-Paket übertragen werden kann.


Zugehörige KonzepteBridges (Seite 337)Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.

17.1.4 Virtuelle LANs

Virtuelle LANs sind isolierte Broadcast-Domänen innerhalb eines Netzwerks. VLANs markieren Pakete,um Verkehr so wirken zu lassen, als wäre er im Netzwerk, aber sie behandeln den Verkehr, als wäre erin einem separaten Netzwerk. Sie können die VLAN-Technologie zwischen der Firewall und 802.1Q-konformen Switches oder Routern einsetzen.

Sie können ein VLAN einem oder mehreren Ports auf einem einzelnen Switch zuweisen. Beiverteilten VLANs können Sie sie über mehrere Switches zuweisen. Die Kommunikation innerhalbeines VLANs erfolgt über den Switch, wohingegen die Kommunikation zwischen verschiedenenVLANs ein Layer-3-Gerät erfordert, d.h. einen Router, einen Layer-3-Switch oder eine Firewall.

Die Firewall erkennt VLAN-IDs und ermöglicht Ihnen dadurch, Firewallregeln spezifisch auf jedesVLAN anzuwenden, einschließlich Authentifizierung und anderer zweckmäßiger Richtlinien IhresNetzwerks. Sie können auch Firewallregeln anwenden, um das Netzwerk zwischen Broadcast-Domänen zu schützen.

Zugehörige AufgabenVLAN-Schnittstelle hinzufügen (Seite 339)

VLAN-Schnittstelle hinzufügen

1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-VLAN aus.


Option Beschreibung

Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port,z.B. Port1, PortA oder eth0. Die virtuelleSchnittstelle wird ein Mitglied der ausgewähltenSchnittstelle.

Zone Zone, die einem Netzwerk zugewiesen ist.Die virtuelle Schnittstelle wird ein Mitglied derausgewählten Zone.

VLAN-ID VLAN-Kennung Die VLAN-ID jeder einzelnenvirtuellen Schnittstelle muss mit der VLAN-ID des Pakets übereinstimmen. Wenn die IDsnicht übereinstimmen, empfängt die virtuelleSchnittstelle keinen Datenverkehr mit VLAN-Tags.


XG Firewall

Option Beschreibung

HinweisSie können keine virtuellen Schnittstellenmit derselben VLAN-ID zur gleichenphysikalischen Schnittstelle hinzufügen.





Option Beschreibung

DAD-Versuche Anzahl der nacheinander gesendeten Neighbor-Solicitation-Nachrichten während DuplicateAddress Detection (DAD, Erkennung doppelterAdressen) für eine vorläufige Adressedurchgeführt wird.

Zugelassene RA-Server Fernzugriff-Server, die sich über dieSchnittstelle verbinden dürfen.


Die virtuelle Schnittstelle ist unter der physikalischen Schnittstelle aufgeführt.

Zugehörige KonzepteVirtuelle LANs (Seite 339)Virtuelle LANs sind isolierte Broadcast-Domänen innerhalb eines Netzwerks. VLANs markieren Pakete,um Verkehr so wirken zu lassen, als wäre er im Netzwerk, aber sie behandeln den Verkehr, als wäre erin einem separaten Netzwerk. Sie können die VLAN-Technologie zwischen der Firewall und 802.1Q-konformen Switches oder Routern einsetzen.

17.1.5 Link-Aggregation-Gruppen

Linkbündelungsgruppen (link aggregration groups) vereinen physikalische Links zu einem logischenLink, der die Firewall mit einem anderen Netzwerk verbindet. Verwenden Sie LAGs, um Redundanzenanzubieten und erhöhen Sie Ihren Durchsatz mit dem Link Aggregation Control Protocol (LACP) IEEE802.3ad.

Zugehörige AufgabenLinkbündelungsgruppe hinzufügen (Seite 341)


https://standards.ieee.org/findstds/standard/802.3ad-2000.html


XG Firewall

Linkbündelungsgruppe hinzufügen

1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-LAG aus.


3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Schnittstelle aus.

HinweisNur ungebundene statische physikalische Schnittstellen können Schnittstellenmitglied sein.Schnittstellen, die für PPPoE, Wireless WAN oder WLAN konfiguriert sind, können nicht Teileiner die LAG sein.

4. Wählen Sie einen Modus aus.

Option Beschreibung

Active-Backup Dieser Modus ermöglicht Link-Failover.Ein Mitgliedslink bleibt aktiv, während dieanderen im Bereitschaftsmodus sind. Wennder aktive Link ausfällt, wird der Link imBereitschaftsmodus aktiv.

802.3ad (LACP) Dieser Modus bietet Failover undLastverteilung. In diesem Modus wird derVerkehr zwischen allen Links verteilt. BeachtenSie folgende Anforderungen:

• LACP muss an beiden Enden des Linksaktiviert sein.

• Alle Mitgliedsschnittstellen müssenvom gleichen Typ sein und die gleicheSchnittstellengeschwindigkeit haben.

• Alle Links müssen vollduplex-fähig sein.

5. Wählen Sie eine Netzwerkzone aus.





Option Beschreibung



XG Firewall

Option Beschreibung



HinweisWenn Netzwerke mit verschiedenenMTU-Größen miteinander verbundensind, werden Pakete, die größer als derangegebene MTU-Wert sind, fragmentiertbevor sie gesendet werden.

MSS überschreiben Die maximale Segmentgröße ist die größteDatenmenge in Bytes, die ein Geräte in einemeinzelnen TCP-Segment empfangen kann.

Xmit-Hash-Richtlinie Bei LAGs, die den 802.3ad (LACP)-Modusverwenden, verteilen Sie die die Last zwischenden Links basierend auf dem Algorithmus derXmit-Hash-Richtlinie.

• Layer2 Erzeugen Sie den Hashwert anhandder MAC-Adressen.

• Layer2+3 Erzeugen Sie den Hash-Wert mithilfe einer Kombination derProtokollinformationen aus Layer2 (MAC-Adresse) und Layer3 (IP-Adresse).

• Layer3+4 Erzeugen Sie den Hashwertanhand der Protokollinformationen derTransportschicht.

Primäre Schnittstelle Bei LAGs, die den Active-Backup-Modusverwenden, die Schnittstelle, die als primäreSchnittstelle agiert. Diese Schnittstelle bleibt solange aktiv, wie sie verfügbar ist. Wählen SieAuto, um diesen Wert automatisch zuzuweisen.



XG Firewall

Option Beschreibung



Zugehörige KonzepteLink-Aggregation-Gruppen (Seite 340)Linkbündelungsgruppen (link aggregration groups) vereinen physikalische Links zu einem logischenLink, der die Firewall mit einem anderen Netzwerk verbindet. Verwenden Sie LAGs, um Redundanzenanzubieten und erhöhen Sie Ihren Durchsatz mit dem Link Aggregation Control Protocol (LACP) IEEE802.3ad.

17.1.6 RED-Schnittstellen

Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.

• RED-Modelle (Seite 344)

• Firewall-REDs (Seite 347)

Zugehörige KonzepteRED (Seite 483)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Der RED-Provisioning-Service unterstützt die Einrichtungvon RED und bietet Sicherheitsoptionen.

Zugehörige AufgabenRED-Schnittstelle hinzufügen (Seite 343)RED-Schnittstellen legen einen Zweigstellennamen, Typ und Tunnel-ID fest. Schnittstellen, diezu einem RED gehören, enthalten Konfigurations- und Netzwerkeinstellungen. Schnittstellen, diezu der Rolle gehören, die eine Firewall in der Client-Server-Konfiguration spielt, enthalten nurNetzwerkeinstellungen.

Verwandte InformationenSite-to-Site RED-Tunnel erstellen (Seite 372)Richten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohneein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert ein Gerät als Server und das andereals Client.

Ein RED manuell einrichten (Seite 374)Um RED-Geräte manuell einzurichten, müssen Sie die Bereitstellungsdatei für die RED-Schnittstelleherunterladen und auf einem USB-Stick speichern.

RED-Schnittstelle hinzufügen

RED-Schnittstellen legen einen Zweigstellennamen, Typ und Tunnel-ID fest. Schnittstellen, diezu einem RED gehören, enthalten Konfigurations- und Netzwerkeinstellungen. Schnittstellen, die




XG Firewall

zu der Rolle gehören, die eine Firewall in der Client-Server-Konfiguration spielt, enthalten nurNetzwerkeinstellungen.

1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen RED aus.

2. Wählen Sie einen Typ aus und legen Sie Einstellungen fest.

• RED-Modelle (Seite 344)

• Firewall-REDs (Seite 347)


Zugehörige KonzepteRED-Schnittstellen (Seite 343)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.

RED-Modelle

Schnittstellen für RED-Modelle legen die Gerätekonfiguration und die Netzwerkeinstellungen fest.

HinweisDie Unterstützung für die folgenden Einstellungen variieren in Abhängigkeit vom Gerätemodell undder RED-Version. Überprüfen Sie Ihr Gerät und die Firmware-Spezifikationen für Einzelheiten.

RED

Zweigstellenname Zweigstelle, an der sich das RED befindet.

Typ RED-Modell.

ID RED-Identifikationsnummer. Sie finden die IDauf der Rückseite Ihres Geräts und auf derProduktverpackung.

Tunnel-ID Tunnel-Kennung Stellen Sie sicher, dass die IDfür das RED und die Firewall die gleiche ist.

Entsperrcode Code, der den Provisionierungsservernermöglicht, eine neue Konfiguration für ein REDanzunehmen.

Wenn Sie das RED zum ersten Mal einrichten,lassen Sie den Entsperrcode frei. Wenn dasGerät bereits einmal für eine andere SophosFirewall eingerichtet war, geben Sie denEntsperrcode ein.

Der Entsperrcode wird an die E-Mail-Adressegesendet, die Sie angegeben haben, als Sieden RED Provisioning Service eingeschaltethaben.


XG Firewall

WichtigBewahren Sie den Entsperrcode auf. Siewerden den Code brauchen, wenn Sie dasRED auf einer anderen Firewall einsetzenwollen.

Für jede Einrichtungsmethode werden separateEntsperrcodes erzeugt. Stellen Sie sicher,dass Sie den entsprechenden Entsperrcode fürzukünftige Einrichtungen verwenden.

Wenn Sie den Entsperrcode nicht findenkönnen, kontaktieren Sie den Sophos Support.

Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname derFirewall.

2. Firewall-IP/Hostname Alternative öffentliche IP-Adresse oder Hostnameder Firewall.

2. IP/Hostnamen verwenden für Die Art, wie die zweite IP-Adresse oder Hostnameverwendet werden sollen.

Wählen Sie aus den folgenden:

• Failover Der sekundäre Host übernimmtautomatisch, wenn der primäre ausfällt.

• Lastverteilung Den Datenverkehrgleichmäßig zwischen dem primären undsekundären Host verteilen. Wählen Siediese Option, wenn beide Uplinks, zu denendie Hostnamen gehören, in Latenz undDurchsatz gleichwertig sind.

Geräteeinrichtung Methode, mit der das Gerät konfiguriert undeingerichtet wird.


• Automatisch über Provisioning Service

• Manuell über USB-Stick

Uplink-Einstellungen

Legen Sie Uplink-Verbindungstyp-Details und Failover-Modi fest.

Uplink-Verbindung Methode, mit der die WAN-Verbindung auf demRED eine IP-Adresse erhält.


• DHCP Die Adresse dynamisch zuweisen.Es wird empfohlen, diese Methode zuverwenden. Wenn Sie den ProvisioningService zur Einrichtung verwenden, mussdas RED mindestens einmal mit einem


XG Firewall

DHCP-Netzwerk verbunden werden, um dieKonfiguration herumterzuladen.

• Statisch Geben Sie eine statische IP-Adresse an. Verwenden Sie diese Optionnur, wenn DHCP nicht unterstützt wird.

3G/UMTS-Failover Verwenden im Fall eines WAN-Ausfalls einWLAN-Netzwerk. Die Einstellungen erhalten Sievon Ihrem Dienstanbieter. 3G/UMTS-Failovererfordert einen USB-Dongle.

RED-Netzwerkeinstellungen

RED-Betriebsmodus Methode, mit der das Remote-Netzwerk hinterdem RED in Ihr lokales Netzwerk integriertwerden soll.


• Standard/Vereint Die Firewall verwaltetdas Remote-Netzwerk vollständig über dasRED. Sie agiert als DHCP-Server und alsStandardgateway.

HinweisVLAN-Verkehr über den Standard/Vereint-Modus verarbeiten, wenn VLANhinter RED eingerichtet ist.

• Standard/Getrennt Die Firewall verwaltetdas Remote-Netzwerk und agiert alsDHCP-Server. Nur Verkehr, der getrennteNetzwerke als Ziel hat, wird an Ihre lokaleFirewall umgeleitet. Verkehr, der nicht andie getrennten Netzwerke gerichtet ist, wirddirekt ins Internet geroutet.

HinweisDieser Modus ist nicht kompatible mitFrames, die ein VLAN-Tag haben.

• Transparent/Getrennt Die Firewall verwaltetnicht das Remote-Netzwerk. Sie ist mitdem Remote-LAN und dem Gateway desRemote-LAN verbunden und erhält eineAdresse im Remote-LAN über DHCP.Nur Verkehr, der für bestimmte Netzwerkbestimmt ist, passiert den Tunnel. In diesemFall agiert das RED nicht als das Gateway,sondern es ist auf einer Linie mit demGateway und kann Pakete transparent inden Tunnel umleiten.


XG Firewall

HinweisDieser Modus ist nicht kompatible mitFrames, die ein VLAN-Tag haben.

RED-IP IP-Adresse des RED.


DHCP konfigurieren Dem RED gestatten, anderen Geräten DHCPanzubieten.

RED-DHCP-Bereich DHCP-Bereich für Geräte hinter der RED.

Getrenntes Netzwerk Verkehr zu den aufgeführten Netzwerken wirdan die Firewall umgeleitet. Der verbleibendeDatenverkehr wird direkt ins Internet geroutet.

MAC-Filtertyp Art der MAC-Filterung.


• Whitelist Nur Adressen auf der Listezulassen.

• Blacklist Adressen auf der Liste blockieren.

Überprüfen Sie Ihre Gerätespezifikation aufdie maximale Anzahl von zugelassenen MAC-Adressen.

Tunnelkomprimierung Tunnelverkehr komprimieren.Datenkomprimierung kann den Durchsatzvon RED-Verkehr in Regionen mit langsamenInternetverbindungen erhöhen.

Switch-Einstellungen

Konfigurieren Sie LAN-Ports als einfache Switches oder für die VLAN-Verwendung.

Switchport-Modus Wählen Sie aus den folgenden:

• Switch Verkehr an alle Ports senden.

• VLAN Verkehr entsprechend den VLAN-Tagsder Ethernet-Frames filtern. Diese Optionermöglicht Ihnen, mehr als ein Netzwerkdurch den RED-Tunnel zu senden.

Verwandte InformationenRED: 3G/4G/LTE USB-Dongle-ListeSophos RED Devices

Firewall-REDs

Schnittstellen für Firewall-REDs legen Netzwerkeinstellungen fest.



https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophosreddsna.pdf

XG Firewall

RED

Zweigstellenname Zweigstelle, an der sich das Firewall-REDbefindet.

Typ Rolle, die die Firewall in einer Client-/Serverkonfiguration übernimmt.

TippWählen Sie Firewall RED-Client/Server,wenn Sie einen Site-to-Site-Tunnel zwischenzwei Sophos XG Firewall Applianceserstellen wollen.

TippWählen Sie Firewall RED-Client/ServerLegacy, wenn Sie einen Site-to-Site-Tunnelzwischen Sophos XG Firewall und SophosUTM erstellen wollen.

Tunnel-ID Tunnel-Kennung

Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname derFirewall.

Bereitstellungsdatei Diese Datei enthält die Konfigurationsdaten, dieder Client-Firewall übergeben werden müssen.

RED-Netzwerkeinstellungen

RED-IP IP-Adresse des Firewall-RED.


Tunnelkomprimierung Tunnelverkehr komprimieren.Datenkomprimierung kann den Durchsatzvon RED-Verkehr in Regionen mit langsamenInternetverbindungen erhöhen.

RED-Betriebsmodi

Der RED-Betriebsmodus legt die Methode fest, wie das Remote-Netzwerk hinter dem RED in Ihrlokales Netzwerk integriert werden soll. Aller WLAN-Verkehr hinter REDs, die als separate Zoneeingerichtet sind, wird unter Verwendung des VXLAN-Protokolls an XG Firewall gesendet, unabhängigvom Betriebsmodus.

Standard/Vereint

Die Firewall verwaltet das Remote-Netzwerk vollständig über das RED. Sie agiert als DHCP-Serverund als Standardgateway.


XG Firewall

DHCP kann von der Firewall für das Remote-LAN angeboten werden und das RED kann das einzigeGerät sein, welches das LAN mit dem Internet verbindet. Obwohl ein weiterer Router sich vor demRED befinden kann, gibt es keinen Parallelweg um das RED herum ins Internet.

In diesem Modus kann die Firewall Anfragen zulassen oder ablehnen, wie sie es auch fürDatenverkehr aus dem lokalen LAN tut. Dies bietet den höchsten Schutz und die einfachsteVerwaltung für Remote-Netzwerke. Die Bandbreite der Firewall muss jedoch groß genug sein, umAnfragen sowohl von lokalen Benutzern als auch von allen entfernten RED-Benutzern zu bedienen.

Standard/Getrennt

Die Firewall verwaltet das Remote-Netzwerk und agiert als DHCP-Server. Nur Verkehr, dergetrennte Netzwerke als Ziel hat, wird an Ihre lokale Firewall umgeleitet. Verkehr, der nicht an diegetrennten Netzwerke gerichtet ist, wird direkt ins Internet geroutet.

In diesem Modus maskiert das RED ausgehenden Verkehr so, dass er wirkt, als käme er vonder öffentlichen IP-Adresse des RED. Diese Funktion minimiert Bandbreitennutzung über denTunnel und verringert die erforderliche Bandbreite auf der Firewall, aber sie verringert auchdie Verwaltbarkeit des Netzwerks erheblich. Verkehr in oder aus dem Internet kann nicht aufBedrohungen gefiltert oder vor diesen geschützt werden. Sicherheit kann nur zwischen denentfernten und dem lokalen LANs durchgeführt werden.

Transparent/Getrennt

Die Firewall verwaltet nicht das Remote-Netzwerk. Sie ist mit dem Remote-LAN und dem Gatewaydes Remote-LAN verbunden und erhält eine Adresse im Remote-LAN über DHCP. Nur Verkehr, derfür bestimmte Netzwerk bestimmt ist, passiert den Tunnel. In diesem Fall agiert das RED nicht alsdas Gateway, sondern es ist auf einer Linie mit dem Gateway und kann Pakete transparent in denTunnel umleiten.

Da die Firewall keine Kontrolle über das Remote-Netzwerk hat, können lokale Domänen nicht vomRemote-Router aufgelöst werden, es sei denn, Sie legen einen getrennten DNS-Server fest. Dies istein lokaler DNS-Server in Ihrem Netzwerk, der Anfragen von den entfernten Clients entgegen nimmt.

In diesem Modus besteht eine Bridge zwischen der lokalen Schnittstelle des RED, dessen Uplink-Schnittstelle zu Ihrer lokalen Firewall sowie der Verbindung zum entfernten Router. Da die Firewallein Client des Remote-Netzwerks ist, ist es nicht möglich, Verkehr zu den getrennten Netzwerkenauf die gleiche Weise zu routen wie in den anderen Modi. Daher fängt das RED allen Datenverkehrab. Verkehr für ein getrenntes Netzwerk oder für eine getrennte Domäne wird zur Firewall-Schnittstelle umgeleitet.

RED 50 LAN-Modi

Wenn Sie die VLAN-Switch-Portkonfiguration verwenden, können Sie LAN-Ports separat konfigurieren.

Ohne Tags (Hybrid-Port)

Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden an diesenPort gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLAN nichtunterstützen. Dieser Port lässt eine VLAN-ID zu.


XG Firewall

Ohne Tags, Tags verwerfen (Access-Port)

Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden nicht andiesen Port gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLANnicht unterstützen.

Mit Tags (Trunk-Port)

Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden andiesen Port gesendet. Die Frames werden mit Tags gesendet. Daher müssen die Endgeräte VLANunterstützen. Frames ohne VLAN-IDs werden nicht an diesen Port gesendet. Dieser Port lässt bis zu64 VLAN-IDs zu. Trennen Sie die IDs durch Komma.

Deaktiviert

Dieser Port ist geschlossen. Keine Frames mit den oder ohne die in den LAN-VIDs-Feldernangegebenen VLAN-IDs werden an diesen Port gesendet.


XG Firewall

RED 15w Anforderungen

Der Verkehr wird entsprechend dem Modus und dem WLAN-Verkehrsart behandelt. Bevor Sie einRED 15w (WLAN) einrichten, müssen Sie die Vorbedingungen für dieses Modus erfüllen.

Standard/Vereint und Standard/Getrennt

Im Modus Standard/Vereint wird der gesamte Verkehr vom RED an die Firewall gesendet.

Im Modus Standard/Getrennt wird der gesamte Verkehr des getrennten Netzwerks an die Firewallgesendet. Jeglicher anderer Verkehr wird an das Standardgateway gesendet, das vom entferntenDHCP-Server festgelegt ist. Dies ist üblicherweise der Router, mit dem das RED am Remote-Standort verbunden ist.

Die folgenden Voraussetzungen müssen für WLAN erfüllt sein:

• Eine RED-Schnittstelle muss verfügbar sein und muss eine IP-Adresse haben.

• Ein DHCP-Server muss auf der RED-Schnittstelle laufen.

• DNS muss über die RED-Schnittstelle aufgelöst werden können.

Separate Zone Der gesamte Verkehr aus einer separaten Zonewird mittels VXLAN-Protokoll an die XG Firewallgesendet. Die Pakete werden verschlüsselt,während Sie den RED-Tunnel passieren. DieNetzwerke der getrennten Zone sind in XGFirewall miteinander verbunden. Sie müssen XGFirewall so konfigurieren, dass sie für die RED-Schnittstelle Verkehr für den AWE-Client undVXLAN (RFC 7348) zulässt.

Bridge ins AP-LAN Das RED sendet die SSID über eine Bridgein das LAN-Netzwerk hinter dem RED. Diesschließt die LAN-Ports 1–4 ein. Clients, die mitdieser SSID verbunden sind, können die RED-Tunnelendpunktschnittstelle auf der Firewall-Seiteerreichen, wenn die Firewall Verkehr vom RED-Netzwerk zur RED-Schnittstelle zulässt.

Bridge ins VLAN (Standard/Vereint) Das RED markiert allen Verkehr von Clients,die mit dieser SSID verbunden sind, mit demkonfigurierten VLAN-Tag. Clients sind in derLage, alle Netzwerkgeräte zu erreichen, die dasgleiche VLAN-Tag besitzen und mit den LAN-Ports 1–4 verbunden sind. Ebenso erreichen sieeine Tunnelendpunktschnittstelle auf der Firewall-Seite, wenn diese zusätzlich VLAN-getaggt ist.



XG Firewall

Bridge ins VLAN (Standard/Getrennt) Die Clients können alle Hosts hinter dem REDerreichen, die das gleiche VLAN-Tag besitzen.Auch der Tunnelendpunkt ist erreichbar, wenneine VLAN-Schnittstelle zusätzlich auf der RED-Schnittstelle auf der Firewall-Seite konfiguriert ist.Die getrennten Netzwerke sind nicht erreichbar,da diese nur für ungetaggte Pakete geroutetwerden.

Transparent/Getrennt

In diesem Modus sind nur getrennte Netzwerke über die Firewall erreichbar. Alle anderen Netzwerkewerden über den Router am entfernten Standort geleitet. Das entfernte Netzwerk bietet auch DHCPund DNS. In diesem Fall muss die RED-Schnittstelle eine IP-Adresse vom Remote-DHCP-Servererhalten.

• Eine RED-Schnittstelle muss verfügbar sein und muss eine IP-Adresse haben.

• DNS muss über die RED-Schnittstelle aufgelöst werden können.

• Der entfernte DHCP-Server muss die DHCP-Option 234 anbieten, welche die IP-Adresse derRED-Schnittstelle auf der Firewall-Seite enthält. (Andernfalls wird 1.2.3.4 verwendet.)

Separate Zone Das gleiche Verhalten wie bei Standard/Vereintund Standard/Getrennt.

Bridge ins AP-LAN Das gleiche Verhalten wie bei Standard/Vereintund Standard/Getrennt.

Bridge ins VLAN Die Clients können alle Hosts hinter dem REDerreichen, die das gleiche VLAN-Tag auf denLAN-Ports 1–4 sowie dem WAN-Port besitzen.Die getrennten Netzwerke sind nicht erreichbar,da diese nur für ungetaggte Pakete geroutetwerden.

RED-Netzwerkkonfiguration

Bei einer typischen Konfiguration richten Sie das Gerät in einer Zweigstelle ein und verbinden es mitder Firewall in der Hauptgeschäftsstelle.

Das RED stellt ein VPN zurück zur Firewall her, so dass alles, was an das RED angeschlossen ist,als Teil des Netzwerks anerkannt wird. Aller Verkehr in und aus der Zweigstelle wird über das REDgeroutet. Sie können die gleichen Richtlinien zwischen lokalem und entferntem Verkehr anwendenoder für jeden Standort eigene Richtlinien erstellen.


XG Firewall

17.2 ZonenEine Zone ist eine Gruppierung von Schnittstellen. Zonen legen auch die Dienste fest, die zurVerwaltung von Geräten und zur Authentifizierung von Benutzern verwendet werden können. WennZonen in Firewallregeln verwendet werden, bieten sie eine bequeme Methode, Sicherheit undDatenverkehr für eine Gruppe von Schnittstellen zu verwalten.

Tabelle 20: Standardzonen

Name Beschreibung

LAN Gruppieren Sie Schnittstellen mit verschiedenenNetzwerk-Subnetzen, um sie als eine Einheit verwaltenzu können. Datenverkehr in und aus dieser Zone wirdstandardmäßig blockiert. Allerdings wird Datenverkehrzwischen Ports derselben Zone zugelassen.

DMZ (Entmilitarisierte Zone) Bei öffentlich zugänglichenServern verwenden. Sie können physikalische Ports indieser Zone gruppieren.

WAN Für Internetdienste verwenden.

VPN Zur Vereinfachung von sicheren Remote-Verbindungenverwenden. Wenn eine VPN-Verbindung hergestellt ist,wird die von der Verbindung verwendete Schnittstelleautomatisch zu dieser Zone hinzugefügt.

WiFi Für WLAN-Internetdienste verwenden.

Zugehörige AufgabenZone hinzufügen (Seite 353)

17.2.1 Zone hinzufügen

1. Gehen Sie zu Netzwerk > Zonen und klicken Sie auf Hinzufügen.


3. Legen Sie einen Typ fest.

Option Beschreibung

LAN Gruppieren Sie Schnittstellen mit verschiedenenNetzwerk-Subnetzen, um sie als eine Einheitverwalten zu können. Datenverkehr in undaus dieser Zone wird standardmäßig blockiert.Allerdings wird Datenverkehr zwischen Portsderselben Zone zugelassen.

DMZ Bei öffentlich zugänglichen Servern verwenden.Sie können physikalische Ports in dieser Zonegruppieren.

4. Legen Sie Dienste fest, die in dieser Zone zugelassen sein sollen.



XG Firewall

Zugehörige KonzepteZonen (Seite 353)Eine Zone ist eine Gruppierung von Schnittstellen. Zonen legen auch die Dienste fest, die zurVerwaltung von Geräten und zur Authentifizierung von Benutzern verwendet werden können. WennZonen in Firewallregeln verwendet werden, bieten sie eine bequeme Methode, Sicherheit undDatenverkehr für eine Gruppe von Schnittstellen zu verwalten.

17.3 WAN-Link-ManagerDer WAN-Link-Manager ermöglicht Ihnen, Gateways so zu konfigurieren, dass sie Failover undLastverteilung (load balancing) unterstützen.

Mit dem Einsatz von Failover können Sie die Wahrscheinlichkeit einer Unterbrechung der Diensteminimieren und eine „ununterbrochene“ Konnektivität mit dem Internet sicherstellen. Failovererreichen Sie durch eine Aktiv/Backup-Konfiguration. Im Fall eines Linkausfalls, leitet die Firewallden Datenverkehr an verfügbare Verbindungen um und der Verkehr wird zwischen den Linksentsprechend ihren zugewiesenen Gewichtungen verteilt. Während eines Failovers überwacht dieFirewall den Zustand des ausgefallenen Links und leitet Datenverkehr zu ihm, sobald er wiederverfügbar ist.

Lastverteilung ermöglicht Ihnen, die Konnektivität zu optimieren, indem Sie Datenverkehr zwischenLinks verteilen. Datenverkehr wird entsprechend den den Links zugewiesenen Gewichtungenverteilt. Lastverteilung erreichen Sie durch eine Aktiv/Aktiv-Konfiguration.

• Um einen Verkehrsbericht für ein Gateway zu sehen, klicken Sie auf

.

• Um die Zeit festzulegen, nach der ein nicht reagierender Link als ausgefallen eingestuft wird,geben Sie einen Wert im Feld Zeitüberschreitung für Gateway-Failover an und klicken Sie aufÜbernehmen.

Aktiv/Backup-Konfiguration

Aktiv/Aktiv-Konfiguration

17.3.1 Gateway-Informationen

Gateway-Informationen

Geben Sie die allgemeinen Details zum Gateway an, einschließlich Typ und Gewichtung.

IP-Adresse IP-Adresse des Gateways.

Schnittstelle IP-Adresse der Schnittstelle.

Typ Die Methode, mit der Verkehr durch das Gatewaygeleitet werden soll. Wählen Sie Aktiv aus, umVerkehr durch das Gateway zu leiten. WennSie mehr als ein aktives Gateway konfigurieren,wird die Verkehrslast zwischen den Gatewaysentsprechend der zugewiesenen Gewichtungverteilt. Wählen Sie Sicherung aus, um Verkehr


XG Firewall

nur durch das Gateway zu leiten, wenn das aktiveGateway ausgefallen ist.

Gewichtung Priorität des Gateways, die für die Verteilung vonVerkehr verwendet wird. Dieser Wert bestimmt,wie viel Datenverkehr im Verhältnis zu denanderen verfügbaren Links über den Link geleitetwird.

Standard-NAT-Richtlinie NAT-Richtlinie, die standardmäßig verwendetwerden soll.

Backup-Gateway-Informationen

Legen Sie fest, wie das Gateway aktiviert und wie ihm eine Gewichtung zugewiesen werden soll.

Dieses Gateway aktivieren Die Methode, mit der das Gateway aktiviertwird. Wählen Sie Falls irgendein/alle aktivenGateways versagen aus, um dieses Gatewayautomatisch zu aktivieren, wenn alle aktivenGateways ausfallen. Wählen Sie Manuell aus, umeine manuelle Aktivierung zu erfordern.

Maßnahme bei Aktivierung Die Methode, mit der die Firewall demGateway eine Gewichtung zuweist. Wählen SieGewichtung des ausgefallenen aktiven Gatewaysübernehmen aus, um die Gewichtung desausgefallenen aktiven Gateways zu verwenden,um den Verkehr zwischen den Gateways zuverteilen. Wählen Sie Konfigurierte Gewichtungverwenden aus, um die konfigurierte Gewichtungdes Gateways zu verwenden.

Maßnahme bei Failback Die Methode, mit der die Firewall Maßnahmenergreift, sobald das primäre Gatewaywiederhergestellt ist. Wählen Sie NeueVerbindungen über wiederhergestelltes Gatewaybereitstellen aus, um neue Verbindungen durchdas primäre Gateway zu leiten. Sie fährt fort,bestehende Verbindungen durch das Backup-Gateway zu leiten, bis diese getrennt werden oderauslaufen.

Wählen Sie Alle Verbindungen überwiederhergestelltes Gateway bereitstellenaus, um bestehende Verbindungenwiederherzustellen, und allen Verkehrdurch das primäre Gateway zu leiten. Siestellt Verbindungen wieder her, für die Siedas Backup-Gateway festgelegt haben (inFirewallregel oder Richtlinienroute), und fährtfort, diese durch das Backup-Gateway, undnicht das primäre Gateway, zu leiten.


XG Firewall

Failover-Regeln

Legen Sie Kriterien fest, mit denen bestimmt wird, wann Verkehr durch ein anderes Gateway geleitetwerden soll. Standardmäßig verwendet die Firewall Ping, um den Link zu testen. Sie können dieStandardkriterien ändern und Kriterien hinzufügen. Zusätzliche Kriterien werden durch Einsatz von„UND“ ausgewertet.

• Um die Kriterien zu ändern, klicken Sie auf Bearbeiten und legen Sie eine Testmethode, Port undIP-Adresse fest.

• Um Kriterien hinzuzufügen, klicken Sie auf Hinzufügen und legen Sie eine Testmethode, Port undIP-Adresse fest.

17.4 DNSSie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.

• Um eine Konfiguration zu speichern, geben Sie IP- und Anfrage-Einstellungen an und klicken Sieauf Übernehmen.

• Um die Konnektivität zum DNS-Server zu testen, klicken Sie auf Namensauflösung testen undgeben Sie eine IP-Adresse oder einen Hostnamen ein.

DNS-Konfiguration

HinweisDie Verfügbarkeit von Optionen hängt von der Konfiguration der verfügbaren Schnittstellen ab.

DNS von DHCP erhalten Den konfigurierten DHCP-Server verwenden, umDNS zu erhalten.

DNS von PPPoE erhalten Den konfigurierten PPPoE-Server verwenden, umDNS zu erhalten.

Statischer DNS Die angegebenen Server für DNS verwenden.Server erhalten Anfragen in der angegebenenReihenfolge.

Server auf Basis des Eintragstyps derankommenden Anfragen wählen

Wählen Sie den DNS-Server aus, der verwendetwerden soll, um den Domänennamen auf Basisdes Eintragstyps der eingehenden Anfrageaufzulösen. Die ankommenden Anfragen könnenvom Typ A oder AAAA sein.

IPv6-DNS-Server gegenüber IPv4 bevorzugen Wenn sowohl IPv6- als auch IPv4-DNS-Serverkonfiguriert sind, dem IPv6-Server bei derAuflösung von Anfragen den Vorzug geben.

IPv4-DNS-Server gegenüber IPv6 bevorzugen Wenn sowohl IPv6- als auch IPv4-DNS-Serverkonfiguriert sind, dem IPv4-Server bei derAuflösung von Anfragen den Vorzug geben.


XG Firewall

IPv6 wählen, wenn Quelladresse der AnfrageIPv6 ist, ansonsten IPv4

Wählen Sie den IPv6-DNS-Server aus, derverwendet wird, wenn eine Anfrage von einerIPv6-Quelle stammt, bzw. den IPv4-DNS-Server,wenn eine Anfrage von einer IPv4-Quelle stammt.

DNS-Host-Eintrag

Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst dieAppliance die Anfrage mithilfe der angegebenen IP-Adresse auf. Dies bietet schnellere Auflösungund reduziert Anfragen an den autoritativen DNS-Server.

DNS-Anfrageroute

Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden. Dies bietet schnellere Auflösung, verringertInternetverkehr über das Netzwerk und verbessert die Sicherheit, da weniger DNS-Informationen imInternet enthüllt werden.

Zugehörige AufgabenEinen DNS-Host-Eintrag hinzufügen (Seite 357)Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst die Appliancedie Anfrage mithilfe der angegebenen IP-Adresse auf.

DNS-Anfrageroute hinzufügen (Seite 358)Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden.

17.4.1 Einen DNS-Host-Eintrag hinzufügen

Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst die Appliancedie Anfrage mithilfe der angegebenen IP-Adresse auf.

1. Gehen Sie zu Netzwerk > DNS.

2. Blättern Sie zum Abschnitt DNS-Host-Eintrag und klicken Sie auf Hinzufügen.


Option Beschreibung

Host-/Domänenname Fully Qualified Domain Name (FQDN) für denHost oder die Domäne.

Eintragstyp Geben Sie eine IP-Adresse für den Host einoder wählen Sie eine Schnittstelle aus, um sieals Host zu konfigurieren.

IP-Adresse IP-Adresse des Hosts.

Time-to-live Dauer in Sekunden, für die der Eintrag, der vomHost geholt für die angefragte Domäne geholtwurde, zwischengespeichert wird.


XG Firewall

Option Beschreibung

Gewichtung Gewichtung für die Lastverteilung desDatenverkehrs. Die Appliance verteilt denDatenverkehr entsprechend der jeweiligenGewichtung auf die einzelnen Links. DieGewichtung legt fest, wie viel Datenverkehrdurch einen bestimmten Link geleitet wird imVergleich zu dem/den anderen Link(s).

Auf WAN veröffentlichen Veröffentlichen Sie den DNS-Hosteintrag imWAN.

Für diesen Hosteintrag umgekehrte DNS-Suchehinzufügen

Ermöglichen Sie, dass die IP-Adresse in ihrenzugewiesenen Domänennamen aufgelöstwerden kann.

Die folgenden Einschränkungen gelten für ein Reverse DNS-Lookup:

• Wenn mehrere Hosts zur selben IP-Adresse auflösen, kann Reverse DNS Lookup nur für einedieser IP-Adressen konfiguriert werden.

• Nur DNS-Datensätze des Typs A, AAAA und PTR werden unterstützt.

• Adressdatensätze des Typs A verweisen einen Hostnamen auf eine IP-Adresse und gebeneine 32-Bit-IPv4-Adresse zurück.

• AAAA-Datensätze verweisen einen Hostnamen auf eine IP-Adresse und geben eine 128-Bit-IPv6-Adresse zurück.

• Pointer-Records (PTR) werden für Reverse-Lookups verwendet. Sie ordnen die IP-Adresseeinem Hostnamen zu.

• Die maximal unterstützte Anzahl an DNS-Einträgen ist 1024.

• Wenn die Appliance-Schnittstelle als DNS im Client-System verwendet wird, wird eine Anfragean die konfigurierten DNS-Server gesendet, bevor die ROOT-Server abgefragt werden.


Zugehörige KonzepteDNS (Seite 356)Sie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.

17.4.2 DNS-Anfrageroute hinzufügen

Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden.

1. Gehen Sie zu Netzwerk > DNS.

2. Blättern Sie zum Abschnitt DNS-Anfrageroute und klicken Sie auf Hinzufügen.


Option Beschreibung

Host-/Domänenname Domäne, für die Sie den internen DNS-Serververwenden möchten.


XG Firewall

Option Beschreibung

Zielserver DNS-Server, die verwendet werden sollen, umdie oben angegebene Domäne aufzulösen. Siekönnen nach einem Server suchen, indem Sieden Servernamen in die Hostliste eingeben.Wenn der Server noch nicht existiert, könnenSie ihn erstellen. Die Firewall versucht, dieDomäne von den ausgewählten Hosts in derangegebenen Reihenfolge aufzulösen.


Zugehörige KonzepteDNS (Seite 356)Sie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.

17.5 DHCPDie Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.

Ein DHCP-Server weist einem Host eine eindeutige IP-Adresse aus einem bestimmten Bereichzu und gibt die Adresse wieder frei, sobald der Host das Netzwerk verlässt. Sobald eine Adressefreigeben wurde, kann sie wieder verwendet werden. Sie können den Server auch so konfigurieren,dass er statische Adressen vergibt. Verwenden Sie einen DHCP-Server, um Clients zu versorgen,die sich im gleichen Subnetz befinden wie der Server.

• Um einen DHCP-Server zu erstellen, gehen Sie zum Bereich Server und klicken Sie aufHinzufügen.

Ein DHCP-Relay-Agent ermöglicht DHCP-Clients IP-Adressen von einem DHCP-Server in einemRemote-Subnetz oder von einem Server, der sich nicht im lokalen Subnetz befindet, zu beziehen.Verwenden Sie ein DHCP-Relay, um Clients zu versorgen, die sich in einem anderen Subnetzbefinden als der DHCP-Server.

• Um ein DHCP-Relay zu erstellen, gehen Sie zum Bereich Relay und klicken Sie auf Hinzufügen.


Zugehörige AufgabenDHCPv4-Server hinzufügen (Seite 360)Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.

DHCPv6-Server hinzufügen (Seite 361)Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.





XG Firewall

DHCP-Relay hinzufügen (Seite 362)Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung für Clients durchführen, dienicht im gleichen Subnetz wie der DHCP-Server sind.

Verwandte InformationenWLAN-Netzwerk als separate Zone einsetzen (Seite 205)Wir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.

Netzwerke: DHCP

17.5.1 DHCPv4-Server hinzufügen

Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.

1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Server.



Option Beschreibung

Schnittstelle Schnittstelle, die für den DHCP-Serververwendet werden soll. Die Firewall wartetauf DHCP-Anfragen auf der gewähltenSchnittstelle.

Clientanfrage über Relay zulassen Stellen Sie DHCP für Clients bereit, dieAnfragen über ein DHCP-Relay stellen.

Dynamisches IP-Lease Bereiche aus denen der DHCP-Server IP-Adressen an Clients vergibt.

Statische IP-MAC-Zuordnung Statische MAC-Adresse-zu-IP-Adresse-Zuordnungen. Die IP-Adresse ist immer derMAC-Adresse auf dem angegebenen Hostzugewiesen.

Subnetzmaske Subnetzmaske für den DHCP-Server.

Domänenname Domänenname, den der DHCP-Server denDHCP-Clients zuweisen wird.

Gateway IP-Adresse, die als Standardgateway verwendetwerden soll. Sie können ein Gateway angebenoder die Schnittstellen-IP als Gatewayverwenden.

Standard-Lease-Zeit Zeit in Minuten, die ein Lease dauern soll,für Clients, die keine bestimmte Lease-Zeitanfragen.

Maximale Lease-Zeit Maximale Lease-Zeit in Minuten. Der Clientmuss eine neue Anfrage an den DHCP-Serversenden, wenn die festgelegte Zeit abgelaufenist.

Konflikterfassung Aktivieren Sie die IP-Konflikterfassung, damitdie IP-Adresse vor der Vergabe überprüft wird.


https://www.youtube.com/watch?v=n5R-N_FDk78

XG Firewall

Option Beschreibung

Wenn die Adresse bereits vergeben ist, wird sienicht wieder vergeben.

4. Optional: Geben Sie die DNS-Server an.

Sie können die Firewall-DNS-Einstellungen verwenden oder andere Server angeben.

5. Optional: Geben Sie WINS-Server an.



17.5.2 DHCPv6-Server hinzufügen

Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.

1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Server.

2. Klicken Sie auf IPv6.



Option Beschreibung


Clientanfrage über Relay zulassen Stellen Sie DHCP für Clients bereit, dieAnfragen über ein DHCP-Relay stellen.

Dynamisches IP-Lease Bereiche aus denen der DHCP-Server IP-Adressen an Clients vergibt.

Statische IP-DUID-Zuordnung Statische DHCP Unique Identifier-zu-IP-Adresse-Zuordnungen. Die IP-Adresse istimmer der Client-DUID auf dem angegebenenHost zugewiesen.

Preferred time Zeitraum in Minuten, für den eine gültigeAdresse im bevorzugten Status bleibt.Wenn die bevorzugte Lebensdauer abläuft,ist die Adresse ungültig. Die bevorzugteLebensdauer darf nicht länger sein als diegültige Lebensdauer.

Valid time Zeit in Minuten, die eine Adresse gültig bleibt.Im gültigen Zustand kann eine Adresse für neueoder bestehende Kommunikationen verwendetwerden.





XG Firewall

5. Optional: Geben Sie die DNS-Server an.

Sie können die Firewall-DNS-Einstellungen verwenden oder andere Server angeben.



17.5.3 DHCP-Relay hinzufügen

Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung für Clients durchführen, dienicht im gleichen Subnetz wie der DHCP-Server sind.

1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Relay.



Option Beschreibung

IP-Version IP-Version, die vom DHCP-Relay unterstütztwerden soll. Die Zuweisung wird nur für dengewählten Typ stattfinden.


DHCP-Server-IP DHCP-Server, an den alle Pakete weitergeleitetwerden. Der aktive Server wird die Anfragebearbeitet. Falls der aktive Server ausfällt, wirddie Anfrage vom Backup-Server bearbeitet.

Relay über IPsec DHCP-Meldungen werden über einen IPsec-VPN-Tunnel umgeleitet.

HinweisDie Firewall unterstützt keine gleichzeitigen DHCPv6-Server und DHCPv6-Relay-Agenten.










XG Firewall

17.6 IPv6-Router-AdvertisementDie Firewall unterstützt zustandslose automatische Adresskonfiguration (SLAAC) für IPv6-Geräte.Mithilfe von SLAAC erstellen IPv6-Geräte automatisch eindeutige link-lokale Adressen für IPv6-aktivierte Schnittstellen. Die Clients nutzen die Router-Advertisements, um ihre eigene IP-Adresseautomatisch zu konfigurieren.

Die Firewall hat die Möglichkeit an SLAAC teilzunehmen. Standardmäßig vergibt die Firewall eineIPv6-Adresse und ein Standardgateway an den Client.

Mit SLAAC sendet der Host eine ICMPv6 (Typ 135) Router Solicitation Nachricht, die nach einemRouter-Advertisement fragt. Nach Erhalt der RS-Nachricht sendet die Firewall eine Router-Advertisement-(RA)-ICMPv6-Nachricht (Typ 134), in welcher der Status seiner Verfügbarkeitbekannt gegeben wird.

Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Datender verschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwortauf die RS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.

Zugehörige AufgabenIPv6-Router-Advertisement hinzufügen (Seite 363)Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Daten derverschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwort auf dieRS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.

17.6.1 IPv6-Router-Advertisement hinzufügen

Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Daten derverschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwort auf dieRS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.

1. Gehen Sie zu Netzwerk > IPv6-Router-Advertisement und klicken Sie auf Hinzufügen.

2. Wählen Sie eine Schnittstelle.

Sie können eine beliebige IPv6-fähige physikalische Schnittstelle, LAG-, VLAN- oder Bridge-Schnittstelle auswählen.


Option Beschreibung

Min. Advertisement-Intervall Die Mindestzeit in Sekunden zwischen zweinachfolgenden, nicht angeforderten Router-Advertisements, die an die Clients gesendetwerden.

Max. Advertisement-Intervall Die Höchstzeit in Sekunden zwischen zweinachfolgenden, nicht angeforderten Router-Advertisements, die an die Clients gesendetwerden.


XG Firewall

Option Beschreibung

HinweisWenn das maximale Intervall neunSekunden oder mehr beträgt, muss dasminimale Intervall 75 % des maximalenIntervalls betragen.

Verwalteter Flag Wenn die Funktion eingeschaltet ist, erhaltenClients IPv6-Adressen vom DHCPv6-Server.

HinweisVerwenden Sie diese Option nur, wenn einDHCPv6-Server verfügbar ist.

Anderer Flag Wenn die Funktion eingeschaltet ist, erhaltenClients weitere Netzwerkparameter wie DNS-Server, Domänenname, NIS, NISP, SIP, SNTP-und BCMS-Server vom DHCPv6-Server.

Standardgateway Verwenden Sie die Firewall alsStandardgateway für die Kommunikation mitdem Client. Wenn die Funktion eingeschaltetist, legen Sie die Zeit in Sekunden fest, die fürdas Router-Advertisement verwendet werdensoll.

4. Erstellen Sie eine Präfix-Advertisement-Konfiguration.

Das Präfix-Advertisement enthält keine oder mehrere Präfix-Optionen mit Informationen,die das Standardgateway bekannt gibt. Diese Informationen werden bei der zustandslosenAdressenautokonfiguration zur automatischen Erzeugung einer globalen IPv6-Adresse verwendet.

Option Beschreibung

Präfix /64 Die ersten 64 Bits der IPv6-Adresse. DieSchnittstelle nutzt Präfix-Informationen ausdem Router-Advertisements, um die letzten64 Bits (Schnittstellenkennung) der 128-Bit-IPv6-Adresse zu bestimmen. Die ersten 64 Bitsgeben das Netzwerk an, während die restlichenBits eine bestimmte Adresse im Netzwerkangeben.

On-link Wenn die Funktion eingeschaltet ist, sindGeräte mit IPv6-Adressen aus diesemPräfixbereich im Subnetz erreichbar, ohne dassein Router benötigt wird.

Autonom Wenn die Funktion eingeschaltet ist, wird dieglobale IPv6-Adresse automatisch erzeugt,indem die 64-Bit Schnittstellen-Identifikationdem bekanntgegebenen Präfix angehängt wird.

Nur Präfixe, bei denen diese Optioneingeschaltet ist, erhalten eine


XG Firewall

Option Beschreibung

IPv6-Adresse durch zustandsloseAdressenautokonfiguration.

Preferred lifetime Zeitraum in Minuten, für den eine gültigeAdresse im bevorzugten Status bleibt. BeiAblauf der Frist wird die bevorzugte Adresse alsveraltet eingestuft. Dennoch kann die Adresseweiterhin als Quelladresse für eine bestehendeKommunikation verwendet werden.

Die IPv6-Adresse befindet sich solange imbevorzugten Status, wie dieser über dasPräfix in der Router-Advertisement (oder aufandere Weise) aktualisiert oder über DHCPv6erneuert wird.

Valid lifetime Zeitraum in Minuten, für den eine Adresse gültigbleibt. Bis die Zeit abgelaufen ist, wird dasPräfix als On-Link betrachtet und es könnenautomatisch konfigurierte Adressen mit demPräfix verwendet werden. Nach Ablauf wird dieIPv6-Adresse ungültig und kann nicht mehrzum Senden und Empfangen von Datenverkehrgenutzt werden.

HinweisDer Wert muss größer oder gleich sein wiedie bevorzugte Lebensdauer.


Diese Einstellungen ermöglichen Geräten an derselben Schnittstelle sich gegenseitigzu entdecken und entsprechende Link-Layer-Adressen, Gateway-Router zu finden undErreichbarkeitsinformationen zu unterhalten.

Option Beschreibung

MTU der Sicherungsschicht MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert). Wenn Null eingestellt wird,wird die Information von der Schnittstelle nichtbekannt gegeben.

Erreichbarkeitszeit Zeit in Sekunden, für die der Client annimmt,dass ein Nachbar erreichbar ist, nachdemer eine Meldung zur Bestätigung derErreichbarkeit erhalten hat.

Sendewiederholungszeit Zeit in Sekunden, die bestimmt, wie lange einClient wartet, bis er an seinen Nachbarn erneutSolicitation-Anfragen sendet.

Hop Limit Maximale Anzahl an Hops für ein Paket. DerHop-Wert verringert sich durch jeden Router auf


XG Firewall

Option Beschreibung

der Route. Wird Null erreicht, wird das Paketzerstört


Zugehörige KonzepteIPv6-Router-Advertisement (Seite 363)Die Firewall unterstützt zustandslose automatische Adresskonfiguration (SLAAC) für IPv6-Geräte.Mithilfe von SLAAC erstellen IPv6-Geräte automatisch eindeutige link-lokale Adressen für IPv6-aktivierte Schnittstellen. Die Clients nutzen die Router-Advertisements, um ihre eigene IP-Adresseautomatisch zu konfigurieren.

17.7 Mobiles WANWireless-WAN-Netzwerke bieten mobilen Geräten sicheren WLAN-Breitband-Dienst.

• Um Wireless-WAN zu aktivieren, klicken Sie auf den Ein/Aus-Schalter.

• Um das Modem zu verbinden, das Wireless-WAN-Dienst anbietet, klicken Sie auf Verbinden.

Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle.

17.7.1 Wireless-WAN-Schnittstelle

Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle. Diese Schnittstelleist Mitglied einer WAN-Zone und es gelten für sie die Firewallregeln für die WAN-Zone. Die Firewallerstellt auch den Host ##WWAN1. Sie können den Host vor Angriffen durch Schadprogramme undunautorisierte Benutzung schützen, indem Sie Firewallregeln und Richtlinien für den Host festlegen.

• Um die Modeminformationen und die empfohlene Konfiguration zu sehen, klicken Sie aufEmpfohlene Konfiguration anzeigen. Klicken Sie danach auf Empfohlene Konfiguration laden,um die Einstellungen zu laden.


IP-Zuweisung IP-Zuweisungsmethode, die vom Modemverwendet wird.

Verbinden Modus für die Herstellung der WWAN-Verbindung..

Erneute Verbindungsversuche Anzahl der zulässigen Versuche für einenerneuten Verbindungsaufbau zu einem AccessPoint. Um unbegrenzte Versuche zuzulassen,wählen Sie Immer.

Modem-Port Serielle Schnittstelle, über die das Modem eineVerbindung herstellt..


XG Firewall

Telefonnummer Telefonnummer, die für die Herstellung derVerbindung verwendet werden soll.

Benutzername Erforderlicher Benutzername für die Verbindung.

Kennwort Erforderliches Kennwort für die Verbindung.

SIM-Karte PIN-Code Erforderlicher Code zum Freischalten der PIN-geschützten SIM-Karte.

APN Name des Access Points. Der Access-Point-Name (APN) ist eine konfigurierbareNetzwerkkennung, die das Packet Data Network(PDN) bzw. den GSM-Anbieter identifiziert, überden der Benutzer kommunizieren will.

DHCP-Verbindungsaufbau-Befehl DHCP-Befehl für den Verbindungsaufbau zumWWAN.

DHCP-Verbindungsabbruch-Befehl DHCP-Befehl für die Trennung der Verbindungzum WWAN.

Initialisierungsstring Zeichenfolge, die bestimmte Funktionen auf demWLAN-Modem aktiviert oder deaktiviert. Prioritätwird entsprechend der angegeben Reihenfolgezugewiesen.

Gateway-Einstellungen

Gateway-Name Name zur Identifizierung des Gateways.

Gateway-IP IP-Adresse des Gateways.

Andere Einstellungen


MSS MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.

MAC-Adresse Methode, mit der dem Modem eine MAC-Adressezugewiesen wird. Sie können die Standard-MAC-Adresse verwenden oder eine andere MAC-Adresse festlegen.

17.8 IP-TunnelEin IP-Tunnel ist ein Mechanismus, der ein Netzwerkprotokoll als Nutzdaten in ein anderesNetzwerkprotokoll eingekapselt. Mithilfe eines Tunnels können Sie ein IPv6-Paket in ein IIPv4-Paket


XG Firewall

einkapseln, um IPv6-fähige Hosts oder Netzwerke über ein IPv4-Netzwerk kommunizieren zu lassen,oder umgekehrt.

Zugehörige AufgabenIP-Tunnel hinzufügen (Seite 368)

17.8.1 IP-Tunnel hinzufügen

1. Gehen Sie zu Netzwerk > IP-Tunnel und klicken Sie auf Hinzufügen.


3. Wählen Sie einen Tunneltyp aus.

Option Beschreibung

6in4 Für IPv6-zu-IPv6-Kommunikation über einIPv4-Backbone. Die Quell- und Ziel-IPv4-Adressen müssen manuell konfiguriert werden.Diese Methode wird für Punkt-zu-Punkt-Kommunikation empfohlen.

6to4 Für IPv6-zu-IPv6-Kommunikation über ein IPv4-Backbone. Die Ziel-IPv4-Adresse des Tunnelskann automatisch bezogen werden, aberdie Quell-Adresse muss manuell angegebenwerden. Diese Methode wird für Punkt-zu-Mehrpunkt-Kommunikation empfohlen.

6rd Für IPv6-zu-IPv6-Kommunikation über ein IPv4-Backbone. Dieser Tunnel ist eine Erweiterungdes 6to4-Tunnels. Der Tunnel kann durch einangegebenes oder vordefiniertes ISP-Präfixhergestellt werden.

4in6 Für IPv4-zu-IPv4-Kommunikation über einIPv6-Backbone. Die Quell- und Ziel-IPv6-Adressen müssen manuell konfiguriert werden.Diese Methode wird für Punkt-zu-Punkt-Kommunikation empfohlen.


Option Beschreibung

Zone Zone, die dem Tunnel zugewiesen ist.

Lokaler Endpunkt IP-Adresse des lokalen Endpunkts des Tunnels.Bei 6in4, 6to4 und 6rd ist dies eine IPv6-Adresse. Bei 4in6 ist dies eine IPv4-Adresse.

Entfernter Endpunkt IP-Adresse des entfernten Endpunkts desTunnels. Bei 6in4 ist dies eine IPv4-Adresse.Bei 4in6 ist dies eine IPv6-Adresse.


Option Beschreibung

TTL Time-to-live-Wert für Pakete. Dieser Wert legteine Grenze für die Anzahl an Versuchen fest,


XG Firewall

Option Beschreibung

ein Paket zu übertragen, bevor es verworfenwird.

TOS Wert, der einem IP-Paket zugewiesen ist,entsprechend der bereitgestellten Art desDiensts. Der Dienst legt die Priorität des Paketsund die Routing-Eigenschaften fest (Latenz,Durchsatz oder zuverlässiger Dienst).


Zugehörige KonzepteIP-Tunnel (Seite 367)Ein IP-Tunnel ist ein Mechanismus, der ein Netzwerkprotokoll als Nutzdaten in ein anderesNetzwerkprotokoll eingekapselt. Mithilfe eines Tunnels können Sie ein IPv6-Paket in ein IIPv4-Paketeinkapseln, um IPv6-fähige Hosts oder Netzwerke über ein IPv4-Netzwerk kommunizieren zu lassen,oder umgekehrt.

17.9 Nachbarn (ARP-NDP)Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP),um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle,erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher).Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherteEinträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.

ARP wird verwendet, um die Link-Layer-Adresse (MAC-Adresse) herauszufinden, die mit einerIPv4-Adresse verbunden ist. Hosts finden die physikalische Adresse anderer Hosts heraus, indemsie ein ARP-Abfragepaket sendet, das die IP-Adresse des Empfängers enthält. Wenn die Antwortzurückgeliefert wird, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu verringern, greift die Firewall auf vorher gelernte IP-MAC-Zuordnungen zurück. NDP bietet eine ähnliche Funktionalität für IPv6-Adressen.

Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.

• Um einen Nachbar-Cache zu sehen, wählen Sie IPv4-Nachbar-Cache oder IPv6-Nachbar-Cacheaus der Liste Anzeigen.

Nachbar-Caches bestehen bis sie geleert werden. Das Leeren von Caches ermöglicht das Lernenund Speicher von neuen Informationen (z.B. einer geänderten IP-Adresse) in den Caches.

• Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einenWert für Nachbar-Cache-Eintrag-Zeitüberschreitung ein und klicken Sie auf Übernehmen.

• Um einen Cache manuell zu leeren, wählen Sie einen Cache aus der Liste Anzeigen aus undklicken Sie auf Leeren.

Statische Nachbareinträge werden festgelegt und manuell aktualisiert. Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einen Port zu binden. Sobalddie MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alledynamisch zwischengespeicherten Bezüge zu dieser IP-Adresse und wird keine zusätzlichenstatische Zuordnungen von dieser IP-Adresse zulassen. Die Firewall wird nicht auf dieses IP-MAC-Paar auf irgendeinem anderen Port reagieren.

• Um statische Nachbareinträge zu sehen, wählen Sie Tabelle statischer Nachbarn aus der ListeAnzeigen aus.

• Um einen neuen statischen Eintrag hinzuzufügen, klicken Sie auf Hinzufügen.


XG Firewall

Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie die Anfrage an einembestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut die Firewall in denNachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cache hinzu.

Wenn die Firewall einen Nachbar-Lookup in der statischen Nachbartabelle durchführt und dieÜbereinstimmung in einer IP-Adresse oder MAC-Adresse fehlt, geht die Firewall von einemversuchten Nachbar-Sicherheitsangriff aus und aktualisiert ihren Nachbar-Cache nicht.

• Um mögliche Nachbar-Sicherheitsangriffe aufzuzeichnen, wählen Sie das KontrollkästchenMögliche Poisoning-Angriffe des Nachbarn protokollieren und klicken Sie auf Übernehmen.

Nachbar-Sicherheitsangriffe

Im folgenden Beispiel ist IP1 MAC1 zugeordnet und das IP1/MAC1-Paar ist an Port A gebunden.Gleichfalls ist IP2 MAC1 zugeordnet und das IP2/MAC1-Paar ist an Port A gebunden.

IP-Adresse MAC-Adresse Port Versuchter Nachbar-Sicherheitsangriff?

IP1 MAC1 A Nein

IP1 MAC1 Jeder anderePort außer A

Ja

IP1 MAC2 A Ja


Ja

IP3 MAC1 Kein statisches ARP Nein

IP2 MAC1 A Nein


Ja

Zugehörige AufgabenStatischen Nachbarn hinzufügen (Seite 370)Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einenPort zu binden. Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie dieAnfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut dieFirewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cachehinzu.

17.9.1 Statischen Nachbarn hinzufügen

Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einenPort zu binden. Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie dieAnfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut dieFirewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cachehinzu.

1. Gehen Sie zu Netzwerk > Nachbarn (ARP-NDP).

2. Wählen Sie Tabelle statischer Nachbarn aus der Liste Anzeigen und klicken Sie auf Hinzufügen.


Option Beschreibung

IP-Version IP-Adresstyp


XG Firewall

Option Beschreibung

IPv4/IPv6-Adresse IP-Adresse des Hosts

MAC-Adresse MAC-Adresse des Hosts

Schnittstelle Physikalische Schnittstelle, auf der das Bindingdurchgeführt wird

Fügen Sie eine vertrauenswürdige MAC-Adresse hinzu, um einen Täuschungsversuchzu verhindern.

Fügen Sie die IP/MAC-Zuordnung zur Liste dervertrauenswürdigen MAC-Adressen hinzu.


Zugehörige KonzepteNachbarn (ARP-NDP) (Seite 369)Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP),um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle,erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher).Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherteEinträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.

