Extra Information

ManualsBrandsTelekom ManualsOtherDigitalisierungsbox Smart

231

232

233

234

235

236

237

238

239

240

Die eingehenden Pakete werden folgendermaßen bearbeitet:

• Zunächst überprüft die SIF, ob ein eingehendes Paket einer bereits bestehenden Verbindung zuge-

ordnet werden kann. Ist dies der Fall, wird es weitergeleitet. Kann das Paket keiner bestehenden Ver-

bindung zugeordnet werden, wird überprüft, ob eine entsprechende Verbindung zu erwarten ist (z. B.

als Tochterverbindung einer bereits bestehenden). Ist dies der Fall, wird das Paket ebenfalls akzep-

tiert.

• Wenn das Paket keiner bestehenden und auch keiner zu erwartenden Verbindung zugeordnet werden

kann, werden die SIF-Filterregeln angewendet: Trifft auf das Paket eine Deny-Regel zu, wird es abge-

wiesen, ohne dass eine Fehlermeldung an den Sender des Pakets geschickt wird; trifft eine Reject-Re-

gel zu, wird das Paket abgewiesen und eine ICMPHost-Unreachable-Meldung an den Sender des

Paktes ausgegeben. Nur wenn auf das Paket eine Accept-Regel zutrifft, wird es weitergeleitet.

• Alle Pakete, auf die keine Regel zutrifft, werden nach Kontrolle aller vorhandenen Regeln ohne Feh-

lermeldung an den Sender abgewiesen (= Standardverhalten).

9.7.1 Richtlinien

9.7.1.1 IPv4-Filterregeln

Das Standard-Verhalten mit der Aktion = N0%33 besteht aus zwei impliziten Filterregeln: wenn ein

eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine ent-

sprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird

das Paket zugelassen.

Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes

Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu Überschneidungen, d. h. trifft für ein Paket

mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgeführt. Wenn also die erste Filterre-

gel ein Paket zurückweist, während eine spätere Regel es zulässt, so wird es abgewiesen. Ebenso

bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen

Filterregel zugelassen wird.

Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswürdigen

und nicht vertrauenswürdigen Zonen besteht. Die beiden Sicherheitsrichtlinien H+0,;J%

bzw. 2* H+0,;J% beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln

Vertrauenswürdige Schnittstellen und Nicht vertrauenswürdige Schnittstellen, die standardmäßig

angelegt sind und nicht gelöscht werden können.

Falls Sie die Sicherheitsrichtlinie H+0,;J% verwenden, werden alle Datenpakete akzep-

tiert. Sie können nun zusätzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die glei-

che Weise können Sie für die Einstellung 2* H+0,;J% ausgewählte Datenpakete frei-

geben.

Im Menü Firewall->Richtlinien->IPv4-Filterregeln wird eine Liste aller konfigurierten IPv4-Filterregeln

angezeigt.

Mit der Schaltfläche in der Zeile Vertrauenswürdige Schnittstellen können Sie festlegen, welche

Schnittstellen Vertrauenswürdig sind. Es öffnet sich ein neues Fenster mit einer Schnittstellenliste. Sie

können die einzelnen Schnittstellen als vertrauenswürdig markieren.

Mit der Schaltfläche können Sie vor dem Listeneintrag eine weitere Richtlinie einfügen. Es öffnet sich

das Konfigurationsmenü zum Erstellen einer neuen Richtlinie.

Mit der Schaltfläche können Sie den Listeneintrag verschieben. Es öffnet sich ein Dialog, in dem Sie

auswählen können, an welche Position die Richtlinie verschoben werden soll.

9.7.1.1.1 Neu

Hinweis

Informationen zur Auswahl der Vertrauenswürdige Schnittstellen finden Sie hier:

IPv4-Filterregeln auf Seite 235.

bintec elmeg GmbH

9 Internet & Netzwerk

Digitalisierungsbox Smart 235