![USG_Firewall_v1.2 [Kompatibilitätsmodus].2 ... - ZyXEL](https://img.yumpu.com/16605865/1/500x640/usg-firewall-v12-kompatibilitatsmodus2-zyxel.jpg)
USG_Firewall_v1.2 [Kompatibilitätsmodus].2 ... - ZyXEL
USG_Firewall_v1.2 [Kompatibilitätsmodus].2 ... - ZyXEL
USG_Firewall_v1.2 [Kompatibilitätsmodus].2 ... - ZyXEL
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>USG</strong>-Serie -> <strong>Firewall</strong><br />
<strong>Firewall</strong>einstellung<br />
mit der Default -> Deny<br />
Introducer<br />
Support Engineer<br />
Professional Security & Ethernet<br />
Christian Frindt
Zone<br />
Als erstes muss darauf geachtet werden das die Zonen richtig<br />
eingestellt sind!<br />
z.B. das die VPN Tunnel in der Zone IPSEC_VPN vorhanden<br />
sind, gleiches gilt für SSL_VPN.<br />
Bei Zonen mit Block-Intra-Zones müssen entsprechenden<br />
<strong>Firewall</strong> Regeln definiert werden. Z.B. DMZ-toDMZ->allow<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
Vorbereitung<br />
Bevor wir die Default-Regel auf Deny stellen sollten folgende<br />
Regeln definiert werden (wir befinden uns im LAN_Subnetz):<br />
1. LAN-to-ZyWALL -> allow<br />
2. LAN-to-WAN -> allow<br />
3. LAN-to-LAN -> allow nur, wenn die Zone auf Intrablock steht!<br />
Damit wurden die Grundrichtungen definiert und wir können<br />
nun die Default – Regel auf -> Deny setzten ohne das wir uns<br />
von der <strong>USG</strong> ausschließen!<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
Default WAN-to-ZyWALL<br />
Damit wir die <strong>USG</strong> über WAN erreichen können und VPN & SSL<br />
nutzen können müssen wir die Richtung WAN-to-ZyWALL<br />
einrichten.<br />
Achtung bei ZyNOS war dies WAN-to-WAN!<br />
In der Default_Allow_WAN_to_ZyWALL sollten folgende Dienst<br />
ermöglicht werden: AH/ESP/IKE/NATT/GRE für VPN, HTTPS für<br />
Webmangement/SSL_VPN.<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
VPN-to-ZyWALL<br />
Unser Default-Regel sorgt dafür das wir VPN Tunnel öffnen<br />
können. Wir benötigen aber Regeln um die ZyWALL zu<br />
erreichen und Traffic ins LAN_Subnetz zu ermöglichen.<br />
IPSEC_VPN-to-ZyWALL kann noch eingeschränkt werden,<br />
wenn Sie z.B. nur PING oder HTTPS auf die ZyWALL über<br />
IPSEC_VPN erlauben möchten!<br />
Damit wir den IPSEC_Client aus dem LAN erreichen können<br />
benötigen wir die „Regel 7“ LAN-to-IPSEC!<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
SSL_VPN-to-ZyWALL<br />
Für das SSL_VPN benötigen wir die folgenden Richtungen,<br />
wie beim IPSEC_VPN:<br />
Achtung: Nur für den Full-Tunnel Mode!<br />
SSL_VPN-to-ZyWALL kann noch eingeschränkt werden,<br />
wenn Sie z.B. nur PING oder HTTPS auf die ZyWALL erlauben<br />
möchten!<br />
Damit wir den SSL_VPN_Client aus dem LAN erreichen können<br />
benötigen wir die „Regel 4“ LAN-to-SSL_VPN!<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
Allgemeine Informationen<br />
Bitte daran Denken, alle weiteren Richtungen zu definieren!<br />
DMZ_to_DMZ, DMZ_to_ZyWALL, DMZ_to_WAN, DMZ_to_IPSEC<br />
DMZ_to_IPSEC etc. Bitte das von Zone zu Zone betrachten!<br />
Zur Analyse kann die Default-Regel auf Log gesetzt werden!<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
ENDE<br />
Fragen, Anregungen oder Verbesserungen<br />
bitte an support@zyxel.de.<br />
Copyright©2009 <strong>ZyXEL</strong> Communications Corporation. All rights reserved.
Change language