17.10 Dynamisches DNSMit dem Einsatz von dynamischem DNS können Sie sicherstellen, dass die Firewall zugänglich ist,selbst wenn sie eine dynamische IP-Adresse erhalten hat. Wenn die Firewall eine neue IP-Adresseerhält, kontaktiert sie den Dynamischen DNS-Dienst und aktualisiert den öffentlichen DNS-Namen mitder neuen Adresse. Mit DDNS zeigt der öffentliche DNS-Name immer auf die korrekte IP-Adresse.

Zugehörige AufgabenDynamischen DNS-Anbieter hinzufügen (Seite 371)Die Firewall unterstützt mehrere Dritt-DDNS-Anbieter. Sie können jedoch auch den Sophos DDNS-Dienst verwenden. Sophos DDNS wird zu den Bedingungen Ihres Abonnements ohne weitereGebühren angeboten.

17.10.1 Dynamischen DNS-Anbieter hinzufügen

Die Firewall unterstützt mehrere Dritt-DDNS-Anbieter. Sie können jedoch auch den Sophos DDNS-Dienst verwenden. Sophos DDNS wird zu den Bedingungen Ihres Abonnements ohne weitereGebühren angeboten.

1. Gehen Sie zu Netzwerk > Dynamisches DNS und klicken Sie auf Hinzufügen.

2. Geben Sie den Hostnamen ein, den Sie erhalten haben, als Sie sich bei Ihrem DDNS-Anbieterregistriert haben.

Bei Dritt-Dienstanbietern verwenden Sie das Format <kontoname>.<anbieter>.com.

Bei Sophos DDNS, verwenden Sie das Format <hostname.myfirewall.co.

3. Wählen Sie eine Schnittstelle.

Die IP-Adresse der ausgewählten Schnittstelle wird mit dem angegebenen Hostnamen verknüpft.

4. Wählen Sie die IPv4-Adressquelle aus.


XG Firewall

Option Beschreibung

Port-IP verwenden Verwenden Sie die IP-Adresse desausgewählten Ports oder der Schnittstelle.

Durch NAT übersetzte öffentliche IP Verwenden Sie die dem ausgewählten Portzugewiesene öffentliche IP-Adresse.

5. Legen Sie das Zeitintervall fest, nach dem die Firewall Ihre Server-IP-Adresse auf Änderungenüberprüft.

Wenn das Intervall z.B. auf 10 Minuten gesetzt ist, überprüft die Firewall alle 10 Minuten, ob sichdie IP-Adresse Ihres Servers geändert hat.

6. Geben Sie die Daten des Dienstanbieters an.


Zugehörige KonzepteDynamisches DNS (Seite 371)Mit dem Einsatz von dynamischem DNS können Sie sicherstellen, dass die Firewall zugänglich ist,selbst wenn sie eine dynamische IP-Adresse erhalten hat. Wenn die Firewall eine neue IP-Adresseerhält, kontaktiert sie den Dynamischen DNS-Dienst und aktualisiert den öffentlichen DNS-Namen mitder neuen Adresse. Mit DDNS zeigt der öffentliche DNS-Name immer auf die korrekte IP-Adresse.

17.11 Site-to-Site RED-Tunnel erstellenRichten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohneein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert ein Gerät als Server und das andereals Client.

Zielsetzungen


• Auf dem Server eine RED-Schnittstelle hinzufügen.

• Eine Client-Firewallkonfiguration erstellen.

• Statisches Routing erstellen, damit interne Netzwerke eine Route durch den RED-Tunnel haben.

• Firewallregeln für den Tunnelverkehr hinzufügen.


RED-Schnittstelle auf dem Server hinzufügen

Der Server wartet auf eingehende Verbindungen und das Client-Gerät initiiert die ausgehendeVerbindung. Jedes Upstream-NAT kann eingehende Verbindungen stören, daher ist es besser, einNicht-NAT-Gerät auszuwählen, das als Server agiert.


XG Firewall

1. Gehen Sie auf dem Server-Gerät zu Systemdienste > RED und schalten Sie den REDProvisioning Service ein.



Option Beschreibung

Zweigstellenname Server

Typ Firewall RED-Server

Tunnel-ID Automatisch

RED-IP 192.0.2.25

Zone LAN


Eine Bereitstellungsdatei wird für die Server-Firewall erzeugt.

5. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf

und laden Sie die Bereitstellungsdatei herunter.

6. Kopieren Sie die Datei auf einen Netzwerkort oder transportables Gerät, das Sie von der Client-Firewall aus erreichen können.

RED-Schnittstelle auf dem Client hinzufügen

1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.



Option Beschreibung

Zweigstellenname Client

Typ Firewall RED-Client

Firewall-IP/Hostname 192.0.2.25

RED-IP 198.51.100.100

Zone LAN

4. Klicken Sie auf Datei auswählen und wählen Sie die Bereitstellungsdatei aus, die Sie vom Serverheruntergeladen haben.



XG Firewall

Statische Routen hinzufügen

Sie müssen statisches Routing auf beiden Firewalls konfigurieren, damit interne Netzwerke eine Routedurch den RED-Tunnel haben.

1. Gehen Sie auf der Server-Firewall zu Routing > Statisches Routing.

2. Klicken Sie auf Hinzufügen, um eine IPv4-Unicast-Route zu erstellen.


Option Beschreibung

ZielIP 192.168.100.0

Gateway 172.173.0.1

Schnittstelle reds1-192.0.2.25

4. Gehen Sie zur Client-Firewall und legen Sie das gleiche Routing fest.

Firewallregeln hinzufügen

Damit Datenverkehr zwischen zwei Firewalls fließen kann, müssen Sie eine LAN-zu-LAN- oder eineähnliche Regel auf jeder Firewall erstellen.

Die folgenden Schritte werden auf der Server-Firewall und der Client-Firewall ausgeführt.



Option Beschreibung

Regelname LAN zu LAN

Quellzonen LAN

Zielzonen LAN

17.12 Ein RED manuell einrichtenUm RED-Geräte manuell einzurichten, müssen Sie die Bereitstellungsdatei für die RED-Schnittstelleherunterladen und auf einem USB-Stick speichern.


XG Firewall

Zielsetzungen


• Einen NTP-Server auf der Firewall konfigurieren.

• Eine RED-Schnittstelle hinzufügen und die Bereitstellungsdatei herunterladen.


NTP-Server konfigurieren

Wenn Sie ein RED-Gerät manuell einrichten, muss die Firewall als NTP-Server agieren.

1. Gehen Sie zu Verwaltung > Zeit und klicken Sie auf Eigenen NTP-Server verwenden.

2. Geben Sie im Feld Suchen/Hinzufügen die IP-Adresse der Firewall ein und klicken Sie auf

.


RED-Schnittstelle hinzufügen

Erstellen Sie eine Schnittstelle für ein RED, das manuell über USB-Stick eingerichtet werden soll.

1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.


3. Geben Sie einen Zweigstellennamen ein und wählen Sie Ihren RED-Gerätetyp aus.

4. Für Geräteeinrichtung wählen Sie Manuell über USB-Stick.

5. Legen Sie bei Bedarf weitere RED-Modell-Einstellungen fest.


Die Firewall erzeugt eine Bereitstellungsdatei für die Schnittstelle.

Bereitstellungsdatei installieren

Laden Sie die Bereitstellungsdatei herunter, die mit der RED-Schnittstelle verknüpft ist und stellen Siedie Datei mithilfe eines USB-Sticks der Appliance bereit.

1. Schalten Sie RED aus.

2. Gehen Sie zu Netzwerk > Schnittstellen.

3. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf

und laden Sie die Bereitstellungsdatei herunter.


4. Legen Sie die Datei ins Stammverzeichnis eines USB-Sticks.

5. Stecken Sie den USB-Stick in das RED.

6. Schalten Sie das RED ein.

Das RED erhält eine Konfiguration vom USB-Stick und die Firewall sendet den Entsperrcodean die E-Mail-Adresse, die Sie angegeben haben, als Sie den RED Provisioning Serviceeingeschaltet haben.

WichtigBewahren Sie den Entsperrcode auf. Sie werden den Code brauchen, wenn Sie das RED aufeiner anderen Firewall einsetzen wollen.

Kapitel 18

18 RoutingDieser Bereich bietet Optionen zur Konfiguration von statischen und dynamischen Routen.

18.1 Statisches Routing

Eine Route bietet der Appliance alle Informationen, die sie benötigt, um ein Paket an einenbestimmten Zielort weiterzuleiten. Eine statische Route führt dazu, dass Pakete zu einem anderenZiel als dem Standardgateway weitergeleitet werden.

Durch Angabe der Schnittstelle, über welche das Paket versendet wird, und der Appliance, anwelche das Paket weitergeleitet werden soll, kontrollieren die statischen Routen den Datenverkehr,der von der Appliance abgeht.

IP-Multicast

Die Internet Protocol(IP)-Multicast-Technologie spart Bandbreite und reduziert den Datenverkehr,indem ein einziger Datenstrom an Tausende von Empfängern und Heimnetzwerken versendet wird.IPMulticast liefert den Quelldatenverkehr an mehrere Empfänger, ohne dass die Quelle oder dieEmpfänger zusätzlich belastet werden.

Anwendungen wie Videokonferenzen, Unternehmenskommunikation, Fernunterricht und dieVerteilung von Software, Aktiennotierungen und Nachrichten nutzen das IP-Multicasting.

Wenn IP-Multicast nicht verwendet wird, muss die Quelle mehrere Kopien eines Paketsoder einzelne Kopien an jeden einzelnen Empfänger versenden. In diesem Fall verbrauchenAnwendungen mit hoher Bandbreitennutzung, wie Video oder Börsenprogramme, bei welchen Datenhäufig und gleichzeitig versendet werden, einen großen Anteil der verfügbaren Bandbreite. Dieeinzige effiziente Möglichkeit für diese Anwendungen, Daten gleichzeitig an mehrere Empfänger zuversenden, ist das IP-Multicasting.

Multicast-Gruppe

Multicast basiert auf dem Konzept der Gruppe. Eine beliebige Gruppe von Empfängern äußertInteresse am Empfang eines bestimmten Datenstroms. Diese Gruppe hat keine physikalischenoder geographischen Grenzen. Die Hosts können sich überall im Internet finden. Alle Hosts, diedaran interessiert sind, die Daten, die an eine bestimmte Gruppe gesendet werden, zu empfangen,müssen Mitglied der Gruppe werden. Hosts müssen Mitglied der Gruppe sein, um den Datenstromempfangen zu können.

IP-Multicast-Adressen

Multicast-Adressen bezeichnen eine beliebige Gruppe an IP-Hosts, die der Gruppe beigetreten sindund den Datenverkehr, der an diese Gruppe versendet wird, empfangen möchten.

IP-Klasse D-Adressen

Die Internet Assigned Numbers Authority (IANA) steuert die Zuweisung der IP-Multicast-Adressen.Multicast-Adressen gehören der Klasse D im Bereich von 224.0.0.0 bis 239.255.255.255 an.

Dieser Adressbereich gilt nur für die Gruppenadresse oder die Zieladresse des IP-Multicast-Datenverkehrs. Die Quelladresse des Multicast-Datenpakets ist immer die Quelladresse desUnicast-Datenpakets.

XG Firewall

Multicast-Weiterleitung

Bei der Multicast-Weiterleitung wird der Multicast-Datenverkehr von einem Router an Netzwerkeweitergeleitet, in welchem weitere Multicast-Geräte lauschen. Die Multicast-Weiterleitung verhindert,dass der Multicast-Datenverkehr an Netzwerke weitergeleitet wird, in welchen keine Knotenlauschen.

Damit die Multicast-Weiterleitung zwischen mehreren Netzwerken, Knoten und Routern funktioniert,müssen sie Multicast-fähig sein.

Ein Multicast-fähiger Knoten muss:

• Multicast-Pakete versenden und empfangen können.

• Die Multicast-Adressen, die der Knoten über die lokalen Router hört, registrieren können, damitdie Multicast-Pakete an das Netzwerk des Knotens weitergeleitet werden.

IP-Multicast-Anwendungen, die Multicast-Datenverkehr versenden, müssen IP-Pakete mit derentsprechenden IP-Multicast-Adresse als Ziel-IP-Adresse erstellen. IP-Multicast-Anwendungen, dieMulticast-Datenverkehr empfangen, müssen das TCP/IP-Protokoll informieren, dass sie auf dengesamten Datenverkehr warten, der an eine bestimmte IT-Multicast-Adresse versendet wird.

18.1.1 Statische Routen verwalten

Mithilfe des Menüs Statisches Routing können Sie eine Unicast-Route und eine Multicast-Routekonfigurieren. Auf dieser Seite sind die verfügbaren Elemente beschrieben.

IPv4-Unicast-Route

Im Bereich „IPv4-Unicast-Route“ wird eine Liste aller konfigurierten IPv4-Unicast-Routen angezeigt.Sie können die Liste nach IP-Adresse, Gateway oder Schnittstelle filtern. Auf dieser Seite haben Sieauch die Möglichkeit, eine Route hinzuzufügen, die Routenkonfiguration zu aktualisieren und dieRoute zu löschen.

IPv6-Unicast-Route

Im Bereich „IPv6-Unicast-Route“ wird eine Liste aller konfigurierten IPv6-Unicast-Routen angezeigt.Sie können die Liste nach IP-Adresse, Gateway oder Schnittstelle filtern. Auf dieser Seite haben Sie


XG Firewall

auch die Möglichkeit, eine Route hinzuzufügen, die Routenkonfiguration zu aktualisieren und dieRoute zu löschen.

Einstellungen für Multicast-Weiterleitung

Multicast-Weiterleitung aktivieren Multicast-Weiterleitung aktivieren/deaktivierenAktivieren Sie diese Option und klicken Sieauf Übernehmen, damit der Router Pakete anandere Netzwerke senden kann, in denen andereMulticast-Geräte aktiv sind und lauschen.

Multicast-Route verwalten

Im Bereich „Multicast-Route verwalten“ wird eine Liste aller konfigurierten Multicast-Routenangezeigt. Sie können die Liste nach Quell-IP, Multicast-IP, Quell-Schnittstelle und Ziel-Schnittstelle filtern. Auf dieser Seite haben Sie auch die Möglichkeit, eine Route hinzuzufügen, dieRoutenkonfiguration zu aktualisieren und die Route zu löschen.

18.1.2 Unicast-Route hinzufügen

1. Für eine IPv4-Unicast-Route gehen Sie zu Routing > Statisches Routing und klicken Sie unterIPv4-Unicast-Route auf Hinzufügen. Für eine IPv6-Unicast-Route klicken Sie unter IPv6-Unicast-Route auf Hinzufügen.

2. Geben Sie die Daten der Unicast-Route ein.

ZieI-IP/Präfix Geben Sie die IPv4- oder IPv6-Zieladresse anund wählen Sie das Präfix der Subnetzmaskeaus der Dropdownliste.

Gateway Geben Sie die IPv4- oder IPv6-Adresse desGateways an. Die Gateway-Adresse gibt dennächsten Router an, zu dem der Datenverkehrim nächsten Hop weitergeleitet wird.

Schnittstelle Wählen Sie in der Dropdownliste eineSchnittstelle aus.

HinweisSie können Unicast-Routen erstellen, bei denen die Gateway-Konfiguration und die gewählteSchnittstelle nicht im gleichen Netzwerk sind (Netzwerk ist nicht verfügbar für diese Route).XG Firewall speichert diese Routen. Sie werden automatisch eingesetzt, wenn Sie einerSchnittstelle eine IP-Adresse vom angegebenen Gateway-Netzwerk zuweisen.

Distanz Geben Sie die Distanz für das Routing ein:

• Für IPv4

• Für IPv6


Die Unicast-Route wird erstellt und erscheint auf der Seite Statisches Routing.


XG Firewall

18.1.3 Multicast-Route hinzufügen

1. Gehen Sie zu Routing > Statisches Routing und klicken Sie auf Hinzufügen unter Multicast-Route verwalten.

2. Geben Sie die Daten der Multicast-Route ein.

Quell-IPv4-Adresse Geben Sie die Quell-IPv4-Adresse ein.

Quellschnittstelle Wählen Sie die Quellschnittstelle in derDropdownliste aus.

Multicast-IPv4-Adresse Geben Sie die Multicast-IPv4-Adresse ein. ZumBeispiel (224.0.2.0 - 239.255.255.255)

Zielschnittstelle Wählen Sie die Zielschnittstelle(n) aus denverfügbaren Optionen aus. Sie können eineoder mehrere Zielschnittstellen auswählen.


18.2 Richtlinienrouting

Router leiten im Allgemeinen Pakete an die Zieladressen basierend auf den Informationen in ihrenRouting-Tabellen weiter. Mit dem Richtlinienrouting können Sie Routing-Entscheidungen basierendauf den Richtlinien treffen, die vom Administrator konfiguriert wurden.

Sie können die Pakete, die auf unterschiedlichen Kriterien basieren, wie zum BeispielQuellnetzwerk, Zielnetzwerk, Dienste, usw., gezielt weiterleiten. Wenn das Paket den Kriteriender Richtlinienroute entspricht, wird das Paket an das Gateway weitergeleitet, das in der Richtliniekonfiguriert ist.

Die Firewallregel kann die Entscheidung in der Richtlinienroute überschreiben, wenn ein primäresund/oder Backup-Gateway konfiguriert ist.

Vorteile des Richtlinien-Routings beinhalten:

• Pakete, die von unterschiedlichen Quellnetzwerken stammen und dasselbe Ziel haben, könnenin unterschiedliche Netzwerke geroutet werden.

• Sie können den Verkehr verteilen, der eine hohe Bandbreite benötigt, indem Sieunterschiedliche Internetverbindungen verwenden.

• Sie können Richtlinien implementieren um Failover/Failback zu erreichen. Zum Beispiel: WennSie einen MPLS-Link und einen VPN-Link haben und der MPLS-Link fehlschlägt, können SieIhren Verkehr, der mit der Richtlinie übereinstimmt, an den VPN-Link leiten. Wenn der MPLS-Link wieder funktioniert, kann der Verkehr an den MPLS-Link zurück geleitet werden.

HinweisWenn die Firmware der Appliance auf SFOS v16 aktualisiert wird, werden Quellrouten alsRichtlinienrouten migriert.

18.2.1 Richtlinienroute verwalten


XG Firewall

Auf dieser Seite wird eine Liste aller konfigurierten IPv4- und IPv6-Richtlinienrouten angezeigt.

Sie können Richtlinienrouten auch neu ordnen. Die Reihenfolge der Verarbeitung kann geändertwerden, indem Sie die Richtlinienrouten per Drag-and-Drop neu anordnen. Richtlinienrouten werdenabsteigend in der Reihenfolge ausgewertet, in der sie auf der Seite „Verwaltung“ erscheinen. Nachdem ersten Treffer werden nachfolgende Richtlinienrouten nicht mehr ausgewertet.

Die Seite zeigt auch den Status aktiviert

oder deaktiviert

für die Gateways an, die in der Richtlinienroute konfiguriert sind.

18.2.2 Richtlinienroute hinzufügen

1. Gehen Sie zu Routing > Richtlinienrouting und klicken Sie auf Hinzufügen unter IPv4/IPv6-Richtlinienroute.

2. Legen Sie die Details für die Richtlinienroute fest.

Name Geben Sie einen Namen für die Richtlinienrouteein.

Beschreibung Geben Sie einen Beschreibung für dieRichtlinienroute ein.

3. Legen Sie die Details für den Verkehrskennzeichner fest.

Eingehende Schnittstelle Wählen Sie die eingehende Schnittstelle, diedas Paket empfängt.

HinweisDas Löschen der eingehenden Schnittstellelöscht auch die Richtlinienroute, die für dieSchnittstelle definiert ist.

Quellnetzwerke Wählen Sie das/die Quellnetzwerk(e) desPakets, das geroutet werden soll. Ein neuerNetzwerk-Host kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste erstelltwerden.

Zielnetzwerke Wählen Sie das/die Zielnetzwerk(e) des Pakets,das geroutet werden soll. Ein neuer Netzwerk-Host kann direkt auf dieser Seite oder über dieSeite Hosts und Dienste erstellt werden.

Dienste Wählen Sie den/die Dienst(e) des Pakets, dasgeroutet werden soll. Diese Dienste erlaubenes Ihnen, präzise festzulegen, welche Art vonVerkehr verarbeitet werden soll. Ein neuerDienst oder eine neue Dienstgruppe kanndirekt auf dieser Seite oder über die SeiteHosts und Dienste erstellt werden.


XG Firewall

DSCP-Markierung Wählen Sie die Art von DSCP-Markierung,die mit den Paketen übereinstimmen sollen,welche mit dem angegebenen DSCP-Wert(Seite 73) markiert sind.

4. Legen Sie die Routing-Details fest.

Gateway Wählen Sie das Gateway zu dem Sie das Paketweiterleiten möchten, wenn das Paket mit denkonfigurierten Kriterien übereinstimmt.

Hinweis• Das Löschen des Gateways löscht

auch die Richtlinienroute, die für dasGateway definiert ist.

• Die Richtlinienroute wird nichtangewendet, wenn das Gatewayausfällt. Sobald das Gateway wiederaktiv ist, wird der Datenverkehrautomatisch über das Gateway geleitet.


18.3 Gateways

Die Seite Gateways zeigt die Liste konfigurierter IPv4- undIPv6-Gateways an. Die Seite zeigt auch den Status aktiviert

oder deaktiviert

für jedes Gateway an. Sie können ein Gateway hinzufügen, löschen oder klonen, die Parameter oderden Status des Gateways ändern und die Zustandsprüfung für das Gateway aktivieren.

18.3.1 Gateway hinzufügen

1. Gehen Sie zu Routing > Gateways und klicken Sie auf Hinzufügen.

2. Geben Sie die Gateway-Daten ein.

Name Geben Sie den Namen des Gateways ein.

Gateway-IP Geben Sie die IP-Adresse des Gateways ein.

Schnittstelle Wählen Sie die ausgehende Schnittstelle fürdas Gateway.

Standard-NAT-Richtlinie Wählen Sie die Standard-NAT-Richtlinie aus,die für das Gateway verwendet werden soll.

Wählen Sie Ohne aus, wenn die NAT-Richtlinieauf dem Gateway nicht angewendet werdensoll.


XG Firewall

3. Geben Sie die Daten für die Zustandsprüfung ein.

Zustandsprüfung Anklicken, um die Zustandsprüfung für dieÜberwachung des Gateways zu aktivieren.Geben Sie die Parameter an (sieheBeschreibung unten).

Intervall (in Sekunden) Geben Sie das Zeitintervall derZustandsüberwachung in Sekunden an.

Zulässiger Bereich: 5 bis 65535 Sekunden

Standard: 60 Sekunden

Zeitüberschreitung (in Sekunden) Geben Sie das Zeitintervall, innerhalb welchemdas Gateway antworten muss, in Sekunden an.



Erneute Versuche Geben Sie an, wie oft die Prüfung desGatewayzustands wiederholt werden soll, bevordas Gateway als unerreichbar deklariert wird.


Standard: 3

E-Mail-Benachrichtigung Aktivieren Sie diese Option, um eine E-Mail-Benachrichtigung zu erhalten, wenn sich derZustand des Gateways ändert.

HinweisSie müssen die Mailserver-Benachrichtigungseinstellungenkonfigurieren, damit das Gerät Warn-E-Mails sendet und empfängt.

Voraussetzungen für die Überwachung Protokoll: Wählen Sie aus der Auswahllistedas Kommunikationsprotokoll aus, wie z.B. TCPoder PING (ICMP). Wählen Sie das Protokollabhängig davon aus, mit welchem Dienst derZustand des Gateways getestet werden soll.

Port: Geben Sie für die TCP-Kommunikationdie Portnummer für die Kommunikation ein.

IP-Adresse: Geben Sie die IP-Adresse desComputers oder der Netzwerk-Appliance an, diedauerhaft aktiv oder am zuverlässigsten ist.

Operator:

• UND - All diese Bedingungen müssen erfülltsein, damit das Gateway als aktiv betrachtetwird.

• ODER - Mindestens eine Bedingung musserfüllt sein, damit das Gateway als aktivbetrachtet wird.


XG Firewall

Es wird eine Protokollanfrage an dieangegebene IP-Adresse geschickt. Wenndie IP-Adresse nicht innerhalb des Zeitlimitsauf die Anfrage antwortet, werden soviele erneute Versuche unternommen wieangegeben. Wenn die IP-Adresse weiterhinnicht antwortet, betrachtet die Appliance dieIP-Adresse als nicht erreichbar.

18.4 BGP

Auf dieser Seite können Sie BGP-Routen verwalten.

Border Gateway Protocol (BGP) ist ein Pfadvektorprotokoll, das Pfadinformationen enthält, sodassdie Router Routing-Informationen zwischen autonomen Systemen (AS) austauschen können,damit schleifenfreie Routen angelegt werden können. Dieses Protokoll wird in der Regel von ISPsverwendet.

AS ist eine miteinander verbundene Gruppe von Netzwerken oder Routern, die unter der Kontrolleeiner administrativen Einheit steht und gängige Routing-Richtlinien miteinander teilt. Um ein ASeindeutig zu identifizieren, ist ihm eine eindeutige Nummer zugewiesen. Die AS-Nummer ermöglichtden Austausch zwischen benachbarten autonomen Systemen. Wenn Sie keine eindeutigen AS-Nummern benötigen, sollten Sie private AS-Nummern verwenden. Private BGP AS-Nummern liegenim Bereich von 64512 bis 65535.

BGP wählt einen einzelnen Pfad aus den Advertisements aus, die von verschiedenen Quellen füreine Route empfangen werden. Nach Auswahl des Pfads nimmt BGP diesen in die IP-Routing-Tabelle auf und leitet den Pfad an seinen Nachbarn weiter.

Globale Konfiguration

Router-ID Hier geben Sie die Router-ID für BGP an.

Beispiel: 12.34.5.66.

Lokales AS Geben Sie die Nummer des lokalen autonomenSystems (AS) an.


Nachbarn

Nachbarn sind die Router, zwischen denen eine TCP-Verbindung hergestellt wird. In diesem Bereichkönnen Sie Nachbarn hinzufügen, aktualisieren oder löschen.

Netzwerke

In diesem Bereich sind alle verfügbaren BGP-Netzwerke mit ihren entsprechenden Netzmaskenaufgeführt. Sie können Netzwerke hinzufügen, aktualisieren oder löschen.


XG Firewall

18.4.1 BGP-Netzwerk hinzufügen

Auf dieser Seite können Sie die IPv4-Adresse und Netzwerk-Subnetzmaske angeben.

1. Gehen Sie zu Routing > BGP und klicken Sie auf Hinzufügen im Bereich Netzwerke.

2. Geben Sie die IPv4-Adresse des Netzwerks ein und wählen Sie eine Subnetzmaske aus der Listeaus.


18.4.2 Nachbar hinzufügen

Auf dieser Seite können Sie einen BGP-Nachbarn hinzufügen und eine IPv4-Adresse des Nachbar-Routers und die AS-Nummer angeben.

1. Gehen Sie zu Routing > BGP und klicken Sie auf Hinzufügen im Bereich Nachbarn.

2. Geben Sie die IPv4-Adresse des Nachbar-Routers an.

3. Geben Sie die Nummer des entfernten autonomen Systems (AS) des Nachbarn an.



18.5 OSPF

Auf dieser Seite können Sie OSPF-Routen verwalten. Sie können auf dieser Seite außerdem dieKonfiguration auf Basis von Bereichen, Netzwerken oder Schnittstellen hinzufügen, aktualisieren oderlöschen.

Open Shortest Path First (OSPF) ist ein Interior Gateway Protocol, das die Routing-Informationenan alle Hosts eines Netzwerks weiterleitet. OSPF sendet die Routinginformation an alle Router imNetzwerk, in dem es auf Grundlage der Struktur, die von jedem Router erstellt wurde, den kürzestenPfad zu jedem Router berechnet.

Mit OSPF können mehrere Netzwerke in Gruppen zusammengefasst werden. Diese werdenauch Bereiche genannt. Ein Bereich ist eine logische Division eines Netzwerks. Jeder Bereichunterhält eine separate Datenbank, deren Informationen über den verbindenden Routerzusammengefasst werden können. Die Topologie eines Bereichs ist daher nur intern bekannt. Esgibt drei Bereichstypen:

Backbone-Bereich

Der Backbone-Bereich wird auch Bereich 0 genannt und gibt Informationen an die anderen Bereicheweiter. Alle anderen Bereiche in diesem Netzwerk sind mit diesem verbunden und die Weiterleitungzwischen den Bereichen erfolgt über die Router, die sowohl mit dem Backbone-Bereich als auchdem jeweiligen betroffenen zweiten Bereich verbunden sind.

Stub-Bereich

Ein Stub-Bereich erhält keine Router-Advertisements, die nicht dem autonomen Systems (AS)angehören. Bei diesem handelt es sich um mehrere Netzwerke unter einem gemeinsamenNetzwerk-Betreiber, die sich dieselbe Routing-Richtlinie teilen.

NSSA


XG Firewall

Ein sogenannter Not-so-stubby-area (NSSA) ist ein Stub-Bereich, der eine begrenzte Anzahl anexternen AS-Routen importieren kann.

Area Border Router

Ein Area Border Router (ABR) ist ein Router, der die Bereiche mit dem Backbone-Netzwerkverbindet und für jeden Bereich, mit welchem er verbunden ist, separate Routinen-Informationenbereithält. Er verfügt über Schnittstellen in mehr als einem Bereich, wobei sich mindestens eineSchnittstelle im Backbone-Bereich befindet.


Router-ID Geben Sie eine eindeutige Router-ID an.

Beispiel: 12.34.5.66.


Standard-Metrik Geben Sie den Wert der Standard-Metrik an, derfür die neu verteilten Routen verwendet werdenkann.

Die Metrik ist eine Eigenschaft mit Wert, der vomRouting-Protokoll verwendet wird zu entscheiden,ob eine bestimmte Route genommen werden solloder nicht.

Standard: 1


ABR-Typ Geben Sie den Typ von Area Border Router(ABR) an.


• Standard

• CISCO

• IBM

• Shortcut

Automatische Kostenreferenzbandbreite Geben Sie die Kostenreferenz an, um die Kostender OSPF-Schnittstelle auf Basis der Bandbreitezu berechnen.

Standard: 100 MBits/s


Default-information originate Wählen Sie, wie die Verteilung der Standardrouteerfolgen soll.


• Nie

• Regelmäßig – Bei Regelmäßig sind dieMetrik und der Metriktyp auszuwählen.

• Immer – Bei Immer sind die Metrik und derMetriktyp auszuwählen.

Die Standardeinstellung ist Nie.


XG Firewall

Redistribute connected Hiermit aktivieren Sie die neue Verteilung derverbundenen Routen in der OSPF-Routing-Tabelle.

Geben Sie für die Neuverteilung der verbundenenRouten die Metrik und den Metriktyp an.


Metriktyp: Externer Typ 1 oderExterner Typ 2.

Redistribute static Hiermit aktivieren Sie die neue Verteilung derstatischen Routen in der OSPF-Routing-Tabelle.

Geben Sie für die Neuverteilung der statischenRouten die Metrik und den Metriktyp an.



RIP neu verteilen Hiermit aktivieren Sie die neue Verteilung derOSPF-Routen in der OSPF-Routing-Tabelle.

Geben Sie für die Neuverteilung der RIP-Routendie Metrik und den Metriktyp an.



BGP neu verteilen Hiermit aktivieren Sie die neue Verteilung derBGP-Routen in der OSPF-Routing-Tabelle.

Geben Sie für die Neuverteilung der BGP-Routendie Metrik und den Metriktyp an.



Klicken Sie auf Übernehmen.

Netzwerke und BereicheNetzwerke

In diesem Abschnitt werden alle verfügbaren OSPF-Netzwerke gemeinsam mit der dazugehörigenNetzmaske und dem Bereich, dem sie angehören, aufgelistet.

Bereiche

In diesem Bereich werden alle verfügbaren OSPF-Bereiche mit Angabe ihres Typs,Authentifizierungstyps, den Bereichskosten und, falls verfügbar, virtuellen Links aufgelistet.

Schnittstellenkonfiguration überschreiben

Sie können die Schnittstellenkonfiguration in diesem Abschnitt verwalten.

18.5.1 OSPF-Bereiche hinzufügen

1. Gehen Sie zu Routing > OSPF und klicken Sie auf Hinzufügen im Bereich Bereiche.

2. Geben Sie die Daten zum OSPF-Bereich ein.

Bereich Geben Sie die IP-Adresse des Bereichs ein.


XG Firewall

Typ Wählen Sie aus den verfügbaren Optionen denTyp des OSPF-Bereichs:

Verfügbare Optionen:normalStub Stub No-SummaryNSSANSSA No-Summary

Virtuelle Links (nur verfügbar, wenn alsBereichstyp Normal ausgewählt ist)

Geben Sie für einen Bereich ohne physikalischeVerbindung einen virtuellen Link an, um diesenmit dem Backbone-Bereich zu verbinden.

Klicken Sie auf

,um virtuelle Links hinzuzufügen.

Authentifizierung Wählen Sie aus den verfügbaren Optionen denAuthentifizierungstyp:

Verfügbare Optionen:TextMD5

Bereichskosten (nur verfügbar für denBereichstyp Normal)

Geben Sie die Bereichskosten an.



18.5.2 OSPF-Netzwerk hinzufügen

1. Gehen Sie zu Routing > OSPF und klicken Sie auf Hinzufügen im Bereich Netzwerke.


3. Geben Sie einen OSPF-Bereich an.


18.5.3 Schnittstellenkonfiguration überschreiben

Sie können auf dieser Seite für OSPF die Standardkonfiguration der Schnittstelle überschreiben.

1. Gehen Sie zu Routing > OSPF und klicken Sie auf Schnittstelle auswählen im BereichSchnittstellenkonfiguration überschreiben.

2. Geben Sie die Daten zur Schnittstellenkonfiguration ein.

Schnittstelle Hier wählen Sie die Schnittstelle für OSPF aus.

Hello-Intervall Geben Sie das Zeitintervall an, nach welchemdie Schnittstelle ein Grußpaket an denbenachbarten Router versendet.



Tot-Intervall Geben Sie das Zeitintervall an, nach welchemdie Schnittstelle als tot erklärt wird.




XG Firewall

Wiederübertragungsintervall Geben Sie das Zeitintervall für die erneuteÜbertragung des Link State Advertisement(LSA) an den Nachbarn der Schnittstelle an.



Transmit delay Geben Sie an, wie viel Zeit in Sekundenbenötigt wird, um an die Schnittstelle einPaket mit der Aktualisierung des Linkstatus zuversenden.

Standard: 1 Sekunde


Schnittstellenkosten Geben Sie die Schnittstellenkosten an.

Sie können über die Option Auto dieSchnittstellenkosten entweder automatischberechnen oder sie manuell eingeben.


Authentifizierung Wählen Sie den Authentifizierungstyp für dieAuthentifizierung von OSPF-Paketen.

Verfügbare Optionen:Text – Bei Auswahlvon Text geben Sie bitte ein Kennwort zurAuthentifizierung an. MD5 – Bei Auswahl vonMD5 geben Sie bitte eine Schlüssel-ID undeinen Schlüssel an. Die Schlüssel-ID musszwischen 0 und 255 liegen.

Routerpriorität Geben Sie die Priorität für einen Router an.

Standard: 1



18.6 Information

Der Administrator kann verschiedene Informationen und den Status aller dynamischen Routenanzeigen, die mithilfe von RIP-, OSPF-, BGP- und PIM-SM-Protokollen konfiguriert wurden. DieseÜbersicht der Informationen über die dynamischen Routen ist nützlich für weitere Konfigurationenund/oder Debugging.

RIP

Routen Hier werden alle Informationen zur Routing-Konfiguration und die Routing-Tabelle für einemit dem RIP-Protokoll konfigurierte Schnittstelleangezeigt.

Status Hier werden die Einstellungen und Statistikendes RIP-Routing-Protokollprozessesangegeben.


XG Firewall

Tabelle 21: Routen

Codes und Subcodes Hier wird angezeigt, wie die Ziel-Routing-Informationenbezogen werden.

Codes R – RIP, C – Verbunden, S – Statisch, O – OSPF, B –BGP, K – Kernel-Route.

Subcodes (n) – Normal, (s) – Statisch, (d) – Standard, (r) – Neuverteilen, (i) – Schnittstelle

Netzwerk Hier werden die IP-Adresse und die Subnetzmaske desZiels angegeben.

Next hop Hier wird die IP-Adresse des Next-Hop-Routinggerätsangezeigt.

Metrik Hier wird die Anzahl der Routing-Geräte (Hop-Anzahl)festgelegt, die ein Paket auf dem Weg zum Zielpassieren muss.

Von Hier ist der Router (IP-Adresse des Routers)angegeben, von dem aus die Metrik für den Weg zumZiel berechnet wird. Wenn dieser direkt verbunden ist,wird Selbst angezeigt.

Tag Hier ist angegeben, welche Methode für dieUnterscheidung zwischen internen Routen (von RIPgelernt) und externen Routen, die vom ExternalGateway Protocol (ERP) gelernt wurden, verwendetwird. 0 weist darauf hin, dass mit der Route kein Tagverknüpft ist.

Zeit Gibt die nach Löschung des Routing-Eintrags aus derRIP-Tabelle vergangene Zeit an.

Tabelle 22: Status

Routing-Protokoll ist „RIP“ Gibt das verwendete Routing-Protokoll an.

Sending updates Gibt die Dauer zwischen dem Senden vonAktualisierungen an.

Next due Gibt an, wann die nächste Aktualisierung gesendetwird.

Timeout after Legt das Zeitüberschreitungsintervall für die RIP-Route bis zum Ablauf der Speicherbereinigungsdauer(Garbage Collection) fest, nachdem diese für ungültigerklärt und aus der Routing-Tabelle entfernt wurde.

Garbage collect Legt die Zeitspanne fest, während der dieRoutenmetrik auf 16 gesetzt wird. Wenn vor Ablauf desSpeicherbereinigungstimers keine Aktualisierungenempfangen werden, wird eine Route mit Metrik 16 ausder Routing-Tabelle gelöscht.

Outgoing update Gibt an, ob die ausgehende Filterliste gesetzt wurde.

Incoming update Gibt an, ob die eingehende Filterliste gesetzt wurde.

Default redistribution metric Metrik von Routen, die von anderen Routen neu verteiltwerden.

Redistributing Gibt Informationen über die Neuverteilung andererProtokolle an.


XG Firewall

Default version control Gibt die Version der RIP-Pakete an, die gesendet undempfangen werden.

Schnittstelle Zeigt eine RIP-fähige Routing-Schnittstelle an.

Senden Zeigt die Version der RIP-Pakete an, die an dieRouting-Schnittstelle gesendet werden. Die Versionkann folgendermaßen lauten: RIP1, RIP2.

Recv Zeigt die Version der RIP-Pakete an, die an derRouting-Schnittstelle angenommen wurden. DieVersion kann folgendermaßen lauten: RIP1, RIP2 ,Both.

Key-chain Zeigt den Key-Chain-Name für die Authentifizierung fürdie Schnittstelle an, sofern konfiguriert.

Routing for network Gibt die Netzwerke an, für die der Routing-Prozessaktuell Routen einschleust.

Routing Information Sources Gibt an, welche Routing-Quellen für die Erstellung derRouting-Tabelle verwendet werden. Für jede Quellewerden folgende Informationen angezeigt:

• Gateway: Zeigt die IP-Adresse des Next-Hop-Routinggeräts an.

• Bad Packets: Zeigt die Anzahl der vom Routerempfangenen ungültigen Pakete an.

• Bad Routes Zeigt die Anzahl der ungültigenRouten vom Router an.

• Distance Last Update Zeigt an, wann dieadministrative Distanz zuletzt aktualisiert wurde.

• Distance: Gibt die administrative Distanz an. AlsWert für die Distanz wird standardmäßig 120angezeigt.

OSPF

Border-Router Zeigt Informationen über die Einträge der internenOSPF-Routing-Tabelle für einen Area BorderRouter (ABR) und Autonomous System BoundaryRouter (ASBR) an.

Routen Zeigt Informationen über die Einträge der internenOSPF-Routing-Tabelle an.

Datenbank Zeigt die Liste der Informationen imZusammenhang mit dem OSPF DatabaseSummary für einen bestimmten Router an. JedeLink-State-Datenbank enthält ein Link-StateAdvertisement aus den Bereichen, mit denen derRouter verbunden ist.

Nachbarn (ARP–NDP) Stellt Nachbar-Informationen basierend auf derGegenstellen-Schnittstellenverbindung bereit.

Schnittstelle Zeigt Informationen zur OSPF-Schnittstelle an.


XG Firewall

Tabelle 23: Border-Router

R Gibt an, dass die Informationen für die Route für einenbestimmten Border-Router bereitgestellt werden.

Network IP address Gibt die Router-ID des Ziels an.

Metrik Gibt die Kosten bis Erreichen des Ziels an.

Bereich Gibt die Bereichskennung der ausgehendenSchnittstelle an.

Next hop Gibt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.

Outgoing interface Gibt den Namen und die IP-Adresse der ausgehendenSchnittstelle zum Erreichen des Ziels an.

Tabelle 24: Routen

N Gibt an, dass die Informationen für ein Netzwerkbereitgestellt werden.

Network IP address Gibt die Router-ID des Ziels an.

Metrik Gibt die Kosten bis Erreichen des Ziels an.

Bereich Gibt die Bereichskennung der ausgehendenSchnittstelle an.

Next hop Gibt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.

Directly attached Gibt an, dass ein Netzwerk direkt mit der Schnittstelleverbunden ist.

Outgoing interface Gibt den Namen und die IP-Adresse der ausgehendenSchnittstelle zum Erreichen des Ziels an.

Tabelle 25: Datenbank

Link ID Gibt die ID des Link-State-Advertisement an, mit demein Router die Route lernt. Mit anderen Worten: EinLink-State Advertisement beschreibt einen Router, unddie Link-State-ID bezieht sich auf die OSPF-Router-IDdes Routers.

Das Link-State-Advertisement, das einNetzwerk beschreibt, kann eines der folgendenbeiden Formate einer Link-State-ID annehmen:die IP-Adresse des Netzwerks oder eine mithilfeder Link-State-ID erzeugte Adresse.

ADV router Gibt die Advertising-Router-ID des Ziels an.

Age Gibt die Zeit in Sekunden seit Erzeugung des LSA an.

Seq# Link-State-Folgenummer (zur Feststellung alter oderdoppelter Link-State Advertisements).

CkSum Prüfsumme des kompletten Inhalts des Link-StateAdvertisement.

Link count Anzahl der für den Router ermittelten Schnittstellen.

Net link states Gibt Auskunft über das vom DR (Designated Router)erzeugte LSA.


XG Firewall

Router link states Gibt Auskunft über das von den einzelnen Routernerzeugte LSA.

Summary net link states Gibt Auskunft über das von ABR erzeugte Summary-LSA.

Tabelle 26: Nachbarn

Neighbor ID Gibt die ID des Nachbar-Routers an.

Pri Gibt die dem betreffenden Nachbarn zugewieseneRouterpriorität an.


XG Firewall

Bundesland Zeigt die Kommunikation zwischen Router undNachbar seit Anlegen des Nachbarn an. Hier kommenfolgende Werte in Frage:

• Down: Gibt den ursprünglichen Zustand einerNachbar-Kommunikation an, d.h. es wurden keineaktuellen Informationen vom Nachbarn empfangen.

• Attempt: Betrifft nur Nachbarn, die mit Nicht-Broadcast-Netzwerken verbunden sind. Gibt an,dass vom Nachbarn keine aktuellen Informationenempfangen wurden.

• Init: Gibt an, dass vor kurzem ein Hello-Paketvon einem Nachbarn empfangen wurde, auchwenn keine Bidirektionalität vorliegt, d. h. es wurdenoch keine bidirektionale Kommunikation mit demNachbarn eingerichtet.

• 2-Way: Gibt an, dass eine bidirektionaleKommunikation zwischen den Routern eingerichtetwurde und der Nachbar die Router-ID in seineHello-Nachricht geschrieben hat. Der DRund der BDR werden unter den Nachbarn imbidirektionalen Zustand (2-Way) oder höherausgewählt.

• ExStart: Gibt an, dass die beiden Router sichsynchronisieren und bestimmen, welcher RouterMaster und welcher Slave ist.

• Exchange: Gibt an, dass die beiden Router ihrejeweilige Link-State-Datenbank durch Senden vonDatenbeschreibungspaketen beschreiben.

• Loading: Gibt an, dass Link-State-Anfragepaketefür weitere Advertisements an den Nachbarngesendet werden, wobei diese ermittelt, aber nochnicht im Exchange-Zustand empfangen wurden.

• Full: Gibt an, dass beide Router den Austauschaller relevanten Advertisements absolviert habenund jetzt in den Router-Link und Neighbor-LinkAdvertisements erscheinen.

• Backup: Gibt an, dass der Nachbar ein Backup-Designated-Router ist.

• Dead time: Wartezeit in Sekunden bis zumEmpfang einer Hello-Nachricht vom OSPF-Nachbarn, bevor davon ausgegangen wird, dassder Nachbar ausgefallen ist.

• Address: Gibt die IP-Adresse der Schnittstelle desRouters zum Nachbarn an.

• Interface: Gibt die IP-Adresse der Nachbar-Schnittstelle an.

• RXmtL: Gibt die Anzahl der erneuten Link-State-Übertragungen an.

• RqstL: Gibt die Anzahl der Link-State-Anfragen an.

• DBsmL: Gibt die Anzahl der Link-State-Summariesan.


XG Firewall

Tabelle 27: Schnittstelle

Interface value Gibt den Status der physikalischen Schnittstelle an,d. h. ob die Schnittstelle aktiv oder inaktiv ist.

IfIndex Gibt den Wert des Schnittstellenindex (IfIndex) an. Eshandelt sich hierbei um eine eindeutige Kennung, diemit der Schnittstelle verknüpft ist.

MTU Gibt den Maximum Transmission Unit (MTU)-Wertder Schnittstelle an. MTU ist die größte physikalischePaketgröße (in Byte), die ein Netzwerk übertragenkann. Dieser Parameter ist problematisch, wennzwischen Netzwerken mit unterschiedlichen MTU-Größen eine Verbindung hergestellt wird. Alle Pakete,die über den MTU-Wert hinausgehen, werden vor demSenden in kleinere Pakete aufgeteilt (fragmentiert).

BB Gibt die Bandbreite der Schnittstelle an.

Internet address Gibt die IP-Adresse der Schnittstelle an.

Network type/IP address Gibt den Netzwerktyp und die IP-Adresse an.

Bereich Gibt die IP-Adresse des Area Identifier(Bereichskennung) an.

MTU mismatch detection Gibt an, ob der MTU-Abgleich zur Feststellung vonNichtübereinstimmungen aktiviert oder deaktiviertist. Ist diese Option aktiviert, wird die MTU beiderSchnittstellen einer Nachbar-Beziehung abgeglichen.

Router-ID Gibt die Kennung des zu Beginn des OSPF-Prozessesausgewählten Routers an. Die Router-ID ist innerhalbder OSPF-Domäne eindeutig und ändert sich erst,wenn OSPF neu gestartet oder manuell geändert wird.

Network type Gibt den Netzwerktyp an, mit dem die OSPF-Schnittstelle verbunden ist. Es gibt folgendeNetzwerktypen:

• Point-to-point: Bei einem Point-to-Point-Netzwerkkönnen nur zwei Router miteinander verbundenwerden.

• Point-to-Multipoint (non-broadcast): Bei einemPoint-to-Multipoint-Netzwerk wird ein Router mitmehreren anderen Routern verbunden.

• Broadcast: Gibt an, dass das Netzwerk Broadcastunterstützt. In einem Broadcast-Netzwerk wird eineinzelnes Paket, das von einem Router gesendet(übertragen) wird, von allen Routern im Netzwerkempfangen.

• Non Broadcast Multiple Access (NBMA): Gibt an,dass das Netzwerk Broadcast oder Multicast nichtunterstützt. Wird im Zusammenhang mit ModellX.25 und Frame-Relay-Umgebungen in einemMulti-Access-Netzwerk verwendet.

Cost Zeigt die OSPF-Metrik an. Wird mit folgender Formel

berechnet: 108/Bandbreite (in Bits je Sekunde [bps]),wobei:

• 108: Referenzbandbreite

• Bandbreite: Bandbreite der Schnittstelle in bps


XG Firewall

Transmit delay Gibt die Zeit in Sekunden an, die der OSPF-Routerwartet, bis ein Link-State Advertisement (LSA)verteilt wird (Flooding). Das Link-State-Alter wird vorÜbertragung eines LSA um diesen Wert erhöht. DerStandardwert für die Übertragungsverzögerung beträgt1 Sekunde.

Bundesland Gibt den aktuellen Zustand der festgelegtenSchnittstelle an. Es gibt folgende Zustände:

• DR: Der Router ist ein Designated Router (DR) imNetzwerk.

• BDR: Der Router ist ein Backup Designated Router(BDR) im Netzwerk.

• DROTHER: Der Router ist weder ein DR noch einBDR im Netzwerk und geht nur Nachbarschaftenmit dem DR und dem BDR ein.

• Waiting: Der Schnittstellen-Router wartet darauf,den Zustand des Link als DR mitzuteilen.

HinweisDies ist ein normaler Zustand im Falle einesMulti-Access-Netzwerks, das Broadcast nichtunterstützt.

• Point-to-Point: Die Schnittstelle im Point-to-Point-Zustand ist voll funktionsfähig und beginnt, Hello-Pakete mit allen ihren Nachbarn auszutauschen.

• Point-to-Multipoint: Gibt an, dass es sich bei derSchnittstelle um Point-to-Multipoint für OSPFhandelt.

Priority Gibt die Priorität des Schnittstellen-Routers an. Dieshilft bei der Auswahl des DR und BDR im Netzwerk, mitdem die Schnittstelle verbunden ist.

Standard: 1

HinweisEin Router mit dem Prioritätswert 0 kannnie ein DR/BDR sein.

Designated Router ID Gibt die ID des DR-Routers für das betreffendeNetzwerk an.

Backup Designated Router ID Gibt die ID des BDR-Routers für das betreffendeNetzwerk an.

Saved Network-LSA sequence number Gibt die Link-State-Folgenummer des Netzwerks anund dient der Shortest Path First (SPF)-Berechnung.

Multicast group membership Gibt die Multicast-Gruppe an, zu welcher der Routergehört.


XG Firewall

Timer intervals configured Gibt den Wert der folgenden OSPF-Timer an:

• Hello: Zeitintervall in Sekunden, in dem der Routerein Hello-Paket sendet.

• Dead: Gibt die Wartezeit in Sekunden an, bis einNachbar für ausgefallen erklärt wird.

• Wait: Zeigt das Zeitintervall an, das dazu führt,dass die Wartedauer beendet und der DR imNetzwerk ausgewählt wird.

• Retransmit: Zeigt die Wartezeit bis zur erneutenÜbertragung eines Database Description (DBD)-Pakets an, wenn dieses nicht bereits bestätigtwurde.

• Hello Due In: Gibt an, wann das nächste Hello-Paket gesendet wird.

• Neighbor count: Gibt die Gesamtzahl dererkannten Nachbarn an der Schnittstelle an.

• Adjacent neighbor count: Gibt die Gesamtzahl derangrenzenden Nachbarn an, die vollständig an dieSchnittstelle angrenzen.

BGP

Nachbarn (ARP–NDP) Hier werden Informationen über den BGP undseine Gegenstellenverbindungen sowie dieAnzahl der mitgeteilten Routen/Nachbarn zu/vondieser Gegenstelle angezeigt.

Routen Hier werden alle Informationen zur Routing-Konfiguration und die Routing-Tabelle für einemit dem BGP-Protokoll konfigurierte Schnittstelleangezeigt.

Zusammenfassung Zeigt den Status aller BGP-Verbindungsinformationen wie Pfad, Präfixe undAttributinformationen über alle Verbindungen zuBGP-Nachbarn an.

Tabelle 28: Nachbarn

BGP Neighbor Gibt die IP-Adresse des BGP-Nachbarn an.

Remote AS Gibt die AS-Nummer des Nachbar-Routers an.

Local AS Gibt den Wert der konfigurierten lokalen autonomenSysteme (AS) an.

Internal/External link Zeigt die internen Links für interne (iBGP)-Nachbarnund den externen Link für externe BGP (eBGP) an.

BGP version Zeigt die BGP-Version für die Kommunikation mit dementfernten Router an.

Remote router ID Gibt die Router-ID des Nachbar-Routers an.


XG Firewall

BGP state Gibt den Finite State Machine (FSM)-Zustand anund beschreibt, welche Maßnahme zu welchemZeitpunkt von der BGP-Routing-Engine für dieSitzungsaushandlung durchgeführt werden soll.

Last read Zeigt die Zeit nach dem letzten Eingang einer Nachrichtvom Nachbarn beim BGP an. Die Zeit wird im Formathh:mm:ss angezeigt.

Hold time Zeigt in Sekunden an, wie lange der BGP die Sitzungmit dem Nachbarn aufrecht erhält, ohne dass er vondiesem eine Nachricht erhält.

Keepalive interval Zeigt das Zeitintervall in Sekunden an, das vorgibt, wieoft der BGP-Router die Keep-Alive-Nachricht an denNachbarn sendet.

Message statistics Zeigt die Statistiken nach Nachrichtentyp an.

• InQ: Gibt die Anzahl der Nachrichten in der Queuean, die vom Nachbar gesendet wurden undverarbeitet werden müssen.

• OutQ: Gibt die Anzahl der Nachrichten in derQueue an, die an den Nachbarn gesendet werdenmüssen.

• Sent: Gibt die Anzahl der an den Nachbarngesendeten Nachrichten an.

• Received: Gibt die Anzahl der vom Nachbarnempfangenen Nachrichten an.

• Opens: Gibt die Gesamtzahl der offenenNachrichten an, die gesendet und empfangenwurden.

• Notifications: Gibt die Gesamtzahl der gesendetenund empfangenen Fehlermeldungsnachrichten an.

• Updates: Gibt die Gesamtzahl der gesendeten undempfangenen Update-Nachrichten an.

• Keepalives: Gibt die Gesamtzahl der gesendetenund empfangenen Keep-Alive-Nachrichten an.

• Route refresh: Gibt die Gesamtzahl dergesendeten und empfangenen Route Refresh-Nachrichten an.

• Capability: Gibt die Gesamtzahl der vom Nachbarnmitgeteilten und empfangenen BGP-Fähigkeitenan.

• Total: Gibt die Gesamtzahl der gesendeten undempfangenen Nachrichten an.

Minimum time between advertisement runs Zeigt die Zeit in Sekunden zwischen den gesendetenAdvertisements an.

For address family Gibt die IP-Adress-Familie an.

Community attribute sent to this neighbor Gibt den numerischen Wert der BGP-Familie an.Dieser numerische Wert wird einem spezifischen Präfixzugewiesen und dem Nachbarn mitgeteilt, der anhanddessen entscheidet, ob Attribute gefiltert oder geändertwerden.

Accepted prefix Gibt die Anzahl der zulässigen Präfixe an, die an einerBGP-Gegenstellensitzung teilnehmen können.


XG Firewall

Connections established Gibt an, wie oft eine TCP- und eine BGP-Verbindungerfolgreich aufgebaut wurde.

Dropped Gibt an, wie oft eine gültige Sitzung fehlgeschlagen istoder verworfen wurde.

Last reset Zeigt die Zeit nach Beendigung der zuvor eingeleitetenSitzung mit dem Nachbarn an.

Local host and local port Zeigt die IP-Adresse und die Portnummer des lokalenBGP-Routers an.

Foreign host and foreign port Zeigt die IP-Adresse des Nachbarn und die BGP-Zielportnummer an.

Next hop Zeigt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.

Next connect timer due in Gibt an, wann das nächste Hello-Paket an den BGP-Nachbarn gesendet wird.

Read thread Gibt an, ob Read-Thread an oder aus ist.

Write thread Gibt an, ob Write-Thread an oder aus ist.

Tabelle 29: Routen

BGP table version Gibt die Versionsnummer der Tabelle an. DieVersionsnummer wird bei jeder Änderung in der BGP-Tabelle aktualisiert.

Local router ID Gibt die IP-Adresse des Routers an.

Status codes and origin codes Hier wird angezeigt, wie die Ziel-Routing-Informationenbezogen werden.

Statuscodes: Ein Statuscode gibt den Statusdes Tabelleneintrags an und wird zu Beginnjeder Zeile in der Tabelle angezeigt. DerStatuscode kann einen der folgenden Werteannehmen: s – suppressed, d –damped, h– history, * – valid, > – best, i – internal, r –Routing Information Base (RIB)-failure, S –Stale, R – Removed.

Origin-Codes: Ein Origin-Code gibt dieHerkunft des Tabelleneintrags an und wirdam Ende jeder Zeile in der Tabelle angezeigt.Dieser Code kann einen der folgenden Werteannehmen: i – Interior Gateway Protocol (IGP),e – Exterior Gateway Protocol (EGP), ? –Unvollständig/Pfad nicht klar.

Network Gibt die IP-Adresse und die Subnetzmaske des Zielsan.

Next hop Zeigt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an. 0.0.0.0 gibt an, dass der RouterNicht-BGP-Routen zum Netzwerk besitzt.

Metric Gibt den Wert der inter-autonomen Systemmetrik an.


XG Firewall

LocPrf Gibt den Wert der lokalen Präferenz an. Die lokalePräferenz ist eine der Methoden zum Ändern desPfads, den ein autonomes System (AS) zu einemanderen AS nimmt. Mit dem Wert der lokalen Präferenzwird dem AS mitgeteilt, welcher Pfad lokale Präferenzhat, wobei derjenige mit der höchsten Präferenzbevorzugt wird.

Weight Gibt die Routengewichtung gemäß Festlegung überautonome Systemfilter an. Falls es mehrere Pfade zueiner bestimmten IP-Adresse gibt, wird der Pfad mit derhöchsten Gewichtung ausgewählt.

Path Gibt den AS-Pfad zum Zielnetzwerk an.

Total number of prefixes Gibt die Gesamtzahl der Präfixe/Netzwerke an.

Tabelle 30: Zusammenfassung

BGP router identifier Gibt die Router-ID des BGP-Routers an.

Local AS number Gibt die Nummer des lokalen autonomen Systems an,zu dem der betreffende Router gehört.

RIB entries Gibt die Anzahl der Routing-Information-Einträge in derRIB an.

Memory Gibt den von Nachbar-Einträgen genutzten Speicheran.

Gegenstelle Gibt die Anzahl der Nachbarn an, zu denen dieVerbindung aufgebaut wird.

Memory Gibt den von Nachbar-Einträgen genutzten Speicheran.

Neighbor Gibt die IP-Adresse des Nachbarn an.

V Gibt die dem Nachbarn mitgeteilte BGP-Versionsnummer an.

LocPrf Gibt den Wert der lokalen Präferenz an. Die lokalePräferenz ist eine der Methoden zum Ändern desPfads, den ein autonomes System (AS) zu einemanderen AS nimmt. Mit dem Wert der lokalen Präferenzwird dem AS mitgeteilt, welcher Pfad lokale Präferenzhat, wobei derjenige mit der höchsten Präferenzbevorzugt wird.

AS Gibt die Nummer des autonomen Systems an.

MsgRcvd Gibt die Anzahl der vom Nachbarn empfangenenNachrichten an.

MsgSent Gibt die Anzahl der an den Nachbarn gesendetenNachrichten an.

TblVer Gibt die letzte Version der BGP-Datenbank an, die anden Nachbarn gesendet wurde.

InQ Gibt die Anzahl der Nachrichten in der Queue an, dievom Nachbar gesendet wurden und verarbeitet werdenmüssen.

OutQ Gibt die Anzahl der Nachrichten in der Queue an, diean den Nachbarn gesendet werden müssen.


XG Firewall

Up/Down Gibt an, wie lange sich eine BGP-Sitzung insgesamt imeingerichteten Zustand befindet, oder teilt den aktuellenZustand der BGP-Sitzung mit, falls sich diese nicht imeingerichteten Zustand befindet.

State/PfxRcd Gibt den Zustand des Nachbarn und die Anzahl derempfangenen Präfixe an.

Total number of neighbors Gibt die Gesamtzahl der Nachbarn an.

PIM-SM

Schnittstellentabelle Zeigt alle PIM-Schnittstellen und dieNachbarinformationen jeder Schnittstelle an.

Multicast-Routingtabelle Zeigt die Informationen der beigetretenenMulticast-Gruppen an. Diese Informationenumfassen die Quelladresse, die Adresse derMulticast-Gruppe, die Eingangsschnittstelle,von der aus Pakete angenommen werden, dieListe der Ausgangsschnittstellen, an die Paketegesendet werden, PIM-Timer, Flag-Bits usw.

RP SET Zeigt RP Set-Informationen an (Sammlung vonGroup-to-RP-Zuordnungen). Anhand dieserInformationen, die von einem PIM-Routerverwaltet werden, wird der RP für eine Multicast-Gruppe bestimmt.

18.7 Upstream-Proxy

Wenn Ihr Unternehmen mehrere interne Zweigstellen besitzt, kann ein Upstream-Proxy die Anfragenvom internen Netzwerk bündeln, bevor der Datenverkehr an das externe Netzwerk bzw. Internetweitergeleitet wird.

Auf dieser Seite können Sie einen Upstream-Proxy für IPv4/IPv6 konfigurieren.

Übergeordneter IPv4-Proxy

Übergeordneter Proxy Klicken Sie hier, um den übergeordneten Proxyzu aktivieren, wenn der Datenverkehr von einemUpstream-Gateway abgefangen wird.

Wenn die Funktion aktiviert ist, leitet dieAppliance alle HTTP-Anfragen an denübergeordneten Proxy-Server weiter.

Domänenname/IPv4-Adresse Geben Sie einen Domänennamen oder eine IPv4-Adresse für den übergeordneten Proxy ein.

Port Geben Sie die Port-Nummer ein, die für denübergeordneten Proxy verwendet werden soll.

Standard: 3128


XG Firewall

Benutzername Geben Sie einen Benutzernamen zurAuthentifizierung an.

Kennwort Geben Sie ein Kennwort zur Authentifizierung an.


Übergeordneter IPv6-Proxy

Übergeordneter Proxy Klicken Sie hier, um den übergeordneten Proxyzu aktivieren, wenn der Datenverkehr von einemUpstream-Gateway abgefangen wird.

Wenn die Funktion aktiviert ist, leitet dieAppliance alle HTTP-Anfragen an denübergeordneten Proxy weiter.

Domänenname/IPv6-Adresse Geben Sie einen Domänennamen oder eine IPv6-Adresse für den übergeordneten Proxy ein.

Port Geben Sie die Port-Nummer für denübergeordneten Proxy ein.

Standard: 3128

Benutzername Geben Sie einen Benutzernamen zurAuthentifizierung an.

Kennwort Geben Sie ein Kennwort zur Authentifizierung an.


18.8 Multicast (PIM-SM)Auf dieser Seite können Sie das PIM verwalten.

Bei Protocol Independent Multicast (PIM) handelt es sich um ein Protokoll zur effizientenWeiterleitung von IP-Paketen an Multicast-Gruppen, die über das Internet verteilt sein können. PIMbietet auf der Appliance Unterstützung für dynamisches Multicast an. Aufgrund der Unterstützung fürdynamisches Multicast kann ein Host einer Multicast-Gruppe auf dynamische Weise beitreten oderdiese verlassen. Auf der Appliance müssen keine Multicast-Routingeinträge manuell hinzugefügtoder gelöscht werden.

HinweisDie Appliance unterstützt PIM Version2 und den PIM-SM-Modus mit der AuswahlmethodeRendezvous-Punkt (RP) als BSR (Bootstrap Router).

PIM-SM-Konfiguration

PIM aktivieren PIM bietet auf der Appliance Unterstützung fürdynamisches Multicast an.

PIM-aktivierte Schnittstelle Wählen Sie die physikalischen Schnittstellen aus,für die PIM aktiviert werden muss. Mindestenseine Schnittstelle muss ausgewählt werden, umPIM zu aktivieren.


XG Firewall

Hinweis• Nur IPv4-gebundene Schnittstellen

können ausgewählt werden.

• Alias, PPPoE- und Wireless-WAN-Schnittstellen werden nicht unterstützt.

RP-Einstellungen Aktivieren, um statischen RP oder RP-Kandidatzu konfigurieren.

Tabelle 31: Statischer RP

RIP-IP Geben Sie eine Unicast-IP-Adresse für den statischenRP ein. RPs können hinzugefügt oder gelöscht werden.Maximal acht RP-IP-Adressen sind pro RP erlaubt.

Multicast-Gruppe Geben Sie die IP-Adressen oder Netzwerkadressender Multicast-Gruppe getrennt durch Komma an, dieüber den jeweiligen RP bedient werden. Maximal achtMulticast-Gruppenadressen sind je RP erlaubt. Mit *in der Multicast-Gruppenliste werden alle Multicast-Gruppen des definierten RP bedient.

Tabelle 32: RP-Kandidat

IP des RP-Kandidats Wählen Sie die Schnittstellen-IP, die als RP-IPverwendet wird, wenn der Router als RP-Kandidatausgewählt ist.

Multicast-Gruppenliste Geben Sie die IP-Adressen oder Netzwerkadressender Multicast-Gruppe getrennt durch Kommas an,die über den jeweiligen RP bedient werden. Maximalacht Multicast-Gruppen-IP-Adressen/Netzwerke sindzugelassen. Mit * in der Multicast-Gruppenlistewerden alle Multicast-Gruppen des ausgewählten RPbedient.

Priorität des RP-Kandidaten Geben Sie die Priorität des PIM-Routers im RP-Auswahlprozess an. Standard: 1. Zulässiger Bereich: 1bis 255

Timer Geben Sie die Zeit in Sekunden an, nach welcher RP-Kandidatnachrichten erzeugt werden. Standard: 60Sekunden. Zulässiger Bereich: 30 bis 180 Sekunden.

18.9 RIP

Auf dieser Seite können Sie RIP-Routen verwalten. Sie können auf dieser Seite außerdemKonfigurationen für Netzwerke oder Schnittstellen hinzufügen, aktualisieren oder löschen.

Das Routing Information Protocol (RIP) ist ein weit verbreitetes Routing-Protokoll, das die besteRoute zu einem Ziel anhand der Hop-Anzahl bestimmt.

RIP verhindert, dass Routing-Schleifen endlos fortgesetzt werden, indem die Anzahl der zwischenQuelle und Ziel erlaubten Hops begrenzt wird. Es werden maximal 15 Hops unterstützt. Eine Hop-Anzahl von 16 wird als unendliche Distanz und somit als unerreichbar betrachtet.


XG Firewall

Mithilfe des RIP-Protokolls sendet die Appliance in regelmäßigen Abständen Routing-Update-Meldungen an den nächsten Router. Wenn der nächste Router die Änderungen erhält, pflegt erdiese in die Routing-Tabelle ein und erhöht den Metrikwert des Pfads um 1. Der Sender der Meldungwird als der nächste Hop betrachtet. Die Appliance hält nur jene Route zum Ziel aufrecht, die denniedrigsten Metrikwert hat.


Standard-Metrik Geben Sie den Wert der Standard-Metrik an, derfür die neu verteilten Routen verwendet werdenkann.

Die Metrik ist eine Eigenschaft, der ein Wertzugeordnet ist. Dieser wird von einem Routing-Protokoll verwendet zu entscheiden, welcheRoute genommen werden soll.

Standard: 1


Administrative Distanz Geben Sie die administrative Distanz an. DieserWert wird von den Routern verwendet, um diebeste Route zu finden.

Standard: 120


RIP-Version Wählen Sie, welche RIP-Version für dasVersenden und Empfangen der Updatesverwendet werden soll.


• V2 senden & beide empfangen

• V1

• V2

Timer

Update Geben Sie das Zeitintervall in Sekunden zwischenzwei Routing-Updates an.



Zeitüberschreitung Geben Sie die Zeit in Sekunden an, nach welcherdie Route ungültig wird.



Speicherbereinigung Geben Sie die Speicherbereinigungszeit an. Diesist die Zeitspanne, die die Appliance eine Routeals unerreichbar bekannt gibt, bevor sie die Routeaus der Routing-Tabelle entfernt.



Default-information originate Aktivieren Sie diese Funktion, um die Verteilungder Standardroute zu steuern. Die Funktion


XG Firewall

erzeugt eine Standardroute in RIP-kompatibleNetzwerke und gibt diese bekannt.

Die Standardeinstellung ist „Deaktiviert“.

Redistribute connected Hiermit aktivieren Sie die Neuverteilung derverbundenen Routen in der RIP-Routing-Tabelle.

Geben Sie die Metrik der neu verteiltenverbundenen Routen an.


Redistribute static Hiermit aktivieren Sie die Neuverteilung derstatischen Routen in der RIP-Routing-Tabelle.

Geben Sie die Metrik der neu verteilten statischenRouten an.


OSPF neu verteilen Hiermit aktivieren Sie die Neuverteilung derOSPF-Routen in der RIP-Routing-Tabelle.

Geben Sie die Metrik der neu verteilten OSPF-Routen an.


BGP neu verteilen Hiermit aktivieren Sie die Neuverteilung der BGP-Routen in der RIP-Routing-Tabelle.

Geben Sie die Metrik der neu verteilten BGP-Routen an.



RIP-Netzwerke

In diesem Abschnitt sehen Sie eine Liste der verfügbaren RIP-Netzwerke sowie die dazugehörigenNetzmasken.

Schnittstellenkonfiguration überschreiben

Sie können die Schnittstellenkonfiguration in diesem Abschnitt verwalten.

18.9.1 RIP-Netzwerk hinzufügen

1. Gehen Sie zu Routing > RIP und klicken Sie auf Hinzufügen im Bereich RIP-Netzwerke.



18.9.2 Schnittstellenkonfiguration überschreiben

1. Gehen Sie zu Routing > RIP und klicken Sie unter Schnittstellenkonfiguration überschreibenauf Schnittstelle auswählen.

2. Geben Sie die Daten zur Schnittstellenkonfiguration ein.


Schnittstelle Wählen Sie die Schnittstelle, derenStandardkonfiguration Sie überschreibenmöchten.

RIP-Version

Senden Wählen Sie, welche RIP-Version/en für dasVersenden der Routing-Updates verwendetwerden soll/en.

Sie können V1 oder V2 oder beide, V1 und V2,auswählen. Die Version in den allgemeinenKonfigurationseinstellungen wird mit derAuswahl überschrieben.

Die Standardeinstellung ist V2.

Empfangen Wählen Sie, welche RIP-Version für dasEmpfangen der Routing-Updates verwendetwerden soll.

Sie können V1 oder V2 oder beide, V1 und V2,auswählen. Die Version in den allgemeinenKonfigurationseinstellungen wird mit derAuswahl überschrieben.

Die Standardeinstellung ist V1 und V2.

Split Horizon Aktivieren, um Routing-Schleifen zu verhindern.


Poisoned Reverse (nur anwendbar, wennSplit Horizon aktiviert ist)

Diese Funktion verhindert, dass die AppliancePakete über eine Route versendet, die ungültiggeworden ist.


Authentifizierung Anklicken, um die Authentifizierung von RIP-Paketen zu aktivieren.

Bei Aktivierung der Funktion geben Sie einKennwort zur Authentifizierung der RIP-Paketean.

Passiver Modus Aktivieren Sie diese Funktion, um zuverhindern, dass die Schnittstelle RIP-Advertisements versendet.



Kapitel 19

19 AuthentifizierungSie können Authentifizierung einrichten, indem Sie eine interne Nutzerdatenbank verwenden oder denAuthentifizierungsdienst eines Drittanbieters. Um sich selbst zu authentifizieren, müssen BenutzerZugang zu einem Authentifizierungsclient haben. Den Client können sie jedoch umgehen, indemSie die Benutzer als Clientlose Benutzer hinzufügen. Die Firewall unterstützt auch Zweifaktor-Authentifizierung, transparente Authentifizierung und Gastbenutzer-Zugang über ein Captive-Portal.

Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.

19.1 ServerExterne Server authentifizieren Benutzer, die versuchen, auf die Firewall und zugehörige Dienstezuzugreifen. Verwenden Sie diese Einstellungen, um Server festzulegen und den Zugriff auf sie zuverwalten.

• Um Active-Directory-Benutzergruppen zu importieren, klicken Sie auf

.

• LDAP-Server

• Active-Directory-Server

• RADIUS-Server

• TACACS-Server

• eDirectory-Server

Zugehörige AufgabenServer hinzufügen (Seite 407)Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und gebenSie die Einstellungen ein, um den Zugang zu diesem zu verwalten.

19.1.1 Server hinzufügen

Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und gebenSie die Einstellungen ein, um den Zugang zu diesem zu verwalten.

1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.


3. Wählen Sie einen Servertyp und legen Sie Einstellungen fest.

• LDAP-Server

• Active-Directory-Server

• RADIUS-Server

• TACACS+ Server

XG Firewall

• eDirectory-Server

4. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.


Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.

Zugehörige KonzepteServer (Seite 407)Externe Server authentifizieren Benutzer, die versuchen, auf die Firewall und zugehörige Dienstezuzugreifen. Verwenden Sie diese Einstellungen, um Server festzulegen und den Zugriff auf sie zuverwalten.

19.1.2 LDAP-Server

Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).


Server-IP/Domäne Server-IP-Adresse oder -Domäne.

Port Server-Port.

Version LDAP-Version.

Anonyme Anmeldung Anonyme Anfragen an den LDAP-Serverzulassen. Ausschalten und einen Benutzernamenund Kennwort angeben, um einen Benutzer anden Server zu binden.

Benutzername Benutzername für den Server. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., uid=root,cn=user

Kennwort Kennwort für den Server.

Verbindungssicherheit Verbindungssicherheit für den Server.

HinweisVerwendung von Verschlüsselung wirdempfohlen.

• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.

• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um die Verbindungzu verschlüsseln.


XG Firewall

• STARTTLS Eine unverschlüsselte Verbindunghochstufen, indem sie nach oder währenddem Verbindungsvorgang in SSL/TLSeingebettet wird. Der Standardport wirdverwendet.

Serverzertifikat validieren Wenn eine sichere Verbindung verwendet wird,wird das Zertifikat des externen Servers validiert.

Clientzertifikat Clientzertifikat, das für die Erstellung einersicheren Verbindung verwendet werden soll.

HinweisUm Clientzertifikate zu verwalten, gehen Siezu Zertifikate.

Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativ zumStammverzeichnis der Verzeichnisstruktur, inder die Benutzer festgelegt sind. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., O=Example,OU=RnD.

TippKlicken Sie auf Basis-DN ermitteln, um denBasis-DN aus dem Verzeichnis zu ermitteln.

Authentifizierungsattribut Authentifizierungsattribut für die Suche im LDAP-Verzeichnis. Das Authentifizierungsattributfür Benutzer enthält den Anmeldenamen, dervom Benutzer, zum Beispiel zur Nutzung vonFernzugriffsdiensten, verlangt wird.

Namensattribut anzeigen Name des Servers, der dem Benutzer alsServerbenutzername angezeigt wird.

E-Mail-Adressattribut Alias für die konfigurierte E-Mail-Adresse, derdem Benutzer angezeigt werden soll.

Gruppenname-Attribut Alias für den konfigurierten Gruppennamen, derdem Benutzer angezeigt werden soll.

Ablaufdatum-Attribut Ablaufdatum, das dem Benutzer angezeigt wird.Das Attribut gibt an, wie lange das Benutzerkontogültig ist.

Zugehörige AufgabenLDAP-Server hinzufügen (Seite 410)Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS). Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Serverfest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.


XG Firewall

Verwandte InformationenLDAP-Authentifizierung konfigurieren (Seite 459)Sie können bestehende LDAP-Benutzer zur Firewall hinzufügen. Das Hinzufügen von Benutzer zueiner dedizierten Gruppe ermöglicht Ihnen, Richtlinien für diese Benutzer festzulegen. Sie fügen eineGruppe und einen LDAP-Server hinzu und stellen die primäre Authentifizierungsmethode ein.

LDAP-Server hinzufügen

Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS). Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Serverfest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.


2. Wählen Sie LDAP-Server aus der Liste Servertyp.


4. Geben Sie eine IP-Adresse und Port ein.


Option Beschreibung

Version LDAP-Version.

Anonyme Anmeldung Anonyme Anfragen an den LDAP-Server zulassen. Ausschalten und einenBenutzernamen und Kennwort angeben, umeinen Benutzer an den Server zu binden.

Benutzername Benutzername für den Server. Muss alsein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,uid=root,cn=user





• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um dieVerbindung zu verschlüsseln.

• STARTTLS Eine unverschlüsselteVerbindung hochstufen, indem sie nachoder während dem Verbindungsvorgang inSSL/TLS eingebettet wird. Der Standardportwird verwendet.


XG Firewall

Option Beschreibung

Serverzertifikat validieren Wenn eine sichere Verbindung verwendetwird, wird das Zertifikat des externen Serversvalidiert.


HinweisUm Clientzertifikate zu verwalten, gehenSie zu Zertifikate.

Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativzum Stammverzeichnis der Verzeichnisstruktur,in der die Benutzer festgelegt sind. Mussals ein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,O=Example,OU=RnD.

TippKlicken Sie auf Basis-DN ermitteln, umden Basis-DN aus dem Verzeichnis zuermitteln.

Authentifizierungsattribut Authentifizierungsattribut für dieSuche im LDAP-Verzeichnis. DasAuthentifizierungsattribut für Benutzer enthältden Anmeldenamen, der vom Benutzer, zumBeispiel zur Nutzung von Fernzugriffsdiensten,verlangt wird.




Ablaufdatum-Attribut Ablaufdatum, das dem Benutzer angezeigtwird. Das Attribut gibt an, wie lange dasBenutzerkonto gültig ist.




Zugehörige KonzepteLDAP-Server (Seite 408)


XG Firewall

Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).

19.1.3 Active-Directory-Server

Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.

TippSie können Active-Directory-Benutzergruppen über den Gruppenimport-Assistentenimportieren. Gehen Sie zu Authentifizierung > Server und klicken Sie auf

für den Active-Directory-Server. Wenn ein Benutzer Mitglied in mehr als einer Gruppe ist, werdendie Richtlinien der ersten zutreffenden Gruppe angewendet.



Port Server-Port.

NetBIOS-Domäne NetBIOS-Domäne für den Server.

ADS-Benutzername Benutzername für den Admin-Benutzer desServers.

Kennwort Kennwort für den Admin-Benutzer des Servers.








XG Firewall



Domänenname Domänenname, für den die Anfrage hinzugefügtwerden soll.

Suchanfragen Anfragen, die auf dem Server ausgeführt werdensollen.

Klicken Sie auf Hinzufügen und erstellen Sieeine LDAP-Anfrage. Weitere Informationenfinden Sie unter LDAP Query Basics und LDAPQuery Examples.

Zugehörige AufgabenActive-Directory-Server hinzufügen (Seite 413)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dannBenutzer- und Ressourceninformationen beim Windows-Domänennetzwerk anfragen. Wenn Sieeinen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.

Verwandte InformationenActive-Directory-Authentifizierung konfigurieren (Seite 456)Sie können bestehende Active-Directory-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen AD-Server hinzu, importieren Gruppen und stellen die primäre Authentifizierungsmethode ein.

Active-Directory-Server hinzufügen

Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dannBenutzer- und Ressourceninformationen beim Windows-Domänennetzwerk anfragen. Wenn Sieeinen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.


2. Wählen Sie Active Directory aus der Liste Servertyp.




Option Beschreibung

NetBIOS-Domäne NetBIOS-Domäne für den Server.

ADS-Benutzername Benutzername für den Admin-Benutzer desServers.

Kennwort Kennwort für den Admin-Benutzer des Servers.



https://technet.microsoft.com/en-us/library/aa996205(v=exchg.65).aspx

http://ldapwiki.com/wiki/LDAP%20Query%20Examples%20for%20AD


XG Firewall

Option Beschreibung








Domänenname Domänenname, für den die Anfragehinzugefügt werden soll.

Suchanfragen Anfragen, die auf dem Server ausgeführtwerden sollen.

Klicken Sie auf Hinzufügen und erstellen Sieeine LDAP-Anfrage. Weitere Informationenfinden Sie unter LDAP Query Basics undLDAP Query Examples.




Zugehörige KonzepteActive-Directory-Server (Seite 412)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.

19.1.4 RADIUS-Server

Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-


https://technet.microsoft.com/en-us/library/aa996205(v=exchg.65).aspx


XG Firewall

Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.


Server-IP IP-Adresse des Servers.

Authentifizierungsport Port, der für die Authentifizierung verwendetwerden soll. Der Standardwert ist 1812.

Accounting aktivieren Aktivieren Sie Accounting auf dem RADIUS-Server.

Die Firewall sendet eine Accounting-Start-Anfrage und die Zeit an den Server, wenn sichder Benutzer anmeldet, und eine Accounting-Ende-Anfrage und die Zeit, wenn sich derBenutzer abmeldet. Unterstützte Client-Typen:Windows-Client, HTTP-Client, Linux-Client,Android, iOS, iOS HTTP-Client, Android HTTP-Client, API-Client.

HinweisDie Accounting-Ende-Meldung wird nichtan den Server gesendet, wenn die Firewallherunterfährt oder neu startet.

Accountingport Portnummer, die für den Versand der Accounting-Informationen von der Firewall and den RADIUS-Server verwendet werden soll. Der Standardwertist 1813.

Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischen demClient und dem Server dient.


NAS-Kennung Zeichenfolge, die den NAS identifiziert, der ausdem Access-Request stammt, z.B. Ein FQDN.

NAS-Porttyp Typ des physikalische Ports des NAS, welcherden Benutzer authentifiziert.

Zugehörige AufgabenRADIUS-Server hinzufügen (Seite 416)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird. Wenn Sie einen Authentifizierungsserver hinzufügen, legen


XG Firewall

Sie einen externen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zuverwalten.

Verwandte InformationenRADIUS-Authentifizierung konfigurieren (Seite 461)Sie können bestehende RADIUS-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen RADIUS-Server hinzu und stellen die primäre Authentifizierungsmethode ein.

RADIUS-Server hinzufügen

Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird. Wenn Sie einen Authentifizierungsserver hinzufügen, legenSie einen externen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zuverwalten.


2. Wählen Sie RADIUS-Server aus der Liste Servertyp.


4. Geben Sie eine IP-Adresse ein.


Option Beschreibung

Authentifizierungsport Port, der für die Authentifizierung verwendetwerden soll. Der Standardwert ist 1812

Accounting aktivieren Aktivieren Sie Accounting auf dem RADIUS-Server.

Die Firewall sendet eine Accounting-Start-Anfrage und die Zeit an den Server, wenn sichder Benutzer anmeldet, und eine Accounting-Ende-Anfrage und die Zeit, wenn sich derBenutzer abmeldet. Unterstützte Client-Typen:Windows-Client, HTTP-Client, Linux-Client,Android, iOS, iOS HTTP-Client, AndroidHTTP-Client, API-Client.

HinweisDie Accounting-Ende-Meldung wird nichtan den Server gesendet, wenn die Firewallherunterfährt oder neu startet.

Accountingport Portnummer, die für den Versand derAccounting-Informationen von der Firewall andden RADIUS-Server verwendet werden soll.Der Standardwert ist 1813

Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischendem Client und dem Server dient.


XG Firewall

Option Beschreibung


6. Optional: Klicken Sie auf Zusätzliche Einstellungen zulassen und legen Sie die Einstellungenfest.

Option Beschreibung

NAS-Kennung Zeichenfolge, die den NAS identifiziert, der ausdem Access-Request stammt, z.B. Ein FQDN.

NAS-Porttyp Typ des physikalische Ports des NAS, welcherden Benutzer authentifiziert.




Zugehörige KonzepteRADIUS-Server (Seite 414)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.

19.1.5 TACACS+ Server

Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse.


Server-IPv4 IPv4-Adresse des Servers.

Port Server-Port.


Zugehörige AufgabenTACACS+ Server hinzufügen (Seite 418)Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse. Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einenexternen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.


XG Firewall

TACACS+ Server hinzufügen

Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse. Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einenexternen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.


2. Wählen Sie Servertyp aus der Liste TACACS+ Server.




Option Beschreibung

Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischendem Client und dem Server dient.




Zugehörige KonzepteTACACS+ Server (Seite 417)Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse.

19.1.6 eDirectory-Server

Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechten aufRessourcen auf mehreren Servern und Geräten in einem Netzwerk.



Port Server-Port.

Bind-DN DN, der für die Authentifizierung verwendetwerden soll.Muss als ein Distinguished Name(DN) in LDAP-Schreibweise angegeben werden.




XG Firewall







HinweisUm Clientzertifikate zu verwalten, gehen Siezu Zertifikate.

Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativ zumStammverzeichnis der Verzeichnisstruktur, inder die Benutzer festgelegt sind. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., O=Example,OU=RnD.

TippKlicken Sie auf Basis-DN ermitteln, um denBasis-DN aus dem Verzeichnis zu ermitteln.

Zugehörige AufgabeneDirectory-Server hinzufügen (Seite 419)Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechtenauf Ressourcen auf mehreren Servern und Geräten in einem Netzwerk. Wenn Sie einenAuthentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.

eDirectory-Server hinzufügen

Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechtenauf Ressourcen auf mehreren Servern und Geräten in einem Netzwerk. Wenn Sie einenAuthentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.


XG Firewall


2. Wählen Sie eDirectory aus der Liste Servertyp.




Option Beschreibung

Bind-DN DN, der für die Authentifizierung verwendetwerden soll. Muss als ein Distinguished Name(DN) in LDAP-Schreibweise angegebenwerden.









HinweisUm Clientzertifikate zu verwalten, gehenSie zu Zertifikate.

Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativzum Stammverzeichnis der Verzeichnisstruktur,in der die Benutzer festgelegt sind. Mussals ein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,O=Example,OU=RnD.


XG Firewall

Option Beschreibung

TippKlicken Sie auf Basis-DN ermitteln, umden Basis-DN aus dem Verzeichnis zuermitteln.




Zugehörige KonzepteeDirectory-Server (Seite 418)Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechten aufRessourcen auf mehreren Servern und Geräten in einem Netzwerk.

19.2 DiensteWählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie könnenauch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen undRADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnenfestzulegen, wohin unauthentifizierte Benutzer geleitet werden.

Firewall-Authentifizierungsmethoden

Authentifizierungsserver, der für Firewall-Verbindungen verwendet werden soll.

Authentifizierungsserverliste Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet.

Standardgruppe Gruppe, die für Benutzer verwendet werden soll,die sich authentifizieren, aber nicht in der Firewallkonfiguriert sind. Benutzer, die nicht Teil einerlokalen Gruppe sind, werden der Standardgruppezugewiesen.


XG Firewall

VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für VPN-Verbindungen verwendet werden soll.

Die gleichen Authentifizierungsmethodenverwenden wie für die Firewall

Ziehen Sie alle Authentifizierungsserver, die fürden Firewallverkehr eingerichtet sind, auch für dieAuthentifizierung von VPN-Datenverkehr heran.


Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet. Wenn Sie einenRADIUS-Server auswählen, können PPTP- undL2TP-Verbindungen, die mithilfe von MSCHAPv2-oder CHAP- aufgebaut wurden, über RADIUSauthentifiziert werden.

Administrator-Authentifizierungsmethoden

Server, der für die Authentifizierung von Administrator-Benutzern verwendet werden soll.

HinweisAdministrator-Authentifizierungseinstellungen betreffen nicht den Super-Administrator.

Die gleichen Authentifizierungsmethodenverwenden wie für die Firewall

Ziehen Sie alle Authentifizierungsserver, die fürden Firewallverkehr eingerichtet sind, auch für dieAuthentifizierung von Administratoren heran.



SSL-VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für SSL-VPN-Verbindungen verwendet werden soll.


XG Firewall

Dieselbe wie für VPN Verwenden Sie dieselbeAuthentifizierungsmethode wie für den VPN-Verkehr.

Dieselbe wie für die Firewall Verwenden Sie dieselbeAuthentifizierungsmethode wie für denFirewallverkehr.




Maximale Sitzungszeitüberschreitung Maximale Sitzungsdauer für Benutzer, die sicherfolgreich an einem Dienst angemeldet haben.Sobald die Zeit abgelaufen ist, wird der Benutzerabgemeldet.

Die Firewall überprüft die Autorisierungalle drei Minuten. Mögliche Gründe,die die Sitzungsdauer begrenzen, sindZugriffsrichtlinien, Surfkontingente,Datentransferbeschränkungen und diemaximale Sitzungsdauer.

Diese Einstellung betrifft nur administrativeSitzungen.

Gleichzeitige Anmeldungen Maximale Anzahl an gleichzeitigen Sitzungen, dieBenutzern gestattet ist.

HinweisDiese Beschränkung betrifft nur Benutzer,die hinzugefügt wurden, nachdem Sie diesenWert eingestellt haben.

NTLM-Einstellungen

Einstellungen für Windows Challenge/Response, die für Active-Directory-Authentifizierungverwendet wird.

Inaktivitätsdauer Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.


XG Firewall

Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb desfestgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.

HTTP-Challenge-Umleitung auf Intranetzone Wenn eine im Internet gehostete Seite die NTLM-Web-Proxy-Challenge zur Authentifizierungbeginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzoneum. Der Client wird transparent über die lokaleSchnittstellen-IP der Appliance authentifiziertund die Benutzerdaten werden nur im Intranetausgetauscht. Die Benutzerdaten bleibengeschützt. Wenn diese Einstellung ausgeschaltetist, wird der Client vom Browser über dieAppliance transparent authentifiziert, indemdie Benutzerdaten über das Internet gesendetwerden.

Webclient-Einstellungen

Einstellungen für iOS, Android und API.

Inaktivitätsdauer Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.

Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb desfestgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.

SSO mit RADIUS-Accounting-Anfrage

Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die bereits an einemRADIUS-Server authentifiziert wurden, transparent authentifizieren.

RADIUS-Client IPv4 IPv4-Adresse des RADIUS-Clients. Für SSOwerden nur Anfragen für die angegebene IP-Adresse berücksichtigt.


Chromebook SSO

Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die bereits an einemChromebook wurden, transparent authentifizieren. Um Chromebook SSO-Authentifizierungeinzurichten, folgen Sie den Anweisungen in Chromebook Single Sign-On konfigurieren (Seite469).

Domäne Der Domänenname, der bei G Suite registriert ist.


XG Firewall

Port Die Portnummer, mit der sich Chromebooks ausdem LAN or WLAN heraus verbinden.

Zertifikat Das Zertifikat, das für die Kommunikationmit den Chromebooks verwendet wird.Der Zertifikat-CN muss mit der Zone oderdem Netzwerk übereinstimmen, wo sichdie Chromebook-Benutzer befinden, z.B.gateway.example.com.

Protokollierungsstufe Wählen Sie den Umfang der Protokollierung.

Internetrichtlinien-Maßnahmen für nicht authentifizierte Benutzer

Legen Sie Einstellungen für unauthentifizierte Benutzer im Benutzerportal fest.

Nicht authentifizierte Benutzer zum Anmeldenauffordern

Leiten Sie die Zugriffsanfrage eines nichtauthentifizierten Benutzers entweder aufdas Captive-Portal um oder auf die Seitemit selbstdefinierter Nachricht. Wenn dieseEinstellung ausgeschaltet ist, wird der Verkehrvon unauthentifizierten Benutzern verworfen.

Anmeldeaufforderungsmethode Methode, mit der unauthentifizierte Benutzerumgeleitet werden sollen.

Captive-Portal verwendet HTTPS Sicheren Zugriff auf das Captive-Portal durch denEinsatz von HTTPS bieten.

Link zum Benutzerportal zur Verfügung stellen Einen Link zum vollständigen Benutzerportal aufder Captive-Portal-Seite bereitstellen.

Nach der Anmeldung zu einer URL weiterleiten Den Benutzer nach erfolgter Anmeldung auf dievom Benutzer angefragte Seite umleiten oder zueiner selbstdefinierten Seite.

Nach Anmeldung Captive-Portal beibehalten Captive-Portal minimieren, sobald der Benutzerauthentifiziert ist.

Keep Alive verwenden, um die Sitzung desBenutzers aufrecht zu erhalten

Keep-Alive-Nachrichten verwenden, um dieBenutzerverbindung zum Captive-Portal zuerhalten. Wenn die Firewall keine Antworterhält vom Benutzer erhält, wird der Benutzerautomatisch abgemeldet.

TippDiese Einstellung ausschalten, wennmehrere gleichzeitige Benutzer vorhandensind.

Benutzerinaktivitätszeitüberschreitung Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.

Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb des


XG Firewall

festgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.

Selbstdefinierte Nachrichtenoptionen

Bild Seitenkopf Bild, das in der Kopfzeile der selbstdefiniertenNachrichtenseite angezeigt werden soll.Unterstützte Formate:JPG, PNG und GIF.

Bild Fußzeile Bild, das in der Fußzeile der eigenenNachrichtenseite angezeigt werden soll.Unterstützte Formate:JPG, PNG und GIF.

Eigene Nachricht Anzuzeigende Nachricht.

Verwandte InformationenChromebook Single Sign-On konfigurieren (Seite 469)Lernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichenZeit anzumelden, wenn diese sich an ihrem Chromebook anmelden.

19.3 GruppenGruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen. Sie wollen zum Beispielvielleicht Einstellungen gruppieren, die ein bestimmtes Surfkontingent festlegen und die Zugriffszeit fürGastbenutzer einschränken.

• Um die Liste der Mitglieder einer Gruppe zu sehen, klicken Sie auf

und klicken Sie dann auf Gruppenmitglieder anzeigen.

• Um Mitglieder zu einer Gruppe hinzufügen, klicken Sie auf

und klicken Sie dann auf Mitglieder hinzufügen.

Zugehörige AufgabenGruppe hinzufügen (Seite 426)

19.3.1 Gruppe hinzufügen



3. Wählen Sie einen Typ aus.

Option Beschreibung

Normal Benutzer müssen sich mithilfe eines Geräts mitinstalliertem Client anmelden.


XG Firewall

Option Beschreibung

Clientlos Benutzer benötigen keinen Client, um sichanzumelden. Die Zugriffskontrolle wird über dieIP-Adresse durchgeführt.

4. Wählen Sie Richtlinien aus.

HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.

Option Beschreibung

Surfkontingent Zugriff basierend auf einem festgelegtenZeitraum und Art. Diese Richtlinie kann eineZyklusart, Dauer, Gültigkeit und Höchstdauerenthalten.

Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.

Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.

Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload-und Downloadgrenzen enthalten.

Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.

Clientlos Zugriff, der Benutzern gewährt wird, die nureinen Browser als Client verwenden. DieseRichtlinie kann Lesezeichen oder Ressourcenenthalten, die clientlose Benutzer verwendendürfen.


HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.

Option Beschreibung

Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.

MAC-Bindung Benutzer müssen sich über festgelegte Geräteanmelden.

L2TP Zugriff über L2TP-Verbindungen zulassen.

PPTP Zugang über PPTP-Verbindungen anbieten.

Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.


XG Firewall


Zugehörige KonzepteZugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.

Netzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.

Gruppen (Seite 426)Gruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen. Sie wollen zum Beispielvielleicht Einstellungen gruppieren, die ein bestimmtes Surfkontingent festlegen und die Zugriffszeit fürGastbenutzer einschränken.

19.3.2 Gruppeninformationen

Gruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen.

Richtlinien


Surfkontingent Zugriff basierend auf einem festgelegten Zeitraumund Art. Diese Richtlinie kann eine Zyklusart,Dauer, Gültigkeit und Höchstdauer enthalten.



Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload- undDownloadgrenzen enthalten.


Clientlos Zugriff, der Benutzern gewährt wird, die nur einenBrowser als Client verwenden. Diese Richtliniekann Lesezeichen oder Ressourcen enthalten, dieclientlose Benutzer verwenden dürfen.


XG Firewall

Einstellungen



MAC-Bindung Benutzer müssen sich über die festgelegtenGeräte anmelden.

L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer für L2TP-Zugriff zugewiesen wird.

PPTP Zugriff über PPTP zulassen. Legen Sie optionaleine IP-Adresse, die dem Benutzer für PPTP-Zugriff zugewiesen wird.

Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen. Siekönnen keine Beschränkung (beliebiger Knoten),benannte Knoten oder einen Knotenbereichfestlegen.

19.4 BenutzerDie Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.

• Um Benutzer in Form von durch Komma getrennten Werten (CSV-Format) zu importieren, klickenSie auf Importieren.

• Um Benutzer im CSV-Format zu exportieren, klicken Sie auf Exportieren.

• Um den Benutzerstatus von aktiv zu inaktiv (und andersherum) zu ändern, wählen Sie einenBenutzer aus und klicken Sie auf Status ändern.

• Um Active-Directory-Benutzer zu entfernen, die sich nicht in der Domäne befinden, klicken Sie aufAD-Benutzer bereinigen.

HinweisWenn Hochverfügbarkeit konfiguriert ist, werden die Benutzer sowohl vom primären alsauch vom sekundären Gerät gelöscht. Die An- oder Abmeldung von Benutzern bzw.Accountingvorgänge werden durch die Bereinigung nicht unterbrochen.

Zugehörige AufgabenBenutzer registrieren (Seite 430)


XG Firewall

Benutzer importieren (Seite 432)Anstatt Benutzer einzeln zu erstellen, können Sie eine Datei mit durch Komma getrennten Werten(CSV) hochladen. Die CSV-Datei muss den Formatierungsanforderungen entsprechen.

19.4.1 Benutzer registrieren

1. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.

2. Geben Sie einen Benutzernamen ein, der für die Authentifizierung verwendet werden soll.


HinweisDies ist der Benutzereintragsname, nicht der Benutzername.

4. Geben Sie ein Kennwort ein, das für die Authentifizierung verwendet werden soll.

5. Wählen Sie einen Typ aus.

Option Beschreibung

Benutzer Endbenutzer, die sich hinter der Firewallbefinden und sich mit dem Internet verbinden.

Administrator Benutzer, die Zugriff auf Firewallobjekte undEinstellungen wie im Profil festgelegt haben.


HinweisWenn ein Benutzer von Active Directory importiert wurde, überschreibt XG Firewall die E-Mail-Adressen, die bei der Benutzerregistrierung angegeben wurden, mit den E-Mail-Adressen, dieim Active Directory zur Zeit der Authentifizierung angegeben sind.

7. Wählen Sie Richtlinien aus.


Option Beschreibung

Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieserGruppe zugewiesenen Richtlinien.

Surfkontingent Zugriff basierend auf einem festgelegtenZeitraum und Art. Diese Richtlinie kann eineZyklusart, Dauer, Gültigkeit und Höchstdauerenthalten.




XG Firewall

Option Beschreibung

Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload-und Downloadgrenzen enthalten.


Clientlos Zugriff, der Benutzern gewährt wird, die nureinen Browser als Client verwenden. DieseRichtlinie kann Lesezeichen oder Ressourcenenthalten, die clientlose Benutzer verwendendürfen.



Option Beschreibung

L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer fürL2TP-Zugriff zugewiesen wird.


Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eineIP-Adresse fest, die dem Benutzer für CISCOVPN-Zugriff zugewiesen wird.


Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sieden Wert, der in den globalen Einstellungenfestgelegt ist, oder legen Sie einen Wert fest.


Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.

9. Für Administrator-Benutzer klicken Sie auf Erweiterte Administrator-Einstellungen und legen Siedie Einstellungen fest.

Option Beschreibung

Zeitplan für Appliance-Zugriff Zugriff auf die Appliance nur während dergewählten Zeit zulassen.


XG Firewall

Option Beschreibung

Anmeldebeschränkung für Appliance-Zugriff Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.



Netzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.

Appliance-Zugriff (Seite 496)Mit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.

Benutzer (Seite 429)Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.

19.4.2 Benutzer importieren

Anstatt Benutzer einzeln zu erstellen, können Sie eine Datei mit durch Komma getrennten Werten(CSV) hochladen. Die CSV-Datei muss den Formatierungsanforderungen entsprechen.

1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Importieren.

2. Klicken Sie auf Datei auswählen und wählen Sie eine CSV-Datei aus.

Beachten Sie folgende Anforderungen:

• Die Kopfzeile muss einen Benutzernamen enthalten, gefolgt von optionalen Feldern, z.B.Kennwort, Name, Gruppe und E-Mail-Adresse.

• In jeder Zeile muss die Anzahl der Felder mit der Anzahl der Felder in der Kopfzeileübereinstimmen.

• Maximal 1000 Einträge.

3. Klicken Sie auf Hochladen.

Zugehörige KonzepteBenutzer (Seite 429)


XG Firewall

Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.

19.4.3 Benutzerinformationen

Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Legen SieRichtlinien und Einstellungen nach Ihren Bedürfnissen fest.

• Um ein Kennwort zu ändern, klicken Sie auf Kennwort ändern.

• Um Internetverkehrsstatistiken zu sehen, klicken Sie auf Nutzung anzeigen.

• Um die Internetverkehrsstatistiken zurückzusetzen und die Netzwerkdatenkontingente neu zustarten, klicken Sie auf Benutzer-Accounting zurücksetzen.

Richtlinien


Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieser Gruppezugewiesenen Richtlinien.








XG Firewall

Einstellungen




Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eine IP-Adresse fest, die dem Benutzer für CISCO VPN-Zugriff zugewiesen wird.


Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sie denWert, der in den globalen Einstellungen festgelegtist, oder legen Sie einen Wert fest.



19.5 EinmalkennwortSie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.

Dienst für Einmalkennwörter

Sie können Zweifaktor-Authentifizierung mithilfe des Einmalkennwort-Diensts (OTP) konfigurieren.

• Um Zweifaktor-Authentifizierung zu konfigurieren, klicken Sie auf Einstellungen und schalten SieEinmalkennwort ein.


XG Firewall

OTP-Token

Um sich mit Zweifaktor-Authentifizierung anmelden zu können, müssen Benutzer erst ein Tokenbeziehen. Token werden als ein QR-Code im Benutzerportal bereitgestellt. Benutzer scannen denCode mit Sophos Authenticator, die dann die Zugangscodes erzeugt.

• Um automatisch OTP-Token zu erstellen, klicken Sie auf Einstellungen und schalten Sie OTP-Token für Benutzer automatisch erstellen ein.

• Um manuell OTP-Token zu erstellen, klicken Sie auf Hinzufügen und legen Sie die Einstellungenfest. Schauen Sie sich danach das Token an und senden Sie es an den Benutzer.

• Um das Token zu sehen, das einem Benutzer zugewiesen ist, klicken Sie auf

.

• Um den Zeitunterschied mit dem Server zu synchronisieren, klicken Sie auf

und geben Sie den Zugangscode ein.

Zugehörige AufgabenZugangscodes manuell erzeugen (Seite 437)Wenn ein Benutzer keinen Zugang zu Zugangscodes hat (z.B. weil das Authentifizierungsprogrammgerade nicht zur Verfügung steht), können Sie diese manuell erzeugen.

Token hinzufügen (Seite 436)Verwandte InformationenZwei-Faktor-Authentifizierung konfigurieren (Seite 452)Zweifaktor-Authentifizierung stellt sicher, dass sich nur Benutzer mit vertrauenswürdigen Gerätenanmelden können. Um Zweifaktor-Authentifizierung anzubieten, konfigurieren Sie den OTP-Dienst.Danach scannen Endbenutzer die Tokens und erhalten die Zugangscodes mithilfe von SophosAuthenticator.

OTP-Tokens manuell ausstellen (Seite 454)In manchen Fällen müssen Sie vielleicht ein OTP-Token einem Endbenutzer manuell bereitstellen,selbst wenn der Dienst so eingestellt ist, dass er Tokens automatisch erstellt. Diese Fälle tretenzum Beispiel ein, wenn ein Benutzer keinen Zugriff auf Sophos Authenticator hat. Um das zutun, konfigurieren Sie den OTP-Dienst und stellen Sie ein Token manuell aus. Danach erhält derEndbenutzer das Token über das Captive-Portal.

Sophos Authenticator for AndroidSophos Authenticator for iOS

19.5.1 OTP-Diensteinstellungen

Einmalkennwort Schalten Sie den Dienst für Einmalkennwörterein.

OTP für alle Benutzer Von allen Benutzern die Verwendung vonEinmalkennwörter verlangen. Wenn Sie wollen,dass nur bestimmte Benutzer Einmalkennwörterverwenden, schalten Sie diese Einstellung ausund wählen Sie Benutzer aus.

OTP-Token für Benutzer automatisch erstellen OTP-Token für Benutzer automatisch erstellen.Token werden als ein QR-Code im Benutzerportal


https://play.google.com/store/apps/details?id=com.sophos.sophtoken

https://itunes.apple.com/ca/app/sophos-authenticator/id864224575?mt=8

XG Firewall

bereitgestellt. Benutzer scannen den Codemit Sophos Authenticator, die dann dieZugangscodes erzeugt. Wenn Sie dieseEinstellung nicht aktivieren, müssen Sie OTP-Token manuell bereitstellen.

OTP für Komponenten aktivieren Firewall-Funktionen, die Zweifaktor-Authentifizierung erfordern.

HinweisBenutzerportal muss ausgewählt sein, wennautomatisches Erstellen eingeschaltet ist.

AchtungWenn WebAdmin ausgewählt ist, müssenSie sicherstellen, dass Benutzer Zugang zuEinmalkennwort-Tokens haben. Wenn siediesen nicht haben, riskieren Sie, dass siepermanent abgemeldet werden.

Standard-Token-Zeitschritt in Sekunden Intervall (in Sekunden), in der die Zugangscode-Erzeugung beim Einmalkennwort-Dienststattfindet. Dieser Wert muss der gleiche sein wieder von Sophos Authenticator festgelegte. DerEinmalkennwort-Dienst und Sophos Authenticatorhaben einen Standardwert von 30 Sekunden.

Maximale Schritte derSicherheitscodeverzögerung

Maximale Anzahl an Zeitschritten, die sich dieUhr eines Tokens zwischen Client und Serverunterscheiden darf. Wenn Sie zum Beispiel einenWert von 3 festlegen und der Zeitschritt ist 30Sekunden, dann kann der Client einen beliebigenZugangscode aus den letzten 90 Sekunden oderden nachfolgenden 90 Sekunden verwenden,solange der Code noch nicht verwendet wurde.

Maximale Schritte der initialenSicherheitscodeverzögerung

Maximale Anzahl an Zeitschritten, die sich die Uhreines Tokens zwischen Client und Server nur beider ersten Anmeldung unterscheiden darf.

19.5.2 Token hinzufügen

1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Hinzufügen.


Option Beschreibung

Schlüssel Eindeutiger HEX-Schlüssel, der im Algorithmusverwendet wird, um die Kennwörter fürBenutzer zu erzeugen. Verwenden Sie beiHardware-Tokens den Schlüssel, der vomGerätehersteller bereitgestellt wurde.


XG Firewall

Option Beschreibung

Benutzer Benutzer, dem das Token zugewiesen werdensoll.

Eigenen Token-Zeitschritt verwenden Abstand, in Sekunden, in dem dieKennworterzeugung für dieses Tokenstattfindet. Dieser Wert muss der gleichesein wie der von Sophos Authenticatorfestgelegte.(Der Einmalkennwort-Dienstund Sophos Authenticator haben einenStandardwert von 30 Sekunden.)

TippWenn Sie einem Benutzer mehr als ein Token bereitstellen, geben Sie eine Beschreibung ein,um dem Benutzer zu helfen, diese zu unterscheiden.


Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.

19.5.3 Zugangscodes manuell erzeugen

Wenn ein Benutzer keinen Zugang zu Zugangscodes hat (z.B. weil das Authentifizierungsprogrammgerade nicht zur Verfügung steht), können Sie diese manuell erzeugen.

Sie müssen ein OTP-Token manuell erzeugen und dem Benutzer zukommen lassen.

1. Gehen Sie zu Authentifizierung > Einmalkennwort.

2. Finden Sie den Benutzer und klicken Sie auf

.

3. Blättern Sie zu Zusätzliche Codes und klicken Sie auf

.Die Firewall erzeugt Zugangscodes.


XG Firewall

4. Senden Sie einen Zugangscode an den Benutzer.



19.6 Captive-PortalDas Captive-Portal ist eine Browser-Oberfläche, die Benutzer hinter der Firewall dazu auffordert, sichzu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Nach der Authentifizierungwird der Benutzer zur Adresse weitergeleitet oder die Firewall leitet ihn zur einer vorgegebenen URLweiter. Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portalsanzupassen. Sie können zum Beispiel Ihre Unternehmenslogo und eigen Text für die Schaltflächefestlegen.

• Um die Einstellungen zu aktualisieren, klicken Sie auf Übernehmen.

• Um eine Vorschau des Captive-Portals zu sehen, klicken Sie auf Vorschau.

• Um die selbstdefinierten Einstellungen zu löschen, klicken Sie auf Auf Standard zurücksetzen.

• Um das Aussehen des Portals anzupassen, wählen Sie Eigene HTML-Vorlage verwenden undverändern Sie das HTML nach Bedarf. Ihr Portal muss eines der folgenden Elemente enthalten:<div id="__loginbox"></div>. Das System wird die notwendigen Benutzereingabe-Elemente im div-Element einblenden. Sie können diese Elemente mithilfe von CSS undJavaScript anpassen.

Auf das Captive-Portal zugreifen

Benutzer können auf das Captive-Portal unter https://<SFOS-IP-Adresse>:8090 zugreifen.


XG Firewall


Verwandte InformationenAuthentifizierung: Captive-Portal

19.7 GastbenutzerGastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

HinweisBevor Sie Gastbenutzer hinzufügen, gehen Sie zu Authentifizierung > Gastbenutzer-Einstellungen und legen Sie die Einstellungen fest.

• Um Zugangsdaten auszudrucken, wählen Sie Benutzer aus und klicken Sie dann auf Drucken.

• Um Zugangsdaten noch einmal per SMS zu senden, klicken Sie auf

.



Zugehörige AufgabenEinzelnen Gastbenutzer hinzufügen (Seite 439)Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

Mehrere Gastbenutzer hinzufügen (Seite 440)Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

19.7.1 Einzelnen Gastbenutzer hinzufügen

Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.


https://www.youtube.com/watch?v=q0GwtPLS0nk

XG Firewall

1. Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf Einzelne hinzufügen.


HinweisDies ist der Benutzereintragsname, nicht der Benutzername.



5. Legen Sie den Gültigkeitsbeginn fest.

Option Beschreibung

Sofort Der Gültigkeitszeitraum beginnt sofort,nachdem Sie den Gastbenutzer hinzufügen.

Nach der ersten Anmeldung Der Gültigkeitszeitraum beginnt ab dem Punkt,an dem der Gastbenutzer sich das erste Malanmeldet.

6. Klicken Sie auf Hinzufügen, um den Benutzer hinzuzufügen, oder auf Hinzufügen und drucken,um den Benutzer hinzuzufügen und die Zugangsdaten auszudrucken.

Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf

für denBenutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.

Zugehörige KonzepteGastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

19.7.2 Mehrere Gastbenutzer hinzufügen

Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

1. Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf Mehrere hinzufügen.

2. Geben Sie die Anzahl der Benutzer ein.


4. Legen Sie den Gültigkeitsbeginn fest.

Option Beschreibung

Sofort Der Gültigkeitszeitraum beginnt sofort,nachdem Sie den Gastbenutzer hinzufügen.


XG Firewall

Option Beschreibung

Nach der ersten Anmeldung Der Gültigkeitszeitraum beginnt ab dem Punkt,an dem der Gastbenutzer sich das erste Malanmeldet.

5. Klicken Sie auf Hinzufügen, um die Benutzer hinzuzufügen, oder auf Hinzufügen und drucken,um die Benutzer hinzuzufügen und die Zugangsdaten auszudrucken.

Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf

für jeden hinzugefügten Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissenfest.

Zugehörige KonzepteGastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.

19.7.3 Gastbenutzerinformationen

Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Legen Sie Richtlinien und Einstellungen nachIhren Bedürfnissen fest.

• Um ein Kennwort zu ändern, klicken Sie auf Kennwort ändern.



Richtlinien


Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieser Gruppezugewiesenen Richtlinien.





XG Firewall




Einstellungen




Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eine IP-Adresse fest, die dem Benutzer für CISCO VPN-Zugriff zugewiesen wird.


Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sie denWert, der in den globalen Einstellungen festgelegtist, oder legen Sie einen Wert fest.





XG Firewall

19.8 Clientlose BenutzerClientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.



Zugehörige AufgabenEinzelnen clientlosen Benutzer hinzufügen (Seite 443)Mehrere clientlose Benutzer hinzufügen (Seite 444)

19.8.1 Einzelnen clientlosen Benutzer hinzufügen

1. Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf Hinzufügen.


Option Beschreibung

Benutzername Name, der von dem Benutzer hinter der Firewallfür die Authentifizierung verwendet werden soll.

IP-Adresse IP-Adresse für den Benutzer.

Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieserGruppe zugewiesenen Richtlinien.

Name Name des Benutzereintrags.

E-Mail E-Mail-Adresse des Benutzers.



Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf

für den Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.



XG Firewall

19.8.2 Mehrere clientlose Benutzer hinzufügen

1. Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf Bereich hinzufügen.


Option Beschreibung

Von IP Geben Sie die Start-IP-Adresse des Bereichsein.

Zu IP Geben Sie die End-IP-Adresse für den Bereichein.

Gruppe Gruppe, zu der alle Benutzer hinzugefügtwerden sollen. Die Benutzer erben alleRichtlinien, die der Gruppe zugewiesensind. Sie können die Richtlinien, die füreinen Benutzer gelten, ändern, indem Siedie Benutzerinformationen bearbeiten.Einstellungen, die auf Benutzerebene festgelegtwurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.


Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf

für jeden hinzugefügten Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissenfest.


19.8.3 Informationen zu clientlosen Benutzern

Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.




XG Firewall

Richtlinien



Einstellungen



19.9 Gastbenutzer-EinstellungenGastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Verwenden Sie diese Einstellungen, umGastbenutzern zu ermöglichen, sich über die Gastbenutzer-Registrierungsseite zu registrieren, und umAuthentifizierungseinstellungen und eine Standardgruppe für Gastbenutzer zu konfigurieren.

Allgemeine Einstellungen für Gastbenutzer

Benutzername Präfix Präfix, das für Erzeugung eines Benutzernamensfür den Gastbenutzer verwendet wird.

Gruppe Gruppe, der Gastbenutzer zugewiesen werden.Benutzer erben die Richtlinien, die für die Gruppefestgelegt sind.

Kennwortlänge Anzahl an Zeichen, die für die erzeugtenKennwörter für Gastbenutzer verwendet werdensollen. Längere Kennwörter bieten erhöhteSicherheit.

Kennwortkomplexität Art des Kennworts, die für erzeugte Kennwörterverwendet werden soll. Komplexere Kennwörterbieten erhöhte Sicherheit.

Nutzungsbedingungen Nachricht, die unter den Benutzerzugangsdatenangezeigt werden soll, um die Benutzer über


XG Firewall

rechtliche Verpflichtungen und Gebühren für dieNutzung des Internets zu informieren.

Bei Ablauf automatisch bereinigen Benutzerinformationen bereinigen, wenn derGültigkeitszeitraum eines Benutzers endet.

HinweisDiese Einstellung betrifft nicht Protokolle.

Registrierungseinstellungen für Gastbenutzer

Gastbenutzer-Registrierung einschalten Erlauben Sie Benutzern, sich selbst alsGastbenutzer über das Benutzerportal zuregistrieren.

SMS-Gateway Gateway, an das die SMS mit den Gastbenutzer-Zugangsdaten gesendet werden soll.

Gastbenutzer Name Methode, mit der der Gastbenutzernamezugewiesen werden soll. Wenn Sie nichtMobilfunknummer als Benutzernameverwenden auswählen, wird der Benutzernamemithilfe des angegebenen Werts inBenutzername Präfix erzeugt.

Benutzer-Gültigkeit (Dauer in Tagen) Gültigkeit von Gastbenutzern in Tagen.

Standard-Ländercode Standard-Ländercode, der zusammen mitder Mobilfunknummer auf der Gastbenutzer-Registrierungsseite angezeigt werden soll.

CAPTCHA-Verifizierung Verlangen Sie von Gastbenutzern, eineCAPTCHA-(Completely Automated PublicTuring Test To Tell Computers and HumansApart)-Code-Prüfung zu bestehen, um auf dieGastbenutzer-Registrierungsseite zu gelangen.

SMS-Gateway

Ein SMS-Gateway ermöglicht das Versenden und Empfangen von Kurznachrichten (SMS) zurRegistrierung von Gastbenutzern. Die Firewall unterstützt HTTP- und HTTPS-basierten SMS-Dienst.

Zugehörige AufgabenSMS-Gateway konfigurieren (Seite 446)

19.9.1 SMS-Gateway konfigurieren

1. Gehen Sie zu Authentifizierung > Gastbenutzer-Einstellungen, blättern Sie zu SMS-Gatewayund klicken Sie auf Hinzufügen.




XG Firewall

Option Beschreibung

URL URL des SMS-Gateways für das Versendenvon SMS-Anfragen.

HTTP-Methode Methode für das Versenden einer SMS-Anfragean das SMS-Gateway. Wählen Sie Get,um Daten von einer bestimmten Ressourceanzufragen. Wählen Sie Post, um Datenzu übermitteln, die von einer bestimmtenRessource verarbeitet werden sollen.

Mobilfunknummer-Format Mobilfunknummer mit Ländervorwahlverwenden.

Nummern-Präfix Präfix, das mit der Mobilfunknummer verwendetwerden soll. Kann alphanumerische und ASCII-Sonderzeichen enthalten.

4. Geben Sie die von Ihrem Dienstanbieter angegeben Anfrageparameter ein.

Wenn das die Anfrage-URL ist:

http://www.example.com/sms.aspx?user=joey&pass=joey123&mbno=9792234567&msg=Test

Dann sind das die Anfrageparameter:

Name Wert

user joey

pass joey123

mbno 9792234567

msg Test

5. Geben Sie das von Ihrem Dienstanbieter angegebene Antwortformat ein.

Wenn dies die empfangene Antwort ist:

status=302&message=Limit Exceeded

Dann sollte so das Antwortformat aussehen:

status={0}&message={1}

6. Geben Sie die von Ihrem Dienstanbieter angegebene Antwortparameter ein.

Wenn dies das Antwortformat ist:

status={0}&message={1}

Dann sind das die Antwortparameter:

Stichwortverzeichnis Name

0 Status

1 Nachricht


XG Firewall


Klicken Sie auf Verbindung testen und geben Sie eine Mobiltelefonnummer ein. Wenn Sie sich mitdem Gateway verbinden können, erhalten Sie eine SMS-Nachricht.

Zugehörige KonzepteGastbenutzer-Einstellungen (Seite 445)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Verwenden Sie diese Einstellungen, umGastbenutzern zu ermöglichen, sich über die Gastbenutzer-Registrierungsseite zu registrieren, und umAuthentifizierungseinstellungen und eine Standardgruppe für Gastbenutzer zu konfigurieren.

19.10 Client-DownloadsVerwenden Sie diese Einstellungen, um die Clients und Komponenten herunterzuladen, die SingleSign-On, transparente Authentifizierung und E-Mail-Verschlüsselung unterstützen.

Single-Sign-On

Sophos Single-Sign-On-Client (SSO) Ermöglicht Benutzern, sich am Netzwerk und amGerät gleichzeitig anzumelden. Dafür ist ein Clientauf der Maschine des Benutzers erforderlich.

Sophos Transparent Authentication Suite(STAS)

Ermöglicht transparente Authentifizierung, beider Windows-Anmeldedaten zur Authentifizierungverwendet werden können. Dadurch muss sichder Benutzer nur einmal anmelden, um aufNetzwerkressourcen zuzugreifen. Hierfür mussauf dem Rechner des Benutzers kein Clientinstalliert sein.

Sophos Authentication for Thin Client (SATC) Ermöglicht transparente Authentifizierungfür Benutzer in einer Citrix- oder Terminal-Services-Umgebung. Dabei könnenNetzwerkzugangsdaten für die Authentifizierungverwendet werden und der Benutzer muss sichnur einmal anmelden. Hierfür muss auf demRechner des Benutzers kein Client installiert sein.SATC unterstützt nur TCP-Verbindungen, keineUDP-Verbindungen.

Authentifizierungsclients

MSI herunterladen Ermöglicht Netzwerkadministratoren mithilfe vonMicrosoft Installer Authentifizierungsclients aufBenutzergeräten zu installieren.

CA für MSI herunterladen Laden Sie das digitale Zertifikat herunter, daszusammen mit dem MSI auf dem Client installiertwerden soll, um eine sichere Verbindung zurFirewall zu gewährleisten.


XG Firewall

Download für Windows Ermöglicht Windows-Benutzern, sich amNetzwerk anzumelden und auf das Internetzuzugreifen in Übereinstimmung mit den auf derFirewall konfigurierten Richtlinien.

Download für MAC OS X Ermöglicht macOS-Benutzern, sich am Netzwerkanzumelden und auf das Internet zuzugreifenin Übereinstimmung mit den auf der Firewallkonfigurierten Richtlinien.

Download für Linux Ermöglicht Linux-Benutzern, sich am Netzwerkanzumelden und auf das Internet zuzugreifenin Übereinstimmung mit den auf der Firewallkonfigurierten Richtlinien.

Zertifikat für iOS/Android-Client herunterladen Laden Sie das digitale Zertifikat herunter, dasin Sophos Authenticator installiert werden soll,um eine sichere Verbindung zur Firewall zugewährleisten.

SPX Add-In

Das SPX Add-in ermöglicht Benutzern, ausgehende Nachrichten mithilfe von Sophos EmailProtection direkt in Microsoft Outlook zu verschlüsseln.

Für eine interaktive Installation führen Sie setup.exe aus.

Für eine unüberwachte Installation, führen Sie das Installationsprogramm folgendermaßen aus:

msiexec /qr /i SophosOutlookAddInSetupUTM.msi T=1 EC=3 C=1 I=1

Unüberwachte Installationen haben folgende Anforderungen:

• Windows XP, Windows Vista, Windows 7, oder Windows 8 (32- oder 64-Bit)

• Microsoft Outlook 2007 SP3, 2010 oder 2013 (32- oder 64-Bit)

• Microsoft .NET Framework 4 Client-Profil

• Microsoft Visual Studio 2010 Tools für Office Runtime 4.0


19.11 STASSophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.

STAS besteht aus einem Agent und einem Collector. Der Agent überwachtBenutzerauthentifizierungsanfragen und sendet Informationen an den Collector für dieAuthentifizierung. Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent,verarbeitet die Anfragen und sendet sie dann zur Authentifizierung an die Firewall.


XG Firewall

HinweisNur der Agent muss auf dem Domänencontroller installiert sein. Der Collector kann auf jederanderen Maschine installiert sein. Den Collector auf dem Domänencontroller zu installieren, istnicht ratsam, da er sehr viel Datenverkehr erzeugt.

• Um STAS herunterzuladen, gehen Sie zu Authentifizierung > Client-Downloads.

• Um die Firewall für eine STAS-Umgebung zu konfigurieren, klicken Sie auf den An/Aus-Schaltervon Sophos Transparent Authentication Suite einschalten und klicken Sie dann auf STASaktivieren.

• Um Benutzerinaktivitätseinstellungen festzulegen, klicken Sie auf den An/Aus-SchalterBenutzerinaktivität einschalten.

• Um einen Collektor hinzuzufügen, klicken Sie auf Neuen Kollektor hinzufügen.


Timer für Inaktivität Zeit der Inaktivität in Minuten, nach der einBenutzer abgemeldet wird. Benutzer, die keineDaten innerhalb des festgelegten Zeitraumsübertragen, werden abgemeldet.

Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden muss.

Zugehörige AufgabenCollector hinzufügen (Seite 450)Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent, verarbeitet die Anfragenund sendet sie dann zur Authentifizierung an die Firewall.

Verwandte InformationenTransparente Authentifizierung mithilfe von STAS konfigurieren (Seite 463)Clientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STASin eine Umgebung mit einem einzigen Active-Directory-Server integrieren.

STAS Quick Start Guide

19.11.1 Collector hinzufügen

Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent, verarbeitet die Anfragenund sendet sie dann zur Authentifizierung an die Firewall.

Schalten Sie Sophos Transparent Authentication Suite einschalten ein und klicken Sie dann aufSTAS aktivieren.

1. Klicken Sie auf Neuen Kollektor hinzufügen.


Option Beschreibung

Kollektor-IP IP-Adresse des STAS-Collectors. Die Firewallwartet auf Verbindungsanfragen, die über diefestgelegte IP und Port hereinkommen.


https://www.sophos.com/en-us/medialibrary/PDFs/documentation/STAS_manual-en.pdf?la=en

XG Firewall

Option Beschreibung

Kollektor-Port Collector-Port

Kollektorgruppe Gruppe, zu der der Benutzer hinzugefügt wird.Sie können den Collector zu einer neuen oderbestehenden Gruppe hinzufügen.


Zugehörige KonzepteSTAS (Seite 449)Sophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.

19.11.2 Clientlose SSO-Authentifizierung

Clientloses SSO wird durch den Einsatz von Sophos Transparent Authentication Suite realisiert.

Der zugehörige Ablauf sieht folgendermaßen aus:

1. Der Benutzer meldet sich von einem Arbeitsplatzrechner im LAN am Active-Directory-Domänencontroller an. Der Domänencontroller authentifiziert die Zugangsdaten des Benutzers.

2. AD erhält die Sitzungsinformationen und erstellt ein Sicherheitsauditprotokoll. Nach erfolgreicherBenutzeranmeldung erstellt AD ein Ereignis mit der ID 672 (Windows 2003) oder 4768 (Windows2008 und neuer).

3. Während der Agent den AD-Server überwacht, erhält er die Sitzungsinformationen von den obengenannten Ereignis-IDs.

4. Der Agent gibt zur gleichen Zeit den Benutzernamen und die IP-Adresse an den Collector überden Standard-TCP-Port (5566) weiter.

5. Der Collector antwortet, indem er Aktualisierungen über die erfolgreiche Authentifizierung an dieFirewall auf Port 6060 sendet.

6. Wenn die Firewall Verkehr von einer IP sieht, über die sie keine Informationen hat, kann sie denCollector auf Port 6677 befragen.

7. Ein Benutzer startet eine Internetanfrage.

8. Die Firewall vergleicht die Benutzerinformationen mit ihrer lokalen Benutzerliste und wendet dieSicherheitsrichtlinien entsprechend an.

Die Firewall bittet den AD-Server eine Gruppenmitgliedschaft zu bestimmen, basierend aufden Daten vom STAS-Agent. In Abhängigkeit von den Daten wird der Zugang gewährt oderabgelehnt. Benutzer, die direkt (oder lokal) an einem Arbeitsplatzrechner aber nicht an einerDomäne angemeldet sind, werden nicht authentifiziert und werden als unauthentifizierte Benutzereingestuft. Benutzer, die nicht an einer Domäne angemeldet sind, müssen sich über das Captive-Portal authentifizieren.


XG Firewall

19.11.3 Unauthentifizierter Datenverkehr

Wenn die Firewall nicht authentifizierten Verkehr von einer IP-Adresse erkennt, setzt STAS dieAdresse auf Lernmodus und sendet einen Anfrage an den Collector für Benutzerinformationen.Während sich die Adresse im Lernmodus befindet, verwirft die Firewall den von ihr erzeugtenDatenverkehr.

Wenn es während des Lernmodus keine Antwort vom Collector gibt, setzt STAS die Adresse füreine Stunde auf den Zustand „unauthentifiziert“. Es wird nach einer Stunde erneut versuchen, sichanzumelden, indem es wieder in den Lernmodus geht. Während des unauthentifizierten Zustandswendet die Firewall die Regeln für unauthentifizierten Verkehr an.

Hosts, die nicht in der Domäne sind, werden nicht von STAS kontrolliert und werden von der Firewallals unauthentifiziert eingestuft. Wenn daher das Netzwerk einen Host enthält, der nicht Teil derDomäne ist, erstellen Sie clientlose Benutzer für diese IP-Adressen. Dadurch ermöglichen Sie derFirewall, den Datenverkehr dieser IPs entsprechend der zugehörigen clientlosen Richtlinien zubehandeln, anstatt den Verkehr zu verwerfen.

19.12 Zwei-Faktor-Authentifizierung konfigurierenZweifaktor-Authentifizierung stellt sicher, dass sich nur Benutzer mit vertrauenswürdigen Gerätenanmelden können. Um Zweifaktor-Authentifizierung anzubieten, konfigurieren Sie den OTP-Dienst.Danach scannen Endbenutzer die Tokens und erhalten die Zugangscodes mithilfe von SophosAuthenticator.


XG Firewall

Zielsetzungen


• OTP-Dienst einschalten und Einstellungen vornehmen.

• Tokens scannen und Zugangscodes erhalten mithilfe von Sophos Authenticator auf dem Client.


OTP-Diensteinstellungen angeben

Zunächst schalten Sie den OTP-Dienst ein. Um den Schutz zu maximieren, den dieseAuthentifizierungsart bietet, verlangen Sie danach von allen Benutzern, sie verwenden. Sie gebenauch die Funktionen an, für die Zweifaktor-Authentifizierung erforderlich ist.

Die folgenden Schritte werden auf der Firewall ausgeführt.

1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Einstellungen.


Option Beschreibung

Einmalkennwort An

OTP für alle Benutzer An

OTP-Token für Benutzer automatisch erstellen An

3. Aktivieren Sie OTP für WebAdmin und Benutzerportal.


Token und Zugangscodes beziehen

Endbenutzer scannen das OTP-Token über das Benutzerportal mithilfe von Sophos Authenticator. DasAuthentifizierungsprogramm stellt dann die Zugangscodes bereit.

Die folgenden Schritte werden von einem Endbenutzer ausgeführt.

1. Laden Sie Sophos Authenticator for Android oder Sophos Authenticator for iOS auf ein Mobilgerätherunter.

2. Melden Sie sich über das Benutzerportal an.Das Benutzerportal zeigt das OTP-Token an.


https://play.google.com/store/apps/details?id=com.sophos.sophtoken

https://itunes.apple.com/ca/app/sophos-authenticator/id864224575?mt=8

XG Firewall

3. Scannen Sie das OTP-Token mithilfe von Sophos Authenticator.Sophos Authenticator beginnt mit der Erzeugung von Zugangscodes.

4. Gehen Sie erneut zum Benutzerportal und melden Sie sich an, indem Sie das Kennwort infolgendem Format eingeben: <Benutzerkennwort><Erzeugtes_Kennwort>.

19.13 OTP-Tokens manuell ausstellenIn manchen Fällen müssen Sie vielleicht ein OTP-Token einem Endbenutzer manuell bereitstellen,selbst wenn der Dienst so eingestellt ist, dass er Tokens automatisch erstellt. Diese Fälle tretenzum Beispiel ein, wenn ein Benutzer keinen Zugriff auf Sophos Authenticator hat. Um das zutun, konfigurieren Sie den OTP-Dienst und stellen Sie ein Token manuell aus. Danach erhält derEndbenutzer das Token über das Captive-Portal.

Zielsetzungen


• OTP-Dienst einschalten und Einstellungen vornehmen.

• Ein Token hinzufügen und es dem Benutzer über das Benutzerportal zur Verfügung stellen.

Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tablet


XG Firewall

erzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.

OTP-Diensteinstellungen angeben

Zunächst schalten Sie den OTP-Dienst ein. Um den Schutz zu maximieren, den dieseAuthentifizierungsart bietet, verlangen Sie danach von allen Benutzern, sie verwenden. Sie gebenauch die Funktionen an, für die Zweifaktor-Authentifizierung erforderlich ist.

Die folgenden Schritte werden auf der Firewall ausgeführt.

1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Einstellungen.


Option Beschreibung

Einmalkennwort An

OTP für alle Benutzer An

OTP-Token für Benutzer automatisch erstellen An

3. Aktivieren Sie OTP für WebAdmin und Benutzerportal.


Token hinzufügen

Fügen Sie ein Token hinzu. Der Endbenutzer erhält das Token über das Captive-Portal.

1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Hinzufügen.


Option Beschreibung

Schlüssel abcdefabcdefabcdefabcdefabcdefabcdef

Benutzer jsmith

3. Klicken Sie auf Speichern.Der QR-Code steht für den Endbenutzer im Captive-Portal zur Verfügung. Der Benutzer kannden Code mit Sophos Authenticator scannen und anfangen, Kennwörter zu verwenden, um sichanzumelden.

4. Optional: Lokalisieren Sie den Benutzer und klicken Sie auf

.

Die Firewall zeigt das Token als einen QR-Code und als Textschlüssel an. Sie können denTextschlüssel zum Benutzer senden.


XG Firewall

19.14 Active-Directory-AuthentifizierungkonfigurierenSie können bestehende Active-Directory-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen AD-Server hinzu, importieren Gruppen und stellen die primäre Authentifizierungsmethode ein.

Zielsetzungen


• Einen Active-Directory-Server auf der Firewall hinzufügen und konfigurieren.

• AD-Gruppen mithilfe des Gruppenimport-Assistenten importieren.

• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den AD-Serverabfragt.

Zugehörige KonzepteActive-Directory-Server (Seite 412)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.

Active-Directory-Server hinzufügen

Zunächst fügen Sie einen Active-Directory-Server hinzu, der eine Suchabfrage besitzt.

Sie werden die folgenden Informationen benötigen, um die Aufgabe abzuschließen:

• Domänenname

• NetBIOS Domäne

• Active-Directory-Server-Kennwort

Überprüfen Sie den Eigenschaften des Active-Directory-Servers. Gehen Sie zum Beispiel beiMicrosoft Windows zu Verwaltungstools.

Suchabfragen basieren auf dem Domänennamen (DN). In diesem Beispiel ist der Domänennamesophos.com, daher ist die Suchabfrage: dc=sophos,dc=com.




XG Firewall


Verwenden Sie das Kennwort, das auf dem Active-Directory-Server konfiguriert ist.

Option Beschreibung

Servertyp Active Directory

Servername My_AD_Server

Server-IP/Domäne 192.168.1.100

NetBIOS-Domäne sophos

ADS-Benutzername administrator

Kennwort <AD-Serverkennwort>

Domänenname sophos.com

Suchanfragen dc=sophos,dc=com



Active-Directory-Gruppen importieren

Importieren Sie Active-Directory-Gruppen in die Firewall und geben Sie Richtlinien für sie an.

1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf

.

2. Im Gruppenimport-Assistenten, klicken Sie auf Start.

3. Wählen Sie die Basis-DN für Gruppen aus.


XG Firewall

4. Wählen Sie die zu importierenden AD-Gruppen aus.

5. Wählen Sie gemeinsame Richtlinien für Gruppen aus.

6. Überprüfen Sie die Auswahl.

7. Sehen Sie sich die Ergebnisse an.

8. Gehen Sie zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.

Primäre Authentifizierungsmethode festlegen

Um zuerst den Active-Directory-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethodefest. Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitgliedzur Standardgruppe hinzufügt.


2. Wählen Sie in der Authentifizierungsserver-Liste My_AD_Server aus.


XG Firewall

3. Schieben Sie den Server zur ersten Position auf der Liste der ausgewählten Server.


Gehen Sie zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.

19.15 LDAP-Authentifizierung konfigurierenSie können bestehende LDAP-Benutzer zur Firewall hinzufügen. Das Hinzufügen von Benutzer zueiner dedizierten Gruppe ermöglicht Ihnen, Richtlinien für diese Benutzer festzulegen. Sie fügen eineGruppe und einen LDAP-Server hinzu und stellen die primäre Authentifizierungsmethode ein.

Zielsetzungen


• Eine Gruppe für LDAP-Benutzer hinzufügen und Zugriffsrichtlinien festlegen.

• Einen LDAP-Server hinzufügen und konfigurieren.

• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den LDAP-Serverabfragt und der dedizierten Gruppe LDAP-Benutzer zuweist.

Zugehörige KonzepteLDAP-Server (Seite 408)Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).

LDAP-Gruppe hinzufügen

Erstellen Sie eine dedizierte Gruppe für LDAP-Benutzer und legen Sie Zugriffsrichtlinien fest.




XG Firewall


Option Beschreibung

Gruppenname LDAP




LDAP-Server hinzufügen

Fügen Sie einen LDAP-Server hinzu, der eine BaseDN festlegt.


• Authentifizierungsattribut

• Gruppenname-Attribut




Option Beschreibung

Servertyp LDAP-Server

Servername LDAP_Server

Server-IP/Domäne 192.168.1.101

Verbindungssicherheit SSL/TLS

Base-DN DC=sophos,DC=com

Authentifizierungsattribut UID

Gruppenname-Attribut GID

Ablaufdatum-Attribut Datum




Um zuerst den LDAP-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethode fest.Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitglied zurStandardgruppe hinzufügt. Geben Sie in diesem Fall die LDAP-Gruppe an.



XG Firewall

2. Wählen Sie in der Authentifizierungsserver-Liste LDAP_Server aus.


4. Wählen Sie als Standardgruppe LDAP.


19.16 RADIUS-Authentifizierung konfigurierenSie können bestehende RADIUS-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen RADIUS-Server hinzu und stellen die primäre Authentifizierungsmethode ein.

Zielsetzungen


• Einen NTP-Server auf der Firewall hinzufügen und konfigurieren.

• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den AD-Serverabfragt.

Zugehörige KonzepteRADIUS-Server (Seite 414)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.

RADIUS-Server hinzufügen

Fügen Sie einen RADIUS-Server hinzu, der einen vereinbarten Schlüssel und ein Gruppenname-Attribut besitzt.


• Vereinbarter Schlüssel des RADIUS-Servers

• Gruppenname-Attribut des RADIUS-Servers


XG Firewall




Verwenden Sie den vereinbarten Schlüssel und das Gruppenname-Attribut, die auf dem RADIUS-Server konfiguriert sind.

Option Beschreibung

Servertyp RADIUS-Server

Servername SF_RADIUS

Server-IP 192.168.1.102

Accounting aktivieren Ja

Accountingport 1813

Vereinbarter Schlüssel <Vereinbarter Schlüssel des RADIUS-Servers>

Gruppenname-Attribut <Gruppenname-Attribut des RADIUS-Servers>




Um zuerst den RADIUS-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethode fest.Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitglied zurStandardgruppe hinzufügt.


2. Wählen Sie in der Authentifizierungsserver-Liste SF_RADIUS aus.



Testen Sie die Konfiguration indem Sie sich am Captive-Portal mit den Benutzerzugangsdatenvom RADIUS-Server anmelden. Sie können das Captive-Portal über https://<SFOS-IP-Adresse>:8090 erreichen.


XG Firewall

19.17 Transparente Authentifizierung mithilfe vonSTAS konfigurierenClientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STASin eine Umgebung mit einem einzigen Active-Directory-Server integrieren.

Zielsetzungen


• STAS installieren und einen Agent und einen Collector konfigurieren.

• STAS in die Firewall integrieren.

• Live-Benutzer verifizieren.

Zugehörige KonzepteSTAS (Seite 449)Sophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.

Systemsicherheit konfigurieren

Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.

1. Klicken Sie in Windows auf die Schaltfläche Start und gehen Sie zu Verwaltung > LokaleSicherheitsrichtlinie.

2. Gehen Sie zu Lokale Richtlinien > Überwachungsrichtlinie und öffnen Sie Anmeldeereignisseüberwachen.

3. Wählen Sie die Optionen Erfolgreich und Fehler aus und klicken Sie auf OK.


XG Firewall

4. Gehen Sie zu Lokale Richtlinien > Zuweisen von Benutzerrechten und öffnen Sie Anmeldenals Dienst.

5. Wenn der administrative Benutzer, der STAS installiert und betreibt, nicht aufgeführt ist, klicken Sieauf Benutzer oder Gruppen hinzufügen, fügen Sie den Benutzer hinzu und klicken Sie auf OK.

6. Öffnen Sie Ports.

Konfigurieren sie die Windows-Firewall und Firewalls von Drittanbietern, um die Kommunikationüber folgende Ports zu ermöglichen:

• AD-Server: Eingehend UDP 6677, Ausgehend UDP 6060, Ausgehend TCP 135 und 445(wenn die Workstation-Polling-Methode WMI oder Registry Read Access verwendet werden),Ausgehend ICMP (wenn Logoff Detection Ping verwendet wird), Eingehend/Ausgehend UDP50001 (Collector-Test), Eingehend/Ausgehend TCP 27015 (Konfigurationssychronisierung).

• Arbeitsplatzrechner: Eingehend TCP 135 & 445 (wenn die Workstation-Polling-Methode WMIoder Registry Read Access verwendet werden), Eingehend ICMP (wenn Logoff DetectionPing verwendet wird).

HinweisDie Dienste RPC, RPC locator, DCOM und WMI sollten auf Arbeitsplatzrechnern aktiviert seinfür WMI/Registry Read Access.

STAS installieren

Laden Sie STAS herunter und installieren Sie es auf dem Active-Directory-Server.

1. Gehen Sie auf der Firewall zu Authentifizierung > Client-Downloads und laden Sie SophosTransparent Authentication Suite (STAS) herunter.

2. Verschieben Sie das Installationsprogramm auf den Active-Directory-Server.

3. Starten Sie das Installationsprogramm auf dem Active-Directory-Server und klicken Sie auf Next.


XG Firewall

4. Folgen Sie dem Einrichtungsassistenten, um Zielorte und andere Optionen anzugeben. Klicken Siedanach auf Installieren.

5. Wählen Sie SSO-Suite aus und klicken Sie auf Next.

6. Geben Sie die Administratorzugangsdaten ein und klicken Sie auf Next.

7. Klicken Sie auf Finish.

STAS konfigurieren

Konfigurieren Sie einen Collector, einen Agent und allgemeine Einstellungen.


XG Firewall

1. Starten Sie STAS auf dem AD-Server, klicken Sie auf das Tab STA-Collektor und legenEinstellungen fest.


Option Beschreibung

Sophos Appliances 192.168.1.251

Workstation polling method WMI

2. Klicken Sie auf das Tab STA Agent und legen Einstellungen fest.

Option Beschreibung

Legen Sie die Netzwerke fest, die überwachtwerden sollen.

192.168.1.0/24

3. Klicken Sie auf das Tab General und legen Einstellungen fest.

Option Beschreibung

NetBIOS-Name TESTLAB

Vollständiger Domänenname testlab.com

4. Klicken Sie auf Apply.

5. Klicken Sie auf Start, um den STAS-Dienst zu starten.

STAS in die Firewall integrieren

Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie danachSTAS auf dem AD-Server und überprüfen Sie, ob die IP-Adresse der Firewall angezeigt wird.Erstellen Sie schließlich eine Firewallregel, um Datenverkehr basierend auf der Benutzeridentität zukontrollieren.

Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Dienste und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.


XG Firewall

1. Gehen Sie auf der-Firewall zu Authentifizierung > STAS.

2. Schalten Sie Sophos Transparent Authentication Suite einschalten ein und klicken Sie aufSTAS aktivieren.

3. Klicken Sie auf Neuen Kollektor hinzufügen und legen Sie die Einstellungen fest.

Option Beschreibung

Kollektor-IP 192.168.1.10

4. Klicken Sie auf Speichern.Die Firewall versucht, STAS auf dem AD-Server über UDP 6060 zu kontaktieren.

5. Starten Sie STAS auf dem AD-Server und klicken Sie auf das Tab Allgemein.

Sie sollten die IP-Adresse der Firewall in der Liste der Sophos Appliances sehen. Das bedeutet,dass STAS mit der Firewall verbunden ist.


XG Firewall

6. Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregelund erstellen Sie eine identitätsbasierte Regel, um den Datenverkehr basierend auf derBenutzeridentität zu kontrollieren.

Live-Benutzer verifizieren

Sobald sich Benutzer erfolgreich an der Domäne authentifiziert haben, können Sie sie als Live-Benutzer sowohl auf STAS als auch auf der Firewall sehen.

1. Auf STAS, gehen Sie zu Advanced und wählen Sie Show live users.


XG Firewall

2. Gehen Sie auf der Firewall zu Aktuelle Aktivitäten > Live-Benutzer.

19.18 Chromebook Single Sign-On konfigurierenLernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichenZeit anzumelden, wenn diese sich an ihrem Chromebook anmelden.

Zielsetzungen


• Einen Active-Directory-Server in XG Firewall für die Verwendung mit Google Chrome Enterprisekonfigurieren.

• Ein Chromebook für die Verwendung mit XG Firewall konfigurieren.

• Google Chrome Enterprise für die Verwendung mit XG Firewall konfigurieren.

Zugehörige KonzepteDienste (Seite 421)Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie könnenauch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen und


XG Firewall

RADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnenfestzulegen, wohin unauthentifizierte Benutzer geleitet werden.

Verwandte InformationenGoogle Chrome Enterprise Hilfe: Set Chrome policies

Chromebook SSO mit Active Directory konfigurieren

Konfigurieren Sie zunächst XG Firewall.

• Ihr Active-Directory-Server ist bereits für die Verwendung mit G Suite konfiguriert und dieSynchronisierung hat stattgefunden.

• Sie wissen, wie man einen Active-Directory-Server in XG Firewall konfiguriert.

• Sie wissen, wie man Zertifikate erstellt oder importiert.

• Sie wissen, wie man Firewallregeln erstellt.

• Chromebooks können sich mit dem von XG Firewall kontrollierten Netzwerk verbinden, z.B. demLAN oder WLAN.

1. Active-Directory-Server erstellen.

Die Chromebook-Benutzer im AD müssen E-Mail-Adressen haben, welche die bei G Suiteregistrierte Domäne verwenden. Wenn Ihre registrierte Domäne z.B. example.com ist, müssenAD-Chromebook-Benutzer eine E-Mail-Adresse der Form [email protected] haben.

2. Ändern Sie den Appliance-Zugriff, um Chromebook SSO zuzulassen.

Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie Chromebook SSO für die Zone,aus der sich die Chromebook-Benutzer verbinden dürfen, z.B. LAN und WLAN.

3. Erstellen oder importieren Sie ein gültiges Zertifikat.

WichtigDer CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.

Das Zertifikat darf nicht durch ein Kennwort geschützt sein.

Das Zertifikat wird für die SSL-verschlüsselte Kommunikation mit den Chromebooks verwendet.

4. Gehen Sie zu Authentifizierung > Dienste > Chromebook SSO, schalten Sie die Chromebook-SSO-Funktion ein und legen Sie die folgenden Einstellungen fest:

Option Beschreibung

Domäne Die Domäne, die bei G Suite registriert ist, z.B.example.com

Port 65123

Zertifikat Das oben erstellte oder importierte Zertifikat.

Protokollierungsstufe Wählen Sie den Umfang der Protokollierung.

5. Erstellen Sie Firewallregeln.

a) Erstellen Sie eine Benutzer-/Netzwerkregel, um Google API und Chrome Web Store dieKommunikation mit allen Geräten zu gestatten. Dies ist nötig, um die App auf die Chromebookszu senden:

• Quellzonen, z.B.: LAN, WLAN


https://support.google.com/chrome/a/answer/6177447?hl=en

XG Firewall

• Zielzonen, z.B.: WAN

• Zielnetzwerke: Wählen Sie die vordefinierten FQDN-Hostgruppen Google API Hosts undGoogle Chrome Web Store aus.

b) Erstellen Sie eine Benutzer-/Netzwerkregel, die bekannte Benutzer abgleicht undunbekannten Benutzern das Captive-Portal anzeigt, um Chromebooks Internetzugriff zugewähren.


• Zielzonen, z.B.: WAN

• Identität: Wählen Sie die folgenden Optionen aus: Übereinstimmung mit bekanntenBenutzern, Unbekannten Benutzern das Captive-Portal anzeigen

Sortieren Sie beide Regeln, sodass Regel A vor Regel B angewendet wird.

Wenn Sie in Regel B nicht Unbekannten Benutzern das Captive-Portal anzeigen auswählen,empfehlen wir, dass Sie eine weitere Netzwerkregel C erstellen, um mögliche Wartezeiten zuvermeiden, wenn der Chrome Web Store kontaktiert wird.

c) Erstellen Sie ein Benutzer-/Netzwerkregel mit den folgenden Einstellungen:

• Regeltyp: Ablehnen


• Zielzonen: WAN

Platzieren Sie die Regel unten auf der Liste, sodass die Regel zuletzt angewendet wird.

Ein Chromebook konfigurieren.

Ein Chromebook konfigurieren, indem Sie die Sophos Chromebook user ID App aus dem Web Storeinstallieren.

Google Chrome Enterprise konfigurieren

Konfigurieren Sie G Suite für die Kommunikation mit XG Firewall.

1. Melden Sie sich bei G Suite an und gehen Sie zu Geräteverwaltung > Chrome-Verwaltung >App-Verwaltung.

2. Suchen sie nach der Sophos Chromebook user ID app und wählen Sie sie aus.

3. Gehen Sie zu Nutzereinstellungen und nehmen Sie die folgenden Einstellungen für Ihre Domänevor:

Installation zulassen Eingeschaltet lassen. Ermöglicht Benutzern,Apps selbst zu installieren.

Installation erzwingen Aktivieren, um die App automatisch auf allenChromebooks zu installieren, die für IhreDomäne konfiguriert sind.

An Taskleiste anheften Aktivieren, um die App in der Taskleiste desChromebooks nach der Installation anzuzeigen.

Zur Chrome Web Store-Sammlunghinzufügen

Aktivieren, um die App in der Chrome WebStore-Sammlung für Ihre Organisationanzeigen.


4. Erstellen Sie eine JSON-Konfigurationsdatei mit dem folgenden Inhalt:

{ "serverAddress": { "Value": "10.1.1.1" }, "serverPort": { "Value": 65123 }, "logLevel": { "Value": 2 }, "logoutOnLockscreen": { "Value": true }, "logoutOnIdle": { "Value": true }, "idleInterval": { "Value": 900 }}

Ersetzen Sie den Wert serverAddress durch die LAN-IP oder DNS-Adresse Ihrer XG Firewall, diemit der CN des Zertifikats übereinstimmen muss.

5. Laden Sie die Konfigurationsdatei in G Suite hoch.

6. Speichern Sie.

7. Gehen Sie zu Einstellungen für öffentliche Sitzungen, legen Sie die gleichen Einstellungen wiefür Nutzereinstellungen fest und laden Sie dort auch die JSON-Konfigurationsdatei hoch.Die Konfigurationsänderungen werden automatisch auf alle verwalteten Geräten verteilt. DieGoogle-Dokumentation besagt, dass „Einstellungen in Minuten in Kraft treten. Aber dass sie bis zueiner Stunde benötigen, um für alle angewendet zu werden.“

Der Konfigurationsvorgang hier ist abgeschlossen, es sei denn, Sie verwenden ein selbst-signiertesZertifikat für XG Firewall. In diesem Fall, müssen Sie das entsprechende Zertifikat an die Chromebooksverteilen. Fahren Sie mit dem nächsten Abschnitt fort.

Sobald sich Benutzer mit der in G Suite konfigurierten Domäne authentifizieren, werden sie unterAktuelle Aktivitäten > Live-Benutzer angezeigt.

CA-Zertifikat für Proxy- und App-Kommunikation installieren

Wenn Sie ein selbstsigniertes Zertifikat für XG Firewall verwenden, müssen Sie das entsprechendeCA-Zertifikat in G Suite hinterlegen, damit die Proxy- und App-Kommunikation funktioniert.

Sie werden das CA-Zertifikat (üblicherweise Standard) brauchen, das Sie von XG Firewall unterZertifikate > Zertifizierungsstellen (CA) herunterladen können.

1. Melden Sie sich an G Suite an und gehen Sie zu Geräteverwaltung > Netzwerke > Zertifikate.

2. Klicken Sie auf Zertifikat hinzufügen und laden Sie das CA-Zertifikat hoch, das Sie von XGFirewall heruntergeladen haben.

3. Wählen Sie die Option Dieses Zertifikat als HTTPS-Zertifizierungsstelle nutzen aus.

Kapitel 20

20 SystemdiensteVerwenden Sie Systemdienste, um den RED Provisioning Service, Hochverfügbarkeit undglobale Malware-Protection-Einstellungen zu konfigurieren. Andere Optionen lassen Sieden Bandbreitennutzung sehen und die Bandbreite verwalten, um den Einfluss von starkemVerkehrsaufkommen zu verringern. Über die Protokolleinstellungen können Sie festlegen, dassSystemaktivität protokolliert wird und wie Protokolle gespeichert werden. Datenanonymisierung erlaubtIhnen, Identitäten in Protokollen und Berichten zu verschlüsseln.

20.1 HochverfügbarkeitHochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.

HinweisDie Unterstützung für HA variiert je nach Appliance-Modell. Prüfen Sie Ihre Gerätespezifikation.

Um einen durchgehende Verfügbarkeit zu gewährleisten, werden Appliances als Verbund (cluster)aufgesetzt. Wenn die primäre Appliance in einem Cluster ausfällt, übernimmt die sekundäreAppliance, sodass es zu keiner Unterbrechung des Firewallschutzes kommt. Die Appliances sindphysikalisch über einen dedizierten HA-Link-Port verbunden.

Sie können den HA-Status im Kontrollzentrum überprüfen.

Der Vorgang, bei dem eine Appliance übernimmt, wenn es keine Kommunikation mehr von seinerGegenstelle im festgelegten Zeitraum erhält, wird als device failover (Geräte-Failover) bezeichnet.

Gegenstellen in einem HA-Cluster überwachen kontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriert wurden. Wenn irgendein überwachter Port ausfällt,verlässt die Appliance den Cluster und es findet ein Link-Failover statt.

Während eines Geräte-Failovers oder eines Link-Failovers passiert ein session failover (Sitzungs-Failover) für weitergeleiteten TCP-Verkehr, welcher nicht über einen Proxy-Dienst läuft, außer beifolgendem: Ein Virenscan findet statt, VPN-Sitzungen, UDP-, ICMP-, Multicast- oder Broadcast-Sitzungen und Proxy-Verkehr.

Zugehörige AufgabenDie primäre XG Firewall konfigurieren (Seite 474)Sekundäre XG Firewall konfigurieren (Seite 476)

20.1.1 HA-Voraussetzungen

Sie können ein HA-Link-Paar mithilfe eine der folgenden Methoden herstellen:

• Direkt, über ein Überkeuzkabel.

• Indirekt, über ein dediziertes Ethernet-Netzwerk. Der HA-Verwaltungsverkehr muss auf einemisolierten Netzwerk stattfinden, z.B. einem dedizierten VLAN über ein Ethernet-Netzwerk.

XG Firewall

• Mithilfe eines Linkbündelungs-Switch in LACP 802.3ad Modus, wobei XG Firewall im Bridge-Modus angeschlossen wird.

HinweisVerwenden Sie das Netzwerkmedium, das in der Lage ist, Multicast-Pakete weiterzuleiten, dienicht fürs Routen vorgesehen sind.

Voraussetzungen

• An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein.

• Die Appliances im HA-Cluster müssen vom gleichen Modell und Revision sein.

• Die Appliances müssen registriert sein.

• Die Appliances müssen dieselbe Anzahl an Schnittstellen haben.

• Die Appliances müssen die gleiche Firmware-Version installiert haben (einschließlichMaintenance-Releases und Hotfixes).

• Für eine Aktiv/Aktiv-Konfiguration wird eine Lizenz je Appliance benötigt.

• Für eine Aktiv/Passiv-Konfiguration wird eine Lizenz für jede primäre Appliance benötigt. Für diesekundäre Appliance ist keine Lizenz erforderlich.

• Die Appliances müssen die gleichen Abonnement-Module aktiviert haben.

• Sichern Sie Ihre Netzwerkumgebung, da der Kommunikationskanal zwischen den HA-Knotenunverschlüsselt ist.

• Auf beiden Appliances muss der dedizierte HA-Link ein Mitglied derselben Zone des Typs DMZsein und muss eine eindeutige IP-Adresse besitzen. Außerdem muss SSH für beide Appliancesin der DMZ-Zone aktiviert sein.

• Zugang über SSH auf die DMZ-Zone muss für beide XG Firewall Appliances aktiviert sein.

• Die DHCP- und PPPoE-Konfiguration muss deaktiviert sein, bevor eine HA-Konfigurationversucht wird.

• Die HA-Link-Verzögerung verstärkt sich mit zunehmender Distanz. Wir empfehlen, dass SieSpanning Tree Protocol (STP) auf dem dedizierten HA-Link deaktivieren.

• Auf der Schnittstelle, die mit dem Switch verbunden ist, passen Sie die Link-Aktivierungszeitfür jeden Port an, der mit der Firewall-Schnittstelle verbunden ist. Dies gilt, wenn der Ethernet-Switch Spanning Tree Protocol (STP) oder Rapid Spanning Tree Protocol (RSTP) verwendet.Auf einem Cisco Switch der Catalyst-Serie zum Beispiel, aktivieren Sie Spanning-Tree portfastauf jedem Port, der mit der Firewall-Schnittstelle verbunden ist.

20.1.2 Die primäre XG Firewall konfigurieren

Sie müssen die sekundäre Appliance konfigurieren, bevor Sie die primäre Appliance konfigurierenkönnen, und HA aktivieren.

1. Gehen Sie zu Systemdienste > Hochverfügbarkeit.

2. Legen Sie den Anfangsstatus der HA-Appliances fest.

Option Beschreibung

Anfangsstatus der HA-Appliances Primäre Appliance


XG Firewall

3. Legen Sie den HA-Konfigurationsmodus für den Cluster fest.

Option Beschreibung

Aktiv/Aktiv Die primäre Appliance empfängt allenNetzwerkverkehr und verteilt die Verkehrslastmithilfe des sekundären. Sowohl die primäreals auch die sekundäre Appliance verarbeitenDatenverkehr. Die sekundäre übernimmt, wennes auf der primären Appliance zu einem Strom-,Hardware- oder Softwareausfall kommt.

Aktiv/Passiv Die primäre Appliance verarbeitet allenNetzwerkverkehr und die sekundäre verweiltim Wartemodus. Die sekundäre wird aktivund übernimmt nur, wenn es auf der primärenAppliance zu einem Strom-, Hardware- oderSoftwareausfall kommt.


HinweisDie Appliances im Cluster müssen dasselbe Kennwort haben.

5. Wählen Sie einen dedizierten HA-Link.

Option Beschreibung

Dedizierter HA-Link Der Link, der überwacht werden soll.Gegenstellen in einem HA-Cluster überwachenkontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriertwurden.

HinweisDie Gegenstellen-Appliance muss den gleichen HA-Link verwenden. Legen Sie diesen Portals HA-Link-Port auf der Gegenstelle fest. Wenn Sie z.B. Port E auf der primären Appliancewählen, müssen Sie auch auf der sekundären Appliance Port E auswählen.

HinweisDie IP-Adresse des HA-Links für die Gegenstellen-Appliance muss im gleichen Subnetz sein.


Option Beschreibung

HA-Link IPv4 der Gegenstelle IP-Adresse, die auf dem HA-Link-Port dersekundären Appliance konfiguriert wurde.

Gegenstellen-Verwaltungsport Port, der auf der sekundären Appliance fürVerwaltungszwecke verwendet wird.

Gegenstellen-Verwaltungs-IP IP-Adresse, die Zugang zur Administrations-Konsole der sekundären Appliance gewährt.

7. Wählen Sie die Ports aus, deren HA-Status überwacht werden soll.


XG Firewall

Wenn irgendein überwachter Port ausfällt, verlässt die Appliance den Cluster und es findet einFailover statt.

HinweisDiese Funktion wird von virtuellen Sicherheitsgeräten nicht unterstützt.

8. Klicken Sie auf HA einschalten.Die primäre Appliance sendet seine Konfiguration auf die sekundäre Appliance.

Wenn HA aktiv ist, synchronisieren sich die Appliances automatisch. Um die Appliance zu zwingen,regelmäßig Konfigurationsaktualisierungen an die sekundäre Appliance zu senden, klicken Sie aufSekundäre synchronisieren.

Wenn Sie die Appliance für den Aktiv/Passiv-Modus konfiguriert haben, können Sie erzwingen, dassdie sekundäre Appliance als primäre Appliance übernimmt, indem Sie auf Auf Standby setzenklicken.

Zugehörige KonzepteHochverfügbarkeit (Seite 473)Hochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.

20.1.3 Sekundäre XG Firewall konfigurieren

1. Gehen Sie zu Systemdienste > Hochverfügbarkeit.

2. Legen Sie den Anfangsstatus der HA-Appliances fest.

Option Beschreibung

Anfangsstatus der HA-Appliances Sekundär


HinweisDie Appliances im Cluster müssen dasselbe Kennwort haben.

4. Wählen Sie einen dedizierten HA-Link.

Option Beschreibung

Dedizierter HA-Link Der Link, der überwacht werden soll.Gegenstellen in einem HA-Cluster überwachenkontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriertwurden.

HinweisDie Gegenstellen-Appliance muss den gleichen HA-Link verwenden. Legen Sie diesen Portals HA-Link-Port auf der Gegenstelle fest. Wenn Sie z.B. Port E auf der primären Appliancewählen, müssen Sie auch auf der sekundären Appliance Port E auswählen.


XG Firewall

HinweisDie IP-Adresse des HA-Links für die Gegenstellen-Appliance muss im gleichen Subnetz sein.


Konfigurieren Sie die primäre Appliance. Nachdem Sie die primäre Appliance konfiguriert haben undwenn HA aktiv ist, synchronisieren sich die Geräte automatisch. Um die sekundäre Appliance zuzwingen, regelmäßig Konfigurationsaktualisierungen von der primären Appliance zu holen, klickenSie auf Mit primärer synchronisieren.

Zugehörige KonzepteHochverfügbarkeit (Seite 473)Hochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.

20.1.4 Unterstützung für Lastverteilung

Im Aktiv/Aktiv-Modus empfängt die primäre Appliance allen Netzwerkverkehr und verteilt Verkehr andie sekundäre Appliance in einem Vorgang, der Lastverteilung (load-balancing) genannt wird. DieUnterstützung für Lastverteilung unterscheidet sich in Abhängigkeit vom Verkehrsart.

Tabelle 33: Unterstützung für Lastverteilung nach Verkehrsart

Art des Verkehrs Unterstützt?

Normal weitergeleiteter TCP-Verkehr J

Über NAT (sowohl SNAT als auch virtueller Host)gesendeter, weitergeleiteter TCP-Verkehr

J

TCP-Verkehr, der das Proxy-Subsystem passiert:transparenter Proxy, direkter Proxy, übergeordneterProxy und VLAN-Verkehr.

J

Verkehr aus dem Routing-Modus, Bridge-Modus,gemischter Modus und Mehrport-Bridge-Modus:TCP-Verkehr, der das Proxy-Teilsystem passiert(transparent/direkt/übergeordnet); weitergeleiteterTCP-Verkehr; über NAT (SNAT und virtueller Host)gesendeter, weitergeleiteter TCP-Verkehr; HTTPS-Verbindung; VLAN-Verkehr

J

VPN N

UDP N

ICMP N

Multicast-Sitzungen N

Broadcast-Sitzungen N

Gescannter FTP-Verkehr N

Verkehr, der über RED-Geräte oder Access Pointshereinkommt

N

TCP-Verkehr für das Benutzerportal, die Web-Admin-Oberfläche oder die Telnet-Konsole

N

H.323-Verkehr-Sitzungen N


XG Firewall

Art des Verkehrs Unterstützt?

Überwachungsverkehr für alle Module N

Verkehr aus dem Routing-Modus, Bridge-Modus,gemischter Modus und Mehrport-Bridge-Modus: VPN-Sitzungen, Verkehr außer TCP (UDP, ICMP, Multicast,Broadcast, usw.); vom System erzeugter Datenverkehr;gescannter FTP-Verkehr; Verkehr, der über WLAN-RED-Geräte oder Access Points hereinkommt; TCP-Verkehr für das Benutzerportal, die Web-Admin-Oberfläche oder die Telnet-Konsole; H.323-Verkehr-Sitzungen; Kontrollverkehr für alle Module

N

20.1.5 Manuelle Synchronisierung

Unter normalen Umständen wird die sekundäre Appliance automatisch mit der primären Appliancesynchronisiert. Die Möglichkeit, Gegenstellen manuell zu synchronisieren, wird bestimmt durch dieZustände der Appliances im Cluster.

Die Synchronisierung ist zum Beispiel möglich, wenn die Appliance im Status Primär in den StatusStörung wechselt, aber nicht wenn es in den Status Sekundär wechselt.

20.1.6 HA deaktivieren

Sie können HA von jeder Appliance im Cluster aus deaktivieren. Bei einer Deaktivierung von derprimären Appliance aus wird HA auf beiden Appliances deaktiviert. Bei einer Deaktivierung von dersekundären Appliance aus wird HA auf der primären nicht deaktiviert und übernimmt die Funktion einerStandalone-Appliance.

Nach der Deaktivierung von HA werden alle Ports außer dem dedizierten HA-Link-Port und demGegenstellen-Verwaltungsport auf der sekundären Appliance deaktiviert. Der Gegenstellen-HA-Link-IP wird die IP-Adresse des dedizierten HA-Link-Ports zugewiesen, während der Gegenstellen-Verwaltungs-IP die IP-Adresse des Gegenstellen-Verwaltungsports zugewiesen wird.

Nachdem HA deaktiviert wurde, werden alle Verwaltungsdienste für die LAN-Zone (HTTP, HTTPS,Telnet, SSH) zugelassen, während in der DMZ-Zone nur HTTPS- und SSH-Dienste zugelassen sind.

Nach der Deaktivierung von HA ändert sich das IP-Schema der primären Appliance nicht.


XG Firewall

Wenn HA von einem Standalone-Rechner deaktiviert wird, ändert sich das IP-Schema nicht.

20.1.7 HA-Verhalten

• Die folgenden Dienste laufen nicht auf der sekundären Appliance: Routing-Dienst, VPN-Dienst,Netzwerkdienst, Anmeldeserver.

• Sitzungs-Failover ist nicht möglich bei Virenscan-Sitzungen oder anderen Sitzungen, bei denenIPv4-Verkehr weitergeleitet wird, wie ICMP-, UDP-, Multicast- und Broadcast-Verkehr, Verkehr, derdurch ein Proxy-Subsystem geleitet wird (transparent, direkt oder Parent-Proxy), und VPN-Verkehr.

• Sitzungs-Failover ist nicht möglich bei weitergeleitetem IPv6-Verkehr wie ICMPv6-, UDP-,Multicast- und Broadcast-Verkehr.

• Wenn irgendeines der manuellen Synchronisierungsereignisse von einem oder mehreren HA-Cluster-Appliances auftritt, werden alle maskierten Verbindungen verworfen.

• Es sind Administratorrechte erforderlich, um über die Web-Admin-Oberfläche auf die sekundäreAppliance zuzugreifen. Nur „admin“ Benutzer können darauf zugreifen und die Seiten Live-Benutzer, DHCP-Leases und IPsec-Verbindungen werden nicht angezeigt.

• Der Einrichtungsassistent wird für die sekundäre Appliance nicht zur Verfügung stehen.

• Wenn eine Sicherung ohne HA-Konfiguration wiederhergestellt wird (nachdem HAkonfiguriert wurde), wird HA deaktiviert und auf die primäre Appliance kann gemäß derSicherungskonfiguration zugegriffen werden, während der Zugriff auf die sekundäre Appliance mitder sekundären Admin-IP-Adresse möglich ist.

• Im Aktiv/Aktiv-Modus werden E-Mails auf beiden Appliances separat isoliert, da für den SMTP-Proxy-Datenverkehr die Lastverteilung per Round-Robin stattfindet.

• Im Aktiv/Passiv-Modus werden E-Mails nur auf der primären Appliance isoliert.

• Sofern der Quarantäne-Auszug konfiguriert ist, schicken beide Appliances im Cluster Quarantäne-Auszüge.

• Administratoren können isolierte E-Mails für alle Benutzer beider Appliances freigeben.

• Benutzer können isolierte E-Mails über das Benutzerportal freigeben. Im Benutzerportal werdennur die auf der primären Appliance isolierten E-Mails angezeigt. Benutzer können sie auch überden Quarantäne-Auszug freigeben, der von der primären Appliance verschickt wird.

• HA wird deaktiviert, wenn Sie den Bereitstellungsassistenten ausführen.

20.1.8 Terminologie zur Hochverfügbarkeit (HA)

HA-Cluster

Gruppe aus zwei Appliances, die als eine Einheit agieren. Jeder HA-Cluster verfügt über eine primäreund eine sekundäre Appliance. Die primäre Appliance steuert den Betrieb des Clusters. Die Aufgabender primären und der sekundären Appliance im Cluster hängen vom Konfigurationsmodus ab.

Aktiv/Passiv-HA-Konfigurationsmodus

Ein HA-Cluster besteht aus einer primären und einer sekundären Appliance. In diesem Modus wirdder Datenverkehr nur von der primären Appliance verarbeitet, während die sekundäre Appliance imWartemodus bleibt und erst übernimmt, wenn die primäre Appliance ausfällt.


XG Firewall

Aktiv/Aktiv-HA-Konfigurationsmodus

Ein HA-Cluster besteht aus einer primären und einer sekundären Appliance. In diesem Modusverarbeiten beide Appliances Verkehr und die primäre Appliance verteilt die Verkehrslast. DieEntscheidung, die Verkehrslast zu verteilen, wird von der primären Appliance getroffen. Die sekundäreAppliance kann diese Aufgabe übernehmen, wenn die primäre Appliance ausfällt.

Primäre Appliance

In einem Aktiv/Aktiv-Cluster empfängt die primäre Appliance allen Datenverkehr im Netzwerk undagiert als Lastverteiler, der den Datenverkehr an die sekundäre Appliance weiterleitet. Die primäreAppliance ist zudem für die Nachverfolgung des Status aller Cluster-Appliances verantwortlich. Ineinem Aktiv/Passiv-Cluster verarbeitet die primäre Appliance den Datenverkehr im Netzwerk. Diesekundäre Appliance verarbeitet keinen Datenverkehr, verbleibt jedoch im Wartemodus, um bei Ausfallder primären Appliance übernehmen zu können.

Sekundäre Appliance

In einem Aktiv/Aktiv-Cluster verarbeitet die sekundäre Appliance den Netzwerkverkehr, der ihr vonder primären Appliance zugewiesen wird. Wenn die primäre Appliance ausfällt, wird die sekundäreAppliance die primäre Appliance. In einem Aktiv/Passiv-Cluster verarbeitet die sekundäre Appliancekeinen Netzwerkverkehr und befindet sich im Wartemodus. Sie wird erst aktiv, wenn die primäreAppliance zur Verarbeitung des Datenverkehrs nicht zur Verfügung steht.

Dedizierter HA-Link-Port

Der dedizierte HA-Link ist eine direkte physikalische Verknüpfung zwischen den Appliances eines HA-Clusters.

Lastverteilung

Dies ist die Fähigkeit des HA-Clusters, den Datenverkehr zwischen den Knoten des HA-Clusters zuverteilen.

Überwachte Schnittstelle

Mehrere ausgewählte Schnittstellen, die überwacht werden sollen. Jede Appliance überwacht seineeigene(n) ausgewählte(n) Schnittstelle(n). Bei Ausfall entfernt sich die Appliance selbst aus demCluster und ein Failover tritt ein.

Virtuelle MAC-Adresse

Eine MAC-Adresse, die dem HA-Cluster zugewiesen ist. Diese Adresse wird als Antwort gesendet,wenn eine der Appliances eine ARP-Anfrage an den HA-Cluster sendet. Hierbei handelt es sich nichtum die tatsächliche MAC-Adresse. Sie wird keiner Schnittstelle einer Appliance aus dem Clusterzugewiesen.

Die primäre Appliance ist Eigentümer der MAC-Adresse und leitet den Netzwerk-Datenverkehrweiter. Alle externen Clients nutzen diese Adresse, um mit dem HA-Cluster zu kommunizieren. ImFall eines Failover besitzt die neue primäre Appliance dieselbe MAC-Adresse wie die ausgefallenenprimäre Appliance. Die Appliance im Cluster, die eine virtuelle MAC-Adresse besitzt, agiert alsprimäre Appliance.


XG Firewall

Primärzustand

Im Aktiv/Aktiv-Modus wird von der Appliance, welches allen Datenverkehr empfängt und dieLastverteilung vornimmt, gesagt, es befinde sich im primary state (Primärzustand). Eine Appliancekann sich nur dann im Primärzustand befinden, wenn sich die andere Appliance im Sekundärzustandbefindet.

Im Aktiv/Passiv-Modus wird von der Appliance, das den gesamten Datenverkehr verarbeitet, gesagt,sie befinde sich im Primärzustand.

Sekundärzustand

Im Aktiv/Aktiv-Modus wird von der Appliance, die den zu verarbeitenden Datenverkehr von derprimären Appliance erhält, gesagt, es befinde sich im auxiliary state (Sekundärzustand). EineAppliance kann sich nur dann im Sekundärzustand befinden, wenn sich die andere Appliance imPrimärzustand befindet.

Im Aktiv/Passiv-Modus befindet sich die Appliance, die den Datenverkehr nicht verarbeitet, imSekundärzustand. Eine Appliance kann sich nur dann im Sekundärzustand befinden, wenn sich dieandere Appliance im Primärzustand befindet.

Standalone-Status

Von einer Appliance wird gesagt, sie befinde sich im standalone state (Standalone-Status), wenn sie inder Lage ist, Verkehr zu verarbeiten, und wenn die andere Appliance nicht in der Lage ist, Verkehr zuverarbeiten (zum Beispiel, weil sie ausgefallen oder außer Betrieb ist).

Störungszustand

Eine Appliance ist im Störungszustand, wenn sie den Netzwerkverkehr nicht verarbeiten kann, weileine Appliance oder ein Link ausgefallen ist.

Gegenstelle

Nach der Konfiguration des HA-Clusters werden die Cluster-Appliances als Gegenstellen bezeichnet,d.h. die sekundäre Appliance ist die Gegenstellen-Appliance der primären Appliance und umgekehrt.

Synchronisierung

Der Austausch verschiedener Cluster-Konfigurationen zwischen Cluster-Appliances (HA-Gegenstellen). Die erzeugten Berichte werden nicht synchronisiert.

Link-Verfügbarkeit (drei Sekunden)

Zeit, die der jeweilige Link oder überwachte Port benötigte, um zur Verfügung zu stehen.

Heartbeat-(Keep-Alive)-Intervall (250 Millisekunden)

Zeitraum zwischen Heartbeat-Paketaustausch zwischen HA-Gegenstelle zur Bestätigung, dass derCluster funktioniert.


XG Firewall

Appliance-Failover

Wenn eine Appliance innerhalb eines festgelegten Zeitraums von der HA-Gegenstelle keine Datenempfängt, gilt die Gegenstelle-Appliance als ausgefallen. Dieser Vorgang wird auch Appliance-Failovergenannt, denn wenn dieser Zustand eintritt, übernimmt das Gegenstellengerät.

Appliance-Failover-Erkennungszeit (Gegenstellen-Zeitüberschreitung) (4Sekunden)

Wenn die primäre Appliance aufhört Heartbeat-Pakete zu senden, wird es nach vier Sekunden als toteingestuft (250 Millisekunden x 16 Zeitüberschreitungen).

HinweisDie Gegenstelle wird als aktiv eingestuft, wenn ein Heartbeat innerhalb von 14Zeitüberschreitungen empfangen wird.

Ein Failover wird sieben Sekunden nach Verfügbarkeit des Clusters ausgelöst (drei Sekunden Link-Verfügbarkeit + vier Sekunden Appliance-Failover-Erkennungszeit). Den Failover-Schwellenwertkönnen Sie nicht ändern.

Link-Failover

Beide Appliances eines HA-Clusters überwachen kontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriert wurden. Wenn der Link oder eine der Schnittstellenausfallen, liegt ein Link-Failover vor.

Sitzungs-Failover

Sowohl bei einem Appliance-Failover als auch bei einem Link-Failover tritt für den weitergeleitetenTCP-Traffic ein Sitzungs-Failover ein, mit Ausnahme von laufenden Virenscan-Sitzungen, VPN-Sitzungen, UDP, ICMP, Multicast- und Broadcast-Sitzungen sowie Proxy-Traffic.

Die Appliance erhält in der Regel die Sitzungsinformationen für den TCP-Verkehr aufrecht, dernicht über den Proxy-Dienst geleitet wird. Im Fall eines Failovers wird daher die Appliance, dieübernimmt, alle Sitzungen (d.h. TCP-Sitzungen, die nicht über eine Proxy-Anwendung geleitetwerden) fortführen. Der gesamte Prozess ist für den Endbenutzer transparent.

20.2 Traffic-Shaping-EinstellungenVerwenden Sie diese Einstellungen, um die maximale Bandbreite, Verkehrsoptimierung undBandbreiten-Belegung für internet-bezogenen Verkehr festzulegen.

• Um die Bandbreitennutzung anzuzeigen, klicken Sie auf Bandbreitennutzung anzeigen.


Gesamte verfügbare WAN-Bandbreite Die Summe der maximalen Bandbreiten allerWAN-Links in KB/s.


XG Firewall

Für Echtzeit (VoIP) optimieren Geben Sie Echtzeitverkehr, wie z.B. VoIP, einehöhere Priorität. Wenn die Option deaktiviertist, kann die Priorität nur für überschüssigeBandbreite gesetzt werden, d.h. für dieBandbreite, die nach der Zuweisung derzugesicherten Bandbreite verbleibt.

Zugesicherte Bandbreite erzwingen Verwalten Sie allen internet-bezogenenVerkehr durch die Traffic-Shaping-Richtlinie,die auf diesen angewendet wird. Wird auf denDatenverkehr keine Traffic-Shaping-Richtlinieangewendet, wird der Datenverkehr von derStandard-Richtlinie verarbeitet.

Aktivieren Sie diese Einstellung, wenn Sie eineBandbreitenbeschränkung für Datenverkehrerwirken wollen, auf den keine Traffic-Shaping-Richtlinie angewendet wird.

Deaktivieren Sie diese Einstellung, wennSie keine Bandbreitenbeschränkung fürDatenverkehr erwirken wollen, auf den keineTraffic-Shaping-Richtlinie angewendet wird. (DieEinstellung betrifft nur Verkehr, auf den eineTraffic-Shaping-Richtlinie angewendet wird.)

Standard-Richtlinie Standardrichtlinie, die auf Verkehr angewendetwird, für welchen keine Traffic-Shaping-Richtliniegilt.

• Zugesichert Minimale Bandbreite, dieBenutzern zur Verfügung steht.

• Maximum Maximale Bandbreite, dieBenutzern zur Verfügung steht.

• Priorität Kann von 0 (höchste) bis 7(niedrigste) eingestellt werden, je nachDatenverkehr, der geregelt werden muss.

20.3 REDEin Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Der RED-Provisioning-Service unterstützt die Einrichtungvon RED und bietet Sicherheitsoptionen.

• Um den RED-Provisioning-Service einzuschalten, klicken Sie auf den Ein/Aus-Schalter, legen SieDetails fest und klicken Sie auf Übernehmen.

• Um die Verwendung von TLS 1.2 durch die REDs zu erzwingen, aktivieren Sie TLS 1.2 erzwingenund klicken Sie auf Übernehmen. TLS 1.2 wird für eine erhöhte Sicherheit empfohlen.

HinweisDamit Geräte TLS 1.2 unterstützen, kann ein Firmware-Upgrade nötig sein. Überprüfen SieIhre Gerätespezifikationen bevor Sie diese Option aktivieren.


XG Firewall

• Um automatisch REDs die Autorisierung zu entziehen, nachdem ihre Verbindung getrennt wurde,aktivieren Sie Geräte automatisch Autorisierung entziehen, legen Sie eine Zeit fest und klickenSie auf Übernehmen. Wenn ein RED versucht, sich nach dem Entzug der Autorisierung wiederzu verbinden, wird es deaktiviert. Diese Option wird empfohlen, um unautorisierte Geräte davonabzuhalten, sich mit der Firewall zu verbinden.

HinweisDie Option trifft nicht auf Firewall-REDs zu.

Fehlerbehebung

Wenn Sie die Nachricht „Registrierung beim RED-Service fehlgeschlagen“ erhalten, prüfen Sie, obSie den RED-Service über Telnet erreichen können. Geben Sie Folgendes auf der Kommandozeileein:

telnet red.astaro.com 3400

Wenn Sie den Service erreichen können, wurde der Verbindungsfehler vermutlich durch hoheNetzwerklast ausgelöst. Versuchen Sie es in diesem Fall später erneut.


20.4 Malware ProtectionLegen Sie globale Einstellungen zum Schutz vor Malware (Schadprogrammen) fest.


Primäre Antiviren-Engine Die primäre Antiviren-Engine, die zum Scannenvon Datenverkehr eingesetzt wird.

HinweisWenn Sie diese Einstellung ändern, könnteeine irgendwo lokal festgelegte Antiviren-Engine überschrieben werden.

20.5 ProtokolleinstellungenDie Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,


XG Firewall

Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.

• Um Protokolle lokal zu speichern, wählen Sie Lokal aus und danach Protokolle.

• Um Protokolle an einen syslog-Server zu senden, klicken Sie auf Hinzufügen und geben Sie dieServer-Informationen an. Wählen Sie danach Protokolle aus.

Protokolle

Firewall Firewall-Protokolle bieten Informationen zuDatenverkehr in Zusammenhang mit der Firewall-Konfiguration, wie z.B. Firewallregeln, MAC-Filterung und DoS-Angriffe.

IPS IPS-Protokolle bieten Aufzeichnungen vonerkannten und verworfenen Angriffen basierendauf unbekannten oder verdächtigen Mustern(Anomalien) und Signaturen.

Antivirus Antiviren-Protokolle bieten Informationen zuViren, die im HTTP-, SMTP-, FTP-, POP3-,IMAP4-, HTTPS-, SMTPS-, IMAPS- und POPS-Datenverkehr erkannt wurden.

Antispam Anti-Spam-Protokolle bieten Informationen zuSpam- und möglichen Spam-E-Mails aus SMTP,POP3, IMAP4, SMTPS, POPS und IMAPS.

Inhaltsfilterung Inhaltsfilterungsprotokolle bieten Informationenzu Web- und Anwendungsfilter-Ereignissen,wie z.B. solchen, die mit Internetrichtlinien inZusammenhang stehen.

HinweisUm Ereignisse zu sehen, die inZusammenhang mit einer Internetrichtliniestehen, müssen Sie Firewallverkehrprotokollieren in der jeweiligen Firewallregelauswählen.

Ereignisse Ereignisprotokolle bieten Informationenzu Konfigurationsaktivitäten,Authentifizierungsereignissen, undSystemaktivitäten.

Webserver-Schutz Webserver-Schutz-Protokolle bietenInformationen zu Webserver-Schutz-Aktivitäten,z.B. Schutzrichtlinien.

Komplexe Bedrohungen ATP-Protokolle bieten Informationenüber Ereignisse im Hinblick auf komplexeBedrohungen, wie verworfenem Verkehr oderWarnungen.

WLAN WLAN-Protokolle bieten Informationen zu Access-Point-Aktivitäten und SSIDs.



XG Firewall

Heartbeat Heartbeat-Protokolle bieten Informationen zumIntegritätsstatus der Endpoints.

Systemstatus Systemzustandsprotokolle bieten Informationenzur CPU-Nutzung, Speichernutzung, Anzahlder Live-Benutzer, Schnittstellen undFestplattenpartitionen.

Sandstorm Sandstorm Protokolle bieten Aufzeichnungen allerSandstorm Ereignisse.

Zugehörige KonzepteDoS-Angriffe (Seite 132)Der DoS-Angriff-Status ermöglicht Ihnen zu sehen, ob Verkehrsbeschränkungen angewendet wurdenund die Menge an Daten, die verworfen wurde, nachdem die Grenze überschritten wurde. DieFirewall wendet die Verkehrsbeschränkungen an, die in den DoS-Einstellungen festgelegt sind, undprotokolliert die zugehörigen Ereignisse. Daten stehen für Quelle und Ziel in Echtzeit zur Verfügung.

Zugehörige AufgabenSyslog-Server hinzufügen (Seite 486)

20.5.1 Syslog-Server hinzufügen

1. Gehen Sie zu Systemdienste > Protokolleinstellungen und klicken Sie auf Hinzufügen.



Option Beschreibung

IP-Adresse/Domäne IP-Adresse oder Domänenname des Syslog-Servers. Protokolle werden an den Servergesendet.

Port Portnummer zur Kommunikation mit demSyslog-Server.

Facility Syslog-Einrichtung, die für das Sendender Protokolle verwendet werden soll. DieEinrichtung gibt die Protokollquelle an, z.B. einBetriebssystem, Prozess oder Anwendung.

Schweregrad Niedrigster Schweregrad von Meldungen,die protokolliert werden sollen. Wählen Siezum Beispiel Fehler aus, um alle Meldungen,die als Fehler und alle Meldungen, die alskritisch, Alarm oder Notfall markiert sind, zuprotokollieren. Wählen Sie Fehlersuche aus, umalle Meldungen einzuschließen.

Format Protokollformat


Gehen Sie zu Systemdienste > Protokolleinstellungen und wählen Sie Protokolle aus.

Zugehörige KonzepteProtokolleinstellungen (Seite 484)


XG Firewall

Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.

20.6 DatenanonymisierungMit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.

• Um Identitäten in Protokollen und Berichten zu verschlüsseln, wählen Sie Datenanonymisierungeinschalten, wählen Sie einen Bevollmächtigten aus und klicken Sie auf Übernehmen.

TippGeben Sie mindestens zwei Bevollmächtigte an. Wenn Sie als einer der Bevollmächtigtenangemeldet sind, ist die Genehmigung von mindestens einem weiteren Bevollmächtigtenerforderlich.

• Um die Anonymisierung zu umgehen, legen Sie Ausnahmen fest (Benutzer, IP-Adressen, MAC-Adressen oder E-Mail-Adressen) und klicken Sie auf Übernehmen. Geben Sie danach einenBenutzernamen (Bevollmächtigter) und ein Kennwort an und klicken Sie auf Speichern. NachdemSie sich authentifiziert haben, werden diese Identitäten in den Protokollen und Berichten nichtverschlüsselt sein.

Zugehörige KonzepteProtokolle (Seite 536)Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, Systemaktivitäten-und Netzwerkschutz. Protokolle beinhalten Analysen der Netzwerkaktivität, mit denen SieSicherheitsprobleme identifizieren und die gefährdende Nutzung Ihres Netzwerk verringern können.Sie können Protokolle an einen Syslog-Server senden oder sie mithilfe der Protokollansicht einsehen.

Berichte (Seite 27)Berichte bieten eine einheitliche Sicht auf Netzwerkaktivitäten zum Zweck der Analyse vonDatenverkehr und Bedrohungen und der Einhaltung von Vorschriften. Sie können zum Beispiel einenBericht ansehen, der alle Web-Server-Protection-Maßnahmen der Firewall enthält, wie z.B. blockierteWebserver-Anfragen und identifizierte Viren.

20.7 Traffic ShapingMithilfe von Traffic-Shaping-Richtlinien können Sie die Bandbreite verwalten und Netzwerkverkehrpriorisieren, um die Auswirkungen von starker Bandbreitennutzung zu verringern. Richtlinien stelleneine Zuordnung her. Sie können zum Beispiel Richtlinien erstellen, die verwendet werden, um dieBandbreite für Benutzer oder Anwendungen zu beschränken. Sie können die Wirksamkeit einerRichtlinie begrenzen, indem Sie einen Zeitplan festlegen.

Zugehörige AufgabenTraffic-Shaping-Richtlinie erstellen (Seite 488)



XG Firewall

20.7.1 Traffic-Shaping-Richtlinie erstellen

1. Gehen Sie zu Systemdienste > Traffic Shaping und klicken Sie auf Hinzufügen.



Option Beschreibung

Richtlinien-Zuordnung Kategorie, auf die die Richtlinie angewendetwird. Um zum Beispiel eine Richtlinie zuerstellen, die auf Benutzer und Gruppenangewendet werden kann, wählen Sie Benutzeraus.

Regeltyp Maximum Benutzer kann das festgelegteBandbreitenlimit nicht überschreiten.

Zugesichert Dem Benutzer wird diefestgelegte Bandbreite garantiert und er kanndie Bandbreite, sofern verfügbar, bis zumfestgelegten Limit ausschöpfen. Benutzernzu erlauben, zusätzliche Bandbreite zubeanspruchen, kann eine gleichbleibendeDienstqualität zu Spitzenzeiten sicherstellen.

Upload/Download getrennt voneinanderbegrenzen

Deaktivieren Keine separaten Upload- undDownloadlimits einsetzen.

Einschalten Upload- und Downloadbandbreiteentsprechend den angegebenen Wertenbegrenzen.

Priorität Art des Verkehrs, für den Bandbreitenprioritäteingeräumt werden soll. Standardmäßig wirddem Echtzeitverkehr Priorität eingeräumt.

TippUm das Standardverhalten der Optimierungvon Echtzeitverkehr zu steuern, gehen Siezu Systemdienste > Traffic-Shaping-Einstellungen.

Wenn dem Echtzeitverkehr Prioritäteingeräumt wird, wird die Fähigkeit vonRichtlinien für Nicht-Echtzeitverkehr ihregarantierte Bandbreite zu erhalten bestimmtdurch die verbleibende Bandbreite derinsgesamt verfügbaren Bandbreite, nachdemdie Richtlinien für Echtzeitverkehr bedientwurden.

Bandbreitennutzungstyp Individuell Die zugewiesene Bandbreite istnur für den Benutzer, die Firewallregel, dieWebkategorie oder die Anwendung, dem oderder diese Richtlinie zuerst zugewiesen wird.


XG Firewall

Option Beschreibung

Gemeinsam Die zugewiesene Bandbreitewird zwischen allen Benutzern, Firewallregeln,Webkategorien oder Anwendungen geteilt,denen diese Richtlinie zugewiesen wurde.

4. Optional: Um einen Zeitplan für die Richtlinie festzulegen, blättern Sie zum Bereich Zeitplanhinzufügen, klicken Sie auf Hinzufügen und legen Sie Details fest.


Damit die Richtlinie in Kraft tritt, fügen Sie sie zu einem Benutzer-, Firewallregel-, Webkategorie-oder Anwendungseintrag hinzu.


Traffic Shaping (Seite 487)Mithilfe von Traffic-Shaping-Richtlinien können Sie die Bandbreite verwalten und Netzwerkverkehrpriorisieren, um die Auswirkungen von starker Bandbreitennutzung zu verringern. Richtlinien stelleneine Zuordnung her. Sie können zum Beispiel Richtlinien erstellen, die verwendet werden, um dieBandbreite für Benutzer oder Anwendungen zu beschränken. Sie können die Wirksamkeit einerRichtlinie begrenzen, indem Sie einen Zeitplan festlegen.

20.8 DiensteSehen Sie den Zustand von Systemdiensten und verwalten Sie die Dienste.



XG Firewall

Kapitel 21

21 ProfileProfile erlauben Ihnen, den Zugriff von Benutzern aufs Internet und von Administratoren auf dieFirewall zu kontrollieren. Sie können Zeitpläne, Zugriffszeit und Kontingente für das Surfen und denDatentransfer festlegen. Netzwerkadressübersetzung erlaubt Ihnen, öffentliche IP-Adressen für denInternetzugriff festzulegen. Sie können Zugangsebenen für Administratoren festlegen, basierend aufderen Arbeitsfunktionen.

21.1 ZeitplanZeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.

• Um einen Zeitplan zu bearbeiten, klicken Sie auf

.

HinweisUm einen Zeitplan zu löschen, der in Verwendung ist, weisen Sie der Regel oder Richtlinieeinen anderen Zeitplan zu und löschen Sie dann den Zeitplan.

Zugehörige KonzepteSuche nach unautorisierten APs (Seite 192)Ein unautorisierter (rogue) Access Point bezeichnet einen Access Point, der ohne Autorisierung mitIhrem Netzwerk verbunden ist. Angreifer können unautorisierte Access Points verwenden, um Verkehrmitzulesen und für andere Zwecke, z.B. Man-in-the-Middle-Angriffe. Sie können diese Bedrohungenumgehen, indem Sie die Access Points in Ihrem Netzwerk scannen und unautorisierte Access Pointsals solche markieren.

Zugehörige AufgabenBenutzer-/Netzwerkregel hinzufügen (IPv4) (Seite 62)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

Benutzer-/Netzwerkregel hinzufügen (IPv6) (Seite 68)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.

Eine Richtlinie hinzufügen (Seite 143)Anwendungsfilter-Richtlinienregel hinzufügen (Seite 172)


XG Firewall

Traffic-Shaping-Richtlinie erstellen (Seite 488)Zugriffszeit-Richtlinie hinzufügen (Seite 492)Zeitplan hinzufügen (Seite 491)

21.1.1 Zeitplan hinzufügen

1. Gehen Sie zu Profile > Zeitplan und klicken Sie auf Hinzufügen.


3. Legen Sie eine Wiederholungsart fest.

Option Beschreibung

Wiederkehrend Verwenden Sie dies, um wiederkehrendeEreignisse zu steuern.

Einmalig Wählen Sie ein Anfangs- und Enddatum.Verwenden Sie dies, um einmaligeEreignisse zu steuern, z.B. Konferenzen oderGastbenutzerzugriff.

HinweisSie können Einmalzeitpläne nur in Firewallregeln verwenden.

4. Legen Sie die Zeit fest.

HinweisUm eine andere Anfangs- und Endzeit für verschiedene Wochentage anzuwenden, klicken Sieauf

und wählen Sie die Werte aus.


Damit der Zeitplan wirksam wird, fügen Sie ihn zu einer Firewallregel hinzu.


21.2 ZugriffszeitÜber die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.

• Um eine Zugriffszeit-Richtlinie zu bearbeiten, klicken Sie auf

.


XG Firewall

HinweisÄnderungen der Zugriffszeit-Richtlinie werden sofort wirksam.

Zugehörige KonzepteGastbenutzerinformationen (Seite 441)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Legen Sie Richtlinien und Einstellungen nachIhren Bedürfnissen fest.

Zugehörige AufgabenBenutzer registrieren (Seite 430)Gruppe hinzufügen (Seite 426)Zugriffszeit-Richtlinie hinzufügen (Seite 492)

21.2.1 Zugriffszeit-Richtlinie hinzufügen

1. Gehen Sie zu Profile > Zugriffszeit und klicken Sie auf Hinzufügen.


3. Legen Sie die Maßnahme für Internetzugang fest.

• Zulassen

• Ablehnen

4. Legen Sie den Zeit fest, während der die Maßnahme angewendet werden soll.

HinweisSie können für Zugriffszeit-Richtlinien nur Zeitpläne mit Wiederholung verwenden.


Damit die Zugriffszeit-Richtlinie wirksam werden kann, fügen Sie Benutzer, Gruppen oderGastbenutzer hinzu.


Zugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.

21.3 SurfkontingenteSurfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer


XG Firewall

(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.

HinweisWenn mehr als ein Kontingent auf einen Benutzer zutrifft, beschränkt die Firewall den Zugriffentsprechend der ersten Richtlinie, die ihre Grenze erreicht.

• Um ein Surfkontingent zu bearbeiten, klicken Sie auf

.

Das folgende Kontingent legt unbegrenzten Zugriff für eine Woche als einmaliges Ereignis fest.

Zugehörige AufgabenSurfkontingent hinzufügen (Seite 159)

21.3.1 Surfkontingent hinzufügen

1. Gehen Sie zu Profile > Surfkontingent und klicken Sie auf Hinzufügen.



Option Beschreibung

Zyklisch Wiederkehrender Zugriff. Legen Sie dieZykluszeit fest. Sobald die festgelegte Zeitendet, erhält der Benutzer wieder Zugriff.Benutzer erhalten die festgelegte Zeit zuBeginn eines Zyklus. Ungenutzte Zeit wird nichtübertragen.

Nicht zyklisch Einmalzugriff. Sobald die festgelegte Zeit endet,wird der Benutzer getrennt.


• Geben Sie die Anzahl an Tagen ein.

• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie die Gültigkeit nicht beschränkenwollen.

5. Legen Sie die Höchstdauer der Zugriffszeit fest, die vom Kontingent gewährt werden soll.


XG Firewall

• Geben Sie die Stunden und Minuten ein. Benutzer werden getrennt, nachdem dieser Werterreicht wurde, selbst wenn der Gültigkeitszeitraum des Kontingents noch nicht abgelaufen ist.

• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie keine Maximalzeit angebenwollen.


21.4 NetzwerkdatenkontingenteMit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.

• Um eine Netzwerkdatenkontingent-Richtlinie zu bearbeiten, klicken Sie auf

.

Zugehörige AufgabenBenutzer registrieren (Seite 430)Gruppe hinzufügen (Seite 426)Netzwerkdatenkontingent-Richtlinie hinzufügen (Seite 494)

21.4.1 Netzwerkdatenkontingent-Richtlinie hinzufügen

1. Gehen Sie zu Profile Netzwerkdatenkontingente und klicken Sie auf Hinzufügen.


3. Legen Sie die Beschränkungen für den Datentransfer fest.

Option Beschreibung

Gesamter Netzwerkverkehr Kontingent für den gesamten Datentransfer.

Individueller Netzwerkverkehr (Upload undDownload)

Individuelle Kontingente für Upload undDownload


Option Beschreibung

Zyklisch Kontingent für jeden Zyklus. Nicht verbrauchteKontingente verfallen und das Kontingent wirdbei jedem Zyklus zurückgesetzt.

Nicht zyklisch Kontingent für einen einzigen Zykluszeitraum.

5. Wählen Sie basierend auf den Beschränkungen und der Zyklusart den Zykluszeitraum, dasDatenkontingent für den Zyklus und das maximale Datenkontingent aus.

HinweisWenn Sie ein maximales Datenkontingent festlegen wollen, deaktivieren Sie dasKontrollkästchen. Das maximale Kontingent muss größer sein als das Zykluskontingent.


XG Firewall

HinweisWenn der Benutzer das Zyklus- oder das maximale Kontingent verbraucht, trennt die Firewalldie Verbindung des Benutzers. Um den Benutzer wiederzuverbinden, müssen Sie dasBenutzer-Accounting zurücksetzen.


Damit die Netzwerkdatenkontingent-Richtlinie wirksam wird, fügen Sie sie einem Benutzer oder einerGruppe hinzu.

Zugehörige KonzepteNetzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.

21.5 NATMit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.

• Um eine NAT-Richtlinie zu bearbeiten, klicken Sie auf

.

HinweisDie Standard-NAT-Richtlinie maskiert Verkehr automatisch unter Verwendung der WAN-Adresse der Firewall.

Zugehörige KonzepteFirewall (Seite 56)Firewallregeln sind Sets an Sicherheitsregeln, die das Verhalten von Benutzern, Anwendungen oderNetzwerkobjekten in einer Organisation steuern. Mithilfe der Firewallregel können Sie pauschale oderspezifische Regeln zur Datenübertragung je nach Ihren Anforderungen erstellen. Die Regeltabelleermöglicht die zentralisierte Verwaltung von Firewallregeln.

Zugehörige AufgabenNAT-Richtlinie hinzufügen (Seite 495)

21.5.1 NAT-Richtlinie hinzufügen

1. Gehen Sie zu Profile > NAT und klicken Sie auf Hinzufügen.


3. Geben Sie eine IP-Adresse an oder erstellen Sie eine neue.


Um eine NAT-Richtlinie anzuwenden, fügen Sie sie zu einer Firewallregel hinzu.


XG Firewall

Zugehörige KonzepteNAT (Seite 495)Mit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.

21.6 Appliance-ZugriffMit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.

• Um ein Profil zu bearbeiten, klicken Sie auf

.

Tabelle 34: Standardprofile

Name Beschreibung

Administrator Superadministrator mit vollen Zugriffsrechten. Kann Administratoren mitbeschränkten oder vollen Rechten erstellen.

Audit admin Lese- und Schreibrechte für Protokolle und Berichte.

Crypto admin Lese- und Schreibrechte für die Konfiguration von Sicherheitszertifikaten.

HAProfile Leserechte für die Sekundär-Appliance, wenn Hochverfügbarkeitkonfiguriert ist.

Security admin Lese- und Schreibrechte für alle Funktionen, mit Ausnahme von Profilen,Protokollen und Berichten.

Hinweis• Um ein Profil zu löschen, stellen Sie sicher, dass es keinem Administrator zugewiesen ist.

Zugehörige AufgabenBenutzer registrieren (Seite 430)Appliance-Zugriffsprofil hinzufügen (Seite 496)

21.6.1 Appliance-Zugriffsprofil hinzufügen

1. Gehen Sie zu Profile > Appliance-Zugriff und klicken Sie auf Hinzufügen.


3. Um eine Konfiguration festzulegen, wählen Sie die Zugriffsstufe des Administrators für die Menüs.

• Keine

• Nur lesen

• Lesen + Schreiben


XG Firewall

HinweisUm verschiedene Zugriffsstufen für Untermenüs festzulegen, klicken Sie auf

.


Damit das Appliance-Zugriffsprofil wirksam wird, weisen Sie es einem Benutzer zu, der zum TypAdministrator gehört.

Zugehörige KonzepteAppliance-Zugriff (Seite 496)Mit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.


XG Firewall

Kapitel 22

22 Hosts und DiensteHosts und Dienste ermöglicht, Systemhosts und -dienste zu definieren und zu verwalten.

22.1 IP-HostAuf der Seite IP-Host wird eine Liste aller dynamischen Hosts, Standardhosts und manuellhinzugefügten Hosts angezeigt.

Mit Hosts können Einheiten einmalig definiert werden, die dann während der Konfiguration mehrfachreferenziert werden können. Nehmen Sie als Beispiel einen internen Mailserver mit der IP-Adresse192.168.1.15 an. Anstatt die IP-Adresse bei der Konfiguration der Sicherheitsrichtlinien oder NAT-Richtlinien mehrfach einzugeben, kann ein einzelner interner Mailserver als Hostname mit der IP-Adresse 192.168.1.15 erstellt werden. Dieser Host, also der interne Mailserver, kann anschließendfür jede Konfiguration ausgewählt werden, die einen Host als bestimmendes Kriterium verwendet.

Durch Verwendung eines Hostnamens anstelle der numerischen Adresse müssen Änderungen nuran einem einzigen Speicherort durchgeführt werden, und nicht in jeder Konfiguration, in der die IP-Adresse erscheint.

Die Verwendung von Hosts vermindert, dass falsche IP-Adressen eingegeben werden, was dieÄnderung von IP-Adressen erleichtert und die Lesbarkeit erhöht.

Sie können mehrere Objekte, welche die gleiche Funktion erfüllen, unter einem Hostnamenzusammenfassen.

Auf der Seite „IP Host“ erscheint eine Liste aller dynamischen Hosts, die bei der Erstellungder VPN-Fernzugriffsverbindungen automatisch erstellt werden (IPsec und SSL), sowie dieStandardhosts (IPv6 und IPv4) für den Fernzugriff (##ALL_RW, ##WWAN1, ##ALL_IPSEC_RW und##ALL_SSLVPN_RW) und die manuell hinzugefügten Hosts. Auf der Seite haben Sie außerdemdie Möglichkeit, einen neuen Host hinzuzufügen, den bestehenden Host zu aktualisieren oder einenHost zu löschen.

Hinweis• Systemhosts können nicht aktualisiert oder gelöscht werden.

• Dynamische Hosts, die automatisch bei der Erstellung von VPN-Fernzugriffsverbindungenhinzugefügt werden, können nicht gelöscht werden.

• Die Standardhosts (IPv6 und IPv4) für den Fernzugriff (##ALL_RW, ##WWAN1,##ALL_IPSEC_RW und ##ALL_SSLVPN_RW) können nicht aktualisiert oder gelöschtwerden.


22.1.1 IP-Host hinzufügen

IP-Host hinzufügen ermöglicht Ihnen, einem Netzwerk, einer IP-Adresse, einem Adressbereich odereiner Liste einen Hostnamen zuzuweisen.


XG Firewall


2. Geben Sie den Hostnamen ein.

3. Wählen Sie eine IP-Familie.


• IPv4

• IPv6

4. Wählen Sie den Typ des Hosts aus.


• IP

• Netzwerk

• IP-Bereich

• IP-Liste (IP-Adressen, die zu anderen Netzwerken gehören oder sich nicht im gleichen IP-Adressbereich befinden.)

5. Wenn der gewählte Hosttyp IP, Netzwerk oder IP-Bereich ist:

a) Geben Sie die IP-Adresse, das Subnetz oder den Bereich in Abhängigkeit des Hosttyps an.

b) Wählen Sie eine IP-Hostgruppe aus oder fügen Sie eine neue hinzu.

HinweisEin einzelner Host kann Mitglied mehrerer Hostgruppen sein. Eine Hostgruppe kann nichtgleichzeitig IPv4- und IPv6-Hosts enthalten.

6. Wenn der gewählte Hosttyp IP-Liste ist, geben Sie die Liste der IP-Adressen an.

HinweisZu einer IP-Liste können nur IP-Adressen der Klasse B hinzugefügt werden. Sie können eineIP-Adresse zur IP-Liste hinzufügen oder von ihr entfernen.


22.2 IP-HostgruppeAuf der Seite IP-Hostgruppe wird eine Liste aller Hostgruppen angezeigt.

Eine Hostgruppe ist eine Zusammenfassung von Hosts. Sicherheitsrichtlinien können für einzelneHosts oder Hostgruppen erstellt werden.

HinweisGruppen mit dynamischen Hosts, die automatisch bei der Erstellung von VPN-Fernzugriffsverbindungen hinzugefügt werden, können nicht gelöscht werden.

Die Seite bietet außerdem die Möglichkeit, eine neue Hostgruppe hinzuzufügen, die Parameter derbestehenden Hostgruppe zu aktualisieren, Mitglieder zur bestehenden Hostgruppe hinzuzufügenoder eine Hostgruppe zu löschen.


XG Firewall

22.2.1 IP-Hostgruppe hinzufügen

Auf der Seite IP-Hostgruppe hinzufügen können Sie eine IP-Hostgruppe konfigurieren.

1. Gehen Sie zu Hosts und Dienste > IP-Hostgruppe und klicken Sie auf Hinzufügen.

2. Geben Sie die Daten für die Hostgruppe ein.

Name Geben Sie einen Namen ein, um die IP-Hostgruppe zu identifizieren.

Beschreibung Geben Sie eine Beschreibung der IP-Hostgruppe ein.

IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie:


• IPv4

• IPv6

Host auswählen In der Host-Liste werden alle Hosts mitsamtder Standardhosts angezeigt. Aktivieren Siedie Auswahlkästchen, um den oder die Hostsauszuwählen. Ein einzelner Host kann Mitgliedmehrerer Hostgruppen sein. Eine Gruppe kannnicht IPv4- und IPv6-Hosts enthalten.


Die IP-Hostgruppe wurde erstellt und erscheint auf der Seite IP-Hostgruppe.

22.3 MAC-HostDie Appliance ermöglicht es Ihnen, einen Hostnamen an eine oder mehrere MAC-Adressen zuvergeben.

22.3.1 MAC-Host hinzufügen

Auf der Seite MAC-Host hinzufügen können Sie einen MAC-Host entweder über eine einzige MAC-Adresse oder mehrere MAC-Adressen manuell erstellen.

1. Gehen Sie zu Hosts und Dienste > MAC-Host und klicken Sie auf Hinzufügen.

2. Geben Sie die Daten des MAC-Host ein.

Name Geben Sie einen Namen ein, um den MAC-Hostzu identifizieren.

Typ Wählen Sie den Typ des MAC-Hosts.

Verfügbare Optionen:MAC-Adressen – Eineeinzelne MAC-Adresse hinzufügen.MAC-Liste– Mehrere MAC-Adressen hinzufügen.

MAC-Adresse (nur anwendbar, wenn der Typ„MAC-Adresse“ ausgewählt ist)

Geben Sie eine MAC-Adresse auf Basisdes gewählten Host-Typs in der Form


XG Firewall

00:16:76:49:33:CE oder 00-16-76-49-33-CEein.

Liste der MAC-Adressen (nur anwendbar,wenn der Typ „MAC-Liste“ ausgewählt ist)

Geben Sie eine MAC-Adresse auf Basisdes gewählten Host-Typs in der Form00:16:76:49:33:CE oder 00-16-76-49-33-CEein.

Trennen Sie mehrere MAC-Adressen durchKomma.


Der MAC-Host wird erstellt und erscheint auf der Seite MAC-Host.

22.4 FQDN-HostAuf der Seite FQDN-Host wird eine Liste aller verfügbaren FQDN-Hosts angezeigt.

Mit FQDN-(Fully Qualified Domain Name)-Hosts können Objekte einmalig definiert und währendder Konfiguration mehrfach referenziert werden. www.example.com z.B. hat die IP-Adresse192.168.1.15. Anstatt sich die IP-Adresse der gewünschten Website merken zu müssen, können Sieeinfach www.example.com im Browser eingeben. Der FQDN www.example.com wird jetzt seinerIP-Adresse zugeordnet und die betreffende Website öffnet sich.

Auf dieser Seite haben Sie außerdem die Möglichkeit, einen neuen FQDN-Host hinzuzufügen, denbestehenden Host zu aktualisieren oder einen Host zu löschen.


22.4.1 FQDN-Host hinzufügen

Auf der Seite FQDN-Host hinzufügen können Sie einen neuen FQDN-Host erstellen.

Auf der Seite FQDN-Host hinzufügen können Sie manuell einen neuen FQDN-Host konfigurieren.

1. Gehen Sie zu Hosts und Dienste > FQDN-Host und klicken Sie auf Hinzufügen.

2. Geben Sie die Daten des FQDN-Host ein.

Name Geben Sie einen Namen für den FQDN-Hostein.

vollständiger Domänenname (FQDN) Geben Sie die FQDN-Adresse an.

FQDN-Hostgruppe Wählen Sie eine FQDN-Hostgruppe aus oderfügen Sie eine neue hinzu. Ein einzelner FQDN-Host kann mehreren Hostgruppen angehören.Sie können eine neue FQDN-Hostgruppe direktauf dieser Seite oder auf der Seite Hosts undDienste > FQDN-Hostgruppe erstellen.



XG Firewall

22.5 FQDN-HostgruppeFQDN-Hostgruppe ermöglicht es Ihnen, individuelle FQDN-Hosts zu einer oder mehreren Hostgruppenhinzuzufügen.

22.5.1 FQDN-Hostgruppe hinzufügen

Auf der Seite FQDN-Hostgruppe hinzufügen können Sie eine neue FQDN-Hostgruppekonfigurieren.

1. Gehen Sie zu Hosts und Dienste > FQDN-Hostgruppe und wählen Sie Hinzufügen.

2. Geben Sie die Daten für die FQDN-Hostgruppe ein.

Name Geben Sie einen Namen für die FQDN-Hostgruppe ein.

Beschreibung Geben Sie eine Beschreibung der FQDN-Hostgruppe ein.

Host auswählen In der Host-Liste werden alle Hosts mitsamtden Standardhosts angezeigt. AktivierenSie die Auswahlkästchen, um den oder dieHosts auszuwählen. Ein einzelner Host kannmehreren Hostgruppen angehören.


22.6 Ländergruppe

Die Appliance bietet vordefinierte Landesgruppen basierend auf deren Kontinent an. Sie bietetaußerdem eine Liste an Ländern an, die erscheint, wenn Sie eine Firewallregel anlegen. Sie könneneigene Landesgruppen definieren.

HinweisBei einer Werksrücksetzung werden die Landesgruppen auf die vordefinierten Landesgruppenzurückgesetzt.

HinweisSie können vordefinierte und eigene Landesgruppen bearbeiten oder löschen.

22.6.1 Landesgruppe hinzufügen

Auf der Seite Landesgruppe hinzufügen können Sie manuell Parameter eingeben, um eine neueLandesgruppe hinzuzufügen.

1. Gehen Sie zu Hosts und Dienste > Landesgruppe und klicken Sie auf Hinzufügen.

2. Geben Sie die Daten für die Landesgruppe ein.


XG Firewall

Name Geben Sie einen Namen für die Landesgruppeein.

Beschreibung Beschreibung der Landesgruppe.

Land auswählen Klicken Sie auf Neues Element hinzufügenum Länder auszuwählen und der Gruppehinzuzufügen.

Eine Land kann zu mehreren Ländergruppengehören.


22.7 DiensteAuf der Seite Dienste wird eine Liste aller Standard- und der eigenen Dienste angezeigt.

Als Dienste versteht man bestimmte Arten von Netzwerkverkehr. Sie geben Auskunft über dieArt des Protokolls wie TCP, ICMP oder UDP sowie über protokollbezogene Informationen wiePortnummern. Über Dienste können Sie bestimmen, welcher Datenverkehrstyp von der Firewallzugelassen oder abgewiesen wird.

In den Diensten sind bestimmte bekannte Datenverkehrstypen vordefiniert. Diese vordefiniertenDienste sind Standardwerte, die nicht aktualisiert oder gelöscht werden können. Wenn SieDienstdefinitionen benötigen, die sich von den vordefinierten Dienst unterscheiden, können Sie dieseals benutzerdefinierte Dienste hinzufügen.

Auf der Seite finden Sie zudem die Option, einen neuen Dienst hinzuzufügen, die Parameter desbestehenden Dienstes zu aktualisieren oder einen Dienst zu löschen.

Hinweis• Dienste, die von Sicherheitsrichtlinien verwendet werden, können nicht gelöscht werden.

• Standarddienste können weder aktualisiert noch gelöscht werden.

22.7.1 Dienst hinzufügen

Auf der Seite Dienst hinzufügen können Sie manuell die Parameter konfigurieren, um einen neuenDienst hinzuzufügen.

1. Gehen Sie zu Hosts und Dienste > Dienste und klicken Sie auf Hinzufügen.

2. Geben Sie die Dienstparameter ein.

Name Geben Sie einen Namen für den Dienst ein.

Typ Wählen Sie ein Protokoll für den Dienst.

Verfügbare Optionen:TCP/UDP – GebenSie den Quell- und Ziel-Port an. Sie könnenfür einen Dienst mehrere Ports angeben.IP– Geben Sie die Protokollnummer für denDienst an. Sie können für einen Dienstmehrere Ports angeben.ICMP – Legen Sieden ICMP-Typ und -Code fest. Sie könnenfür einen Dienst mehrere Typen und Codesangeben. Mit den Symbolen „Hinzufügen“


XG Firewall

und „Entfernen“

können die Parameter hinzugefügt oder entferntwerden.ICMPv6 – Legen Sie den ICMPv6-Typund -Code fest. Sie können für einen Dienstmehrere Typen und Codes angeben.

Mit „Hinzufügen“

und „Entfernen“

können die Parameter hinzugefügt oder entferntwerden.


22.8 DienstgruppeAuf der Seite Dienstgruppe wird eine Liste aller Standard- und eigenen Dienstgruppen angezeigt.

Eine Dienstgruppe ist eine Zusammenfassung von Diensten. Benutzerdefinierte Dienste undStandarddienste können in derselben Dienstgruppe zusammengefasst werden.

Konfigurieren Sie Sicherheitsrichtlinien, um:

• Dienstgruppen für eine bestimmte Zone zu blockieren

• Den Zugriff von einigen oder allen Benutzern auf eine Dienstgruppe zu begrenzen

• Nur bestimmten Benutzern zu erlauben, über eine Dienstgruppe zu kommunizieren

Dienstgruppen zu erstellen und eine Firewall hinzuzufügen, um den Zugriff auf alle Dienste in derGruppe zu erlauben oder zu blockieren. In einer Dienstgruppe können sowohl Standarddienste alsauch benutzerdefinierte Dienste in jeglicher Kombination enthalten sein. Ein einzelner Dienst kannzu mehreren Dienstgruppen gehören.

Die Seite bietet außerdem die Option, eine neue Gruppe hinzuzufügen, die Parameter derbestehenden Gruppe zu aktualisieren, Dienste zu bestehenden Gruppen hinzuzufügen oder eineGruppe zu löschen.

Hinweis• Standarddienstgruppen können weder aktualisiert noch gelöscht werden.

• Dienstgruppen, die von Sicherheitsrichtlinien verwendet werden, können nicht gelöschtwerden.

22.8.1 Dienstgruppe hinzufügen

Verwenden Sie die Seite Dienstgruppe hinzufügen, um eine neue selbstdefinierte Dienstgruppehinzuzufügen.

Auf der Seite Dienstgruppe hinzufügen können Sie manuell die Daten eingeben und eine neueDienstgruppe konfigurieren.

1. Gehen Sie zu Hosts und Dienste > Dienstgruppe und klicken Sie auf Hinzufügen.


XG Firewall

2. Geben Sie die Daten der Dienstgruppe ein.

Name Geben Sie einen Namen für die Dienstgruppeein.

Beschreibung Beschreibung der Dienstgruppe.

Dienst auswählen In der Dienstliste werden alle Dienste inklusiveder Standarddienste angezeigt.

Klicken Sie auf das Auswahlkästchen, umeinen Dienst auszuwählen. Alle ausgewähltenDienste werden zur ausgewählten Dienstlisteverschoben.

Ein Dienst kann Mitglied von mehreren Gruppensein.

Über die Suche können Sie nach einem Dienstin der Liste suchen.

Sie können eine Gruppe mit IPv4- und IPv6-Diensten erstellen.



XG Firewall

Kapitel 23

23 VerwaltungVerwaltung ermöglicht Ihnen die Verwaltung von Lizenzen auf der Appliance, der Zeit der Appliance,des Administratorzugriffs, von zentralisierten Aktualisierungen, der Benutzerbenachrichtigungen undder Überwachung der Netzwerkbandbreite und der Appliance selbst.

23.1 LizenzenAbonnements aller Module bleiben abgemeldet, wenn Sie die Appliance zum ersten Mal installieren.Die Seite „Lizenzen“ zeigt Informationen zur Appliance-Registrierung und dem Abonnement-Status.Sie können Abonnement-Module aktivieren oder evaluieren.

Kunden von Cyberoam und UTM 9 können Ihre Lizenzen nach SFOS migrieren.

Basisinformationen

Die Appliance bietet zwei Modultypen:

• Basismodul: Firewall, VPN, Wireless.

• Abonnement-Module:

— Basis-Firewall – Mit Firewall, VPN, Wireless

— Network Protection – Mit Intrusion Prevention System, RED, Advanced Threat Protection

— Web Protection – Mit Web-Kategorisierung, Antivirus, Anwendungsüberwachung

— Email Protection – Mit Antispam, Antivirus, E-Mail-Verschlüsselung, DLP

— Webserver Protection – Mit WAF, Antivirus, Reverse-Proxy

— Sandstorm – Enthält den Sandstorm-Dienst und alle zugehörigen Einstellungen

— Erweiterter Support - 8 x 5

— Erweiterter Plus Support - 24 x 7

Nach der Anmeldung kann die Appliance für unbegrenzte Zeit verwendet werden.

Sie können die Abonnement-Module auf folgende Weise abonnieren:

• ohne Schlüssel für eine kostenlose Testversion von 30 Tagen

• mit Schlüssel

XG Firewall Registrierungsinformationen

Modell Modellnummer der registrierten XG Firewall undihr Appliance-Schlüssel.

Firmenname Name des Unternehmens, für welches dieAppliance registriert ist.

Kontaktperson Name der Kontaktperson im Unternehmen.


XG Firewall

Registrierte E-Mail-Adresse E-Mail-Adresse, die zur Registrierung derAppliance verwendet wurde.

Abonnement aktivieren Einzelne Module können mit demLizenzschlüssel abonniert werden.

HinweisAbonnement aktivieren wird verfügbar,nachdem die Originallizenz mithilfe vonLizenz migrieren im Bereich Lizenz-Upgrade von CyberoamOS oder UTM 9nach SFOS migriert wurde.

Modul-Abonnementinformationen

Synchronisieren Anklicken, um die Lizenzen mit Ihrem Konto zusynchronisieren.

Evaluationen aktivieren Einzelne Module können für die Dauer von 30Tagen evaluiert werden.

HinweisEvaluationen aktivieren wird verfügbar,nachdem die Originallizenz mithilfe vonLizenz migrieren im Bereich Lizenz-Upgrade von CyberoamOS oder UTM 9nach SFOS migriert wurde.

Modul Name des Moduls.

Status Anzeige des Modulstatus.

Ein Modul kann die folgenden Stati haben

• Abonniert - Modul ist abonniert.

• Auswertend - Modul ist mit Auswertungenabonniert.

• Nicht abonniert - Modul ist nicht abonniert.

• Abgelaufen - Das Abonnement abgelaufen.

Ablaufdatum Ablaufdatum des Modulabonnements

Lizenz-Upgrade

Lizenzen können im Zuge der Migration von CyberoamOS oder UTM 9 nach Sophos Firewall OS(SFOS) migriert werden.

UTM 9 Lizenzen migrieren Überträgt Ihre aktuelle UTM 9 Lizenz auf eineentsprechende SFOS Installation. Die Migrationist unumkehrbar und Sie können diese Lizenznicht länger auf UTM 9 verwenden.


XG Firewall

HinweisUTM 9 Lizenz migrieren ist nur verfügbar,wenn Sie von UTM 9 auf SFOS migrierthaben.

Cyberoam-Lizenz migrieren Diese Option stellt Ihnen eine Sophos FirewallOS-Lizenz zur Verfügung, die vom Wert her IhrerCyberoam-Lizenz entspricht. Alle Lizenzen, diein Cyberoam existieren, werden nach SFOSmigriert.

HinweisCyberoam-Lizenz migrieren ist nurverfügbar, wenn Sie von Cyberoam aufSFOS migriert haben.

HinweisNur verfügbar, wenn die Registrierung der Appliance abgeschlossen ist.

23.1.1 Abonnement aktivieren

1. Gehen Sie zu Verwaltung > Lizenzen und klicken Sie auf Abonnement aktivieren innerhalb vonXG Firewall-Registrierungsinformationen.

2. Geben Sie den Lizenzschlüssel ein.

3. Klicken Sie auf Schlüssel verifizieren. Das Abonnement wird aktiviert, wenn der Lizenzschlüsselals gültig erklärt wurde.

23.2 Appliance-ZugriffAppliance-Zugriff ermöglicht es Ihnen, den administrativen Zugriff zu bestimmten Diensten vonselbstdefinierten oder Standard-Zonen (LAN, WAN, DMZ, VPN, WLAN) zu beschränken.

1. Zugriffssteuerungsliste (ZSL) für lokale Dienste Die Appliance enthält eine Standard-ZSL(Zugriffskontrollliste), wenn sie zum ersten Mal verbunden und angeschaltet wird. Details derStandarddienste und Ports finden Sie unten. Klicken Sie hier, um den Zugriff zu den Diensten vonbestimmten Zonen aus zu aktivieren oder zu deaktivieren.

Admin-Dienste LAN- und WLAN-Zonen: HTTPS (TCP-Port4444), Telnet (TCP-Port 23) und SSH (TCP-Port 22)

WAN-Zone: HTTPS (TCP-Port 443), Telnet(TCP-Port 23) und SSH (TCP-Port 22)

Authentifizierungsdienste LAN- und WLAN-Zonen: Client-Authentifizierung (UDP-Port 6060), Captive-Portal-Authentifizierung (TCP-Port 8090) undRADIUS SSO.


XG Firewall

Netzwerkdienste LAN-, WAN und WLAN-Zonen: Ping/Ping6 undDNS

Andere Dienste LAN- und WLAN-Zonen: Wireless Protection,Web-Proxy und SMTP-Relay

LAN-, WAN-, DMZ- und WLAN-Zonen: SSL-VPN (TCP-Port 8443)

LAN- und WAN-Zonen: Benutzerportal unddynamisches Routing

LAN-, DMZ-, VPN- und WLAN-Zonen: SNMP

HinweisBenutzerauthentifizierungsdienste sind für erforderlich, um Beschränkungen auf Basis vonBenutzern bei Internetnutzung, Bandbreite und Datenübertragung zu ermöglichen. Diese sindnicht für administrative Funktionen erforderlich.

2. ZSL-Ausnahmeregel für lokale Dienste: Sie können den Zugriff auf administrative Diensteder Appliance von bestimmten Netzwerken/Hosts aus erlauben. Eine Liste mit allen Regeln wirdangezeigt.

HinweisWenn Sie ein Upgrade von SFOS v15 nach v16 durchführen:

• Wenn HTTP in SFOS v15 aktiviert wurde, werden alle HTTP-Anfragen nach HTTPSumgeleitet.

• HTTP-Regeln, in denen die Maßnahme auf Verwerfen eingestellt ist, werden gelöscht.

3. Standard-Admin-Kennworteinstellungen:

a) Ändern Sie das Standard-Kennwort sobald Sie die Appliance in Betrieb nehmen.

HinweisDie Appliance wird mit einem Standard-Super-Admin mit dem Wort admin alsBenutzername und Kennwort ausgeliefert. Mit diesen Zugangsdaten können Sie auf dieWeb-Admin-Oberfläche und CLI zugreifen. Dieser Administrator wird lokal authentifiziert,also über die Appliance.

b) Klicken Sie auf Auf Standard zurücksetzen um das Standard-Kennwort wiederherzustellen.

4. Administrator-Authentifizierung mit öffentlichem Schlüssel

a) Aktivieren Sie Authentifizierung mit öffentlichem Schlüssel für Administrator um Zugriffzur Kommandozeile (CLI) mit dem SSH-Schlüssel zu erlauben.

HinweisNur Administratoren und der Support können einen SSH-Anmeldeschlüssel ohneAuthentifizierung hinzufügen. Alle Benutzer müssen ein Kennwort bei der Authentifizierungvorweisen, bevor sie einen SSH-Schlüssel hinzufügen können.

b) Fügen Sie die Liste Autorisierte Schlüssel für den Administrator hinzu. Erzeugen Sie dieseSSH-Schlüssel mithilfe von SSH-Client-Werkzeugen (z.B.: PuTTY).


XG Firewall

23.2.1 Ausnahmeregel für ZSL für lokale Dienste hinzufügen

Verwenden Sie ZSL-Ausnahmeregel für lokale Dienste, um den Zugriff auf die Admin-Dienste derAppliance über ein bestimmtes Netzwerk oder einen Host zuzulassen.

1. Gehen Sie zu Verwaltung > Appliance-Zugriff und klicken Sie auf Richtlinie hinzufügen unterZSL-Ausnahmeregel für lokale Dienste.


3. Wählen Sie den Position der Regel aus.

4. Geben Sie eine Beschreibung ein.

5. Wählen Sie die IP-Version aus den folgenden Optionen aus:


• IPv4

• IPv6

6. Wählen Sie die Quellzone, für welche die Richtlinie gilt.

7. Klicken Sie auf Neues Element hinzufügen, um Quellhosts auszuwählen (basierend auf einemNetzwerk, IP-Adresse, IP-Bereich oder IP-Liste), auf die die Regel angewendet werden soll.Klicken Sie auf Neu erstellen, um ein neues Quellnetzwerk/-host zu erstellen.

8. Klicken Sie auf Neues Element hinzufügen, um IP-Adressen oder schnittstellenbasierte Zielhosts(z.B. Benutzerportal) auszuwählen, für welche die Regel gilt. Klicken Sie auf Neu erstellen, um einneues Zielnetzwerk/-host zu erstellen.

HinweisIndem Sie einen Zielhost angeben, kontrollieren Sie den Zugang zu einem Dienst (Beispiel:Benutzerportal) mit einer begrenzten Menge von Ziel-IP-Adressen.

9. Klicken Sie auf Neues Element hinzufügen, um Admin-Dienste auszuwählen, auf welche dieRegel zutrifft.


• HTTPS

• Telnet

• SSH

• Web-Proxy

• DNS

• Ping/Ping6

• SSL-VPN

• Benutzerportal

• Dynamisches Routing

10. Wählen Sie eine Maßnahme aus:


• Annehmen

• Verwerfen



XG Firewall

23.3 Admin-EinstellungenAdmin-Einstellungen ermöglichen es Ihnen, Admin-Port-Einstellungen und Anmeldeparameter zubearbeiten. Passen Sie die Anmeldeparameter an, um den Zugriff durch lokale und entfernte Benutzerbasierend zeitgesteuert zu beschränken.

1. Geben Sie Hostdaten ein

a) Geben Sie einen Namen in Form eines vollständigen Domänennamens (FQDN) ein.

Zulässiger Bereich: 0 bis 256 Zeichen

Beispiel: security.sophos.com

HinweisWenn die Appliance zum ersten Mal eingesetzt wird, wird die Seriennummer der Applianceals Hostname gespeichert.

b) Geben Sie eine Beschreibung ein.

2. Admin-Port-Einstellungen konfigurieren

a) Zeigt den in SFOS v15 konfigurierten HTTP-Port an, wenn Sie ein Upgrade von SFOS v15gemacht haben und der HTTP-Dienst aktiviert ist.

Standard: 80

HinweisAb v16 unterstützt die Appliance keinen Zugriff mehr auf die Admin-Oberfläche aufdiesem Port. Datenverkehr auf einem HTTP-Port wird automatisch auf einen HTTPS-Portumgeleitet.

b) Geben Sie die Portnummer ein, um den HTTPS-Port für den sicheren Zugriff auf die Admin-Oberfläche zu konfigurieren.

Standard: 4444

c) Geben Sie die Portnummer ein, um den HTTPS-Port für den sicheren Zugriff auf dasBenutzerportal zu konfigurieren. Sie können den gleichen Port (z.B. 443) für sichereVerbindungen zum Benutzerportal und SSL-VPN-Verbindungen verwenden, die TCPverwenden.

Standard: 443

d) Wählen Sie das Zertifikat aus, das von Benutzerportal, Captive-Portal, SPX-Registrierungsportal und SPX-Reply-Portal verwendet werden soll.

e) Wählen Sie eine Option aus, die verwendet werden soll, wenn Benutzer zum Captive-Portaloder anderen interaktiven Seiten umgeleitet werden.

Sie können den konfigurierten Hostnamen der Firewall verwenden, die IP-Adresse der ersteninternen Schnittstelle oder einen anderen Hostnamen angeben. Klicken Sie auf Einstellungenüberprüfen, um Ihre Konfiguration zu testen.

3. Legen Sie die Anmeldesicherheit für Administratoren fest

a) Aktivieren Sie das Auswahlkästchen und konfigurieren Sie die Dauer (in Minuten) derInaktivität für die Administratorsitzung, nach der die Appliance automatisch gesperrt wird.


XG Firewall

Diese Konfiguration gilt für Admin- und CLI-Konsole, den IPsec-Verbindungsassistent, denNetzwerkassistent und den Gruppen-Import-Assistent.

Standard: 3 Minuten

b) Aktivieren Sie das Auswahlkästchen und konfigurieren Sie den Zeitraum (in Minuten) derInaktivität, nach der der Administrator automatisch abgemeldet wird.

Standard: 10 Minuten

HinweisDer Admin-Sitzung abmelden nach-Wert muss größer sein als der Admin-Sitzungsperren nach-Wert.

c) Aktivieren Sie das Kontrollkästchen, um die Anmeldung an die Web-Admin-Oberfläche undCLI zu blockieren. Geben Sie die maximale Anzahl an Fehlversuchen und die Dauer (inSekunden) ein, innerhalb derer die Versuche von einer IP-Adresse aus erfolgen können.Wenn die fehlgeschlagenen Versuche die Anzahl überschreiten, wird der Administratorgesperrt. Geben Sie an, für wie viele Minuten sich der Administrator nicht anmelden darf. DasAdministratorkonto wird für die Dauer der konfigurierten Minuten gesperrt, wenn die Anzahl derzulässigen fehlgeschlagenen Anmeldeversuche überschritten wird.

4. Aktivieren Sie das Auswahlkästchen um Kennwort-Komplexitätseinstellungen für Administratorenzuzulassen und die erforderlichen Einschränkungen zu erzwingen.

5. Wählen Sie Nutzungsbedingungen bei Anmeldung einschalten aus, um Nachrichten fürAuthentifizierung, SMTP, Administration und SMS-Anpassung festzulegen, denen Administratorenzustimmen müssen, bevor sie sich an Web-Admin-Oberfläche und CLI anmelden können. Siekönnen Nachrichten auch anpassen und ansehen.

6. Wählen Sie Sophos Adaptive Learning aus, um folgende Anwendungsnutzungs- undBedrohungsdaten an Sophos zu senden: Nicht klassifizierte Anwendungen (zur Verbesserungund Erweiterung der Anwendungsüberwachungsbibliothek), Daten im Zusammenhang mit IPS-Warnungen, erkannten Viren (auch URLs), Spam, ATP-Bedrohungen (wie Name der Bedrohung),Bedrohungs-URL/IP, Quell-IP und verwendete Anwendungen.

Die Appliance sendet Informationen periodisch über HTTPS an Sophos um die Stabilität zuverbessern, um Funktionen gezielt zu verfeinern und um effektiveren Schutz zu gewährleisten.Es werden keine benutzerspezifischen oder personalisierten Daten erfasst. Die Appliance sendetstandardmäßig Konfigurations- und Nutzungsdaten. Dies beinhaltet Informationen zur Appliance(z.B. Modell, Hardwareversion, Hersteller), Firmware-Version und Lizenzinformationen (keineEigentümerinformationen), genutzte Funktionen (Status, ein/aus, Anzahl, HA-Status, Status derzentralen Verwaltung), konfigurierte Objekte (z.B. Anzahl der Hosts, Richtlinien), Produktfehlerund CPU, Speicher- und Festplattennutzung (in Prozent).

23.4 Zentrale VerwaltungSophos Firewall Manager (SFM), Sophos Central Firewall Manager (CFM) oder Sophos Centralverwaltet Ihre Sophos XG Firewall (Appliance) oder zentral. Die zentrale Verwaltung ermöglicht Ihnen,Keep-Alive-Anfragen zu konfigurieren und Konfigurations- und Signaturaktualisierungen der Applianceüber den Firewall Manager zu ermöglichen.

1. Gehen Sie zu System > Verwaltung > Zentrale Verwaltung.

2. Schalten Sie Verwalten Sie Ihre Firewall über ein, um die zentrale Verwaltung zu aktivieren.

3. Wählen Sie Sophos Firewall Manager (SFM), Sophos Central Firewall Manager (CFM) oderSophos Central, um Ihre Firewall zu verwalten.


XG Firewall

23.4.1 Sophos Firewall Manager

Es gibt Einschränkungen, wenn Sie SFOS v16 Appliances von SFM v15 aus verwalten. WeitereInformationen hierzu finden Sie im Anhang E – Kompatibilität mit SFMOS 15.01.0

1. Wählen Sie Appliance-Verwaltung, um Keep-Alive-Anfragen zu aktivieren und nachKonfigurationsaktualisierungen zu suchen.

2. Klicken Sie auf Erweiterte Einstellungen und wählen Sie die Kommunikationseinstellungen ausden Optionen aus.

• Der Firewall Manager sendet Konfigurationsänderungen auf die Firewall

• Die Firewall holt sich Konfigurationsänderungen vom Firewall Manager

3. Geben Sie den HTTPS-Port auf Firewall Manager ein, über den Konfigurationsänderungengeschickt werden sollen.

4. Wählen Sie das Kommunikation Heartbeat-Protokoll, um anzugeben, wie Keep-Alive-Informationen zur Firewall gesendet werden.

HinweisWir empfehlen Syslog als Heartbeat-Protokoll einzustellen.

5. Wählen Sie Aktualisierungsverwaltung, um Signaturaktualisierungen vom Firewall Manager zuerhalten.

6. Klicken Sie auf Erweiterte Einstellungen. Geben Sie bei Firewall-Manager-Port die Portnummeran, die Sie unter den Administrator-Einstellungen des Firewall Managers angegeben haben.

Der Firewall Manager wird Signaturaktualisierungen über diesen Port senden.

23.4.2 Sophos Central Firewall Manager

Es gibt Einschränkungen, wenn Sie SFOS v16 Appliances von SFM v15 aus verwalten. WeitereInformationen hierzu finden Sie im Anhang E – Kompatibilität mit SFMOS 15.01.0


XG Firewall

1. Klicken Sie unter Appliance-Verwaltung auf Erweiterte Einstellungen und wählen Sie dieKommunikationseinstellungen aus den Optionen aus.

• Der Firewall Manager sendet Konfigurationsänderungen auf die Firewall

• Die Firewall holt sich Konfigurationsänderungen vom Firewall Manager

2. Geben Sie den HTTPS-Port auf Firewall Manager ein, über den Konfigurationsänderungengeschickt werden sollen.

3. Wählen Sie das Kommunikation Heartbeat-Protokoll, um anzugeben, wie Keep-Alive-Informationen zur Firewall gesendet werden.

HinweisWir empfehlen Syslog als Heartbeat-Protokoll einzustellen.

23.5 ZeitSie können Datum und Zeit entsprechend der Uhr der Appliance einstellen oder die Appliance miteinem NTP-Server (Network Time Protocol) synchronisieren.

1. Gehen Sie zu Verwaltung > Zeit.

2. Aktuelle Zeit zeigt Zeit und Datum der Appliance.

3. Wählen Sie die Zeitzone abhängig von dem Standort, an dem sich die Appliance befindet.

4. Wählen Sie aus den folgenden Optionen, wie Sie Zeit und Datum einstellen wollen:

• Vordefinierten NTP-Server verwenden (pool.ntp.org). Die Appliance benutzt NTP Version3 (RFC 1305). Klicken Sie auf Jetzt synchronisieren.

• Eigenen NTP-Server verwenden. Geben Sie die IPv4- oder IPv6-Adresse oder denDomänennamen ein. Sie können bis zu 10 NTP-Server konfigurieren. Zum Zeitpunkt derSynchronisierung schickt die Appliance nacheinander eine Anfrage an die konfiguriertenNTP-Server, bis sie eine gültige Antwort von einem Server erhält. Klicken Sie auf Jetztsynchronisieren.

• Wählen Sie Keinen NTP-Server verwenden, um Zeit und Datum anhand der Uhr derAppliance zu konfigurieren. Stellen Sie Datum und Zeit ein.

23.6 Benachrichtigungs-einstellungen

Benachrichtigungseinstellungen ermöglicht es Ihnen, die IP-Adresse des Mailservers, Port und E-Mail-Adresse zum Senden und Empfangen von Warn-E-Mails zu konfigurieren.


XG Firewall

Die Appliance erlaubt es Ihnen, E-Mail-Benachrichtigungen für vom System erzeugte Ereignisse undBerichte zu konfigurieren, um den Administrator zu informieren über:

• Änderung des Gateway-Status

• Änderung des HA-Linkstatus (wenn ein HA-Cluster konfiguriert ist)

• In den Status des IPsec-Tunnels ändern

1. Mailserver-Einstellungen

Klicken Sie auf Benachrichtigungen senden über:

Integrierter Mailserver

Wählen Sie die Option, wenn Sie den integrierten Mailserver von XG Firewall verwendenmöchten, um vom System erzeugte E-Mails zu versenden.

Externer Mailserver

Wählen Sie die Option, um einen externen Mailserver zu konfigurieren, der vom Systemerzeugte E-Mails sendet.

a) Geben Sie IPv4-Adresse/FQDN des Mailservers und die Portnummer ein. Standardport: 25

b) Wählen Sie Authentifizierung erforderlich, um den Benutzer zu authentifizieren, bevoreine E-Mail gesendet wird. Legen Sie Benutzername und Kennwort fest.

c) Wählen Sie den Modus Verbindungssicherheit, der für den Aufbau einer gesichertenVerbindung zwischen einem SMTP-Client und dem SMTP-Server für SMTP-E-Mailsverwendet werden soll. Verfügbare Optionen:

• Keine

• STARTTLS

• SSL/TLS

Standard: Keine

d) Wählen Sie, welches Zertifikat für die Authentifizierung durch den SMTP-Client und denSMTP-Server verwendet werden soll.

Standard: Appliance-Zertifikat

2. E-Mail-Einstellungen

Geben Sie die E-Mail-Adresse des Absenders und Empfängers an.

3. E-Mail-Benachrichtigung

Wählen Sie IPsec-Tunnel aufgebaut/unterbrochen, um den Empfang von E-Mail-Benachrichtigungen zu ermöglichen, wenn die IPsec-VPN-Tunnelverbindung unterbrochen ist.

Die E-Mail-Nachrichten werden an die konfigurierte E-Mail-Adresse gesendet.

Eine E-Mail wird nur im Fall von Host-to-Host- und Site-to-Site-Tunnelverbindungen versendet,die aus einem der folgenden Gründen getrennt sind:

• Eine Gegenstelle wurde als tot eingestuft (Dead Peer Detection, DPD)

• Nach Dead Peer Detection (DPD) konnte die Verbindung nicht erneut hergestellt werden

• IPsec Security Association (SA) ist abgelaufen und muss wiederhergestellt werden.

• IPsec-Tunnel wird ohne Eingreifen durch den Administrator nach Verlust der Verbindungwiederhergestellt.


XG Firewall

Hinweis• Bei Site-to-Site-Verbindungen mit mehreren lokalen und entfernten Netzwerken wird

eine E-Mail für jedes Subnetzpaar gesendet.

• Eine Beschreibung der IPsec-Tunnelverbindung befindet sich nur in der E-Mail, wenndiese Informationen vom Administrator zur Verfügung gestellt wurden.

• E-Mails werden bei einem Abstand von 60 Sekunden versendet, um die Anzahl der E-Mails gering zu halten. Ereignisse, die innerhalb dieses Intervalls geschehen, werden alseine E-Mail gesendet.

4. Test-E-Mail

Klicken Sie hier, um eine Vorschau zu sehen und die Details der E-Mail-Adresse zu bearbeiten.

Klicken Sie auf Senden.

HinweisDie Mailserver-Konfiguration ändert sich automatisch, wenn sie über den Netzwerk-Konfigurationsassistenten geändert wird, und andersherum.

23.7 NetflowNetflow erlaubt Ihnen, Netflow-Server hinzuzufügen, zu aktualisieren oder zu löschen. Die Appliancebietet Netflow, ein Netzwerk-Protokoll, um Netzwerkbandbreitennutzung und -verkehrsfluss zuüberwachen. Netflow-Aufzeichnungen von Quelle, Ziel und Volumen des Verkehrs werden anden Netflow-Server exportiert. Die Aufzeichnungen helfen Ihnen dabei, die Protokolle, Richtlinien,Schnittstellen und Benutzer zu identifizieren, die viel Bandbreite verbrauchen. Werkzeuge, die Datenanalysieren, wie Open Source Data Analyzer und PRTG Software, können Berichte aus den Netflow-Aufzeichnungen erzeugen.

Netflow-Konfiguration

1. Geben Sie den Netflow Servernamen ein.

2. Geben Sie die Netflow Server-IP/Domäne ein. Sie können IPv4- oder IPv6-Adressen eingeben.

3. Geben Sie die Netflow Server-Port-Nummer ein (UDP-Port). Aufzeichnungen werden über denangegebenen Port an den Netflow-Server gesendet.

Standard: 2055

HinweisEs wird nur Verkehr von Firewallregeln an den Netflow-Server gesendet, welche Firewallverkehrprotokollieren aktiviert haben.

HinweisSie können bis zu fünf Netflow-Server konfigurieren.


XG Firewall

HinweisSophos unterstützt Netflow Version 5. Sie können alle Parameter von Version 5 exportieren.

23.8 Meldungen

Verwenden Sie Meldungen, um Benutzer zu benachrichtigen und über Warnungen zu informieren.

Sie können Meldungen von bis zu 256 Zeichen an einzelne oder mehrere Benutzer gleichzeitigversenden.

Sie können die Meldung bearbeiten

( ),Änderungen speichern

oder auf die Standardmeldung zurücksetzen

.

Sie können Benachrichtigungen zu folgenden Ereignissen versenden:

• Authentifizierung: An- und Abmeldebestätigung, Anmeldefehlversuch undVerbindungsunterbrechung

• SMTP: Blockierte und empfangene E-Mails

• Verwaltung: Nutzungsbedingungen für die Anmeldung des Administrators

• SMS-Anpassung: Anmeldeinformationen zu Gastbenutzern

23.9 SNMPSNMP (Simple Network Management Protocol) ermöglicht es Ihnen, Sophos XG Firewall alsSNMP-Agent zu konfigurieren. Die Appliance antwortet auf mehrere SNMP-Manager innerhalbder vordefinierten Communities. Sie können mehrere Firewall-Appliances in IP-Netzwerken aufGeräteverfügbarkeit, CPU, Speicher- und Festplattennutzung, Verfügbarkeit von kritischen Diensten,etc. überwachen. Die Appliance speichert die Informationen in einer Management Information Base(MIB) und antwortet auf SNMP GET-Befehle an die MIB. Klicken Sie hier um die Sophos MIB-Dateiherunterzuladen. Sie sendet auch SNMP-Traps (Warnungen) an den SNMP-Manager.

SNMP sammelt Informationen auf zwei Arten:

• SNMP fragt bei den Agents nach.

• Agents senden Traps an den SNMP-Manager.

SNMP-Community besteht aus einem Manager und einer Gruppe von Agents. Agents können zumehreren SNMP-Communities gehören. Die Community legt fest, wohin Daten gesendet werden.Ein Agent reagiert nicht auf Anfragen von Management-Stationen, die nicht zu seinen Communitiesgehören. Sie müssen für jede Community eine Trap-Version angeben. Jede Community kannSNMPv1 und SNMPv2c unterstützen. Sophos XG Firewall unterstützt IPv4- und IPv6-Adressen.

Agent-Konfiguration ermöglicht Ihnen, die Details zum Agent zu konfigurieren.

Community zeigt eine Liste aller Communities an. Sie können hier Communities hinzufügen,aktualisieren oder löschen.


https://www.sophos.com/en-us/medialibrary/PDFs/documentation/SophosFirewall/Other-documents/SOPHOS-MIB.txt?la=en

XG Firewall

SNMP MIB Unterstützung (siehe RFC 1210)

Tabelle 35: OIDs (Object Identifiers)

OID-Wert OID-Name Beschreibung

1.3.6.1.2.1.1.1 sysDescr Agent-Beschreibung

1.3.6.1.2.1.1.2 sysObjectID Sophos Unternehmens-OID für Firewall

1.3.6.1.2.1.1.3 sysUpTime Zeit seit Inbetriebnahme derNetzwerkverwaltungseinheit

1.3.6.1.2.1.1.4 sysContact Administrator-Kontaktdaten

1.3.6.1.2.1.1.5 sysName Administratorname

1.3.6.1.2.1.1.6 sysLocation Ort der Firewall

1.3.6.1.2.1.1.7 sysServices Dienste, die von der Firewallbereitgestellt werden. Standardwert: 0

1.3.6.1.2.1.2.1 ifNumber Anzahl der auf der Firewall befindlichenSchnittstellen

1.3.6.1.2.1.2.2 ifTable Liste der Schnittstelleneinträge

1.3.6.1.2.1.2.2.1 ifEntry Objekte auf Subnetzebene der Firewalloder darunter

1.3.6.1.2.1.2.2.1.1 ifIndex Eindeutiger Wert der Schnittstelle

1.3.6.1.2.1.2.2.1.2 ifDescr Schnittstellenname

1.3.6.1.2.1.2.2.1.3 ifType Schnittstellen-Typ

1.3.6.1.2.1.2.2.1.4 ifMtu MTU-Größe

1.3.6.1.2.1.2.2.1.5 ifSpeed Schnittstellengeschwindigkeit

1.3.6.1.2.1.2.2.1.6 ifPhysAddress Schnittstellenadresse

1.3.6.1.2.1.2.2.1.7 ifAdminStatus Gewünschter Zustand der Schnittstelle

1.3.6.1.2.1.2.2.1.8 ifOperStatus Betriebszustand der Schnittstelle

1.3.6.1.2.1.2.2.1.9 ifLastChange sysUpTime zu der die Schnittstelleihren aktuellen Betriebszustand erreichthat

1.3.6.1.2.1.2.2.1.10 ifInOctets Anzahl an Bytes, die auf derSchnittstelle ankamen, einschließlichFramingzeichen

1.3.6.1.2.1.2.2.1.11 ifInUcastPkts Anzahl an Subnetzwerk-Unicastpaketen

1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts Anzahl an Subnetzwerk-Nicht-Unicastpaketen

1.3.6.1.2.1.2.2.1.13 ifInDiscards Anzahl an verworfenen eingehendenPaketen

1.3.6.1.2.1.2.2.1.14 ifInErrors Anzahl an eingehenden Paketen mitFehlern


XG Firewall

OID-Wert OID-Name Beschreibung

1.3.6.1.2.1.2.2.1.15 ifInUnkownProtos Anzahl an verworfenen Paketenaufgrund von unbekanntem oder nichtunterstütztem Protokoll

1.3.6.1.2.1.2.2.1.16 ifOutOctets Anzahl an Bytes, die von derSchnittstelle versendet wurden,einschließlich Framingzeichen

1.3.6.1.2.1.2.2.1.17 ifOutUcastPkts Anzahl an Paketen, die an eineSubnetzwerk-Unicastadresseübertragen wurden

1.3.6.1.2.1.2.2.1.18 ifOutNUcastPkts Anzahl an Paketen, die an eineSubnetzwerk-Nicht-Unicastadresseübertragen wurden

1.3.6.1.2.1.2.2.1.19 ifOutDiscards Anzahl an ausgehenden, verworfenenPaketen

1.3.6.1.2.1.2.2.1.20 ifOutErrors Anzahl an Paketen, die aufgrundvon Fehlern nicht übertragen werdenkonnten

1.3.6.1.2.1.2.2.1.21 ifOutQLen Länge der Schlange der zu sendendenPakete

1.3.6.1.2.1.2.2.1.22 ifSpecific Dokument, in dem Ethernet-spezifischeObjekte definiert sind

23.9.1 Konfiguration des SNMP-Agents

SNMP-Agent-Konfiguration ermöglicht Ihnen, die Appliance als SNMP-Agent zu konfigurieren.

1. Gehen Sie zu Verwaltung > SNMP.

2. Auswählen, um den SNMP-Agent einzuschalten.



5. Geben Sie den physikalischen Standort der Appliance ein.

6. Geben Sie die Kontaktdaten der Person an, die für die Verwaltung der Appliance verantwortlich ist.

7. Der Agent-Port verwendet den UDP-Port 161. Dieser Port erhält GET-Anfragen von den SNMP-Managern.

8. Legen Sie den Manager-Port fest, über den der SNMP-Manager Warnungen/Traps vom SNMP-Agent erhält.

Standard: 162

23.9.2 Community hinzufügen

1. Gehen Sie zu Verwaltung > SNMP und klicken Sie auf Hinzufügen.



4. Geben Sie die IP-Adresse (IPv4-/IPv6) des SNMP-Managers ein.


5. Wählen Sie die SNMP-Protokollversion. SNMP v1- und v2c-konforme SNMP-Manager verfügenüber einen schreibgeschützten Zugriff auf die Systemdaten der Appliance und können Traps vonder Appliance empfangen.

6. Wählen Sie, welche Trap-Version unterstützt wird. Traps werden nur an SNMP-Manager gesendet,welche die angegebenen Versionen unterstützen.


Kapitel 24

24 Sicherung & Firmware

24.1 Sicherung & Firmware

Sicherungen sind wesentlich für den Schutz von Daten. Ganz gleich, wie gut Ihr System verwaltetund gewartet wird, Sie können sich nie darauf verlassen, dass Ihre Daten sicher sind, vor allem dannnicht, wenn sie nur an einem einzigen Ort gespeichert werden.

Sicherungen sind notwendig, um Daten nach einem Festplattenausfall, versehentlicher Löschungoder Dateibeschädigung wiederherzustellen. Es gibt viele Möglichkeiten, Sicherungen zu machen,und genauso viele Medien, die sich dafür eignen.

Eine Sicherung beinhaltet alle Richtlinien und alle sonstigen benutzerbezogenen Informationen.Es ist ratsam, regelmäßig Sicherungen der Gerätekonfiguration zu erstellen, insbesonderebevor und nachdem Sie bedeutende Änderungen vornehmen und vor einem Firmware-Upgrade.Gerätebackups enthalten vertrauliche Informationen und sind wichtig. Stellen Sie sicher, dass Sieentsprechend mit ihnen umgehen.

Die Appliance macht es einfach, Sicherungen ausschließlich von Systemdaten zu machen, entwederdurch geplante automatische Sicherungen oder durch eine manuelle Sicherung.

Nachdem eine Sicherung erstellt wurde, muss die Datei für die Wiederherstellung der Sicherunghochgeladen werden, um die Konfiguration wiederherzustellen.

Im Folgenden sind die Bildschirmelemente mit Beschreibung aufgeführt:

Sicherung

Sicherungsmodus Hier wählen Sie aus, wie und wohinSicherungsdateien gesendet werden sollen.


Lokal – Es wird eine Sicherung gemacht undauf XG Firewall selbst gespeichert. FTP –Konfigurieren Sie die IP-Adresse des FTP-Servers (IPv4/IPv6), Anmeldedaten und denFTP-Pfad. E-Mail – Konfigurieren Sie die E-Mail-Adresse, an die die Sicherung gesendet werdensoll. Sie können mehrere E-Mail-Adressenkonfigurieren.

Sicherungspräfix Legen Sie ein Präfix für denSicherungsdateinamen fest. Das Formatfür den Namen der Sicherungsdatei siehtfolgendermaßen aus:

• Mit Präfix: <Prefix>_Backup_<DeviceKey>_<timestamp>

Zum Beispiel:

Dallas_Backup_ABCDEY190_26Nov2014_12.09.24

XG Firewall

NY_Backup_ABCDEY190_26Nov2014_12.09.24

• Ohne Präfix (Standard): Backup_<DeviceKey>_<timestamp>

Zum Beispiel:

Backup_ABCDEY190_26Nov2014_12.09.24

Wird kein Präfix angegeben, wird für dieSicherungsdatei das Standardformat verwendet.

Das Sicherungspräfix ist nützlich, wenn SieSicherungen von mehreren Appliances machen.

Frequenz Legen Sie die Häufigkeit fürSystemdatensicherungen fest.

Im Allgemeinen empfiehlt es sich, Sicherungenmithilfe eines Zeitplans regelmäßigdurchzuführen. Der Zeitplan kann sich danachrichten, wie viele Informationen hinzukommenoder geändert werden.


Nie – Es wird überhaupt keine Sicherunggemacht Täglich – Sicherung wird jeden Taggemacht Wöchentlich – Sicherung wird jedeWoche gemacht Monatlich – Sicherung wirdjeden Monat gemacht

Zeitplan: Legen Sie Tag/Datum und Uhrzeitfür tägliche, wöchentliche und monatlicheSicherungen fest.

Jetzt Daten sichern Klicken Sie hier, um die Systemdaten bis heute zusichern.

Herunterladen (Nur für lokalenSicherungsmodus)

Anklicken, um die neueste Sicherungherunterzuladen, die zum Hochladen zurVerfügung steht.

Sicherung wiederherstellen

Konfiguration wiederherstellen Um den kompletten Pfad der Sicherungsdateiauszuwählen, die wiederhergestellt werden soll,klicken Sie auf das Symbol für die Dateiauswahl.

Hochladen und Wiederherstellen Klicken Sie hier, um die Konfigurationhochzuladen und wiederherzustellen.

HinweisDie Wiederherstellung von Daten, die ältersind als die aktuellen Daten, führt zu einemVerlust der aktuellen Daten.


XG Firewall

24.2 API

Die Schnittstelle zur Anwendungsprogrammierung (API) ist eine Schnittstelle, über dieFremdanwendungen mit der Appliance kommunizieren können. Auf dieser Seite kann derAdministrator Benutzer anmelden und abmelden.

API-Konfiguration

API-Konfiguration Ist diese Funktion aktiviert, dürfen nur autorisierteFremdlösungsanbieter wie Internetdienstanbieteroder Systemintegratoren die API für denAnmeldungs-/Abmeldungsvorgang nutzen.


Zugelassene IP-Adresse Fügen Sie die IP-Adressen hinzu, die XMLAnmeldungs- und Abmeldungsanfragen stellendürfen.

Sie können IP-Adressen nur hinzufügen, wenn„API-Konfiguration“ aktiviert ist.

API Explore

XML-String anfordern Geben Sie den XML-Inhalt an, der dieKonfigurationen zum An- und Abmelden derBenutzer enthält.

Parsen und anwenden Klicken Sie hier, um den XML-Inhalt zu parsenund die Konfigurationen anzuwenden.

Beispiel für XML-Anfragecode

Bei allen Anfragen wird die XML-Antwort in einem Popup-Fenster angezeigt.

<Request><LiveUserLogin><UserName>sophos</UserName><Password>sophos</Password><IPAddress>10.21.18.15</IPAddress><MacAddress>00:0C:29:2D:D3:AC</MacAddress> </LiveUserLogin></Request>

<Request><LiveUserLogout><Admin><UserName>admin</UserName><Password>admin</Password></Admin><UserName>sophos</UserName><IPAddress>10.21.18.15</IPAddress></LiveUserLogout></Request>

Bei Versionen vor 10.6.1 MR-1

<Request><LiveUserLogout><UserName>sophos</UserName><IPAddress>10.21.18.15</IPAddress></LiveUserLogout></Request>


XG Firewall

Klicken Sie auf den nachfolgenden Link, um die API zu verwenden:

https://<Sophos IP>:<port>/webconsole/APIController?reqxml=<Add the XML request here>

HinweisDer Port, den Sie in der URL angeben, sollte derselbe sein wie der Port, den Sie als Web-Admin-Oberfläche HTTPS-Port unter Verwaltung > Admin-Einstellungen angegeben haben.

Zum Beispiel:

https://<Sophos IP>:4444/webconsole/APIController?reqxml=<Request><LiveUserLogin><UserName>sophos</UserName><Password>sophos</Password><IPAddress>10.21.18.15</IPAddress><MacAddress>00:0C:29:2D:D3:AC</MacAddress></LiveUserLogin></Request>

HinweisWenn sich der Benutzer mit der API anmeldet, wird als Clienttyp des Benutzers API-Client aufder Seite Live-Benutzer angezeigt.

24.3 Import/Export

Sie können die Gerätekonfiguration ganz oder teilweise zwischen kompatiblen Geräten gleichenoder unterschiedlichen Modells exportieren und importieren. Die Gerätekonfiguration wird in eineTextdatei im menschenlesbaren Format XML exportiert. Bei Bedarf können Sie sie auch offlineaktualisieren.

Import

Zu importierende Datei Um den kompletten Pfad der tar-Dateiauszuwählen, die importiert werden soll, klickenSie auf das Symbol für die Dateiauswahl.

Importieren Klicken Sie hier, um die Konfiguration auf dieAppliance zu importieren.

Die vorhandene Konfiguration der Appliancewird beibehalten. Objekte mit demselbenNamen in der vorhandenen Konfigurationwerden mit der importierten Objektkonfigurationaktualisiert und neue Objekte werdenhinzugefügt.

Zum Beispiel:

Wenn Sie eine Netzwerkdatenkontingent-Richtlinie mit dem Namen „Täglich 10 MB“in der vorhandenen und in der importiertenKonfiguration haben, wird die vorhandeneRichtlinienkonfiguration mit der importierten


XG Firewall

Konfiguration aktualisiert. Alle neuen Richtlinienin der importierten Konfiguration werdenebenfalls hinzugefügt.

Export

Vollständige Konfiguration exportieren Hier exportieren Sie die Konfiguration allerObjekte in eine Textdatei.

Ausgewählte Konfiguration exportieren Hier exportieren Sie nur die Konfigurationausgewählter Objekte. Klicken Sie auf NeuesElement hinzufügen, um Objekte auszuwählenund die ausgewählten Objekte hinzuzufügen.

Zugehörige Objekte des ausgewählten Objektswerden ebenfalls exportiert, wenn ZugehörigesObjekt einschließen ausgewählt wird.

Exportieren Klicken Sie hier, um die Konfiguration von derAppliance zu exportieren.

24.4 Firmware

HinweisDiese Funktion ist nicht verfügbar in Sophos Firewall Manager.

Auf der Seite Firmware können Sie die Firmware-Versionen Ihrer Appliance verwalten. Dieseermöglicht es auch, Hotfixes zu installieren und die Standardkonfigurationssprache der Applianceauszuwählen.

Der Bereich Firmware zeigt eine Liste der Firmware-Versionen an, die heruntergeladen wurden. Esstehen immer maximal zwei Firmware-Versionen gleichzeitig zur Verfügung, wobei eine der beidenaktiv ist.

Firmware hochladen Klicken Sie auf

,um die neue Firmware hochzuladen. Klicken Sieim Dialogfenster auf Durchsuchen. Klicken Sieauf Firmware hochladen, um die Image-Dateider Firmware hochzuladen. Die hochgeladeneFirmware wird nach dem nächsten Neustart aktiv.

Klicken Sie auf Hochladen & Neustart um dasFirmware-Image hochzuladen und die Applianceneu zu starten. Die Maßnahme führt ein Upgradeder Appliance auf die neue Version durch,schließt alle Sitzungen, startet die Appliance neuund zeigt die Anmeldeseite an. Der Vorgang kanneinige Minuten dauern, da er die Migration dergesamten Konfiguration beinhaltet.


XG Firewall

Zum Zeitpunkt des Hochladens der neuenFirmware könnte der Fehler „Neue Firmwarekonnte nicht hochgeladen werden“ auftreten.Dies kann folgende Gründe haben:

1. Falsche Upgrade-Datei – Sie versuchen diefalsche Upgrade-Datei hochzuladen, z.B.eine vorherige Firmware-Version.

2. Falsches Firmware-Image - Sie versuchendas falsche Firmware-Image für IhrAppliance-Modell hochzuladen. AlleFirmwares sind modellspezifisch und nichtaustauschbar. Das bedeutet, dass dieFirmware eines Modells nicht auf einemanderen Modell anwendbar ist. Ein Fehlerwird beispielsweise angezeigt, wenn einUpgrade für das Appliance-Modell XG125mit der Firmware für das Modell XG750durchgeführt werden soll.

3. Inkompatible Firmware - Sie versuchen eineinkompatible Firmware hochzuladen.

4. Änderungen an der Appliance-Hardware –Ihre Appliance-Hardware-Konfiguration istnicht die Standard-Hardware-Konfiguration.Kontaktieren Sie den Support fürUnterstützung.

5. Beschädigte Firmware – Die von Ihnenheruntergeladene Firmware ist beschädigt.

Firmware-Image neu starten Klicken Sie auf

,um das Upgrade der Appliance auf dashochgeladene Firmware-Image auszuführen.Die Maßnahme führt ein Upgrade der Applianceauf die neue Version durch, schließt alleSitzungen, startet die Appliance neu und zeigt dieAnmeldeseite an.

Appliance mit Werkseinstellung neu starten Klicken Sie auf

,um die Appliance neu zu starten und dieStandardkonfiguration zu aktivieren.

HinweisWenn Sie mit der Werkseinstellung neustarten, geht die aktuelle Konfigurationverloren. Erstellen Sie eine Sicherung, bevorSie auf diese Option klicken.

Aktiv Das Aktiv-Symbol

bei einer Firmware-Version zeigt an, dass dieAppliance momentan diese Firmware verwendet.


XG Firewall

Neueste verfügbare Firmware (nicht verfügbar in Sophos Firewall Manager)

Nach neuer Firmware suchen Anklicken, um die neue Firmware zu sehen, fallsverfügbar.

Firmware-Version Zeigt die Liste der Firmware-Versionen an, diezum Herunterladen bereit stehen.

Typ Zeigt den Typ jeder Firmware an.

Verfügbare Optionen:BetaGA

Maßnahmen Klicken Sie auf Herunterladen, um die Firmwareherunterzuladen. Klicken Sie nach dem Downloadauf Installieren.

Sophos XG Firewall Hotfix

Automatische Installation von wichtigenSicherheitsaktualisierungen zulassen

Hotfixes werden automatisch installiert, wennsie verfügbar sind. Deaktivieren Sie dasAuswahlkästchen, wenn Sie sie nicht automatischanwenden möchten.

Klicken Sie auf Übernehmen, um Ihre Auswahlzu speichern.

Standard: Aktiviert

Auf Werkseinstellungen zurücksetzen mit der Standardkonfigurationssprache

Standardkonfigurationssprache Wählen Sie die Standardsprache für dieKonfiguration aus. Wenn Sie eine andere Spracheauswählen, startet sich die Appliance neu undkehrt zu den Werkseinstellungen zurück. AlleAnpassungen werden entfernt.

Die Sprache der Web-Admin-Oberfläche kannsich von der Standard-Konfigurationsspracheunterscheiden. Wenn Sie eine andere Web-Admin-Oberflächensprache auswählen,werden Menüs und Bezeichnungen inder ausgewählten Sprache angezeigt,während durch das Auswählen einer anderenStandardkonfigurationssprache Menüs,Bezeichnungen, Standardrichtlinien und derenBeschreibungen in der ausgewählten Spracheangezeigt werden.

Standard: Englisch


• Englisch

• Hindi

• Chinesisch – Traditionell

• Chinesisch – Vereinfacht

• Französisch

• Japanisch


XG Firewall

HinweisErstellen Sie eine Sicherung, bevor Sie eineandere Sprache auswählen, da die gesamteKonfiguration verloren geht. Die Appliancestellt die Sicherung in der Sprache wiederher, die zum Zeitpunkt der Sicherung aktivwar.

24.5 Pattern-Updates

Auf dieser Seite wird der Status der Patterns angezeigt, die von den die verschiedenen ModulenIhrer Appliance wie Sophos AV, IPS und Anwendungssignaturen oder WAF verwendet werden. Aufder Seite können Sie zudem die Patterns aktualisieren oder ein Zeitintervall für das automatischeUpdate einstellen. Patterns werden standardmäßig automatisch aktualisiert.

Status der Updates

Pattern Name des Pattern.

Aktuelle Version Version des verwendeten Pattern.

Verfügbare Version Upgrade-Version, falls verfügbar.

Letzte erfolgreiche Aktualisierung Zeigt Datum und Uhrzeit des letzten erfolgreichenUpdates an.

Status Zeigt den Status des Pattern an.

• Bereit zur Installation

• Erfolgreich

• Download läuft

• Fehlgeschlagen

Pattern jetzt aktualisieren Klicken, um die Pattern-Definitionen zuaktualisieren.

Pattern-Download/-Installation

Autom. Aktualisierung Um die Pattern-Definitionen automatisch zuaktualisieren, klicken Sie auf Auto-Update.

Firmware-Updates für RED und Access Pointswerden automatisch heruntergeladen und eineBenachrichtigung wird angezeigt. Sie müssendiese Updates manuell installieren. Gewöhnlichstartet RED oder der AP nach der Installationneu. Verbindungen zu REDs oder APs werdenwährenddessen unterbrochen und im Anschlusswiederhergestellt.

Intervall (nur verfügbar, wenn Auto-Update anist)

Zeitrahmen, innerhalb welchem SieAktualisierungen erhalten möchten.



XG Firewall

• Jede Stunde

• Alle 2 Stunden

• Alle 4 Stunden

• Alle 12 Stunden

• täglich

• Alle 2 Tage


XG Firewall

Kapitel 25

25 ZertifikateSie können Zertifikate, CAs und Zertifikatsperrlisten hinzufügen.

25.1 Zertifikate

Digitale Zertifikate verifizieren die Eigentümerschaft eines Benutzers oder Computers (Beispiel:VPN) oder einer Organisation (Beispiel: Websites) über das Internet. Sie werden über eineZertifizierungsstelle (CA) ausgegeben. Zertifikatsignierungsanforderungen (CSR) ermöglichenes Ihnen, die benötigten Informationen für eine CA zur Verfügung zu stellen, um ein Zertifikatauszustellen. CAs stellen Zertifikate aus, die den öffentlichen Schlüssel des Eigentümers, dieGültigkeitsdauer des Zertifikats, Eigentümerinformationen und den privaten Schlüssel enthaltenkönnen. Die Verifizierung wird durch den privaten Schlüssel komplettiert, der dem Eigentümergehört.

Zertifikate werden zurückgezogen, wenn der private Schlüssel verloren gegangen ist, gestohlenoder aktualisiert wurde. CAs führen eine Liste der gültigen und zurückgezogenen Zertifikate.Selbstsignierte Zertifikate, die zurückgezogen wurden, werden automatisch der Zertifikatsperrliste(CRL) hinzugefügt.

Die Appliance ermöglicht Ihnen:

• selbstsignierte Zertifikate zu erzeugen, Zertifikate von Drittanbietern hochzuladen oder eine CSRzu erzeugen.

• die Appliance als CA zu verwenden oder eine externe CA hinzuzufügen.

• selbstsignierte Zertifikate zurückzuziehen oder externe Zertifikatsperrlisten hochzuladen.

25.1.1 Zertifikat hinzufügen

Zertifikat hinzufügen ermöglicht es Ihnen, ein Zertifikat hochzuladen, ein selbstsigniertes Zertifikat zuerzeugen oder eine Zertifikatsignierungsanforderung (CSR) zu erzeugen.

1. Gehen Sie zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

2. Wählen Sie aus den folgenden Optionen.

• Zertifikat hochladen

• Selbstsigniertes Zertifikat erzeugen

• Zertifikatsignierungsanforderung (CSR) erzeugen

Zertifikat hochladen

1. Geben Sie den Zertifikatnamen ein.

2. Wählen Sie das Format der Zertifikatdatei.

PEM (.pem): Base64-codierte Form der DER-Zertifikate. Zertifikat und privater Schlüssel werdenin unterschiedlichen Dateien gespeichert.


XG Firewall

DER (.der): Binäre Form des PEM-Zertifikats das auf der Java Plattform verwendet wird.Zertifikat und privater Schlüssel werden in unterschiedlichen Dateien gespeichert.

PEM (.pem): Base64-codierte Form der DER-Zertifikate. Zertifikat und privater Schlüssel werdenin unterschiedlichen Dateien gespeichert.

DER (.der): Binäre Form des PEM-Zertifikats das auf der Java Plattform verwendet wird.Zertifikat und privater Schlüssel werden in unterschiedlichen Dateien gespeichert.

CER (.cer): Binäre Form. Beinhaltet Informationen über den Zertifikateigentümer und öffentlicheund private Schlüssel.

PKCS7 (.p7b): ASCII-Code. Enthält das Zertifikat aber nicht den privaten Schlüssel.

PKCS12 (.pfx oder .p12): Binäre Form, die auf Windows-Plattformen verwendet wird. Speichertden privaten Schlüssel mit dem öffentlichen Schlüssel.

3. Laden Sie das Zertifikat und den privaten Schlüssel hoch.

4. Geben Sie das CA-Kennwort ein und nochmals zur Bestätigung.


Selbstsigniertes Zertifikat erzeugen

1. Gehen Sie zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

2. Legen Sie als Maßnahme Selbstsigniertes Zertifikat erzeugen fest.

3. Zertifikatdetails

a) Geben Sie den Zertifikatnamen ein.

b) Legen Sie die Gültigkeitsdauer des Zertifikats fest.

Standard: 1 Tag

c) Wählen Sie die Anzahl der Bits, aus denen der Schlüssel besteht.

HinweisLängere Schlüssel bieten mehr Sicherheit, aber benötigen länger um Daten zu ver- oderentschlüsseln.

Standard: 2048

d) Auswählen, um den Schlüssel zu verschlüsseln. Geben Sie das Kennwort oder den verteiltenSchlüssel an und bestätigen Sie es

e) Legen Sie die Zertifikat-ID für eine der folgenden Optionen fest:

• DNS

• IP-Adresse (IPv4-/IPv6-Adresse)

• E-Mail

• DER ASN1 DN (X.509)

4. Identifizierungseigenschaften

a) Wählen Sie das Land, in dem die Appliance eingesetzt wird.

b) Geben Sie das Bundesland/die Provinz ein.

c) Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.

d) Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).


XG Firewall

e) Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).

f) Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).

g) Geben Sie die E-Mail-Adresse der Kontaktperson an.

5.

Zertifikatsignierungsanforderung (CSR) erzeugen

Die Appliance ermöglicht es Ihnen, Zertifikatsignierungsanforderungen zu erzeugen, die an eine CAgesendet werden können.

1. Gehen Sie zu Zertifikate und klicken Sie auf Hinzufügen.

2. Legen Sie als Maßnahme Zertifikatsignierungsanforderung (CSR) erzeugen fest.

3. Zertifikatdetails

a) Geben Sie den Zertifikatnamen ein.

b) Legen Sie die Gültigkeitsdauer des Zertifikats fest.

Standard: 1 Tag

c) Wählen Sie die Anzahl der Bits, aus denen der Schlüssel besteht.

HinweisLängere Schlüssel bieten mehr Sicherheit, aber benötigen länger um Daten zu ver- oderentschlüsseln.

Standard: 2048

d) Auswählen, um den Schlüssel zu verschlüsseln. Geben Sie das Kennwort oder den verteiltenSchlüssel an und bestätigen Sie es

e) Legen Sie die Zertifikat-ID für eine der folgenden Optionen fest:

• DNS

• IP-Adresse (IPv4-/IPv6-Adresse)

• E-Mail

• DER ASN1 DN (X.509)

4. Identifizierungseigenschaften

a) Wählen Sie das Land, in dem die Appliance eingesetzt wird.

b) Geben Sie das Bundesland/die Provinz ein.

c) Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.

d) Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).

e) Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).

f) Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).

g) Geben Sie die E-Mail-Adresse der Kontaktperson an.



XG Firewall

Nachdem das Zertifikat erstellt wurde, müssen Sie es herunterladen und an die entfernteGegenstelle übermitteln, zu der die Verbindung aufgebaut werden soll.

25.1.2 Zertifikat herunterladen

Die Appliance ermöglicht es Ihnen, selbstsignierte Zertifikate und Zertifikatsignierungsanforderungenherunterzuladen.

1. Gehen Sie zu Zertifikate > Zertifikate.

2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Zertifikat auf

.Das Zertifikat wird als .tar.gz-Datei heruntergeladen.

25.1.3 Zertifikat zurückziehen

1. Gehen Sie zu Zertifikate > Zertifikate.

2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Zertifikat auf

.Sie können verloren gegangene, gestohlene oder aktualisierte selbstsignierte Zertifikatezurückziehen.

Zurückgezogene Zertifikate werden automatisch zur Zertifikatsperrliste (CRL) hinzugefügt.

25.2 Zertifizierungsstelle (CA)CAs sind vertrauenswürdige Stellen, die digitale Zertifikate ausgeben, welche Benutzer, Hosts oderOrganisationen als Eigentümer ausweisen. Die Eigentümerschaft wird durch einen öffentlichenSchlüssel, Informationen über den Eigentümer und einen privaten Schlüssel nachgewiesen.

Die Appliance ermöglicht es Ihnen, ein lokales CA zu erzeugen oder externe CAs zu importieren. Alsexterne CAs stehen Verisign, Entrust und Microsoft zur Auswahl.

Die Standardzertifizierungsstelle wird automatisch neu erzeugt, wenn sie aktualisiert wird.

25.2.1 Zertifizierungsstelle hinzufügen

1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA) und klicken Sie auf Hinzufügen.

2. Geben Sie den Namen der CA ein.

3. Wählen Sie das Format des Stammzertifikats aus. Das Zertifikat und der private Schlüssel werdenin unterschiedlichen Dateien gespeichert.

4. Laden Sie das Zertifikat und den privaten Schlüssel hoch.




XG Firewall

25.2.2 CAs herunterladen

Sie können lokale CAs herunterladen, um diese an die entfernte Gegenstelle für denVerifizierungsprozess weiterzuleiten.

1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA).

2. Klicken Sie auf

,um die zip-Datei herunterzuladen.

25.2.3 Standard-CA aktualisieren

Auf der Seite Standard-CA-Parameter bearbeiten können Sie die Daten für die Zertifizierungsstellebearbeiten.


2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Standardzertifikat auf

.

3. Der Name der CA kann für die Standard-CA nicht geändert werden.

4. Wählen Sie das Land, in dem die Appliance eingesetzt wird.

5. Geben Sie das Bundesland/die Provinz ein.

6. Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.

7. Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).

8. Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).

9. Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).

10. Geben Sie die E-Mail-Adresse der Kontaktperson an.



25.2.4 Zertifizierungsstelle (CA) neu erzeugen


2. Um das Standardzertifikat wiederherzustellen, gehen Sie zur Spalte Verwalten und klicken Sie auf

.

HinweisWenn Sie die Standard-CA aktualisieren, wird sie automatisch neu erzeugt.


XG Firewall

25.3 ZertifikatsperrlistenZertifikate können zurückgezogen werden, wenn der Schlüssel oder die CA kompromittiert wurde oderdas Zertifikat nicht länger für den eigentlichen Zweck gilt. CAs führen eine Liste zurückgezogenerZertifikate.

Sie können eine Zertifikatsperrliste (CRL) einer externen CA hochladen. Selbstsignierte Zertifikate,die zurückgezogen wurden, werden automatisch der Zertifikatsperrliste (CRL) hinzugefügt.

25.3.1 CRL hinzufügen

Mit CRL hinzufügen können Sie die Zertifikatsperrliste einer externen CA hochladen.

1. Gehen Sie zu Zertifikate > Zertifikatsperrlisten und klicken Sie auf Hinzufügen.

2. Geben Sie den CRL Namen ein und laden Sie die CRL-Datei hoch.


25.3.2 CRL herunterladen

Wenn Sie eine CA hinzufügen, wird eine Standard-CRL-Datei namens default.tar.gz erzeugt.

1. Gehen Sie zu Zertifikate > Zertifikatsperrlisten.

2. Klicken Sie bei der CRL auf Download, um die zip-Datei herunterzuladen.


XG Firewall

Anhang A

A ProtokolleDie Firewall bietet umfassende Protokollfunktionen für Datenverkehr, Systemaktivitäten-und Netzwerkschutz. Protokolle beinhalten Analysen der Netzwerkaktivität, mit denen SieSicherheitsprobleme identifizieren und die gefährdende Nutzung Ihres Netzwerk verringern können.Sie können Protokolle an einen Syslog-Server senden oder sie mithilfe der Protokollansicht einsehen.

Beispielprotokolle

6/12/2015 1:46 PM,Info,10.20.22.173,timezone=""IST"" device_name=""SG135"" device_id=SFDemo1234567890 log_id=062009617501 log_type=""Event"" log_component=""GUI"" log_subtype=""Admin"" status=""Successful"" priority=Information user_name=""admin"" src_ip=10.20.20.15 SSL_VPN_POLICY_NAME='RA' message=""SSL VPN Policy 'RA' was added by 'admin' from '10.20.20.15' using 'GUI'""

6/9/2015 1:29 PM,Info,10.20.22.172,timezone=""IST"" device_name=""SG135"" device_id=SFDemo1234567890 log_id=010302602002 log_type=""Security Policy"" log_component=""Appliance Access"" log_subtype=""Denied"" status=""Deny"" priority=Information duration=0 fw_rule_id=0 policy_type=0 user_name="""" user_gp="""" iap=0 ips_policy_id=0 appfilter_policy_id=0 application="""" application_risk=0 application_technology="""" application_category="""" in_interface=""eth0"" out_interface="""" src_mac=00:90:fb:37:6e:0e src_ip=10.20.21.89 src_country_code= dst_ip=10.20.23.255 dst_country_code= protocol=""UDP"" src_port=137 dst_port=137 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype="""" srczone="""" dstzonetype="""" dstzone="""" dir_disp="""" connid="""" vconnid="""" hb_health=""No Heartbeat""

Zugehörige KonzepteDatenanonymisierung (Seite 487)Mit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.

A.1 Protokoll-IDProtokolle werden über eine Protokoll-ID identifiziert.

Die Protokoll-ID ist ein 12-Zeichen-Code mit dem folgenden Format:

c1c2c3c4c5c6c7c8c9c10c11c12


XG Firewall

Hierbei gilt:

c1c2: ID des Protokolltyps

c3c4: ID der Protokollkomponente

c5c6: ID des Protokoll-Untertyps

c7: Priorität

c8c9c10c11c12: Nachrichten-ID

Zum Beispiel, wenn das die Protokoll-ID ist:

010101600001

c1c2: 01 (Sicherheitsrichtlinie)

c3c4: 01 (Firewallregel)

c5c6: 01 (Zugelassen)

c7: 6 (Information)

c8c9c10c11c12: 00001 (Firewalldatenverkehr zugelassen)

Tabelle 36: Protokolltyp

ID Wert

01 Sicherheitsrichtlinie

02 IPS

03 Antivirus

04 Antispam

05 Inhaltsfilterung

06 Ereignis

07 WAF

08 ATP

09 EATP

10 Wireless Protection

11 Heartbeat

12 Systemstatus

13 Sandbox

Tabelle 37: Protokollkomponente

ID Wert

01 Firewallregel

02 Ungültiger Datenverkehr

03 Appliance-Zugriff

04 DoS-Angriffe

05 ICMP-Umleitung

06 Source-Routing


XG Firewall

ID Wert

07 Anomalie

08 Signaturen

09 HTTP

10 FTP

11 SMTP

12 POP3

13 IMAP4

14 Fragmentierter Verkehr

15 Ungültiger fragmentierter Verkehr

16 HA

17 Fremder Host

18 IPMAC-Filter

19 IP-Spoofing

20 GUI

21 CLI

22 LCD

23 CCC

24 IM (Sofortnachrichten)

25 IPsec

26 L2TP

27 PPTP

28 SSL-VPN

29 Firewallauthentifizierung

30 VPN-Authentifizierung

31 SSL-VPN-Authentifizierung

32 Mein Konto-Authentifizierung

33 Appliance

34 DHCP-Server

35 Schnittstelle

36 Gateway

37 DDNS

38 WebKat

39 IPS

40 AV

41 Einwahl-Authentifizierung

42 Einwahl

43 Quarantäne

44 Anwendungsfilter


XG Firewall

ID Wert

45 Zielseite

46 WLAN

47 ARP-Flood

48 HTTPS

49 Gastbenutzer

50 WAF

51 Virtueller Host

52 CTA

53 NTLM

54 Appliances deaktiviert

55 PPPoE

56 Externe Authentifizierung

57 API

58 ICAP

59 SMTPS

60 WLAN-Controller

61 POPS

62 IMAPS

63 Firewall

64 DNS

65 Web-Proxy

66 Heartbeat

67 Endpoint

68 RED

69 ATP

70 SSL-VPN-Client

71 IPsec-Client

72 Authentifizierungsclient

73 RED-Firmware

74 AP-Firmware

75 up2date

76 CPU

77 Speicher

78 Festplatte

79 Live-Benutzer

80 Fehlender Heartbeat

81 Synchronized Application Control

82 Pakete, die zu ICMP gehören


XG Firewall

ID Wert

83 E-Mail-Proxy

Tabelle 38: Protokoll-Untertyp

ID Wert

01 Zugelassen

02 Abgelehnt

03 Erkennen

04 Verwerfen

05 Sauber

06 Viren

07 Spam

08 Wahrscheinlicher Spam

09 Admin

10 Authentifizierung

11 System

12 OB sauber

13 OB Spam

14 OB möglicher Spam

15 Keine Änderung

16 Geänderte Header

17 Geänderter Textkörper

18 4xx-Fehler

19 5xx-Fehler

20 Alarm

21 DLP

22 SPX

23 DOS

24 Überschreiben

25 Information

26 Nutzung

27 Mit Warnung

28 Ausstehend

Tabelle 39: Priorität

ID Wert

0 Notfall

1 Alarm

2 Kritisch


XG Firewall

ID Wert

3 Fehler

4 Warnung

5 Benachrichtigung

6 Information

7 Fehlersuche

A.2 ProtokollfelderTabelle 40: Admin

Name Typ Beschreibung

additional_information Zeichenfolge Zusätzliche Informationen zumEreignis

date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)

log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist

log_subtype Zeichenfolge Subtyp des Ereignisses

log_type Zeichenfolge Art des Ereignisses

message Zeichenfolge Angezeigte Nachricht

message_id Ganzzahl Nachrichten-ID

src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs

status Zeichenfolge Gesamtzustand des Verkehrs

time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)

user Zeichenfolge Benutzername

Tabelle 41: Advanced Threat Protection



domain Zeichenfolge Domänenname des Absenders

dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs

dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs

endpoint_id Ganzzahl Endpoint-ID

event_id Ganzzahl Ereignis-ID

execution_path Zeichenfolge Pfad der ausführbaren Datei

host_login_user Zeichenfolge Protokollierter Benutzername aufdem Endpoint


XG Firewall


host_process_user Zeichenfolge Laufender Prozess auf demEndpoint.





protocol Ganzzahl Protokollnummer desDatenverkehrs


src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs

app_risk Ganzzahl Risikostufe, die der Anwendungzugewiesen ist


threat Zeichenfolge Erkannte Bedrohung

type Zeichenfolge Art des Ereignisses



url Zeichenfolge URL der besuchten Webseite

Tabelle 42: Anwendungsfilter


app_category Zeichenfolge Name der Kategorie, zu der dieAnwendung gehört

app_name Zeichenfolge Anwendungsname


app_technology Zeichenfolge Technologie der Anwendung

appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie,die auf den Datenverkehrangewendet wird

appresolvedby Zeichenfolge Die Anwendung wird über dieSignatur oder die synchronisierteAnwendung aufgelöst

bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes

bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes

category Zeichenfolge Name der Kategorie, der dieWebseite zugeordnet ist


XG Firewall



dst_country Ganzzahl Ländercode für Ziel-IP-Adressen



fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird







src_country Zeichenfolge Ländercode für Quell-IP-Adressen





user_group Zeichenfolge Gruppe, zu welcher der Benutzergehört


Tabelle 43: Authentifizierung









XG Firewall

Tabelle 44: E-Mail


action Zeichenfolge Maßnahme, die für die Nachrichtdurchgeführt wird








email_size Ganzzahl E-Mail-Größe in Bytes


host Zeichenfolge Host, von dem der Datenverkehrstammt





policy_name Zeichenfolge Name der mit dem Ereignisverknüpften Richtlinie


quarantine_reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde

recipient Zeichenfolge Empfänger-E-Mail-Adresse

sender Zeichenfolge E-Mail-Adresse des Absenders





subject Zeichenfolge E-Mail-Betreff




XG Firewall

Tabelle 45: Firewall


app_category Zeichenfolge Name der Kategorie, zu der dieAnwendung gehört



app_technology Zeichenfolge Technologie der Anwendung

appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie,die auf den Datenverkehrangewendet wird

appresolvedby Zeichenfolge Die Anwendung wird über dieSignatur oder die synchronisierteAnwendung aufgelöst



con_direction Zeichenfolge Paketrichtung

con_duration Zeichenfolge Lebensdauer des Datenverkehrs(Sekunden)

con_id Ganzzahl Eindeutige Kennung der Verbindung





dst_trans_ip Zeichenfolge Übersetzte Ziel-IP-Adresse fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)

dst_trans_port Ganzzahl Übersetzter Zielport fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)

dst_zone Zeichenfolge Name der Zielzone

dst_zone_type Zeichenfolge Art der Zielzone


hb_status Zeichenfolge Heartbeat-Status

in_interface Zeichenfolge Schnittstelle für eingehendenDatenverkehr

ips_policy_id Ganzzahl ID der auf den Datenverkehrangewendeten IPS-Richtlinie



XG Firewall






out_interface Zeichenfolge Schnittstelle für ausgehendenDatenverkehr

packets_received Ganzzahl Gesamtanzahl der empfangenenPakete

packets_sent Ganzzahl Gesamtanzahl der gesendetenPakete

policy_type Zeichenfolge Richtlinientyp, der auf denDatenverkehr angewendet wurde




src_mac Ganzzahl Ursprüngliche Quell-MAC-Adressedes Datenverkehrs


src_trans_ip Zeichenfolge Übersetzte Quell-IP-Adresse fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)

src_trans_port Ganzzahl Übersetzter Quellport fürausgehenden Datenverkehr

src_zone Zeichenfolge Name der Quellzone

src_zone_type Zeichenfolge Art der Quellzone





virt_con_id Ganzzahl Verbindungs-ID der Master-Verbindung

web_policy_id Zeichenfolge Internetrichtlinien-ID

Tabelle 46: IPS


category Zeichenfolge Kategorie der IPS-Signatur

classification Zeichenfolge Signaturklassifizierung



XG Firewall





icmp_code Ganzzahl ICMP-Code des ICMP-Verkehrs

icmp_type Ganzzahl ICMP-Typ des ICMP-Verkehrs

ips_policy Ganzzahl Name der IPS-Richtlinie, die aufden Datenverkehr angewendet wird

ips_policy_id Ganzzahl ID der auf den Datenverkehrangewendeten IPS-Richtlinie




message Zeichenfolge Signaturnachricht


OS Zeichenfolge Betriebssystem zu dem der Verkehrgehört


rule_priority Zeichenfolge Priorität der IPS-Richtlinie

sig_id Zeichenfolge Signatur-ID





victim Zeichenfolge Ziel des Verkehrs

Tabelle 47: Schadprogramme









XG Firewall














status_code Ganzzahl Status-Code




user_agent Zeichenfolge Benutzer-Agent

virus Zeichenfolge Name des Schadprogramms, dasvon der Suchmaschine identifiziertwurde


Tabelle 48: Sandstorm



domain Zeichenfolge Domäne, die mit dem Ereignisverbunden ist

file_name Zeichenfolge Dateiname, der mit dem Ereignisverbunden ist

file_size Ganzzahl Größe der Datei, die mit demEreignis verbunden ist

file_type Zeichenfolge Dateityp, der mit dem Ereignisverbunden ist



XG Firewall






reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde


sha1sum Hexadezimal SHA1-Prüfsumme des Objekts, dasanalysiert wurde

subject Zeichenfolge Signaturnachricht



Tabelle 49: Security Heartbeat



endpoint_id Ganzzahl Endpoint-ID

endpoint_ip Zeichenfolge Endpoint-IP

event_time Zeit Zeitpunkt des Ereignisses





name Zeichenfolge Name, der mit dem Ereignisverbunden ist



Tabelle 50: System







XG Firewall





oldversion Zeichenfolge Alte Version derSystemkomponente, die mit demEreignis verbunden ist

newversion Zeichenfolge Neue Version derSystemkomponente, die mit demEreignis verbunden ist



Tabelle 51: Internetinhaltsrichtlinie


action Zeichenfolge Maßnahme, die für den Inhaltdurchgeführt wurde, entsprechendder Internetrichtlinienregel


content_filter_key Zeichenfolge Inhaltsfilterschlüssel

context_match Zeichenfolge Zeichenfolge (Kontext) der Datei,die die Worte betrifft, die imInhaltsfilter definiert sind

context_prefix Zeichenfolge Zeichenfolge (Kontext) der Datei,die dem gefundenen Inhaltvorausgeht

context_suffix Zeichenfolge Zeichenfolge (Kontext) der Datei,die dem gefundenen Inhalt folgt


direction Zeichenfolge Richtung des Inhalts, der gescanntwurde.

file_name Zeichenfolge Der Name der Datei, dieheruntergeladen oder hochgeladenwurde





site_category Zeichenfolge Webkategorie der Website, auf diezugegriffen wurde



XG Firewall



transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.


website Zeichenfolge Aufgerufene Website

Tabelle 52: Webfilter


activity_name Zeichenfolge Internetrichtlinienaktivität, dieeine Übereinstimmung ergebenund das Richtlinienergebnishervorgerufen hat. (Wenn dieDatenübertragung auf mehrereAktivitäten zutrifft, wird nur die erste,die die Richtlinienentscheidungverursacht, aufgezeichnet.)





category_type Zeichenfolge Typ der Kategorie, der die Webseitezugeordnet ist

con_duration Zeichenfolge Lebensdauer des Datenverkehrs(Sekunden)

con_id Ganzzahl Eindeutige Kennung der Verbindung

content_type Zeichenfolge Art der Inhalte



download_file_name Zeichenfolge Dateiname des Downloads

download_file_type Zeichenfolge Dateityp des Downloads



exception Zeichenfolge Liste der Prüfungen, die durchWeb-Ausnahmen ausgeschlossenwurden.





XG Firewall




override_token Zeichenfolge Umgehungs-Token



referer Zeichenfolge Referrer

response_code Ganzzahl Antwort-Code




status_code Ganzzahl Status-Code

transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.

upload_file_name Zeichenfolge Dateiname des Uploads

upload_file_type Zeichenfolge Dateityp des Uploads




web_policy Zeichenfolge Name der mit dem Ereignisverbundenen Richtlinie


Tabelle 53: Webserver Protection




content_type Zeichenfolge Art der Inhalte

cookie Zeichenfolge Name des Cookies


extra Zeichenfolge Mehr Informationen zu Antivirus





XG Firewall




method Zeichenfolge Name der HTTP-Anfragemethode.



query_string Zeichenfolge Suchanfrage


referer Zeichenfolge Referrer

response_code Ganzzahl Antwort-Code

response_time Ganzzahl Zeit für die Verarbeitung derAnfrage

server Zeichenfolge Server-Name





user_agent Zeichenfolge Benutzer-Agent

A.3 BenachrichtigungenTabelle 54: System

ID Nachricht

60012 Appliance wird zum Standalone-Gerät

60013 Appliance befindet sich im Fehlerzustand

60014 Appliance wird sekundäre Appliance

60015 Appliance wird primäre Appliance

60016 Appliance wird beim Start zum Standalone-Gerät

60017 Appliance wechselt beim Start in den Fehlerzustand

60018 Appliance wird beim Start zur sekundären Appliance

60019 Appliance wird beim Start zur primären Appliance

17838 HA wurde deaktiviert

60020 DHCP-Lease erneuern

60021 DHCP-Lease freigeben

60022 DHCP-Lease abgelaufen


XG Firewall

ID Nachricht

17807 CPU-Nutzung liegt über dem Schwellenwert

17808 Physikalische Speichernutzung liegt über demSchwellenwert

17809 SWAP-Speichernutzung liegt über dem Schwellenwert

17810 Konfig-Festplattennutzung liegt über demSchwellenwert

17811 Signatur-Festplattennutzung liegt über demSchwellenwert

17812 Festplattennutzung der Berichte hat oberenSchwellenwert erreicht

17816 Appliance wurde erfolgreich gestartet

17904 Reserviert für OPCODE SNMP-Failure-Trap (Protokollewerden später hinzugefügt)

17905 Reserviert für Service SNMP-Trap (Protokolle werdenspäter hinzugefügt)

17923 Geplante Sicherung war erfolgreich (Information)

17924 Geplante Sicherung konnte nicht gesendet werden

17931 Lüftergeschwindigkeit ist unter die gewünschte Stufegesunken

17932 Temperatur ist über die gewünschte Stufe gestiegen

17933 Festplattennutzung der Berichte hat unterenSchwellenwert erreicht

17934 Festplattennutzung der Berichte hat unterenSchwellenwert überschritten

17941 Das Audit-Subsystem ist erfolgreich heruntergefahren

17942 Senden des Zertifikatskennworts ist fehlgeschlagen

17943 Die Verbindung zum ConnectWise-Server ist verlorengegangen

17944 Test-E-Mail konnte nicht gesendet werden: <Ursache>

17813 Schnittstelle aktiviert/Schnittstelle deaktiviert

17814 Gateway erreichbar/Gateway nicht erreichbar

18036 Info zu Gateway aktiviert/deaktiviert an SFM

17815 DDNS-Aktualisierung erfolgreich/fehlgeschlagen

17817 Web-Kategorisierungsdatenbank aktualisiert von <alterVersion> auf <neue Version>

17920 Upgrade der Web-Kategorisierungsdatenbankfehlgeschlagen

17819 Antiviren-Definitionen aktualisiert von <alter Version>auf <neue Version>

17922 Aktualisierung der Antiviren-Definitionenfehlgeschlagen

17921 Aktualisierung der IPS-Signaturen fehlgeschlagen


XG Firewall

ID Nachricht

17820 Primärer Link aktiviert/deaktiviert und Link-Failover/-Failback zum Backup-/primären Link

17821 Einwahl-Client verbunden

17822 Einwahl-Client getrennt

17823 Isolierte E-Mail konnte nicht freigegeben werden, da<Ursache>

17824 SSL-VPN-Verbindung (Tunnelzugriff) aufgebaut

17825 SSL-VPN-Verbindung (Tunnelzugriff) beendet

17826 SSL-VPN-Verbindung (Internetzugriff) aufgebaut

17827 SSL-VPN-Verbindung (Internetzugriff) beendet

17828 SSL-VPN-Verbindung (Anwendungs-Zugriff) aufgebaut

17829 SSL-VPN-Verbindung (Anwendungs-Zugriff) beendet

17830 SSL-VPN-Ressource-Zugriff erlaubt

17831 SSL-VPN-Ressource-Zugriff verweigert

17936 Benutzerzertifikat <Zertifikatname> wurde für Benutzer<Benutzername> erstellt

17937 Alle Benutzerzertifikate gelöscht

17803 L2TP-Verbindung hergestellt

17804 L2TP-Verbindung beendet

17805 PPTP-Verbindung hergestellt

17806 PPTP-Verbindung beendet

17801 IPsec-Verbindung hergestellt

17802 IPsec-Verbindung beendet

17832 Aktivierung der Failover-Gruppe erfolgreich. Einebestimmte Verbindung wurde hergestellt/KeineVerbindung konnte hergestellt werden

17833 Failover erfolgreich

17834 Failover fehlgeschlagen. Verbindung wird beimnächsten Failback-Ereignis hergestellt

17835 Failback erfolgreich

17836 Failback fehlgeschlagen, Rückkehr zur momentanbestehenden Verbindung erfolgreich

17837 Failback fehlgeschlagen, Rückkehr zur momentanbestehenden Verbindung ebenfalls fehlgeschlagenVerbindung wird beim nächsten Failback-Ereignishergestellt

17839 <Verbindungsname>, Aktivierung: Verbindungerfolgreich aktiviert

17840 <Verbindungsname>, Aktivierung: Diese Verbindungkonnte nicht aktiviert werden. Ursache: <Ursache>.

17841 <Verbindungsname>, Aktivierung: Versuch, eineinaktive Verbindung zu deaktivieren/initiieren/beenden.Wahrscheinlich DB-Sync-Problem.


XG Firewall

ID Nachricht

17842 <Verbindungsname>, EST-P1-MM: Antwort aufVerbindungsanfrage von <peeris> Gegenstelle<peerrequesterip> erfolgreich

17843 <Verbindungsname>, EST-P1-MM: Antwort aufVerbindungsanfrage von <peerrequesterip>fehlgeschlagen, da <Ursache>

17844 <Verbindungsname>, EST-P1-AM: Antwort aufVerbindungsanfrage von <peerrequesterip>, Status #<Status>

17845 <Verbindungsname>, EST-P1-AM: Antwort aufVerbindungsanfrage von <peerrequesterip>fehlgeschlagen, da <Ursache>

17846 <Verbindungsname>, EST-P1-MM: Verbindung wirdauf Anfrage initiiert

17847 <Verbindungsname>, EST-P1-AM: Verbindung mitStatus <Status> wird auf Anfrage initiiert

17848 <Verbindungsname>, EST-P1-MM: Die Gegenstellen-ID lautet <peerid>

17849 <Verbindungsname>, EST-P1-AM: Die Gegenstellen-ID lautet <peerid>

17850 <Verbindungsname>, EST-P1: Keine Übereinstimmungmit Phase-1 ID. Die konfigurierte Gegenstellen-ID ist<remoteid> und die empfangene Gegenstellen-IDist <peerid>. Das System ist der Initiator. Stellen Siesicher, dass die ID-Konfiguration an beiden Endensynchronisiert wird.

17851 <Verbindungsname>, EST-P1: Keine Übereinstimmungmit Phase-1 ID. Keine geeignete Verbindung fürGegenstellen-ID <peerid>. Das System ist derAntwortsender. Stellen Sie sicher, dass die ID-Konfiguration an beiden Enden synchronisiert wird.

17852 <Verbindungsname2>, EST-P1: Umschaltungder Verbindung von <Verbindungsname> auf<Verbindungsname2>, weil eine Konfiguration von<Verbindungsname2> der Anfrage besser entspricht.

17853 <Verbindungsname>, EST-P1: Gegenstelle hatkeinen der gesendeten Vorschläge akzeptiert.Neukonfigurierung der Verbindung an einem derEnden.

17854 <Verbindungsname>, EST-P1: System hat keines derempfangenen Proposals akzeptiert. Die Verbindungmuss an einem der Enden neu konfiguriert werden.

17855 <Verbindungsname>, EST-P1: Ein Fehler (meistin Verbindung mit dem Netzwerk) ist während desVersendens eines Pakets zur Erweiterung der IKE-Zustandsmaschine von Zustand <Status> aufgetreten.

17856 <Verbindungsname>, EST-P1: Die maximaleAnzahl an erneuten Übertragungen <count> hatSTATE_MAIN_I1 erreicht. Keine Antwort (oder keineakzeptable Antwort) auf die erste IKE-Nachricht.


XG Firewall

ID Nachricht

17857 <Verbindungsname>, EST-P1: Die maximaleAnzahl an erneuten Übertragungen <count>hat STATE_MAIN_I3 erreicht. MöglicherAuthentifizierungsfehler oder NAT dazwischen: keineakzeptable Antwort auf die erste verschlüsselteNachricht.

17858 <Verbindungsname>, EST-P1: Fehlerhaftes Payloadim Paket. Wahrscheinlicher Authentifizierungsfehler(fehlende Übereinstimmung mit zuvor vereinbartemSchlüssel). Überprüfen Sie, ob die zuvor vereinbartenSchlüssel an beiden Enden dieselben sind.

17859 <Verbindungsname>, EST-P1: Unerwartete Nachrichterhalten im Zustand <Status>. Der von der Gegenstelleerhaltene Payload führt nicht dazu, dass das System inden nächsten erwarteten IKE-Zustand versetzt wird

17860 <Verbindungsname>, EST-P1: Die Nachricht zumInformationsaustausch ist ungültig, da sie eine bereitsverwendete ID <Nachrichten-ID> nutzt

17861 <Verbindungsname>, EST-P1-MM: Von Gegenstelleinitiierte Phase-1 SA aufgebaut

17865 <Verbindungsname>, EST-P2: Phase-2 (geschütztvon Phase-1 SA mit <Status>) wird auf Anfrage mitRichtlinie <policybits> initiiert

17866 <Verbindungsname>, EST-P2: Schlüsselerneuerungwird für Phase-2 SA mit Phase-1 SA <Status> initiiert

17867 <Verbindungsname>, EST-P2: Antwort auf einePhase-2-Verbindungsanfrage mit der ID <Nachrichten-ID>

17868 <Verbindungsname>, EST-P2: Die maximaleAnzahl an erneuten Übertragungen <count> hatSTATE_QUICK_I1 erreicht. Keine akzeptable Antwortauf unsere erste Schnellmodus-Nachricht: eventuellmag Gegenstelle keinen der Vorschläge.

17869 <Verbindungsname>, EST-P2: System erfordertPerfect Forward Secrecy (PFS), Gegenstelle schlugjedoch vor, kein PFS zu verwenden

17870 <Verbindungsname>, EST-P2: Die Konfigurationdes lokalen und entfernten Subnetzes der initiiertenVerbindung steht im Konflikt mit der bereits erstelltenVerbindung <establishedconnectionname>. Verbindung<Name bestehender Verbindung> vor Initiierungbeenden.

17871 <Verbindungsname>, EST-P2: System hat einePhase-2-Verbindungsanfrage erhalten, derenKonfiguration des lokalen und entfernten Subnetzesim Konflikt mit der bereits bestehenden Verbindung<Name bestehender Verbindung> steht. Systembeendet die Verbindung <Name bestehenderVerbindung> zur Anerkennung der eingehendenAnfrage.

17872 <Verbindungsname>, EST-P2: Eine vom Systeminitiierte Phase-2 SA wurde aufgebaut.


XG Firewall

ID Nachricht

17873 <Verbindungsname>, EST-P2: Eine von derGegenstelle initiierte Phase-2 SA wurde aufgebaut.

17874 <Verbindungsname>, NAT-T: Kein NAT-Gerätzwischen lokalem Server und entfernten Server erkannt

17875 <Verbindungsname>, NAT-T: Der lokale Serverbefindet sich hinter einem NAT-Gerät

17876 <Verbindungsname>, NAT-T: Der entfernte Serverbefindet sich hinter einem NAT-Gerät

17877 <Verbindungsname>, NAT-T: Sowohl der lokale alsauch der entfernte Server befinden sich hinter NAT-Geräten

17878 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-1 SA an. ISAKMP-Status <Status>wird gelöscht

17879 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-2 SA an. IPsec-Status <Status>wird gelöscht.

17880 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-2 SA an. Bestehende SA wirdgelöscht und eine neue erneut initiiert. IPsec-Status#<Status> wird ersetzt.

17881 <Verbindungsname>, SA-MGT:Fernzugriffsverbindungsinstanz mit Gegenstelle<IP entfernter Schnittstelle> wird gelöscht,isakmp=#<isakmp>, ipsec=#<ipsec>

17882 <Verbindungsname>, SA-MGT: Verbindung wirdgelöscht

17883 <Verbindungsname>, SA-MGT: Bei Löschen derVerbindung wird auch die dazugehörige SA <Status>gelöscht

17884 <Verbindungsname>, SA-MGT: Schlüsselerneuerungfür Phase-1 (Hauptmodus) SA <Status> derVerbindung wird initiiert

17885 <Verbindungsname>, SA-MGT: Schlüsselerneuerungfür Phase-1 (aggressiver Modus) der Verbindung vonStatus <Status> auf Status <Status> wird initiiert

17886 <Verbindungsname>, SA-MGT: Schlüssel für Phase 1SA wird erneuert

17887 <Verbindungsname>, SA-MGT: Schlüssel für Phase 2SA wird erneuert

17888 <Verbindungsname>, SA-MGT: Phase 1 SA istabgelaufen

17889 <Verbindungsname>, SA-MGT: Phase 1 SA istabgelaufen. Verbindung ist so konfiguriert, dass keineSchlüsselerneuerung stattfindet.

17890 <Verbindungsname>, SA-MGT: Phase 2 SA istabgelaufen


XG Firewall

ID Nachricht

17891 <Verbindungsname>, SA-MGT: Phase 2 SA istabgelaufen. Verbindung ist so konfiguriert, dass keineSchlüsselerneuerung stattfindet.

17892 <Verbindungsname>, DPD: Dead Peer Detectionaktiviert

17893 <Verbindungsname>, DPD: Gegenstelle war nichterreichbar und wurde für diese Verbindung als totmarkiert

17894 <Verbindungsname>, DPD: Die Verbindung wurde<actiononpeerdead>, da die Gegenstelle tot war

17895 <Verbindungsname>, DPD: Für die Verbindung wurdeeine erneute Schlüsselzuweisung geplant, da dieGegenstelle unerreichbar war, und die Verbindungwurde neu initiiert

17896 <Verbindungsname>, XAUTH: Benutzername-/Kennwortanfrage wird gesendet

17897 <Verbindungsname>, XAUTH: Benutzer <user>versucht sich anzumelden

17898 <Verbindungsname>, XAUTH: Benutzer <user> wurdeerfolgreich identifiziert

17899 <Verbindungsname>, XAUTH: Authentifizierung vonBenutzer <user> fehlgeschlagen, da <Ursache>

17900 <Verbindungsname>, XAUTH: MODECFG-Nachrichterhalten, als er sich im Zustand <STATE NAME>befand, und Appliance ist kein XAUTH-Client

17901 <Verbindungsname>, XAUTH: Der angeforderteBenutzername bzw. das Kennwort wurden angefordert,der als XAUTH-Client konfigurierte Verbindung kannjedoch kein neuer Schlüssel zugewiesen werden.Schlüsselerneuerung für die Verbindung abschalten.

17902 <Verbindungsname>, XAUTH: XAUTH: Auf XAUTH-Challenge mit Benutzer <user> antworten

17903 <Verbindungsname>, XAUTH: Authentifizierungerfolgreich. Appliance ist ein XAUTH-Client.

17939 Senden der Benachrichtigung für IPsec-Tunnelaufgebaut/abgebrochen fehlgeschlagen

17938 Benachrichtigung für IPsec-Tunnel aufgebaut/abgebrochen erfolgreich versendet

17906 Zielseite akzeptiert

17907 Zielseite abgewiesen

17908 Suche nach unautorisierten APs erfolgreichabgeschlossen

17909 Suche nach unautorisierten APs fehlgeschlagen

17911 Durch das System ausgelöster Suche nachunautorisierten APs wurde initiiert

17910 Senden des Heartbeat-Signals von der Appliance anCCC fehlgeschlagen (reserviert für die Verwendung mitCCC, es wird kein Protokoll erzeugt)


XG Firewall

ID Nachricht

17912 Heartbeat von der Appliance an CCC versendet(reserviert für die Verwendung mit CCC, es wird keinProtokoll erzeugt)

17918 Senden des Keep-Alive-Signals von der Appliance anCCC fehlgeschlagen (reserviert für die Verwendung mitCCC, es wird kein Protokoll erzeugt)

17919 Keep-Alive-Signal von der Appliance an CCCversendet (reserviert für die Verwendung mit CCC, eswird kein Protokoll erzeugt)

17913 Das System hat das Administratorkonto für den Logingesperrt, da es zu viele falsche Anmeldeversuche gab

17914 Das System hat das Administratorkonto entsperrt

17915 Das System hat die Administratorsitzung gesperrt

17916 Unbekannter Protokoll-Datenverkehr wurde verweigert

17917 Ungültiges Zertifikat wurde blockiert

17925 Ein Gastbenutzer wurde im System hinzugefügt

17926 Die SMS mit Zugangsdaten wurde an den SMS-Gateway zur Weiterleitung an den Gastbenutzergesendet

17927 Einer oder mehrere Gastbenutzer sind abgelaufen undwurden erfolgreich automatisch bereinigt

17928 Einer oder mehrere Gastbenutzer sind abgelaufen unddie automatische Bereinigung ist fehlgeschlagen

17929 Einer oder mehrere Gastbenutzer sind abgelaufenund die automatische Bereinigung ist teilweisefehlgeschlagen

17930 Senden der SMS mit Zugangsdaten fehlgeschlagen

17935 Der zugeordnete Server <Server-IP-Adresse> isterreichbar/Der zugeordnete Server <Server-IP-Adresse> ist nicht erreichbar

17940 STA mit aktiven Kollektoren gestartet

17953 <Schnittstellenname>: Zeitüberschreitung PADO-Paket, keine Antwort vom Server

17954 <Schnittstellenname>: Sitzung wird beendet, erneuterVersuch in <Sekunden> Sek.

17955 <Schnittstellenname>: Erkennungsprozessabgeschlossen

17956 <Schnittstellenname>: LCP-Link aufgebaut

17957 <Schnittstellenname>: ISP unterstützt kein LCP

17958 <Schnittstellenname>: Authentifizierung erfolgreich

17959 <Schnittstellenname>: Authentifizierungfehlgeschlagen. Bitte überprüfen Sie denBenutzernamen und das Kennwort.

17960 <Schnittstellenname>: Schnittstellen-IP <lokale IP>einrichten


XG Firewall

ID Nachricht

17961 <Schnittstellenname>: Gateway-IP <entfernte IP>einrichten

17962 <Schnittstellenname>: Primärer DNS <DNS-IP wennaktiviert> einrichten

17963 <Schnittstellenname>: Sekundärer DNS <DNS-IP>einrichten

17964 <Schnittstellenname>: PPPoE-Link aktiviert

17965 <Schnittstellenname>: PPPoE-Link deaktiviert

17966 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon LCP-Zeitüberschreitung trennen

17967 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon Leerlauf-Zeitabschaltung trennen

17969 <Schnittstellenname>: Bei Zeitplan-Ereignis erneutverbunden

17972 LCP: Aushandlung wird eröffnet für <Client-IP>

17973 LCP: Link aufgebaut für <Client-IP>

17974 <PAP/CHAP/MS-CHAPv2>: Authentifizierung wirdgestartet

17975 <PAP/CHAP/MS-CHAPv2>: Authentifizierungerfolgreich für Benutzer <Benutzername>

17976 <PAP/CHAP/MS-CHAPv2>: Authentifizierungfehlgeschlagen für Benutzer <Benutzername>

17977 IPCP: Zugewiesene IP: <Zugewiesene IP>, IPCP: DNSeinrichten: <Primärer/sekundärer WINS-Server>, IPCP:WINS einrichten: <Primärer/sekundärer WINS-Server>

17978 LCP: Verbindung aufgrund von LCP-Zeitüberschreitungtrennen

17979 STATS: Verbindungszeit: <Verbindungszeit>, STATS:<Anzahl Bytes> Bytes gesendet, <Anzahl Bytes> Bytesempfangen

17980 IPCP: IPCP entfernen für <Client-IP>: <Ursache>,LCP: Aushandlung wird geschlossen für <Client-IP>: <Ursache>, LCP: Aushandlung geschlossen für<Client-IP>


17982 LCP: Aushandlung wird eröffnet für <Client-IP>

17983 LCP: Link aufgebaut für <Client-IP>

17984 <PAP/CHAP/MS-CHAP>: Authentifizierung wirdgestartet

17985 <PAP/CHAP/MS-CHAP>: Authentifizierung erfolgreichfür Benutzer <Benutzername>

17986 <PAP/CHAP/MS-CHAP>: Authentifizierungfehlgeschlagen für Benutzer <Benutzername>


XG Firewall

ID Nachricht

17987 IPCP: Zugewiesene IP: <Zugewiesene IP>, IPCP: DNSeinrichten: <Primärer/sekundärer WINS-Server>, IPCP:WINS einrichten: <Primärer/sekundärer WINS-Server>

17988 LCP: Verbindung aufgrund von LCP-Zeitüberschreitungtrennen

17989 STATS: Verbindungszeit: <Verbindungszeit>, STATS:<Anzahl Bytes> Bytes gesendet, <Anzahl Bytes> Bytesempfangen



18000 Ereignis

17998 Neue Firmware erkannt für <type>: <version>

17999 [ <AP-ID>] unbekanntes AP-Modell erkannt: <Typ>,wird verworfen

18001 [<AP-ID>] keine Firmware verfügbar für AP-Typ'<Typ>', wird verworfen

18002 [<AP-ID>] Appliance noch nicht autorisiert, wirdverworfen

18003 [ <AP-ID> ] beschädigte Payload. XG Firewall hateventuell den falschen Schlüssel. Appliance löschen,um sie neu zu registrieren.

18004 [<AP-ID>] Firmware <firmware> an Appliance senden,die Verbindung wird freigegeben

18005 [<AP-ID>] Senden von <firmware> an Appliancefehlgeschlagen, wird verworfen

18006 [MASTER] Mitteilung senden zu offline AP <AP>

18007 Konfig wurde erfolgreich an AP [ <AP-ID> ] gesendet

18008 Senden von Konfig an AP [ <AP-ID> ] fehlgeschlagen

18014 RED ist verbunden

18015 RED ist getrennt

18016 RED-Übergangsereignis

18032 RED-Geräte: Deaktiviert: 5 Aktiviert: 15 Verbunden: 12Getrennt: 3

18017 ATP-Definitionen aktualisiert von <alter Version> auf<neue Version>

18018 Aktualisierung der ATP-Definitionen fehlgeschlagen

18019 SSL-VPN-Clients aktualisiert von der <alten Version>auf die <neue Version>

18020 Aktualisieren der SSL-VPN-Clients fehlgeschlagen


XG Firewall

ID Nachricht

18021 IPsec-Clients aktualisiert von der <alte Version> auf die<neue Version>

18022 Aktualisieren der IPsec-Clients fehlgeschlagen

18023 Authentifizierungsclients aktualisiert von <alterVersion> auf <neue Version>

18024 Aktualisierung der Authentifizierungsclientsfehlgeschlagen

18025 RED-Firmware aktualisiert von <alter Version> auf<neue Version>

18026 Aktualisierung der RED-Firmware fehlgeschlagen

18027 AP-Firmware aktualisiert von <alter Version> auf <neueVersion>

18028 Aktualisierung der AP-Firmware fehlgeschlagen

18029 Überprüfung auf Aktualisierungen fehlgeschlagen

18030 Datei <MODULE> konnte nicht heruntergeladenwerden

18033 WAF-Regeln aktualisiert von <alter Version> auf <neueVersion>

18034 Aktualisierung der WAF-Regeln fehlgeschlagen

18096 ZeroTouch-Einrichtung abgeschlossen

18097 ZeroTouch-Einrichtung ist fehlgeschlagen

18098 Firewall-Einrichtung abgeschlossen

18099 Firewall-Einrichtung fehlgeschlagen

Tabelle 55: Webfilter

ID Nachricht

16001 Die Datenübertragung ist entsprechend derInternetrichtlinienregel zugelassen

16002 Die Datenübertragung wurde entsprechend derInternetrichtlinienregel abgelehnt/blockiert

16003 HTTP-Datei-Upload zugelassen

16004 Token überschreiben

16005 Die Datenübertragung ergab eine Warnungentsprechend der Internetrichtlinienregel

16006 Die Datenübertragung wurde zugelassen, nachdem derBenutzer nach einer Warnung fortfuhr

16007 HTTP-Datei-Upload mit Warnung zugelassen

16008 Datei zugelassen von Sandbox

16009 Datei abgelehnt von Sandbox


XG Firewall

Tabelle 56: Anwendungsfilter

ID Nachricht

17051 Der Zugriff auf die Anwendung wurde aufgrund derAnwendungsfilter-Richtlinie verweigert.

Tabelle 57: Schadprogramme

ID Nachricht

08001 Die URL wurde blockiert, weil sie einen Virus enthielt

08002 Der Zugriff auf die URL ist zulässig, weil sie keinenVirus enthält

09001 FTP-Datentransfer wurde blockiert, weil er einen Virusenthielt

09002 FTP-Datentransfer enthielt keinen Virus und wurdeerfolgreich abgeschlossen

10001 Die E-Mail ist mit einem Virus infiziert, der von derFirewall erkannt wurde

10002 E-Mail enthält keinen Virus





Tabelle 58: E-Mail

ID Nachricht

13001 E-Mail, die als „Spam“ eingestuft wurde

13002 E-Mail, die als „wahrscheinlich Spam“ eingestuft wurde

13003 E-Mail, die nicht als „Spam“ oder „wahrscheinlichSpam“ eingestuft wurde

13004 IP-Adresse des Absenders steht auf der Blacklist

13005 E-Mail, die als ausgehender Spam eingestuft wurde

13006 E-Mail, die als ausgehender möglicher Spam eingestuftwurde

13007 Von IBS und OBS als sauber gekennzeichnet

13008 Nachricht bei Ausgang als sauber gekennzeichnet

13009 Datenleck in E-Mail erkannt und DLP-Regelangewendet

13010 SPX erfolgreich angewendet

13011 SPX fehlgeschlagen

13012 SMTP DOS

13013 Die E-Mail wurde von Sandstorm als sauber markiert

13014 Die E-Mail wurde von Sandstorm als bösartig markiert


XG Firewall

ID Nachricht







Tabelle 59: Firewall

ID Nachricht

00001 Firewalldatenverkehr zugelassen

00002 Firewalldatenverkehr abgewiesen

00003 Firewalldatenverkehr von Security Heartbeat verworfen

00004 ICMP-zugehörige Pakete abgewiesen

00005 ICMP-zugehörige Pakete zugelassen

00007 Zugelassener Verkehr bei fehlendem Heartbeat im Fall,dass keine Einschränkung eingestellt ist

01001 Ungültiger Datenverkehr verworfen

01301 Fragmentierter Datenverkehr abgewiesen

01601 Ungültiger fragmentierter Datenverkehr abgewiesen

02001 Lokaler ZSL-Datenverkehr erlaubt

02002 Lokaler ZSL-Datenverkehr abgewiesen

03001 DoS-Angriff verworfen

04001 Per ICMP umgeleitetes Paket verworfen

05001 Von der Quelle geroutetes Paket verworfen

05051 Fremder Host abgewiesen

05101 IPMAC-Paar abgewiesen

05151 IP-Spoof abgewiesen

05201 SSL-VPN-Ressource-Zugriff verweigert

05301 ARP-Flood-Datenverkehr abgewiesen

05401 Datenverkehr für den virtuellen Host <Name desvirtuellen Hosts> wurde abgewiesen. Kein internerServer verfügbar, um den Datenverkehr zu verarbeiten.

010202100 Ungültiges Paket

010202101 IP-Paket mit ungültigem Header

010202102 IP-Paket mit ungültiger Header-Version

010202103 IP-Paket mit ungültigem Time-To-Live-Header

010202104 IP-Paket mit ungültigem Header-Protokoll

010202105 Abgeschnittenes/fehlerhaftes IP-Paket


XG Firewall

ID Nachricht

010202106 Ungültige IP-Prüfsumme

010202107 IP-Paket mit ungültigen Adressen

010202108 Ungültiges IP-Fragment

010202109 Kurzes ICMP-Paket

010202110 Ungültige ICMP-Prüfsumme

010202111 ICMP-Pakete mit ungültigem ICMP-Typ/Code

010202112 Ungültiges Paket, kein ICMP-Eintrag gefunden

010202113 ICMP-Paketfehler

010202114 Kurzes UDP-Paket

010202115 Abgeschnittenes/fehlerhaftes UDP-Paket

010202116 Ungültige UDP-Prüfsumme

010202117 Ungültiges UDP-Ziel

010202118 Kurzes TCP-Paket

010202119 Abgeschnittenes/fehlerhaftes TCP-Paket

010202120 Ungültige TCP-Prüfsumme

010202121 TCP-Pakete mit ungültiger Flag-Kombination

010202122 Ungültiger TCP-Status

010202123 Ungültiges TCP RST

010202124 Ungültiger TCP-Quellport

010202125 Ungültiger TCP-Zielport

010202126 TCP LAND-Angriff

010202127 Ungültiges für TCP reserviertes Bit

010202128 TCP-WinNuke-Angriff

010202129 Paket konnte keiner Verbindung zugeordnet werden

010202130 FTP-Bounce-Angriff

010202131 Kurzes UDP-Lite-Paket

010202132 Ungültige UDP-Lite-Prüfsumme

010202133 UDP-Lite-Prüfsumme fehlt

010202134 Ungültiges DCCP-Paket

010202135 Ungültiger DCCP-Status

010202136 Kurzes DCCP-Paket

010202137 Abgeschnittenes/fehlerhaftes DCCP-Paket

010202138 Ungültige DCCP-Prüfsumme

010202139 Ungültiges für DCCP reserviertes Paket

010202140 Ungültiger Verbindungshelfer

010202141 Paket verworfen


XG Firewall

Tabelle 60: IPS

ID Nachricht

06001 IPS-Anomalie erkannt

06002 IPS-Anomalie verworfen

07001 IPS-Signatur erkannt

07002 IPS-Signatur verworfen

Tabelle 61: Authentifizierung

ID Nachricht

17701 Benutzer erfolgreich bei Firewall angemeldet

17702 Benutzer konnte nicht bei Firewall angemeldet werden

17703 Benutzer von Firewall abgemeldet

17945 Challenge von <Auth Mech>-Server über <ClientType> empfangen

17704 Benutzer erfolgreich bei Mein Konto angemeldet

17705 Benutzer konnte nicht bei Mein Konto angemeldetwerden

17706 Benutzer von Konto abgemeldet


17707 Benutzer erfolgreich am VPN angemeldet

17708 Benutzer konnte nicht am VPN angemeldet werden

17709 Benutzer von VPN abgemeldet

17710 Benutzer erfolgreich am SSL-VPN angemeldet

17711 Benutzer konnte nicht am SSL-VPN angemeldetwerden

17712 Benutzer von SSL-VPN abgemeldet


17713 Benutzer per Einwahl angemeldet

17714 Benutzer konnte nicht per Einwahl angemeldet werden

17715 Benutzer von Einwahl abgemeldet

17948 NTLM aktiviert, aber AD-Server nicht konfiguriert

17949 NTLM-Authentifizierungskanal zu <server name> kannnicht aufgebaut werden

17950 NTLM-Authentifizierungskanal zu <server name>erfolgreich aufgebaut

17951 NTLM-Authentifizierungskanal zu <server name> kannnicht aufgebaut werden

17952 NTLM-Authentifizierung von Appliance-Zugriffdeaktiviert

17968 Verbindung zu ADS/LDAPS <server ip/fqdn>fehlgeschlagen – Grund: <reason>


XG Firewall

Tabelle 62: Admin

ID Nachricht

17501 Vorgang hinzufügen

17502 Update

17503 Löschen

17504 Sonstige Verwaltungsmaßnahme

17505 System – Wartungsmaßnahmen

17506 Assistent

17507 Admin-Anmeldung/Abmeldung

17504 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon Admin-Ereignis trennen

17970 HA-Aktivierungsereignis

17971 HA-Deaktivierungsereignis

17504 PPTP/L2TP-Dienst erfolgreich aktiviert/deaktiviert

Tabelle 63: Sandstorm

ID Nachricht

13013 Zugelassen von Sandbox

13014 Abgelehnt von Sandbox



18043 Datei ausstehend von Sandbox

16005 Zugriff auf Websites/Dateien/Anwendungen ist gemäßder Internetzugriffsrichtlinie mit Warnung zugelassen

16006 Zugriff auf Websites/Dateien/Anwendungen ist gemäßder Internetzugriffsrichtlinie mit Warnung blockiert

16007 HTTP-Datei-Upload mit Warnung zugelassen



18009 Warnung durch ATP

18010 Verworfen durch ATP

18012 Heartbeat-Status

18013 Endpoint-Status

Tabelle 64: Webserver Protection

ID Nachricht

17071 Eine Web-Anfrage wird von WAF zugelassen

17072 Eine Web-Anfrage wird von WAF blockiert


XG Firewall

Tabelle 65: Modernster Schutz vor Bedrohungen

ID Nachricht

18009 Warnung durch ATP

18010 Verworfen durch ATP

Tabelle 66: Security Heartbeat

ID Nachricht

18012 Heartbeat-Status

18013 Endpoint-Status

Tabelle 67: Internetinhaltsrichtlinie

ID Nachricht

16010 Inhaltsfilter hat einen Treffer

A.4 ProtokollansichtVerwenden Sie die Protokollansicht, um Ereignisinformationen für Module wie System, Webschutz undSandstorm-Aktivität anzuzeigen.

• Um Ereignisse zu sehen, wählen Sie ein Modul aus.

• Um die Live-Ansicht zu pausieren, klicken Sie auf

.

• Um die Protokolle neu zu laden, klicken Sie auf

.

• Um Protokolle zu exportieren, klicken Sie auf

.

• Um Protokollinformationen zu sehen, klicken Sie auf

.

• Um Protokolle nach einem bestimmten Feld zu filtern, klicken Sie auf Filter hinzufügen. WählenSie danach ein Feld, eine Bedingung und einen Wert und klicken Sie auf Filter hinzufügen.

• Um Einträge nach Zeit zu filtern, klicken Sie auf

(Schnellfilter).

• Um einen Filter zu entfernen, klicken Sie auf Zurücksetzen.


• Um Identitäten zu sehen, wenn Datenanonymisierung eingeschaltet ist, klicken Sie auf

und geben Sie die Authentifizierungsdaten ein.

• Um Paketdaten zu sehen, wenn Paketerfassung eingeschaltet ist, klicken Sie auf Open PCAP.


Anhang B

B RichtlinientestMit dem Richtlinientest-Werkzeug können Sie sowohl Firewall- und Internetrichtlinien zuweisenund Fehlersuche bei diesen durchführen als auch daraus resultierende Sicherheitsentscheidungenansehen. Zum Beispiel können Sie eine Internetrichtlinie erstellen, die alle sozialen Netzwerke fürbestimmte Benutzer blockiert, und die Richtlinie testen, um zu sehen, ob die Inhalte nur für diebestimmten Benutzer blockiert werden. Die Ergebnisse geben die Informationen zur Maßnahme an,welche die Firewall vorgenommen hat, inklusive der relevanten Regeln und Inhaltsfilter.

HinweisWenn Verbindungen zum Ziel vom Richtlinienrouting betroffen sind und das Richtlinienroutingdazu führt, dass die Verbindung durch eine andere Zone geht, wird die Entscheidung desRichtlinientests diese geänderte Zone nicht wiedergeben.

HinweisDie Richtlinientest-Funktion geht davon aus, dass der gesamte Internetverkehr imTransparenzmodus interpretiert wird.

URL Zu testende URL. Zum Beispiel können Sieein soziales Netzwerk testen, das anhand desKategorien- und des Inhaltsfilters blockiert werdensoll, welcher in einer Internetrichtlinienregelfestgelegt ist.

Authentifizierter Benutzer Benutzer, der in den Test mit einbezogen werdensoll. Zum Beispiel können Sie einen Benutzerfestlegen, der einer Gruppe angehört, welche Siein einer Internetrichtlinienregel verwendet haben.

Zeit und Tag Zeit und Tag, die im Test berücksichtigtwerden sollen. Zum Beispiel können Sieeine Zeit festlegen, die in den Zeitplan einerInternetrichtlinienregel fällt.

Testmethode Firewallrichtlinie oder Internetrichtlinie, die Sietesten wollen.


XG Firewall

Anhang C

C IPS-Syntax für eigene Patterns

Stichwort Wert Nutzung

srcaddr/dstaddr <ipaddress>; Die Quell-/Ziel-IP-Adresse

srcport/dstport <Number>; Der Quell-/Ziel-Port

content „<content string>;“

Eine Zeichenfolgein doppeltenAnführungszeichen.

In einer Regel können mehrereInhalte stehen. Der Wert kann ausText und Binärdaten bestehen.Binärdaten stehen im Allgemeinenzwischen senkrechten Strichen (|).

nocase

Kann nur mit dem Stichwort„content“ verwendet werden

NULL Groß-/Kleinschreibung im content-Wert wird ignoriert

rawbytes


NULL Dekodierung wird ignoriert. Suchtin den Raw-Paketdaten

depth


<number>;

zum Beispiel depth:5;

Sucht nach Inhalten innerhalb derangegebenen Anzahl der Bytesder Nutzlast. Wenn der Wert desdepth-Stichworts kleiner ist alsdie Länge des Werts des content-Stichworts, wird die Signatur nichtgefunden.

offset


<number>;

zum Beispiel content:cgi-bin/phf;offset:4;depth:20;

Sucht nach Inhalten nach derangegebenen Anzahl der Bytesder Nutzlast. Dieser Tag ist einabsoluter Wert in der Nutzlast.Dem offset-Tag kann ein depth-Tag folgen, um so die Suche nacheinem Match zu beenden, sobaldder im depth-Tag aufgeführte Werterreicht wurde. Ist kein Wert für„depth“ angegeben, wird bis zumEnde der Nutzlast weiter nacheinem Match gesucht.

distance


<number>;

zum Beispielcontent:„ABC“;content:„DEF“;distance:1;

Sucht nach dem Inhalt derangegebenen Anzahl der Bytesrelativ zum Ende der vorherigengefundenen Inhalte. Nach demdistance-Tag kann ein within-Tagfolgen. Wenn kein Wert für denwithin-Tag angegeben ist, wirdbis zum Ende der Nutzlast nacheinem Match gesucht.


XG Firewall


within


<number>;

Zum Beispiel content: „ABC“;content: „DEF“; within:10;

Sucht nach Inhalten innerhalb derangegebenen Anzahl der Bytesder Nutzlast. Gemeinsam mit demdistance-Tag verwenden.

uricontent uricontent:<content string>;

zum Beispiel,uricontent:„%3F“;

Es wird nach dem normalisiertenRequest-URI-Feld gesucht.Binärdaten können als URI-Wertdefiniert werden.

isdataat <value> [,relative];

zum Beispiel content:„PASS“; isdataat: 50, relative;

Prüft, ob die Nutzlast an einerbestimmten Stelle über Datenverfügt. Optional wird nach Datenab dem Ende des vorherigenInhalt-Match gesucht.


XG Firewall


pcre pcre:[!]„(/<regex>/|m/<regex>/)[ismxAEGRUB]“;

zum Beispiel pcre:„/BLAH/i“;

Das pcre Stichwort lässtes zu, dass Regeln mitperl-kompatiblen regulärenAusdrücken geschrieben werden.

i – schreibungsunabhängig

s – Newlines im dotMetazeichen einschließen

m – Standardmäßig wird dieZeichenkette als eine großeZeile mit Zeichen behandelt;^ und $ entsprechen demBeginn und Ende derZeichenkette. Wenn mgesetzt ist, entsprechen ^und $ sofort nach oder vorjeder Newline im Buffer,ebenso wie am Anfang undam Ende des Buffers.

x – Leerzeichen-Datenzeichen im Patternwerden ignoriert, außer wennes ein Maskierungszeichenist oder innerhalb einerZeichenklasse.

A – Das Pattern muss nurdem Beginn des Buffersentsprechen (das gleiche wie^)

E – $ kennzeichnet das Endeder Zeichenkette. Ohne Eentspricht $ auch direkt vordem letzten Zeichen, wennes eine Newline ist (abernicht vor anderen Newlines)

G – Kehrt die „Gier“ derGewichtungen um, sodasssie nicht standardmäßiggierig sind, sondern erstwenn ein „?“ folgt.

R – Sucht nachÜbereinstimmungenam Ende des letztenübereinstimmenden Patterns(ähnlich wie distance:0;) U –Sucht nach dekodierten URI-Puffern (ähnlich wie uri)

B – Dekodierte Pufferwerden nicht verwendet(ähnlich wie raw keyword).


XG Firewall


byte_test <bytes to convert>, [!]<operator>,<value>, <offset> [,relative][,<endian>] [,<number type>,string]; oct,dec,hex nur mitZeichenfolge verwendet

zum Beispiel msg: „AMDprocedure 7 plog overflow“;content:„|00 04 93 F3|“;content:„|00 00 00 07|“;distance: 4.within:4;byte_test:4,>,1000,20,relative;

Prüft ein Byte-Feld auf einenbestimmten Wert (mit Operator).Fähig, binäre Werte zu testenund repräsentative Byte-Stringsin ihr binäres Gegenüber zukonvertieren und zu testen.bytes_to_convert – Die Anzahlan Bytes, die aus dem Paketaufgenommen werden – Mit dieserOperation wird der Wert (<,>,=,!,&)geprüft

value – Der Wert, mitwelchem der konvertierteWert verglichen wird

offset – Die Anzahl derBytes, nach welcher dieNutzlast die Verarbeitungstartet

relative – Verwendung einesoffset ab dem letzten Pattern-Match

big – Verarbeitung der Datenals Big

Endian (Standard) little –Verarbeitung der Daten alsLittle Endian

string – Die Daten im Paketwerden im String-Formatgespeichert

hex – Die konvertiertenString-Daten werdenhexadezimal dargestellt

dec – Die konvertiertenString-Daten werden dezimaldargestellt

oct – Die konvertiertenString-Daten werden oktaldargestellt


XG Firewall


byte_jump <bytes_to_convert>, <offset>[,relative] [,multiplier <multipliervalue>] [,big] [,little][,string][,hex] [,dec] [,oct] [,align][,from_beginning]; oct,dec,hexwird nur mit String verwendet

zum Beispiel, content:„|00 0000 01|“; distance: 4; within: 4;byte_jump: 4,12,relative,align

bytes_to_convert – Die Anzahlan Bytes, die aus dem Paketaufgenommen werden multipliervalue – Multipliziert die Anzahl dererrechneten Bytes mit dem Wertund springt die Anzahl an Bytesvor

operator – Mit dieserOperation wird der Wert(<,>,=,!,&) geprüft

value – Der Wert, mitwelchem der konvertierteWert verglichen wird

offset – Die Anzahl derBytes, nach welcher dieNutzlast die Verarbeitungstartet

relative – Verwendung einesoffset ab dem letzten Pattern-Match

big – Verarbeitung der Datenals Big

Endian (Standard) little –Verarbeitung der Daten alsLittle Endian

string – Die Daten im Paketwerden im String-Formatgespeichert

hex – Die konvertiertenString-Daten werdenhexadezimal dargestellt

dec – Die konvertiertenString-Daten werden dezimaldargestellt

oct – Die konvertiertenString-Daten werden oktaldargestellt

align – Die konvertiertenBytes werden auf dasnächste 32-Bit Formataufgerundet

from_beginning – Vorwärtsüberspringen vom Anfangder Paket-Payload, anstattvon der aktuellen Position imPaket


XG Firewall


ttl <number>;><number>;<<number>; Vergleicht den Wert von IP Time-to-Live mit dem angegebenenWert

tos <number>; Vergleicht das Feld IP TOS mitdem angegebenen Wert

id <number>; Vergleicht das Feld IP ID mit demangegebenen Wert

ipopts {rr | eol | nop | ts | sec | lsrr |ssrr |satid | any}

rr – Prüft, ob die Option IPRR (record route) vorhandenist

eol – Prüft, ob die Option IPEOL (end of list) vorhandenist

nop – Prüft, ob die Option IPNOP (no op) vorhanden ist

ts – Prüft, ob die Option IPTS (time stamp) vorhandenist

sec – Prüft, ob die Option IPSEC (IP security) vorhandenist

lsrr – Prüft, ob die Option IPLSRR (loose source routing)vorhanden ist

ssrr – Prüft, ob die Option IPSSRR (strict source routing)vorhanden ist

satid – Prüft, ob die OptionIP SATID (stream identifier)vorhanden ist

any – Prüft, ob die Option IPany vorhanden ist

fragoffset <number>; Vergleicht das offset-Feld des IP-Fragments mit dem Dezimalwert


XG Firewall


fragbits [+*!]<[MDR]>; Überprüft, ob IP-Fragmentierungund reservierte Bits im IP-Headervorhanden sind.

M – Das More-Fragments-Bit

D – Das „Don't-Fragment“-Bit

R – Das Reserved-Bit

+ – Die angegebenenBits suchen, plus jeglicheweiteren

* – Match, wenn eines derangegebenen Bits gefundenwird

! – Match, wenn dieangegebenen Bits nichtgesetzt sind

dsize [<|>]<number>[<>number];

zum Beispieldsize:300<>400;

Testet die Nutzlast des Pakets.Wenn data_size festgelegt ist,wird das Zusammenfügen desPakets automatisch abgeschaltet,sodass eine Signatur mit Wertenfür data_size und only_streamals falsch betrachtet wird. dsizescheitert an neu gebautenDatenpaketen, unabhängig vonder Größe der Nutzlast


XG Firewall


flags [!|*|+]<FSRPAU120>[,<FSRPAU120>];

zum Beispiel, Flags:SF,12

TCP-Flags, mit welchen ein Paketabgeglichen werden soll.

S – Sucht nach dem SYN-Flag

A – Sucht nach dem ACK-Flag

F – Sucht nach dem FIN-Flag

R – Sucht nach dem RST-Flag

U – Sucht nach dem URG-Flag

P – Sucht nach dem PSH-Flag

1 – Sucht nach demreservierten Bit

1 2 – Sucht nach demreservierten Bit

2 0 – Sucht nach Bits ohneTCP-Flags

+ – Sucht nach denangegebenen Bits, plusweiteren

* – Match, wenn eines derangegebenen Bits gefundenwird

! – Match, wenn dieangegebenen Bits nichtgesetzt sind

flow to_client|to_server|from_client|from_server ];established;bi_direction;[no_stream|only_stream];

Nur TCP: Der Wert für to_serverentspricht dem Wert fürfrom_client. Der Wert fürto_client entspricht dem Wert fürfrom_server. Das Tag bi_directionführt die Suche nach passendenSignaturen in beiden Richtungendurch. Wenn zum Beispieleine Signatur mit „--dst_port80“ vorliegt und bi_direction istgesetzt, prüft die Signatur denDatenverkehr von und an Port 80.

seq <number>; Auf die festgelegte TCP-Sequenznummer prüfen

ack <number>; Auf die festgelegte TCP-Achknowledge-Nummer prüfen



window <number>; Auf die festgelegte TCP-Fenstergröße prüfen

itype [<|>]<number>[<>number]; Gibt den ICMP-Typ für die Suchean

icode [<|>]<number>[<>number]; Gibt den ICMP-Code für dieSuche an

icmp_id <number>; Sucht nach dem angegebenenICMP-ID-Wert

icmp_seq <number>; Sucht nach dem angegebenenICMP-Sequenzwert

rpc <application number>,[<versionnumber>|*],[<procedure number>|*>;

Sucht nach den RPC-Anwendungs-, Versions-und Prozessnummern inSUNRPCCALL-Anfragen. DerPlatzhalter * kann für Versions-und Prozessnummern verwendetwerden.

ip_proto <number>;[!]<number>;><number>;<<number>;

Sucht nach der IP-Protokollkopfzeile

samip NULL Die Quelle und das Ziel habendieselbe IP-Adresse

Zugehörige KonzepteEigene IPS-Signaturen (Seite 135)Mit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.

Anhang D

D Standard-Dateityp-Kategorien

Name der Dateityp-Kategorie Dateierweiterungen MIME-Header

Audiodateien gsm, sd2, qcp, kar, smf, midi, mid,ulw, snd, aifc, aif, aiff, m3url, m3u,wav, rm, au, ram, mp3, wmv

audio/x-gsm, audio/vnd.qcelp,audio/x-midi, application/x-midi,audio/midi, audio/x-mid, x-music/x-midi, audio/basic, audio/x-adpcm,audio/aiff, audio/x-aiff, audio/x-mpequrl, audio/wav, audio/x-wav,application/vnd.rn-realmedia,audio/x-au, audio/x-pn-realaudio,audio/mpeg3, audio/x-mpeg-3,audio/x-ms-wmv

Sicherungsdateien (Zur Kategorie„Sicherungsdateien“ gehöreneinzelne Dateisicherungenund Dateien, die zuSicherungsprogrammen gehören.Einzelne Sicherungsdateienwerden oftmals automatischvon Softwareprogrammenerstellt. Dateien vonSicherungsprogrammenbeinhalten inkrementelleSicherungen und Sicherungen desgesamten Systems.)

asd, bak, bkp, bup, dba, dbk, fbw,gho, nba, old, ori, sqb, tlg, tmp

application/octet-stream

Komprimierte Dateien(Komprimierte Dateien basierenauf der Dateikomprimierungund sparen Festplattenplatz.Es können auch Archivformateverwendet werden, um mehrereDateien zu einem Archiv zukomprimieren.)

7z, alz, deb, gz, pkg, pup, rar,rpm, sea, sfx, sit, sitx, tar.gz, tgz,war, zip, zipx

application/x-7z-compressed,application/x-alz, application/x-deb, application/x-gzip,application/x-newton-compatible-pkg, application/x-rar-compressed,application/sea, application/x-sea, application/x-sit, application/x-stuffit, application/gnutar,application/x-compressed,application/x-zip-compressed,application/zip, multipart/x-zip

XG Firewall


Konfigurationsdateien(In Einstellungsdateienwerden Einstellungen fürdas Betriebssystem undAnwendungen gespeichert.Diese Dateien sind nichtdafür gedacht, vom Benutzergeöffnet zu werden, sondernwerden von der entsprechendenAnwendung geändert, wenndie Programmeinstellungengeändert werden.Einstellungsdateien werdenauch als Konfigurationsdateienbezeichnet.)

cfg, clg, dbb, ini, keychain, prf,prx, psf, rdf, reg, thmx, vmx, wfc

application/pics-rules, application/octet-stream, application/vnd.ms-officetheme

Datenbankdateien (InDatenbankdateien werden Datenin einem strukturierten Format mitTabellen und Feldern gespeichert.Einzelne Einträge in einerDatenbank werden als Datensätzebezeichnet. Datenbanken werdenim Allgemeinen zum Speichernvon Daten verwendet, auf diedynamische Websites verweisen.)

accdb, db, dsn, mdb, mdf, pdb,sql, sqlite

application/msaccess, application/x-msaccess, application/vnd.msaccess, application/vnd.ms-access, application/mdb,application/x-mdb, chemical/x-pdb

Entwicklerdateien (DieKategorie „Entwicklerdateien“beinhaltet Dateien, die mitder Softwareentwicklungzusammenhängen. Hierzugehören Programmier-Projektdateien, Quellcode-Dateien, Code-Bibliotheken,Header-Dateien undKlassendateien. KompilierteObjekte und Komponentensind ebenfalls dieser Kategoriezuzuordnen.)

as, asc, c, cbl, cc, class, cp, cpp,cs, csproj, dev, dtd, f, fs, fsproj,fsx, ftl, gem, h, hpp, ise, ism, java,m, ocx, pas, pod, pro, py, r, rb, sh,src, tcl, trx, v, vbproj, vcproj, vtm,xcodeproj

text/plain, text/x-c, application/java, application/java-byte-code,application/x-java-class, text/xml, text/x-fortran, text/x-h, text/x-java-source, text/x-m, application/octet-stream, text/pascal, text/x-script.phyton, application/x-bsh,application/x-sh, application/x-shar, text/x-script.sh, application/x-wais-source, application/x-tcl, text/x-script.tcl

Festplatten-Imagedateien(Festplatten-Imagedateienenthalten eine exakte Kopieeiner Festplatte oder einessonstigen Mediums. Dazugehören alle Dateien sowiedie Dateisysteminformationen.Festplatten-Images könnensomit für die Duplizierungvon Festplatten, CDs undDVDs verwendet werden.Sie dienen oftmals auchSicherungszwecken.)

dmg, iso, mdf, nrg, nri, pvm, toast,vcd, vmdk

application/x-cdlink


XG Firewall


Dokumentdateien (Das Format„Dokumentdatei“ lässt sich alsText- oder Binärdaten-Dateitypbeschreiben, das der Speicherungformatierter Dokumente (Texte,Bilder, Cliparts, Tabellen,Diagramme, mehrere Seiten,mehrere Dokumente usw.) dient.)

doc, docx, wbk, xls, xlsx, ppt, pptx,oft, pub, msg, one, xsf, xsn, grv,mpp, mpt, acl, pip, thmx, aw, bld,blg, bvp, cdd, cdf, contact, csv,dat, dif, dmsp, efx, epub, epw,exif, exp, fdb, fxp, gbr, gpi, hdf,id2, lib, mat, mcd, menc, mw,ndx, not, notebook, out, ovf, pdx,pfc, pps, ppsx, pptm, prj, qbw,sdf, svf, tar, tsv, vcf, vdb, vxml,windowslivecontact, wlmp, xfd,xml, xsl, xslt, lit, log, lst, odt, opml,pages, rtf, sig, tex, txt, wpd, wps,pdf

application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/excel, application/vnd.ms-excel, application/x-excel, application/x-msexcel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/mspowerpoint,application/powerpoint,application/vnd.ms-powerpoint,application/x-mspowerpoint,application/vnd.openxmlformats-officedocument.presentationml.presentation,application/x-mspublisher,application/onenote, application/octet-stream, application/vnd.ms-project, application/x-project,application/vnd.ms-officetheme,application/cdf, application/x-cdf, application/x-netcdf, text/comma-separated-values, text/csv, application/csv, video/x-dv,application/x-hdf, application/mcad, application/x-mathcad,application/vnd.openxmlformats-officedocument.presentationml.slideshow,application/vnd.ms-powerpoint.presentation.macroEnabled.12,image/vnd.dwg, image/x-dwg, application/x-tar, text/tab-separated-values, text/x-vcard, application/xml, text/xml,application/x-ms-reader, text/plain, application/rtf, application/x-rtf, text/richtext, application/x-tex, application/wordperfect,application/x-wpwin, application/vnd.ms-works, application/pdf

Dynamische Dateien pl, jsp, asp, php, cgi, shtml text/x-script.perl, text/asp, text/x-server-parsed-html, text/html

Kodierte Dateien (KodierteDateien sind Dateien, die Datenin kodiertem Format speichern.Dazu gehören verschlüsselteDateien, nicht komprimierteArchive und binär kodierteTextdateien. Dateien werden oftaus Sicherheitsgründen kodiertund um zu verhindern, dass siebei Datentransfers beschädigtwerden.)

bin, enc, hex, hqx, mim, mime,uue

application/mac-binary,application/macbinary, application/octet-stream, application/x-binary, application/x-macbinary,application/binhex, application/binhex4, application/mac-binhex, application/mac-binhex40, application/x-binhex40,application/x-mac-binhex40,message/rfc822, www/mime, text/x-uuencode


XG Firewall


Ausführbare Dateien exe, cmd, bat, com application/bat, application/x-bat,application/x-msdos-program,application/textedit, application/octet-stream, text/plain

Bilddateien bmp, gif, jpeg, jpg, pcx, png image/bmp, image/x-windows-bmp, image/gif, image/pjpeg,image/jpeg, image/x-pcx, image/png

Seitenlayout-Dateien(Seitenlayout-Dateien sindDokumente, die sowohl Text-als auch Bilddaten enthaltenkönnen. Sie können auchFormatierungsdaten fürSeitengröße, Ränder undAnordnung des Inhalts auf derSeite enthalten. Seitenlayout-Dokumente werden oftmals fürdie Erstellung von druckfähigenPublikationen wie Zeitungen,Zeitschriften und Broschürenverwendet.)

idml, indd, inx, isd, mdi, pct, pdf,pmd, ptx, pub, qxb, qxd, qxp, rels,xps

image/x-pict, application/pdf,application/x-mspublisher,application/octet-stream,application/vnd.ms-xpsdocument

Plugin-Dateien (Plugin-Dateienstellen zusätzliche Funktionenfür vorhandene Programmebereit. Sie werden im Allgemeinenvon Bild-, Video- und Audio-Bearbeitungsanwendungen sowievon Webbrowsern verwendet.Plugins werden auch als Add-onsund Erweiterungen bezeichnet.)

8bi, arx, crx, plugin, vst, xll application/x-visio, application/excel,application/vnd.ms-excel,application/x-excel

Systemdateien (Zur Kategorieder Systemdateien gehörenDateien, die Mac-, Windows- undLinux-Betriebssysteme betreffen.Beispiele: Systembibliotheken,Symbole, Designs undGerätetreiber. Vom Systemausgegebene Dateien gehörenebenfalls zu dieser Kategorie.)

bashrc, cab, cpl, cur, dll, dmp, drv,hlp, ico, key, lnk, msp, prf, profile,scf, scr, sys

application/vnd.ms-cab-compressed, application/octet-stream, application/x-msdownload,application/hlp, application/x-helpfile, application/x-winhelp,image/x-icon

Videodateien dat, mov, avi, qt, smi, sml, smil,flc, fli, vfw, mpeg, mpg, m15, m1u,m1a, m75, mls, mp2, mpm, mp,rm, wmv, flv, swf

application/octet-stream,application/x-troff-msvideo,video/avi, video/msvideo, video/x-msvideo, video/quicktime,application/smil, application/x-simile, video/flc, video/fli, video/x-fli, video/mpeg, video/x-mpeg,video/x-mpeq2a, application/vnd.rn-realmedia, video/flv,application/x-shockwave-flash


XG Firewall


Webdateien (Zur Kategorie derWebdateien gehören Dateien,die Websites und Webserverbetreffen. Dazu zählen statischeund dynamische Webseiten,Webanwendungen und Dateien,auf die bestimmte Webseitenverweisen.)

alx, asax, asmx, aspx, atom, att,axd, chm, dwt

application/atom+xml


XG Firewall

Anhang E

E USB-Kompatibilitätsliste

Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility

Alcatel AL300 Dodo AU HSDPA 7.2HSUPA 2.0

1bbb:f000 1bbb:0000 Wahrscheinlich

Alcatel AL720 Dodo AU HSDPA 7.2HSUPA 5.76


Alcatel OneTouchL100V

LTE CAT3 1bbb:f000 1bbb:011e Möglich

Alcatel OneTouchL100V

LTE CAT3 1bbb:f017 1bbb:011e Wahrscheinlich

Alcatel OneTouchL800

LTE CAT3 1bbb:f000 1bbb:0195 Möglich

Alcatel OneTouchL800MA

Smart PH LTE CAT3 1bbb:f017 1bbb:0203 Möglich

Alcatel OneTouchL850

LTE CAT3 1bbb:f000 1bbb:0195 Möglich

Alcatel OneTouchX060S

HSDPA3.6/0.38



HSDPA3.6/0.38


Alcatel OneTouchX080C

CDMA EV-DO Rev.A

1bbb:00ca 1bbb:00ca Wahrscheinlich


HSDPA3.6/0.38


Alcatel OneTouchX085C

CDMA EV-DO Rev.A

1bbb:0012 1bbb:0012 Möglich


HSDPA3.6/0.38


Alcatel OneTouchX200

HSDPA 7.2HSUPA 2.0


Alcatel OneTouchX210D

HSDPA 7.2HSUPA 5.76



HSDPA 7.2HSUPA 5.76


Alcatel OneTouchX220L

HSDPA 7.2HSUPA 5.76



HSDPA 7.2HSUPA 5.76



XG Firewall



HSDPA 7.2HSUPA 5.76



HSDPA 7.2HSUPA 5.76



HSDPA 7.2HSUPA 5.76


Alcatel OneTouchX230E

HSDPA 7.2HSUPA 5.76



HSDPA 7.2HSUPA 5.76



HSPA+14.4/5.76



HSPA+14.4/5.76



HSPA+14.4/5.76



HSPA+21.6/5.76



HSPA+21.6/5.76


Alcatel OneTouchX500M

HSPA+21.6/5.76


Alcatel OneTouchX500U

HSPA+21.6/5.76



DC-HSPA+28.8/5.76



HSPA+21.6/5.76

1bbb: 1bbb:0000 Unbekannt


HSPA+21.6/5.76

1bbb:f000 1bbb:00b7 Wahrscheinlich


HSPA+21.6/5.76

1bbb:022c 1bbb:022c Möglich


DC-HSPA+28.8/5.76

1bbb:f000 1bbb:0191 Unbekannt

Alcatel OneTouchW800

Telekom DE LTE CAT3 1bbb:f000 1bbb:0195 Möglich

Alcatel SpeedstickLTE II

Telekom DE LTE CAT3 1bbb:f017 1bbb:011e Wahrscheinlich

Alcatel SpeedstickLTE IV

Telekom DE LTE CAT3 1bbb:f000 1bbb:0195 Möglich

Alcatel XSStickW100

4G Systems LTE CAT3 1bbb:f000 1bbb:011e Möglich


XG Firewall


Anydata ADU-300A CDMA EV-DO

16d5:6501 16d5:6501 Unwahrscheinlich




05c6:1000 16d5:6502 Wahrscheinlich



Anydata ADU-510L CDMA EV-DO


Anydata ADU-520A CDMA 1xEV-DO Rev.A


Anydata ADU-520C CDMA 1xEV-DO Rev.A


Anydata ADU-555C MTS CDMA 1xEV-DO Rev.A


Anydata ADU-620UW HSDPA 7.2 16d5:6202 16d5:6202 Unwahrscheinlich

Anydata ADU-635WA CDMA EV-DO & HSDPA


Anydata ADU-890WH CDMA EV-DO & HSDPA

16d5:f000 16d5:6603 Unwahrscheinlich

Axesstel MU130 HSDPA 7.2HSUPA 5.76

1726:f00e 1726:a000 Wahrscheinlich

Axesstel MV110H CDMA20001xEV-DO

1726:1000 1726:1000 Unwahrscheinlich

Bandrich C-100 HSDPA7.2/0.38

1a8d:1000 1a8d:1001 Möglich


1a8d:1000 1a8d:1002 Wahrscheinlich









Bandrich C-177 MovistarPER

HSDPA3.6/0.38


Bandrich C-178 Telsec BR HSDPA3.6/0.38


Bandrich C-179 Singtel HSDPA3.6/0.38



XG Firewall






Bandrich C-270 HSDPA 7.2HSUPA 5.76


Bandrich C-278 Cellcom HSDPA3.6/0.38


Bandrich C-320 HSPA+21.6/5.76

1a8d:1000 1a8d:100c Möglich


1a8d:1000 1a8d:100d Wahrscheinlich







Bandrich C-360 DC-HSPA+28.8/5.76

1a8d: 1a8d: Unbekannt

Bandrich C-370 DC-HSPA+28.8/5.76

1a8d: 1a8d: Unbekannt

Bandrich C-500 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich






Bandrich M150 HSDPA7.2/0.38

1a8d:1000 1a8d: Möglich

Bandrich M152 HSDPA7.2/0.38


Bandrich M250 HSDPA 7.2HSUPA 2.0

1a8d:1008 1a8d:1008 Unwahrscheinlich





Bandrich PHS101 Prolink HSDPA3.6/0.38


ChangHong AC327U Netgear HSDPA 7.2HSUPA 5.76

2077:f000 2077:a003 Möglich


XG Firewall


ChangHong CH690 CDMA EV-DO

2077:1000 2077:7001 Wahrscheinlich

ChangHong DG-BA3370 Digisol HSDPA 7.2HSUPA 5.76

2077:f000 2077:a000 Möglich

ChangHong DWM-155 D-Link HSDPA 7.2HSUPA 5.76

2077:f000 2077:9062 Möglich

ChangHong DWM-163 D-Link CDMA EV-DO

05c6:1000 2077:7010 Möglich


2077:1000 2077:7010 Möglich


05c6:1000 2077:7011 Möglich


2077:1000 2077:7011 Möglich

ChangHong MV242 AxessTel HSDPA 7.2HSUPA 5.76

2077:1000 2077:8000 Möglich

ChangHong W-160 Nucom HSDPA 7.2HSUPA 5.76

2077:f000 2077:9000 Wahrscheinlich

ChangHong W-260 Nucom HSDPA 7.2HSUPA 5.76

2077:f000 2077:a000 Möglich

Cmotech BP3-USB Maxon HSDPA7.2/0.38


Cmotech BP3-EXT Maxon HSDPA7.2/0.38


Cmotech CBU-450D SK Korea HSDPA 7.2HSUPA 5.76

16d8:700b 16d8:700b Wahrscheinlich

Cmotech CCM-650 CDMA 1xEV-DO

16d8: 16d8: Nichtkompatibel

Cmotech CCU-550 CDMA 1xEV-DO

16d8:5533 16d8:5533 Nichtkompatibel

Cmotech CCU-650 CDMA 1xEV-DO


Cmotech CCU-650U CDMA 1xEV-DO


Cmotech CCU-670 Viettel CDMA 1xEV-DO

16d8: 16d8: Unbekannt

Cmotech CCU-680 CAT TH CDMA 1xEV-DO Rev.A

16d8:6803 16d8:6803 Wahrscheinlich

Cmotech CCU-700 16d8:4000 16d8:4000 Unbekannt

Cmotech CDM-650 CDMA 1xEV-DO

16d8: 16d8: Nichtkompatibel

Cmotech CDU-550 CDMA 1xEV-DO



XG Firewall


Cmotech CDU-650 CDMA 1xEV-DO


Cmotech CDU-680 CDMA 1xEV-DO Rev.A


Cmotech CDU-685A CDMA 1xEV-DO Rev.A


Cmotech CGU-628 HSDPA7.2/0.38


Cmotech CGU-628A Franklin HSDPA7.2/0.38

16d8:f000 16d8:6006 Wahrscheinlich

Cmotech CGU-629 HSDPA 7.2HSUPA 5.76


Cmotech CGU-629C HSDPA 7.2HSUPA 5.76


Cmotech CGU-629S SK Korea HSDPA 7.2HSUPA 5.76


Cmotech CHE-628 HSDPA7.2/0.38


Cmotech CHE-628S HSDPA7.2/0.38


Cmotech CHM-628 HSDPA7.2/0.38


Cmotech CHS-628 HSDPA7.2/0.38


Cmotech CHU-628 HSDPA7.2/0.38


Cmotech CHU-628S SK Korea HSDPA7.2/0.38


Cmotech CHU-629K KT Korea HSDPA 7.2HSUPA 5.76


Cmotech CHU-629S SK Korea HSDPA 7.2HSUPA 5.76

16d8:700a 16d8:700a Wahrscheinlich

Cmotech CHU-720S SK Korea HSDPA 7.2HSUPA 5.76


Cmotech CHU-720I HSDPA 7.2HSUPA 5.76


Cmotech CMU-300 Franklin CDMA 1xEV-DO Rev.A


Cmotech CMU-301 Franklin CDMA 1xEV-DO Rev.A


Cmotech CNM-650 CDMA 1xEV-DO



XG Firewall


Cmotech CNM-680 CDMA 1xEV-DO Rev.A


Cmotech CNU-510 CDMA 1xEV-DO






Cmotech CNU-680 CDMA 1xEV-DO Rev.A

16d8:6803 16d8:680a Nichtkompatibel

Cmotech CNU-680E CDMA 1xEV-DO Rev.A


Cmotech XSStick W12 4G Systems HSDPA7.2/0.38

16d8:f000 16d8:6006 Wahrscheinlich

Curitel(Pantech)

P4200 Beemo LTE CAT 3 106c:3b14 106c:3721 Möglich

Curitel(Pantech)

UM-150 Verizon EV-DORev.A

106c:3711 106c:3711 Möglich

Curitel(Pantech)

UM-175VW Verizon EV-DORev.A

106c:3714 106c:3714 Möglich

Curitel(Pantech)

UM-175AL AllTel EV-DORev.A

106c:3b03 106c:3715 Möglich

Curitel(Pantech)

UM-185C Cricket CDMA1xEV–DO

106c:3b06 106c:3717 Möglich

Curitel(Pantech)

UM-185E AllTel CDMA1xEV–DO

106c:3b06 106c:3717 Möglich

Curitel(Pantech)

UM-190VW Verizon CDMA1xEV–DO

106c:3b05 106c:3716 Möglich

Curitel(Pantech)

UML-290VW Verizon CDMA1xEV–DO

106c:3b11 106c:3718 Möglich

Curitel(Pantech)

UMW-190 Verizon CDMA1xEV–DO

106c:3b06 106c:3717 Möglich

Datang Aircard 901 HSDPA 1ab7:5700 1ab7:2000 Wahrscheinlich

Datang DTM5730 HSDPA 1ab7:5700 1ab7:5730 Möglich

Datang DTM5731 Hummer HSDPA 1ab7:5700 1ab7:5731 Wahrscheinlich

Dell 5500 HSDPA 1.8 413c:8115 Unwahrscheinlich



Dell 5520 Cingular HSDPA 7.2 413c:8136 Unwahrscheinlich

Dell 5520 Vodafone HSDPA 7.2 413c:8137 Unwahrscheinlich

Dell 5520 Vodafone HSDPA 7.2 413c:8138 Unwahrscheinlich


XG Firewall


Dell 5530 Vodafone HSDPA 7.2HSUPA 2.0

413c:8147 Unwahrscheinlich

Dell 5620 HSDPA 413c:8186 Unwahrscheinlich

Dell 5630 CDMA EV-DO & HSPA


Dell 5700 CDMA EV-DO


Dell 5700 CDMA EV-DO


Dell 5700 Sprint CDMA EV-DO


Dell 5700 Telus CDMA EV-DO


Dell 5720 Verizon EV-DORev.A


Dell 5720 Sprint EV-DORev.A


Dell 5720 Telus EV-DORev.A


Dell 5730 Sprint HSDPA 413c:8180 Unwahrscheinlich

Dell 5730 Telus HSDPA 413c:8181 Unwahrscheinlich

Dell 5730 Verizon HSDPA 413c:8182 Unwahrscheinlich

Dell 5800 Verizon LTE CAT3 413c:8195 Unwahrscheinlich

Dell 5800v2 Verizon LTE CAT3 413c:8196 Unwahrscheinlich

Dell 5804 Verizon LTE CAT3 413c:819b Unwahrscheinlich

D-Link DWM-151 A1 HSDPA3.6/0.38

07d1:f000 07d1:7e07 Unwahrscheinlich

D-Link DWM-152 A1 HSDPA3.6/0.38

07d1:a800 07d1:3e01 Möglich

D-Link DWM-152 A3 HSDPA 7.2HSUPA 5.76

07d1:a804 07d1:7e11 Wahrscheinlich

D-Link DWM-152 C1 HSDPA3.6/0.38

07d1:a800 07d1:3e01 Möglich




07d1:a800 07d1:7e0c Möglich




2001:a80b 2001:7d00 Wahrscheinlich


XG Firewall



2001:a80b 2001:7d00 Wahrscheinlich

D-Link DWM-156 A7 HSPA+14.4/5.76

2001:a706 2001:7d01 Möglich


2001:a403 2001:7d0b Nichtkompatibel

D-Link DWM-156 C1 HSPA+14.4/5.76

Unbekannt


2001:a809 2001:7901 Unwahrscheinlich

D-Link DWM-157 B1 HSPA+21.6/5.76

2001:00a6 2001:7d02 Nichtkompatibel

D-Link DWM-157 B1 HSPA+21.6/5.76

2001:a707 2001:7d02 Möglich

D-Link DWM-157 C1 HSPA+21.6/5.76

2001:a407 2001:7d0e Nichtkompatibel

D-Link DWM-158 B1 HSDPA 7.2HSUPA 5.76


D-Link DWM-158 D1 DC-HSPA+42.2/11.5

2001:a708 2001:7d03 Möglich

D-Link DWM-167 A1 CDMA EV-DO

2001:a405 2001:7d0d Nichtkompatibel

D-Link DWM-221 A1 LTE CAT3 2001:98ff 2001:7e16 Unwahrscheinlich

D-Link DWM-221 B1 LTE CAT3 2001:a401 2001:7e19 Unwahrscheinlich

D-Link DWM-221 B1 Vivo BR LTE CAT3 2001:a406 2001:7e19 Unwahrscheinlich

D-Link DWP-156 B1 HSPA+14.4/5.76

2001:a403 2001:7d0b Nichtkompatibel

D-Link DWP-157 B1 HSPA+21.6/5.76

2001:a403 2001:7d0c Nichtkompatibel

D-Link DWR-510 HSDPA 7.2HSUPA 5.76

2001:a805 2001:7e12 Wahrscheinlich

D-Link DWR-710 HSPA+21.6/5.76

2001:7d09 2001:7d09 Unwahrscheinlich

D-Link DWR-730 HSPA+21.6/5.76


D-Link DWR-830 DC-HSPA+42/11.5


D-Link DWR-910 B1 LTE CAT3 2001:7e18 Unwahrscheinlich

D-Link DWR-910 LTE CAT3 2001:a40d 2001:7e38 Unwahrscheinlich

D-Link DWR-932 D1 LTE CAT3 2001: 2001:7e36 Unwahrscheinlich

Ericson F3307 HSDPA 7.2HSUPA 2.0

0bdb:1909 0bdb:1909 Nichtkompatibel


XG Firewall



0bdb:190a 0bdb:190a Nichtkompatibel


0bdb:190e 0bdb:190e Nichtkompatibel


0bdb:190f 0bdb:190f Nichtkompatibel

Ericson F3507g Lenovo HSDPA 7.2HSUPA 2.0


Ericson F3507g HSDPA 7.2HSUPA 2.0


Ericson F3607gw HSDPA 7.2HSUPA 2.0


Ericson F3607gw Lenovo HSDPA 7.2HSUPA 2.0


Ericson F3607gw HSDPA 7.2HSUPA 2.0


Ericson F3607gw Lenovo HSDPA 7.2HSUPA 2.0


Ericson F5221gw HSPA+21.6/5.76

0bdb:190d 0bdb:190d Nichtkompatibel

Ericson F5221gw HSPA+21.6/5.76


FranklinWireless

U210 Sprint CDMA EV-DO Rev.A

1fac:0032 1fac:0032 Möglich

FranklinWireless

U600 Sprint CDMA EV-DO Rev.A

1fac:0150 1fac:0151 Möglich

Haier CE81B Smartfren CDMA EV-DO Rev.A

05c6:f000 201e:10f8 Möglich

Haier CE100 CDMA EV-DO Rev.A

201e:2009 201e:2009 Wahrscheinlich

Haier CE210 CDMA EV-DO Rev.A


Haier CE682 Smartfren CDMA EV-DO Rev.A


Haier CE782 Smartfren CDMA EV-DO Rev.A


Haier V-ME101 OliveTelecom

CDMA EV-DO Rev.A


Haier V-ME110 OliveTelecom

CDMA EV-DO Rev.A


Huawei B81 M-BudgetSW

HSDPA 7.2HSUPA 5.76

12d1:1446 12d1:14ac Wahrscheinlich


XG Firewall


Huawei D01HW E-Mobile JP HSDPA3.6/0.38








Huawei D21HW E-Mobile JP HSDPA 7.2HSUPA 1.4







12d1:1446 12d1:1408 Möglich


12d1:1446 12d1:1408 Möglich



Huawei D31HW E-Mobile JP HSPA+21.6/5.76

12d1:1446 12d1:1429 Möglich





Huawei D41HW E-Mobile JP DC-HSPA+42.2/11.5


Huawei E122 HSDPA7.2/2.0






Huawei E156B HSDPA3.6/0.38


Huawei E156G HSDPA3.6/0.38

12d1:1446 12d1:140c Wahrscheinlich



Huawei E160E HSDPA3.6/0.38



XG Firewall


Huawei E160G HSDPA3.6/0.38








Huawei E169G O2 DE HSDPA7.2/0.38


Huawei E169U HSDPA 7.2HSUPA 5.76


Huawei E169V Vodafone HSDPA7.2/0.38


Huawei E170 HSDPA 7.2HSUPA 2.0


Huawei E171 MTS HSDPA 7.2HSUPA 5.76

12d1:14fe 12d1:1506 Wahrscheinlich


12d1:155b 12d1:1506 Wahrscheinlich






12d1:1557 12d1:14a5 Wahrscheinlich

Huawei E173 Movistar HSDPA 7.2HSUPA 5.76

12d1:1c24 12d1:1c23 Möglich

Huawei E173 Viettel 3G HSDPA 7.2HSUPA 5.76

12d1:14b5 12d1:14a8 Wahrscheinlich


12d1:14ba 12d1:14d2 Wahrscheinlich

Huawei E173s HSPA 12d1:1c0b 12d1:1c05 Wahrscheinlich

Huawei E173s-6 HSPA 12d1:1c0b 12d1:1c07 Wahrscheinlich



Huawei E173u-1 HSDPA 7.2HSUPA 5.76


Huawei E173u-2 Play PL HSDPA 7.2HSUPA 2.0





XG Firewall


Huawei E176G HSDPA 7.2HSUPA 5.76



12d1:14ba 12d1:14d2 Wahrscheinlich


12d1:1414 12d1:1003 Möglich

Huawei E180V Swisscom HSDPA 7.2HSUPA 5.76


Huawei E181 HSDPA 7.2 12d1:1001 12d1:1001 Wahrscheinlich

Huawei E182E HSPA+21.6/5.76

12d1:14d1 12d1:14c9 Wahrscheinlich

Huawei E200 HSDPA 3.6 12d1:1446 12d1:140c Wahrscheinlich



Huawei E220 Vodafone HSDPA 3.6 12d1:1003 12d1:1003 Wahrscheinlich

Huawei E220BIS HSDPA 12d1:1004 12d1:1004 Wahrscheinlich






Huawei E270 Vodafone HSDPA 7.2HSUPA 2.0


Huawei E270+ HSPA+21.6/5.76


Huawei E272 Vodafone HSDPA 7.2HSUPA 2.0


Huawei E303 HSPA+21.6/5.76

12d1:1f01 12d1:14dc Möglich

Huawei E303s HSPA+21.6/5.76

12d1:1f01 12d1:14db Wahrscheinlich

Huawei E303F TrueMoveTH

HSPA+21.6/5.76


Huawei E352-R1 HSDPA 7.2HSUPA 5.76


Huawei E352 T-Mobile NL HSPA+21.6/5.76


Huawei E353W-u1 HSPA+21.6/5.76


Huawei E353Ws-2 3.se HSPA+21.6/5.76



XG Firewall


Huawei E353s-2 HSPA+21.6/5.76


Huawei E353s-H2 HSPA+21.6/5.76

12d1:151a 12d1:151a Nichtkompatibel


12d1:151a 12d1:151d Wahrscheinlich


12d1:14fe 12d1:1c1e Möglich



Huawei E367 DC-HSPA+28.8/5.76






Huawei E367 O2 DC-HSPA+28.8/5.76



12d1:1505 12d1:150f Wahrscheinlich





Huawei E389 LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich


Huawei E392u-12 LTE CAT3 12d1:151a 12d1:151b Wahrscheinlich


Huawei E398u-15 LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich



Huawei E583C HSDPA 7.2HSUPA 5.76

12d1:1446 12d1:142d Möglich






12d1:14fe 12d1:1c1f Möglich

Huawei E587 HSPA42.2/5.76

12d1:1c1b 12d1:1506 Wahrscheinlich

Huawei E589u-12 LTE CAT3 12d1:1f01 12d1:14db Wahrscheinlich


XG Firewall


Huawei E600 12d1:1001 12d1:1001 Wahrscheinlich



Huawei E630 HSDPA 7.2 1033:0035 12d1:1003 Wahrscheinlich


Huawei E800 HSDPA 12d1:1001 12d1:1001 Wahrscheinlich























Huawei E1731Bu-1 HSPA+21.6/5.76


Huawei E1750 Telia SE HSDPA 7.2HSUPA 5.76






Huawei E1750 Viettel 3G HSDPA 7.2HSUPA 5.76

12d1:14b5 12d1:14aa Wahrscheinlich

Huawei E1752 Telmore DK HSDPA 7.2HSUPA 5.76


Huawei E1752 Orange HSDPA 7.2HSUPA 5.76

12d1:1446 12d1:141b Wahrscheinlich


XG Firewall



12d1:1446 12d1:1417 Möglich




12d1:1446 12d1:1417 Möglich







Huawei E1762V Vodafone HSDPA 7.2HSUPA 5.76










Huawei E1815 AT&T HSPA+21.6/5.76







12d1:1446 12d1:1404 Möglich

Huawei E3131h-2 HSPA+21.6/5.76

12d1:15ca 12d1:1506 Möglich



Huawei E3131s-2 Orange Ro HSPA+21.6/5.76

12d1:14fe 12d1:151d Wahrscheinlich




12d1:151a 12d1:151a Nichtkompatibel


12d1:151a 12d1:151d Wahrscheinlich


XG Firewall





12d1:14dc Möglich


12d1:156a 12d1:156b Möglich



Huawei E3256 3 UK DC-HSPA+42.2/11.5


Huawei E3272s-153 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich

Huawei E3272s-503 LTE CAT4 12d1:157c 12d1:157c Nichtkompatibel

Huawei E3272s-503 LTE CAT4 12d1:157c 12d1:1506 Unwahrscheinlich

Huawei E3276 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich


Huawei E3276s-150 LTE CAT4 12d1:157c 12d1:1506 Unwahrscheinlich

Huawei E3276s-150 Swisscom LTE CAT4 12d1:1597 12d1:1598 Unwahrscheinlich

Huawei E3276s-151 Orange LTE CAT4 12d1:156a 12d1:156c Wahrscheinlich



12d1:157d 12d1:157d Nichtkompatibel


12d1:157d 12d1:14db Unwahrscheinlich

Huawei E3372 LTE CAT4 12d1:1f01 12d1:14dc Möglich

Huawei E3372h-153 LTE CAT4 12d1:157d 12d1:157d Nichtkompatibel

Huawei E3372h-153 LTE CAT4 12d1:157d 12d1:14dc Unwahrscheinlich


Huawei E3372s-153 LTE CAT4 12d1:15cd 12d1:15cd Nichtkompatibel

Huawei E3372s-153 LTE CAT4 12d1:15cd 12d1:1506 Unwahrscheinlich


12d1:15ca 12d1:1506 Möglich

Huawei E3531s-2 tre IT HSPA+21.6/5.76


Huawei E3531s-2 Meditel MA HSPA+21.6/5.76

12d1:15ce 12d1:15b1 Unwahrscheinlich


12d1:15cd 12d1:15cd Nichtkompatibel


XG Firewall



12d1:15cd 12d1:1506 Unwahrscheinlich


12d1:15e7 12d1:1506 Unwahrscheinlich

Huawei E3772 LTE CAT4 12d1:157d 12d1:157d Nichtkompatibel

Huawei E3772 LTE CAT4 12d1:157d 12d1:14db Unwahrscheinlich

Huawei E5220s-2 AIS TH HSPA+21.6/5.76


Huawei E5251 tre IT DC-HSPA+42.2/11.5





12d1:14fe 12d1:1c1f Möglich





Huawei E5377s-32 LTE CAT4 12d1:1f02 12d1:14dc Unwahrscheinlich





Huawei E5786 LTE CAT6 12d1: 12d1:1506 Möglich

Huawei E5786s-32a LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich



Huawei E5830s HSDPA 7.2HSUPA 5.76

12d1:1446 12d1:142d Möglich


12d1:1446 12d1:1401 Möglich

Huawei E5832s HSDPA 7.2HSUPA 5.76

12d1:1446 12d1:142d Möglich


12d1:1f01 12d1:14dc Möglich




Huawei E8278s-602 LTE CAT4 12d1:1583 12d1:1589 Unwahrscheinlich

Huawei E8372 LTE CAT4 12d1:1f01 12d1:14db Wahrscheinlich


XG Firewall


Huawei EC27 HSDPA/HSUPA

Unbekannt

Huawei EC121 Reliance CDMA2000 12d1:1411 12d1:1411 Wahrscheinlich

Huawei EC122 CDMA2000 12d1:1446 12d1:140c Wahrscheinlich

Huawei EC150 Reliance CDMA 2000 12d1:1446 12d1:140b Wahrscheinlich

Huawei EC152 CDMA1XHSIA


Huawei EC156 CDMA EV-DO Rev.A




Huawei EC159 Reliance CDMA 2000 12d1:1446 12d1:140b Wahrscheinlich





Huawei EC168 AllTel CDMA EV-DO Rev.A


Huawei EC168C Reliance CDMA EV-DO Rev.A




Huawei EC176-2 Smartfren CDMA EV-DO Rev.A

12d1:1505 12d1:140c Möglich


12d1:1505 12d1:140c Möglich


12d1:1505 12d1:140c Möglich





Huawei EC306 CDMA EV-DO Rev.B


Huawei EC321 CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich

Huawei EC325 Reliance CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich

Huawei EC328 CDMA2000 Unbekannt

Huawei EC360 CDMA EV-DO Rev.0





XG Firewall


Huawei EC821 CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich

Huawei EC1260 Reliance HSD Rev.A 12d1:1446 12d1:140b Wahrscheinlich

Huawei EC1260 HSD Rev.A 12d1:1505 12d1:140b Wahrscheinlich



Huawei EC1262 12d1:1446 12d1:140b Wahrscheinlich



Huawei EC1561 MTS 12d1:1505 12d1:140b Wahrscheinlich

Huawei GD01 E-Mobile JP HSPA+21.6/5.76


Huawei GL01P E-Mobile JP HSPA+21.6/5.76


Huawei GP01 E-Mobile JP HSPA+21.6/5.76


Huawei GP02 E-Mobile JP HSPA+21.6/5.76

12d1:1c1b 12d1:1506 Wahrscheinlich

Huawei HWD12 KDDI Jpn LTE CAT4 12d1:1f03 12d1:14db Wahrscheinlich

Huawei K3520 Vodafone HSDPA 7.2HSUPA 5.76




Huawei K3565-2 Vodafone HSDPA 7.2HSUPA 2.0







12d1:14d1 12d1:14c9 Wahrscheinlich


12d1:14c4 12d1:14ca Wahrscheinlich


12d1:1526 12d1: 14cf Wahrscheinlich


12d1:1f11 12d1:14bc Wahrscheinlich

Huawei K3806 Vodafone HSPA+14.4/5.76

12d1:14ad 12d1:14ae Wahrscheinlich


12d1:1f17 12d1:1f17 Nichtkompatibel


XG Firewall



12d1:1f17 12d1:1576 Wahrscheinlich




12d1:1f18 12d1:1577 Unwahrscheinlich


12d1:1f1c 12d1:1f1c Nichtkompatibel


12d1:1f1c 12d1:157a Möglich


12d1:1f1c 12d1:1590 Möglich

Huawei K4305 Vodafone DC-HSPA+28.8/5.76





12d1:1f15 12d1:14f7 Unwahrscheinlich




12d1:14c5 12d1:14cb Wahrscheinlich


12d1:14b7 12d1:14cc Wahrscheinlich


12d1:14c1 12d1:14c6 Wahrscheinlich




12d1:1f19 12d1:14fa Unwahrscheinlich



Huawei K5005 Vodafone LTE CAT3 12d1:14c3 12d1:14c8 Wahrscheinlich

Huawei K5007 Vodafone LTE CAT4 12d1:156a 12d1:156c Wahrscheinlich

Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:14f8 Unwahrscheinlich

Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:1f16 Nichtkompatibel

Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:1575 Unwahrscheinlich

Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:1f1e Nichtkompatibel

Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:157f Unwahrscheinlich

Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:1592 Unwahrscheinlich


XG Firewall




Huawei Kxxxx Vodafone LTE 4G 12d1:1f1b 12d1:1579 Nichtkompatibel

Huawei Kxxxx Vodafone LTE 4G 12d1:1f1d 12d1:157b Nichtkompatibel

Huawei ME906E LTE CAT3 - 12d1:1570 Nichtkompatibel

Huawei R201 Vodafone HSDPA 7.2HSUPA 5.76


Huawei R205 Vodafone HSPA+21.6/5.76

12d1:155a 12d1:14cd Wahrscheinlich


12d1:1527 12d1:1594 Unbekannt

Huawei R206_MR Vodafone HSPA+21.6/5.76

12d1:1f04 12d1:15bc Unwahrscheinlich


12d1:1f05 12d1:15bd Unwahrscheinlich

Huawei R208 Vodafone DC-HSPA+42.2/5.76

12d1:1581 12d1:1587 Unbekannt

Huawei R210 Vodafone LTE CAT3 12d1:1580 12d1:1585 Unbekannt

Huawei R215 Vodafone LTE CAT4 12d1:1582 12d1:1588 Unwahrscheinlich

Huawei R215_MR Vodafone LTE CAT4 12d1:1f06 12d1:15c7 Unbekannt

Huawei R216 Vodafone LTE CAT4 12d1:1f09 12d1:1c50 Unwahrscheinlich

Huawei R226 Vodafone LTE CAT6 12d1:1f07 12d1:15bf Unwahrscheinlich

Huawei R226 Vodafone LTE CAT6 12d1:1f07 12d1:15c8 Unwahrscheinlich

Huawei S4011 MedionMobile HSDPA 3.6 12d1:1003 12d1:1003 Wahrscheinlich

Huawei SpeedstickLTE

Telekom DE LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich

Huawei SpeedstickLTE III

Telekom DE LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich

Huawei SpeedstickLTE V

Telekom DE LTE CAT4 12d1:15cd 12d1:15cd Nichtkompatibel

Huawei SU-6200 SpeedUp CDMA 12d1:1446 12d1:1001 Wahrscheinlich

Huawei U725 Vodafone 12d1:1009 12d1:1009 Wahrscheinlich

Huawei U2800A 12d1:1805 12d1:1805 Wahrscheinlich

Huawei U6150 12d1:1805 12d1:1805 Wahrscheinlich

Huawei U8110 T-Mobile 12d1:1031 12d1:1035 Wahrscheinlich

Huawei U8220 T-Mobile 12d1:1030 12d1:1034 Wahrscheinlich


XG Firewall


Huawei UMG366 T-Mobile US HSPA+21.6/5.76


Huawei UMG1691 T-Mobile US HSDPA 12d1:1446 12d1:140c Wahrscheinlich

Huawei UMG1831 T-Mobile US HSPA+21.6/5.76


Huawei UML397 Celluar US LTE Unbekannt

Huawei W5101 Vodafone LTE CAT4 12d1:1583 12d1:1589 Unwahrscheinlich

Infomark IMW-C910W Clear SpotVoyager

19f2:1700 19f2:1700 Unwahrscheinlich

Kyocera KPC650 CDMA 1xEV-DO

0c88:17da 0c88:17da Unwahrscheinlich

Kyocera KPC680 CDMA EV-DO Rev.A

0c88:180a 0c88:180a Unwahrscheinlich

Kyocera W06K CDMA EV-DO Rev.A

0482:024d 0482:024d Möglich

LG L-02C Docomo HSDPA 7.2HSUPA 5.76

1004:61dd 1004:618f Wahrscheinlich

LG L-03D Docomo HSPA+14.4/5.76


LG L-05A Docomo HSDPA 7.2HSUPA 5.76

1004:613a 1004:6124 Möglich

LG L-07A Docomo HSDPA 7.2HSUPA 5.76

1004:614e 1004:6135 Möglich

LG L-08C Docomo HSDPA 7.2HSUPA 5.76

1004:61eb 1004:61ea Möglich

LG LUU-2100TI AT&T HSDPA 7.2HSUPA 5.76

1004:613f 1004:6141 Möglich

LG LUU-2110TI AT&T HSDPA 7.2HSUPA 5.76

1004:6156 1004:6157 Möglich

Linktop LW272 BSNL 230d:0001 230d:0001 Möglich

Linktop LW272 Teracom 230d:0003 230d:0003 Möglich

Linktop LW272 Visiontek 230d:0007 230d:0007 Möglich

Linktop LW273 BSNL 230d:0001 230d:0001 Möglich

Linktop LW273 Visiontek 230d:0007 230d:0007 Möglich

Linktop IT-ST3G Intex 230d:000d 230d:000d Unwahrscheinlich

Linktop Zoom 3G 230d:0001 230d:0001 Möglich

Linktop Zoom 3G 230d:000b 230d:000b Unwahrscheinlich

Longcheer 3.5G Nuton HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer 4595 Zoom HSDPA 7.2HSUPA 5.76

1c9e:f000 1c9e:9603 Wahrscheinlich


XG Firewall






Longcheer CBM-300 ChangBao HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer CBM-400 ChangBao HSDPA 7.2HSUPA 5.76


Longcheer CE200 Capitel CDMA EV-DO

1c9e:9e00 1c9e:9e00 Wahrscheinlich

Longcheer C01LC Softbank HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer C02LC Softbank HSDPA 7.2HSUPA 5.76

1c9e:f000 1c9e:9900 Möglich

Longcheer C5300 Longsung CDMA EV-DO


Longcheer C5300V Longsung CDMA EV-DO


Longcheer D01LC Emobile HSDPA 3.6 1c9e: 1c9e: Möglich

Longcheer D02LC Emobile HSDPA 3.6 1c9e: 1c9e: Möglich

Longcheer D11LC Emobile HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer D12LC Emobile HSDPA 7.2HSUPA 5.76

1c9e:9101 1c9e:9104 Unwahrscheinlich

Longcheer D21LC Emobile HSDPA 7.2HSUPA 5.76


Longcheer EU930 Yitong CDMA EV-DO Rev.A


Longcheer HSPA-820 iFox HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer IV-2010u Ivio CDMA EV-DO Rev.A


Longcheer MBD-100HU Mobidata HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer MBD-200HU Mobidata HSDPA 3.6 1c9e:f000 1c9e:9000 Wahrscheinlich



Longcheer MBD-300HU Mobidata HSDPA 7.2HSUPA 5.76

1c9e:f000 1c9e: Unbekannt








XG Firewall






Longcheer MMX 300G Micromax HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer MMX 310C Micromax CDMA EV-DO


Longcheer MMX 310G Micromax HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich

Longcheer MMX 351G Micromax HSDPA 7.2HSUPA 5.76







1c9e:f000 Möglich

Longcheer NT36HD Nuton HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer OneTouchX020

Alcatel HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer OneTouchX030

Alcatel HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer PCM100 Prolink CDMA 1xEV-DO Rev.A

1c9e:9d00 1c9e:9d00 Unwahrscheinlich

Longcheer PHS301 Prolink HSDPA 7.2HSUPA 5.76


Longcheer S3gm-646 Solomon HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer S3gm-690 Solomon HSDPA 7.2HSUPA 5.76


Longcheer SEV759 Chong King CDMA 2000 1c9e:3197 1c9e:3197 Unwahrscheinlich

Longcheer SU-7300U SpeedUP CDMA EV-DO


Longcheer SU-8200U SpeedUP HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer SU-8300U SpeedUP HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer SU-8600U SpeedUP HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich



Longcheer SU-9000U SpeedUP HSDPA 7.2HSUPA 2.1


Longcheer SU-9500U SpeedUP HSDPA 7.2HSUPA 5.76



XG Firewall


Longcheer SU-9800U SpeedUP HSPA+14.4/5.76

1c9e:9800 1c9e:9800 Wahrscheinlich

Longcheer TFDG888 Taifeng HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich

Longcheer TU930 CDMA EV-DO Rev.A


Longcheer TW-3G Telewell HSPA+21.6/5.76

1c9e:98ff 1c9e:9801 Wahrscheinlich

Longcheer USB303 VKOM HSPA+21.6/5.76


Longcheer U12 Flyer HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer U1-TF CSL HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer U3501 I Mobile,TH HSDPA 7.2HSUPA 5.76


Longcheer U6300V Longsung HSDPA 7.2HSUPA 5.76


Longcheer WL72B Omega HSDPA 3.6 1c9e:6061 1c9e:6061 Wahrscheinlich

Longcheer WM66a SmartBro HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich

Longcheer WM66e SmartBro HSPA+21.6/5.76

1c9e:98ff 1c9e:9803 Möglich

Longcheer WM669 D-Link HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer WM71 Smartbro HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich

Longcheer WM72 Smartbro HSDPA 7.2HSUPA 5.76


Longcheer WM81 Mecer HSDPA 7.2HSUPA 5.76


Longcheer X270 Nexon HSDPA 7.2HSUPA 5.76


Longcheer XSStick P14 4G Systems HSDPA 7.2HSUPA 5.76


Longcheer XSStick TV 4G Systems HSDPA 7.2HSUPA 5.76

1c9e:f000 1c9e:9a00 Möglich

Longcheer XSStick W14 4G Systems HSDPA 7.2HSUPA 5.76


Longcheer XSStick W21 4G Systems HSPA+21.6/5.76


Longcheer ZX-200 Alltronix CDMA EV-DO Rev.A


Mediatek DC_1COM 0e8d:0002 0e8d:00a0 Möglich

Mediatek HSDPA 7.2HSUPA 5.76

0e8d:0002 0e8d:00a1 Wahrscheinlich


XG Firewall


Mediatek HSDPA 7.2HSUPA 5.76

0e8d:0002 0e8d:00a2 Wahrscheinlich

Mediatek DC_5COM 0e8d:0002 0e8d:00a4 Möglich

Mediatek DC_4COM 0e8d:0002 0e8d:00a5 Nichtkompatibel

Mediatek DC_4COM2 0e8d:0002 0e8d:00a7 Möglich

Mediatek S4222 0e8d:0002 0e8d:00a5 Nichtkompatibel

Modmen LM-700r JOA Telecom CDMA EV-DO Rev.A

198a:0003 198a:0002 Wahrscheinlich

Netgear AC778S Virgin US LTE CAT3/CDMA EV-DO

0846:0fff 0846:68d3 Unwahrscheinlich

Netgear AC781S Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich

Netgear AC782S Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich

Netgear AC785S-100 Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich

Netgear AC785S-200 Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich

Nokia CS-10 HSDPA 7.2HSUPA 2.1

0421:060c 0421:060d Unwahrscheinlich


0421:060c 0421:060e Möglich


0421:061d 0421:061e Möglich


0421:061d 0421:061f Unwahrscheinlich

Nokia CS-12 HSPA+14.4/5.76

0421:0618 0421:0619 Möglich




0421:0610 0421:0612 Möglich


0421:0622 0421:0623 Möglich




0421:0627 0421:0629 Möglich


0421:062c 0421:062d Möglich

Nokia 7M-01 HSDPA 7.2HSUPA 5.76

0421:0632 0421:0632 Möglich


XG Firewall


Nokia 7M-02 HSDPA 7.2HSUPA 5.76

0421:0637 0421:0638 Möglich

Nokia 21M-02 HSPA+21.6/5.76

0421:0637 0421:0638 Möglich

Nokia 21M-02 HSPA+21.6/5.76


NovatelWireless

C777 CDMA EV-DO Rev.A


NovatelWireless

E362 LTE CAT3 1410: 1410:9010 Unwahrscheinlich

NovatelWireless

E371 LTE CAT3 1410: 1410:9011 Unwahrscheinlich

NovatelWireless

E396 HSPA+14.4/5.76

1410: 1410:a021 Unwahrscheinlich

NovatelWireless

E396U HSPA+14.4/5.76

1410: 1410:a023 Unwahrscheinlich

NovatelWireless

EU740 CDMA EV-DO Rev.A


NovatelWireless

EU850D HSDPA7.2/2.1


NovatelWireless

EU860D HSDPA7.2/2.1


NovatelWireless

EU870D HSDPA7.2/2.1


NovatelWireless

MC545 DC-HSPA+42.2/5.76


NovatelWireless

MC547 DC-HSPA+42.2/5.76


NovatelWireless

MC551 LTE CAT3 1410:b001 1410:b001 Unwahrscheinlich

NovatelWireless

MC679 LTE CAT3 1410:5059 1410:7031 Wahrscheinlich

NovatelWireless

MC727 CDMA EV-DO Rev.A


NovatelWireless



NovatelWireless

MC930D HSDPA7.2/2.1


NovatelWireless

MC935B HSDPA 7.2HSUPA 5.76


NovatelWireless

MC935D HSDPA 7.2HSUPA 5.76



XG Firewall


NovatelWireless

MC950D HSDPA7.2/2.1


NovatelWireless

MC990D HSDPA 7.2HSUPA 5.76


NovatelWireless

MC996D HSPA+21.6/5.76


NovatelWireless

MC998D Bell DC-HSPA+28.8/5.76


NovatelWireless

MiFi 2200 CDMA EV-DO Rev.A


NovatelWireless

MiFi 2352 HSDPA 7.2HSUPA 5.76


NovatelWireless

MiFi 2352 Vodafone HSDPA 7.2HSUPA 5.76


NovatelWireless

MiFi 2372 HSDPA 7.2HSUPA 5.76


NovatelWireless

MiFi 4082 Sprint CDMA EV-DO Rev.A


NovatelWireless

MiFi 4620L Verizon LTE CAT3 1410:b005 1410:b005 Unwahrscheinlich

NovatelWireless

MiFi 5510L Verizon LTE CAT3 1410:b00b 1410:b00b Unwahrscheinlich

NovatelWireless

MiFi 5792 AT&T LTE CAT3 1410:b009 1410:b009 Unwahrscheinlich

NovatelWireless

U547 DC-HSPA+42.2/5.76


NovatelWireless

U620L LTE CAT4 1410:9020 1410:9020 Unwahrscheinlich

NovatelWireless

U679 LTE CAT3 1410:5059 1410:7031 Wahrscheinlich

NovatelWireless

U720 CDMA EV-DO Rev.A


NovatelWireless



NovatelWireless



NovatelWireless



NovatelWireless



NovatelWireless

U950D HSDPA7.2/2.1



XG Firewall


NovatelWireless

U998 DC-HSPA+28.8/5.76


NovatelWireless

USB551L Verizon LTE CAT3 1410:b001 1410:b001 Unwahrscheinlich

NovatelWireless

USB1000 Verizon HSPA+14.4/5.76

1410:a001 1410:a001 Unwahrscheinlich

Olivetti Olicard 100 HSDPA7.2/0.38

0b3c:c700 0b3c:c000 Wahrscheinlich

Olivetti Olicard 120 HSDPA7.2/0.38


Olivetti Olicard 140 HSDPA 7.2HSUPA 5.76



0b3c:f000 0b3c:c003 Wahrscheinlich


0b3c:f000 0b3c:c004 Wahrscheinlich


0b3c:f00c 0b3c:c00a Unwahrscheinlich

Olivetti Olicard 200 HSPA+14.4/5.76

0b3c:f000 0b3c:c005 Möglich


0b3c: 0b3c: Unbekannt


0b3c: 0b3c: Unbekannt

Olivetti Olicard 400 DC-HSPA+42.2/11.5

0b3c: 0b3c: Nichtkompatibel

Olivetti Olicard 500 LTE CAT3 0b3c:f017 0b3c:c00b Unwahrscheinlich

Olivetti Olicard 600 LTE CAT3 0b3c: 0b3c: Nichtkompatibel

Olivetti Olicard 700 LTE CAT3 0b3c: 0b3c: Unbekannt

Onda CM201 Coop HSPA+14.4/5.76

1ee8:0063 1ee8:0065 Unwahrscheinlich

Onda FM301 FastWeb HSPA+21.6/5.76

1ee8:0068 1ee8:0069 Möglich

Onda MDC655 Ducati HSPA+14.4/5.76



1ee8:004a 1ee8:0049 Möglich


1ee8:004f 1ee8:004e Unwahrscheinlich

Onda MDC835UP Ducati HSPA+14.4/5.76



XG Firewall


Onda MO835UP Coop HSPA+14.4/5.76


Onda MSA 14.4 TIM BZ HSPA+14.4/5.76

1ee8:0060 1ee8:005f Möglich

Onda MT655 TIM HSPA+14.4/5.76


Onda MT825UP TIM HSPA+14.4/5.76

1ee8:0009 1ee8:000b Möglich





Onda MV815UP Vodafone HSPA+14.4/5.76


Onda MW823UP Wind HSPA+14.4/5.76









1ee8:0040 1ee8:003e Möglich



Onda PM1051 HSPA+14.4/5.76

1ee8:0007 1ee8:000b Unwahrscheinlich

Onda TM201 TIM HSPA+14.4/5.76


Onda WM301 Wind HSPA+21.6/5.76


OptionWireless

GlobesurferIcon 7.2

HSDPA7.2/0.38

05c6:1000 0af0:6901 Wahrscheinlich

OptionWireless

GlobetrotterIcon 31

HSDPA 0af0:c031 0af0:c031 Möglich

OptionWireless

GlobetrotterIcon 225

HSDPA7.2/0.38

0af0:6911 0af0:6911 Möglich

OptionWireless


HSDPA7.2/0.38


OptionWireless


HSDPA7.2/0.38



XG Firewall


OptionWireless


HSPA3.6/1.46

0af0:d031 0af0:d031 Möglich

OptionWireless


HSPA3.6/1.46


OptionWireless


HSDPA7.2/2.0


OptionWireless


Vodafone HSDPA7.2/2.0


OptionWireless


Vodafone HSDPA7.2/2.0


OptionWireless


HSDPA 7.2HSUPA 5.76


OptionWireless


HSDPA 7.2HSUPA 5.76


OptionWireless


HSDPA7.2/2.0


OptionWireless


HSDPA 7.2HSUPA 5.76

0af0:7a01 0af0:7a01 Möglich

OptionWireless


AT&T HSDPA 7.2HSUPA 5.76

0af0:7a05 0af0:7a05 Möglich

OptionWireless


HSPA+14.4/5.76


OptionWireless


HSPA+14.4/5.76


OptionWireless

GlobetrotterIcon 515m

Orange UK HSPA+14.4/5.76


OptionWireless


HSPA+14.4/5.76


OptionWireless


0af0:c100 0af0:c100 Möglich

OptionWireless


HSPA+21.6/5.76

0af0:4007 0af0:4005 Wahrscheinlich

OptionWireless


HSPA+14.4/5.76

0af0:d001 0af0:d255 Unwahrscheinlich

OptionWireless


HSPA+14.4/5.76

0af0:d001 0af0:d257 Unwahrscheinlich

OptionWireless


HSPA+14.4/5.76

0af0:d001 0af0:d157 Wahrscheinlich

OptionWireless

GlobetrotterIcon XY

HSDPA 7.2HSUPA 5.76


OptionWireless

GTM378 HSDPA7.2/0.38

0af0:6901 0af0:6901 Unwahrscheinlich


XG Firewall


OptionWireless

GTM378E HSDPA7.2/0.38


OptionWireless

GTM380 HSDPA7.2/2.0

0af0:7201 0af0:7201 Unwahrscheinlich

OptionWireless

GTM380 HSDPA7.2/2.0


OptionWireless

GTM380 HSDPA7.2/2.0


OptionWireless

GTM380 HSDPA7.2/2.0


OptionWireless

GTM382 HSDPA7.2/2.0


OptionWireless

GTM382 HSDPA7.2/2.0


OptionWireless

GTM382W HSDPA7.2/2.0


OptionWireless

GTM501 HSDPA 7.2HSUPA 5.76


OptionWireless

GTM601 HSPA+14.4/5.76


OptionWireless

GTM609 HSPA+14.4/5.76


OptionWireless

GTM661 HSPA+14.4/5.76


OptionWireless

GTM669 HSPA+14.4/5.76

0af0: 0af0: Unbekannt

OptionWireless

GTM671 HSPA+14.4/5.76


OptionWireless

GTM679 HSPA+14.4/5.76


Pirelli 8E4455 Digicom HSDPA 7.2HSUPA 5.76


Puchuang SEW838 Inovia HSDPA 7.2 20a6:f00e 20a6:1105 Unwahrscheinlich




Puchuang Speed 3.5G Intex HSDPA 7.2HSUPA 5.76

20a6:f00e 20a6:1105 Unwahrscheinlich

Puchuang TE W120 Haier HSDPA 7.2HSUPA 5.76


Puchuang TE W130 Haier HSPA+21.6/5.76



XG Firewall


Qualcomm 3GU A-Link HSDPA3.6/0.38

1e0e:f000 1e0e:9000 Wahrscheinlich


1e0e:f000 1e0e:9100 Möglich



Qualcomm CM405 BSNL CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich

Qualcomm DWM-151 D-Link HSDPA 7.2HSUPA 5.76

05c6:f000 05c6:9000 Wahrscheinlich

Qualcomm DWM-151 D-Link HSDPA3.6/0.38


Qualcomm DWM-162 C1 D-Link CDMA EV-DO

2077:1000 1e0e:ce17 Unwahrscheinlich

Qualcomm DWM-162R D-Link CDMA EV-DO

05c6:2001 1e0e:ce16 Wahrscheinlich

Qualcomm DWM-162U5 D-Link CDMA EV-DO


Qualcomm DWM-162U5A1

D-Link CDMA EV-DO

05c6:2001 1e0e:ce1e Wahrscheinlich

Qualcomm E-G03 Promate CDMA 2000 05c6:3100 05c6:3100 Unwahrscheinlich

Qualcomm E-G05 Promate HSDPA3.6/0.38


Qualcomm EM600 Simcom CDMA EV-DO

05c6:2001 1e0e:cefe Wahrscheinlich

Qualcomm Icon 210 Option HSDPA3.6/0.38


Qualcomm Icon 210 Option HSDPA3.6/0.38


Qualcomm LM-75 Siptune HSDPA 7.2HSUPA 5.76


Qualcomm MM-5100 Maxon CDMA 2000 05c6:3100 05c6:3100 Unwahrscheinlich

Qualcomm MM-5500 Maxon CDMA 2000 05c6:3196 05c6:3196 Unwahrscheinlich

Qualcomm MMX 300C Micromax CDMA EV-DO


Qualcomm MMX 300C Micromax CDMA EV-DO

05c6:2001 1e0e:cefe Wahrscheinlich

Qualcomm MMX 372G Micromax HSDPA 7.2HSUPA 5.76


Qualcomm MUB417Q Bointec HSDPA3.6/0.38


Qualcomm MV241 AxessTel CDMA EV-DO

05c6:0010 05c6:00a0 Wahrscheinlich


XG Firewall


Qualcomm P2000 Prolink CDMA20001x

05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm PEM330 Prolink HSDPA7.2/5.76

1e0e:f000 1e0e:9a00 Möglich

Qualcomm PHS100 Prolink HSDPA3.6/0.38


Qualcomm PHS300 Prolink HSDPA3.6/0.38

1e0e:f000 1e0e:9100 Möglich

Qualcomm SEV-759 StrongRising CDMA 05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm SEV-859 StrongRising CDMA 05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm SG-75 Siemens CDMA 05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm SU-6500U SpeedUP CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich

Qualcomm SU-6600U SpeedUP CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich

Qualcomm SU-7000U SpeedUP CDMA EV-DO

05c6:2001 1e0e:ce28 Unwahrscheinlich

Qualcomm SU-8100U SpeedUP HSDPA3.6/0.38


Qualcomm TR8881 Smartfren CDMA 05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm UC20 Quectel HSPA+14.4/5.76

05c6:9003 05c6:9003 Unwahrscheinlich

Qualcomm UC128 Honest CDMA 05c6:1000 05c6:6000 Wahrscheinlich

Qualcomm VT-80n Venus CDMA EV-DO

05c6:1000 05c6:6500 Unwahrscheinlich

Quanta 1K3M TD-LTE68.0/17.0

0408:ea25 0408:ea26 Wahrscheinlich

Quanta 1K6E LTE CAT3 0408:ea43 0408:ea45 Unwahrscheinlich

Quanta 1KR LTE CAT3 0408:ea17 0408:ea16 Unwahrscheinlich

Quanta GKE HSDPA 3.6 0408:f001 0408:ea05 Unwahrscheinlich

Quanta GLE HSDPA 3.6 0408:f001 0408:ea06 Unwahrscheinlich

Quanta GLX HSDPA 3.6 0408:f001 0408:ea04 Unwahrscheinlich

Quanta M100-1 Megafone LTE CAT3 0408:ea42 0408:ea42 Unwahrscheinlich

Quanta MobileGenie LTE CAT3 0408:ea43 0408:ea47 Unwahrscheinlich

Quanta MU-Q101 HSDPA 3.6 0408:f000 0408:ea02 Möglich

Quanta MU-Q110 HSDPA 3.6 0408:f000 0408:ea03 Möglich

Quanta SU-8500U SpeedUp HSDPA 3.6 0408:f000 0408:ea03 Möglich

Quanta SU-8500U SpeedUp HSDPA 3.6 0408:f001 0408:ea04 Unwahrscheinlich

Quanta TS-1K6 Telsec LTE CAT3 0408:ea43 0408:ea49 Unbekannt

SierraWireless

AC250U Sprint US CDMA 1X,EV-DO

1199:0fff 1199:0301 Wahrscheinlich


XG Firewall


SierraWireless

AC305U AT&T US HSPA+21.6/5.76

1199:0fff 1199:68a3 Wahrscheinlich

SierraWireless

AC306U Telus CA HSPA+21.6/5.76


SierraWireless

AC307U HSPA+21.6/5.76


SierraWireless

AC308U HSPA+21.6/5.76


SierraWireless

AC309U DNA HSPA+21.6/5.76


SierraWireless

AC310U Optus AU HSPA+21.6/5.76


SierraWireless

AC312U Telstra AU DC-HSPA+42.2/5.76


SierraWireless

AC313U AT&T US LTE CAT3 1199:0fff 0f3d:68aa Möglich

SierraWireless

AC318U O2 HSPA+21.6/5.76

1199:0fff 1199: Nichtkompatibel

SierraWireless

AC319U DC-HSPA+42.2/5.76


SierraWireless


SierraWireless

AC326U TNZ NZ HSPA+21.6/5.76

1199:0fff 1199: Möglich

SierraWireless


SierraWireless

AC340U AT&T US LTE CAT3 1199:0fff 1199:9051 Nichtkompatibel

SierraWireless

AC341U LTE CAT3 1199:0fff 1199:9055 Unwahrscheinlich

SierraWireless

AC341U LTE CAT3 1199:0fff 1199:9057 Unwahrscheinlich

SierraWireless

AC402 Sprint US CDMA EV-DO Rev.A


SierraWireless

AC501 HSDPA 7.2HSUPA 2.1

1199:0fff 1199:6880 Möglich

SierraWireless


1199:0fff 1199:6880 Möglich

SierraWireless

AC503 Telstra AU HSDPA 7.2HSUPA 5.76


SierraWireless

AC504 AT&T US HSDPA 7.2HSUPA 5.76



XG Firewall


SierraWireless



SierraWireless



SierraWireless

AC595U Sprint US CDMA EV-DO Rev.A


SierraWireless

AC597E Sprint US CDMA EV-DO Rev.A


SierraWireless

AC598U Sprint US CDMA EV-DO Rev.A

1199:0fff 1199:0025 Möglich

SierraWireless

AC753S Bigpond AU DC-HSPA+42.2/5.76


SierraWireless

AC753S Telstra AU DC-HSPA+42.2/5.76


SierraWireless

AC754S AT&T US LTE CAT3 1199:0fff 1199:68aa Möglich

SierraWireless

AC754S Rogers US LTE CAT3 1199:0fff 1199:68aa Möglich

SierraWireless

AC760S Bigpond AU LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich

SierraWireless

AC760S Telstra AU LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich

SierraWireless

AC762S AT&T US LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich

SierraWireless

AC763S Bell US LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich

SierraWireless

AC770S AT&T US LTE CAT3 1199:9053 1199:9053 Nichtkompatibel

SierraWireless

AC771S Sprint US LTE CAT3 1199:9053 1199:9053 Nichtkompatibel

SierraWireless

AC875 Sprint US HSDPA 7.2HSUPA 2.1


SierraWireless

AC875E Sprint US HSDPA 7.2HSUPA 2.1


SierraWireless

AC875U Sprint US HSDPA 7.2HSUPA 2.1


SierraWireless

AC875U Sprint US HSDPA 7.2HSUPA 2.1


SierraWireless



SierraWireless

AC880E HSDPA 7.2HSUPA 2.1



XG Firewall


SierraWireless

AC880U HSDPA 7.2HSUPA 2.1


SierraWireless



SierraWireless



SierraWireless

AC881U HSDPA 7.2HSUPA 5.76


SierraWireless



SierraWireless


1199:0fff 1199:685a Wahrscheinlich

SierraWireless



SierraWireless

C01SW Softbank JP HSDPA 7.2HSUPA 5.76

1199:0fff 1199:6890 Möglich

SierraWireless

C02SW Softbank JP HSDPA 7.2HSUPA 5.76


SierraWireless

Compass597

Sprint US CDMA EV-DO Rev.A


SierraWireless

Compass885

HSDPA 7.2HSUPA 2.1

1199:0fff 1199:6880 Möglich

SierraWireless

Compass888

HSDPA 7.2HSUPA 5.76

1199:0fff 1199:6890 Möglich

SierraWireless

Compass889

HSDPA 7.2HSUPA 5.76


SierraWireless

EM5625 CDMA EV-DO Rev.A


SierraWireless

EM5725 CDMA EV-DO Rev.A


SierraWireless

EM7305 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel

SierraWireless

EM7305 LTE CAT4 1199:9063 1199:9063 Nichtkompatibel

SierraWireless

EM7330 JP LTE CAT4 1199: 1199: Nichtkompatibel

SierraWireless

EM7340 LTE CAT3 1199:a000 1199:a000 Nichtkompatibel

SierraWireless

EM7345 LTE CAT3 1199:a001 1199:a001 Nichtkompatibel

SierraWireless

EM7355 LTE CAT4/EV-DO Rev.A

1199:901f 1199:901f Nichtkompatibel


XG Firewall


SierraWireless

EM7700 AT&T US LTE CAT3 1199:0fff 1199:901c Nichtkompatibel

SierraWireless

EM8805 DC-HSPA+42.2/5.76

1199:9041 1199:9041 Nichtkompatibel

SierraWireless

MC5720 HSDPA2.4/0.38


SierraWireless

MC5720 HSDPA2.4/0.38


SierraWireless



SierraWireless



SierraWireless



SierraWireless



SierraWireless



SierraWireless

MC7304 LTE CAT4 1199:68c0 1199:68c0 Möglich

SierraWireless

MC7305 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel

SierraWireless

MC7330 JP LTE CAT4 1199: 1199: Nichtkompatibel

SierraWireless

MC7350 LTE CAT4/EV-DO Rev.A

1199: 1199: Nichtkompatibel

SierraWireless

MC7354 LTE CAT4/EV-DO Rev.A

1199:68c0 1199:68c0 Möglich

SierraWireless

MC7355 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel

SierraWireless

MC7700 LTE CAT3 1199:0fff 0f3d:68a2 Nichtkompatibel

SierraWireless

MC7710 LTE CAT3 1199:0fff 1199:68a2 Nichtkompatibel

SierraWireless

MC7750 LTE CAT3 1199:0fff 1199:68a2 Unwahrscheinlich

SierraWireless

MC7750 LTE CAT3 1199:0fff 1199:68a9 Nichtkompatibel

SierraWireless

MC7750 LTE CAT3 1199:0fff 114f:68a2 Unwahrscheinlich

SierraWireless

MC7770 LTE CAT3 1199:901b 1199:901b Nichtkompatibel


XG Firewall


SierraWireless

MC8305 HSPA+14.4/5.76

1199:0fff 1199:9011 Nichtkompatibel

SierraWireless

MC8355 HSPA+14.4/5.76

1199:0fff 1199:9013 Nichtkompatibel

SierraWireless

MC8700 HSPA+21.6/5.76


SierraWireless

MC8704 HSPA+21.6/5.76


SierraWireless

MC8705 HSPA+21.6/5.76


SierraWireless

MC8705 HSPA+21.6/5.76


SierraWireless

MC8755 HSDPA1.8/0.38


SierraWireless

MC8755 HSDPA1.8/0.38


SierraWireless

MC8755 HSDPA1.8/0.38


SierraWireless

MC8765 HSDPA1.8/0.38


SierraWireless

MC8765 HSDPA1.8/0.38


SierraWireless

MC8765 HSDPA1.8/0.38


SierraWireless

MC8775 HSDPA3.6/0.38


SierraWireless

MC8775 HSDPA3.6/0.38


SierraWireless

MC8775 HSDPA3.6/0.38


SierraWireless

MC8775V HSDPA3.6/0.38


SierraWireless

MC8780 HSDPA 7.2HSUPA 2.1


SierraWireless



SierraWireless



SierraWireless



SierraWireless




XG Firewall


SierraWireless



SierraWireless


1199:0fff 1199:683a Wahrscheinlich

SierraWireless

MC8785V HSDPA 7.2HSUPA 5.76

1199:0fff 1199:683b Wahrscheinlich

SierraWireless


1199:0fff 1199:683c Wahrscheinlich

SierraWireless



SierraWireless


1199:0fff 1199:683d Wahrscheinlich

SierraWireless



SierraWireless



SierraWireless

MC8801 DC-HSPA+42.2/5.76


SK Teletech UML-295 Pantech LTE 10a9:606f 10a9:6064 Unwahrscheinlich

SK Teletech UML-295 Pantech LTE 10a9:606f 10a9:6074 Unwahrscheinlich

SK Teletech MHS291LVW Pantech LTE 10a9:6080 10a9:6085 Unwahrscheinlich

SonyEricsson

EC400 HSDPA 7.2HSUPA 5.76

0fce:d0df 0fce:d0df Unwahrscheinlich

SonyEricsson

MD300 HSDPA 7.2HSUPA 5.76

0fce:d0cf 0fce:d0cf Unwahrscheinlich

SonyEricsson

MD400 HSDPA 7.2HSUPA 5.76

0fce:d0e1 0fce:d0e1 Unwahrscheinlich

SonyEricsson

MD400G HSDPA 7.2HSUPA 5.76

0fce:d103 0fce:d103 Unwahrscheinlich

ST-Ericsson ABS-T920 04cc:2251 04cc:2259 Unwahrscheinlich

ST-Ericsson ABS-T930 04cc:225c 04cc:225c Möglich

Techfaith Aiko 81D WCDMA 1d09:1021 1d09:1010 Unwahrscheinlich

Techfaith Flying Angel HSDPA 7.2HSUPA2.0


Techfaith FlyingAngel46

HSDPA 7.2 1d09:1025 1d09:1026 Unwahrscheinlich

Techfaith Flying Lark HSDPA 7.2HSUPA 2.0


Techfaith Flying Lark46 HSDPA 3.6 1d09:1025 1d09:1026 Unwahrscheinlich

Techfaith LN-72 Leoxsys HSDPA7.2/0.38



XG Firewall


Techfaith SSW03A DongHeXing HSDPA 7.2 1d09:1025 1d09:1026 Unwahrscheinlich

Techfaith Venus VT-18 CDMA EV-DO

05c6:1000 1d09:4306 Unwahrscheinlich

Telit DE910 CDMA EV-DO

1bc7:1010 1bc7:1010 Unwahrscheinlich

Telit HE910 HSPA+21.6/5.76

1bc7:0021 1bc7:0021 Unwahrscheinlich

Telit LE910 LTE CAT3 1bc7:1201 1bc7:1201 Unwahrscheinlich

Telit UE910v2 HSDPA 3.6 1bc7:1012 1bc7:1012 Unwahrscheinlich

Toshiba G450 HSDPA 7.2HSUPA 5.76

0930:0d46 0930:0d45 Wahrscheinlich

TP-Link MA180 HSDPA 7.2HSUPA 5.76



2357:0200 2357:0202 Möglich


2357:0200 2357:0203 Möglich

TP-Link MA260 HSPA+21.6/5.76

2357:f000 2357:9000 Wahrscheinlich

VertexWireless

VWM100 CDMA EV-DO

05c6:1000 1fe7:0100 Möglich

VertexWireless

VWM110 CDMA EV-DO

05c6:1000 1fe7:0100 Möglich

VertexWireless

VWM150 CDMA EV-DO

05c6:1000 1fe7:0100 Möglich

VIA Telecom 3G189C Tenda CDMA EV-DO

15eb:7153 15eb:7152 Wahrscheinlich

VIA Telecom CE610 Haier CDMA EV-DO

15eb:7153 15eb:7152 Wahrscheinlich

Visiontek 3.75G-72 iBall HSDPA 7.2HSUPA 5.76


Visiontek 82GH VisionTek HSDPA 7.2HSUPA 5.76

2020:f00e 2020:1008 Wahrscheinlich

Visiontek ASB W720 HSDPA 3.6 2020:f00e 2020:1005 Wahrscheinlich

Visiontek BG64 Beetel HSDPA 7.2HSUPA 5.76


Visiontek MMX 377G Micromax HSPA+14.4/5.76


Visiontek Olicard 300 Olivetti HSPA+21.6/5.76


Visiontek RE270 Multilaser HSDPA 7.2HSUPA 5.76



XG Firewall


Visiontek Sense R41 Rostelecom HSPA+21.6/5.76


Visiontek SU-8000U SpeedUP HSDPA 3.6 2020:f00f 2020:1005 Unwahrscheinlich

Visiontek SU-9300U SpeedUP HSDPA 7.2HSUPA 5.76


Visiontek TSU240 Gainwise HSDPA 3.6 2020:f00f 2020:1005 Unwahrscheinlich

Visiontek U1-TF CSL HSDPA 3.6 2020:f00e 2020:1005 Wahrscheinlich

Visiontek U2-TF CSL HSDPA 3.6 2020:f00f 2020:1005 Nichtkompatibel

Visiontek V-MW100 OliveTelecom

HSDPA 7.2HSUPA 5.76


Wisue EDGE 733 Hojy CDMA EV-DO

1dbc:8005 1dbc:8005 Unwahrscheinlich

Wisue MD950 Vodafone CDMA EV-DO


Wisue MMX 354G Micromax HSDPA 7.2HSUPA 5.76


Wisue MMX 355G Micromax HSDPA 7.2HSUPA 5.76


ZTE 3G-910 iFox HSDPA3.6/0.38


ZTE 76E Aiko CDMA EV-DO

19d2:fff5 19d2:fffe Wahrscheinlich

ZTE 82D Aiko HSDPA7.2/0.38


ZTE 83D Aiko HSDPA7.2/0.38

19d2:2000 19d2:0057 Möglich

ZTE A353 WCDMA 19d2:0120 19d2:0079 Wahrscheinlich





ZTE AC560 CDMA EV-DO









XG Firewall





19d2:ffde 19d2:ffdd Wahrscheinlich


19d2:fff5 19d2:ffff Wahrscheinlich


19d2:fff5 19d2:fff1 Wahrscheinlich





ZTE AC2738 Reliance CDMA EV-DO

19d2:fff5 19d2:ffe9 Möglich









ZTE AC3781 Cricket CDMA EV-DO

19d2:fff5 19d2:ffe4 Möglich




19d2:fff6 19d2:fff1 Möglich


19d2:fff5 19d2:ffff Wahrscheinlich

ZTE AC8710T CDMA EV-DO

19d2:ffff 19d2:ffff Unwahrscheinlich

ZTE AD3812 HSDPA7.2/2.0

19d2:ffeb 19d2:ffeb Unwahrscheinlich

ZTE K2525-Z Vodafone EDGE 19d2:0040 19d2:0022 Wahrscheinlich

ZTE K3520-Z Onda HSDPA,WCDMA


ZTE K3563-Z Vodafone 19d2:2000 19d2:0052 Wahrscheinlich

ZTE K3565-Z HSDPA3.6/0.38


ZTE K3565-Z Vodafone HSDPA3.6/0.38



XG Firewall






ZTE K3765-Z Vodafone HSDPA 7.2HSUPA 2.0



19d2:1175 19d2:1176 Möglich



ZTE K3805-Z Vodafone HSPA+14.4/5.76








ZTE K4201 I HSPA+21.6/5.76

19d2:1237 19d2:0017 Möglich





ZTE K4510-Z Vodafone DC-HSPA+28.8/5.76






ZTE K5006-Z Vodafone LTE CAT3 19d2:1017 19d2:1018 Wahrscheinlich

ZTE K5008-Z Vodafone LTE CAT3 19d2:1030 19d2:1032 Nichtkompatibel

ZTE MC503HSA Onda HSDPA 7.2HSUPA 2.0


ZTE MC2716 CDMA EV-DO

19d2:ffed 19d2:ffed Unwahrscheinlich

ZTE MC2718 CDMA EV-DO

19d2:ffe8 19d2:ffe8 Unwahrscheinlich

ZTE MDC502HS Onda HSDPA 7.2HSUPA 3.6


ZTE MDC525UPA Onda HSDPA 7.2HSUPA 2.0



XG Firewall


ZTE MF30 HSDPA 7.2HSUPA 5.76


ZTE MF60 HSPA+21.6/5.76


ZTE MF60 HSPA+21.6/5.76


ZTE MF66 True TH HSPA+21.6/5.76


ZTE MF70 HSPA+21.6/5.76


ZTE MF80 DC-HSPA+42.2/5.76


ZTE MF90 LTE CAT3 19d2:0388 19d2:0447 Unwahrscheinlich

ZTE MF91D LTE CAT3 19d2:0166 19d2:1426 Möglich

ZTE MF93E LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich

ZTE MF93E LTE CAT3 19d2:1225 19d2:1405 Wahrscheinlich

ZTE MF100 HSDPA3.6/0.38



19d2:2000 19d2:0039 Möglich



ZTE MF110 Movistar HSDPA 7.2HSUPA 5.76







19d2:0103 19d2:0117 Möglich

ZTE MF160J WCDMA 19d2:1542 19d2:1544 Möglich

ZTE MF170 Beeline RU HSDPA3.6/0.38




ZTE MF180 MTC HSDPA3.6/0.38


ZTE MF182 HSPA+21.6/5.76


ZTE MF190 O2 HSDPA 7.2HSUPA 2.0

19d2:0083 19d2:0117 Möglich


XG Firewall






ZTE MF190 Tata Docomo HSDPA 7.2HSUPA 2.0

19d2:0154 19d2:1254 Möglich

ZTE MF190 Cell C, SA HSDPA 7.2HSUPA 2.0





19d2:2000 19d2:0042 Möglich

ZTE MF190J HSPA+21.6/5.76


ZTE MF190J HSPA+21.6/5.76


ZTE MF190S Korea HSPAWCDMA

19d2:0154 19d2:0108 Möglich

ZTE MF192 HSPA+21.6/5.76

19d2:1216 19d2:1217 Möglich

ZTE MF192 HSPA+21.6/5.76

19d2:1216 19d2:1218 Möglich

ZTE MF192 HSPA+21.6/5.76

19d2:1514 19d2:1515 Möglich

ZTE MF192 HSPA+21.6/5.76

19d2:1517 19d2:1519 Möglich

ZTE MF195 HSPA+21.6/5.76


ZTE MF195 HSPA+21.6/5.76


ZTE MF195E HSPA+21.6/5.76

19d2:1514 19d2:1515 Möglich

ZTE MF195E HSPA+21.6/5.76


ZTE MF196 HSPA+21.6/5.76

19d2:1528 19d2:1527 Möglich

ZTE MF197 HSPA+14.4/5.76







XG Firewall




ZTE MF210v1 HSDPA7.2/5.76


ZTE MF210v2 HSDPA7.2/5.76




ZTE MF220 HSPA+14.4/5.76




ZTE MF591 T-Mobile HSPA+21.6/5.76

19d2:1523 19d2:1525 Möglich







ZTE MF626 Onda HSDPA3.6/0.38


ZTE MF626 BSNL India HSDPA3.6/0.38




ZTE MF627 AU HSDPA3.6/0.38










ZTE MF636 Telstra AU HSDPA 7.2HSUPA 5.76


ZTE MF636DB Orange UK HSDPA 7.2HSUPA 5.76

19d2:2000 19d2:0033 Möglich

ZTE MF637 Orange FR HSDPA 7.2HSUPA 5.76



XG Firewall


ZTE MF637U HSDPA 7.2HSUPA 5.76





19d2:2000 19d2:0086 Möglich

ZTE MF651 HSPA+14.4/5.76

19d2:0115 19d2:0116 Möglich

ZTE MF652 HSPA+14.4/5.76


ZTE MF652 3AT HSPA+14.4/5.76

19d2:1520 19d2:1522 Möglich

ZTE MF656 HSPA+14.4/5.76

19d2:0150 19d2: Unbekannt

ZTE MF662 HSPA+21.6/5.76


ZTE MF667 HSPA+21.6/5.76


ZTE MF667 3 IT HSPA+21.6/5.76

19d2:1232 19d2:1268 Möglich

ZTE MF667C AIS TH HSPA+21.6/5.76


ZTE MF668 CellC SA HSPA+21.6/5.76


ZTE MF668 HSPA+21.6/5.76


ZTE MF668 HSPA+21.6/5.76

19d2:2000 19d2:0082 Möglich

ZTE MF668A HSPA+21.6/5.76


ZTE MF668A Telstra HSPA+21.6/5.76


ZTE MF669 HSPA+21.6/5.76








ZTE MF691 T-Mobile HSPA+21.6/5.76

19d2:1201 19d2:1203 Möglich


XG Firewall


ZTE MF710 HSPA+21.6/5.76


ZTE MF710 Viettel VN HSPA+21.6/5.76


ZTE MF710 Viettel VN HSPA+21.6/5.76


ZTE MF710M HSPA+21.6/5.76


ZTE MF710M HSPA+21.6/5.76


ZTE MF730M DC-HSPA+42.2/11.5


ZTE MF730M DC-HSPA+42.2/11.5


ZTE MF820D LTE CAT3 19d2:0166 19d2:0167 Wahrscheinlich

ZTE MF820S LTE CAT3 19d2:0198 19d2:0199 Unwahrscheinlich

ZTE MF821 Telstra LTE CAT3 19d2:0166 19d2:0257 Möglich

ZTE MF821D LTE CAT3 19d2:0166 19d2:0167 Wahrscheinlich

ZTE MF821D O2 LTE CAT3 19d2:0325 19d2:0326 Wahrscheinlich

ZTE MF821D Telenor No LTE CAT3 19d2:0304 19d2:0349 Unwahrscheinlich

ZTE MF822 LTE CAT3 19d2: 19d2: Unbekannt

ZTE MF823 LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich

ZTE MF823 LTE CAT3 19d2:1225 19d2:1405 Wahrscheinlich

ZTE MF823 LTE CAT3 19d2:1257 19d2:1257 Nichtkompatibel


ZTE MF825A Airtel LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich

ZTE MF825A Airtel LTE CAT3 19d2:1225 19d2:1408 Wahrscheinlich

ZTE MF825A AirTel LTE CAT3 19d2:1238 19d2:0017 Wahrscheinlich





ZTE MF880 LTE CAT3 19d2:0166 19d2:0284 Möglich

ZTE MH600HS Onda HSDPA7.2/0.38


ZTE MSA190UP Onda HSUPA 19d2:2000 19d2:0091 Wahrscheinlich

ZTE MSA405HS Onda HSDPA 7.2HSUPA 2.0



XG Firewall


ZTE MSA501HS Onda HSDPA 7.2HSUPA 2.0


ZTE MT191UP Onda HSDPA 7.2HSUPA 5.76


ZTE MT503HS Onda HSUPA 19d2:2000 19d2:0033 Möglich

ZTE MT503HSA Onda HSUPA 19d2:2000 19d2:0024 Möglich

ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0015 Wahrscheinlich






ZTE MT505UP Onda HSPAWCDMA


ZTE MT512HS Onda HSDPA 7.2HSUPA 3.6


ZTE MT689DC Onda DC-HSPA+42.2/5.76

19d2:2000 19d2:0019 Möglich

ZTE MT8205 Onda LTE CAT3 19d2:0266 19d2:0265 Wahrscheinlich

ZTE MU330 19d2:0090 19d2:0034 Unwahrscheinlich

ZTE MU350 TD-SCDMA 19d2:0003 19d2:0003 Wahrscheinlich

ZTE MU351 TD-SCDMA 19d2:0003 19d2:0003 Wahrscheinlich

ZTE MW191UP Onda HSDPA 7.2HSUPA 5.76


ZTE PHS101 Prolink HSDPA 3.6 19d2:2000 19d2:0151 Möglich

ZTE PHS300 Prolink HSDPA 7.2HSUPA 5.76

19d2: 19d2:1253 Unwahrscheinlich

ZTE PHS600 Prolink HSPA+21.6/5.76

19d2: 19d2:1253 Unwahrscheinlich

ZTE R203 Vodafone HSPA+14.4/5.76


ZTE R203 Vodafone HSPA+14.4/5.76


ZTE R206-z Vodafone HSPA+21.6/5.76







XG Firewall


ZTE R209-z Vodafone DC-HSPA+42.2/5.76


ZTE R212 Vodafone LTE CAT3 19d2:1026 19d2:1027 Unwahrscheinlich




Anhang F

F Kompatibilität mit SFMOS 15.01.0Bitte beachten Sie, dass für Sophos Firewall Appliances neuer als SFOS 16.01.0, welche überSFMOS 15.01.0 verwaltet werden, folgendes gilt:

• Mit SFMOS 15 können Sie nur Funktionen von SFOS 15 auf Gruppenebene verwalten. UmSFOS 16 Funktionen zu verwalten, verwenden Sie die Geräteebenenansicht von SFMOS 15.

• Die Darstellung der Benutzeroberfläche von SFOS 16 in SFMOS 15 entspricht nicht dertatsächlichen Benutzeroberfläche von SFOS 16.

HinweisSie sehen eine Warnung, während die Geräteebenenansicht einer SFOS 16 Appliance überSFMOS 15 geöffnet wird.

Anhang G

G DatenschutzhinweisCopyright 2016–2017 Sophos Limited. Alle Rechte vorbehalten.

Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderen Produkt-und Unternehmensbezeichnungen sind Marken oder eingetragene Marken der jeweiligen Inhaber.

Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichertoder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügenentweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit demLizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung desUrheberrechtsinhabers.

Documents

Sophos XG Firewall · 2019. 3. 22. · Kapitel 1 1 Einleitung Sophos XG Firewall verbindet das Beste der Technologien von Astaro und Cyberoam. So erreicht sie ein bisher noch nie