Zum Hauptinhalt springen

Firewall Management

Der Centro Business Router verfügt über zwei unabhängige Firewall Varianten. Im Normalfall arbeitet die LAN Firewall und im Fall der DMZ Verwendung, zusätzlich die DMZ Firewall. Für beide Fälle besteht die Möglichkeit, eine Personalisierung durch eigene Regeln zu konfigurieren.


gefahr

Firewall Status auf Off, ist keine Option!
Besonders wenn LAN-Infrastruktur im Internet zugänglich gemacht wird, ist der Anwender 100% in der Eigenverantwortung, sich und das System zu schützten! Dieser Pflicht stimmt der Kunde vertraglich bei.


Ziel und Zweck

Um den Internetverkehr in das LAN oder in die DMZ des Kunden zu beschränken, muss die Firewall verwendet werden. Dies ist extrem wichtig, um die Sicherheit und Stabilität der Kundeninfrastruktur zu gewährleisten.

warnung

Wichtig zu wissen

Jede Anfrage, welche vom Internet (WAN) erfolgreich auf ein LAN-Gerät (sowie 2nd Firewall) im Netzwerk trifft, generiert einen NAT-Session Eintrag auf dem Centro Business, es sei denn, die Firewall im Router weist die Anfrage vorzeitig ab (DROP). Wenn der Anschluss Ziel einer Attacke ist, ohne dass die Firewall die Anfragen abblocken kann, füllt dies die NAT-Session-Tabelle und führt folglich zu einer Funktionsstörung des Routers. CBG_Firewall_off


Firewall konfigurieren

Grundeinstellungen (LAN- und DMZ-Paketfilter)

Die, im Router-Portal unter dem Reiter Firewall ➜ Grundeinstellungen, angezeigten Firewall-Einstellungen hängen von der Verbindung oder der Verwendung fixer IP-Adressen ab. Wenn keine fixen öffentlichen IP-Adressen abonniert wurden oder DMZ nicht aktiviert ist, wird nur die LAN-Firewall angezeigt. Wenn DMZ aktiviert ist, werden sowohl die LAN- als auch die DMZ-Firewall angezeigt. Für jede Firewall kann eine der folgenden Firewall-Stufen ausgewählt werden:

  • Balanced (Default): Sofern entsprechende Port-Weiterleitung Regeln konfiguriert sind, leitet die Firewall in diesem Betriebsmodus den gesamten ausgehenden und eingehenden Datenverkehr von und zu LAN oder DMZ weiter, mit Ausnahme einer definierten Gruppe von Protokollen.
    Bitte beachten Sie, dass für diese Firewall-Stufe, der HTTPS-Port TCP:443 für die eingehende Regel auf (Verwerfen) und für die ausgehende Regel auf Akzeptieren gesetzt ist
  • Strict: Die Firewall blockiert eingehenden Datenverkehr zu LAN oder DMZ, mit Ausnahme einiger weniger Ports, die für die Routerverwaltung verwendet werden. In Bezug auf ausgehenden Datenverkehr vom LAN oder DMZ des Kunden wird nur eine kleine Gruppe von Ports blockiert.
  • Custom: Der gesamte eingehende Datenverkehr für IPv4- und IPv6-Adressen zum LAN des Kunden wird blockiert. Der gesamte ausgehende Datenverkehr vom LAN des Kunden wird durchgelassen.
  • OFF: Swisscom empfiehlt das NICHT! Die Firewall ist ausgeschaltet. Sowohl eingehende als auch ausgehende Verbindungen zum und vom LAN oder der DMZ des Kunden werden durchgelassen und es besteht das Risiko einer Funktionsstörung infolge voller NAT-Session-Tabelle.

Filterregeln hinzufügen oder bearbeiten

Wenn die Grundeinstellung für die LAN- oder DMZ-Firewall-Stufe auf „Custom“ gesetzt wird, können eigene Regeln für die entsprechende Firewall erstellt oder bearbeiten werden. Es können entweder eingehenden Internetverkehr zum LAN oder zur DMZ des Kunden oder ausgehenden Internetverkehr vom LAN oder der DMZ des Kunden auswählen werden. Durch wählen von „Hinzufügen“ unter „LAN-Firewall-Regeln“ oder „DMZ-Firewall-Regeln“, „WAN-LAN-Regeln“ oder „LAN-WAN“, werden die entsprechende Regel definiert. Jede Filterregel besteht aus den folgenden Datenelementen.

  • Name (kann individuell gewählt werden)
  • Status (aktiviert/deaktiviert)
  • Protokolle (ja/nein)
  • Richtlinien (akzeptieren oder ablehnen)
  • Zielports (einzelner Port oder Portbereich oder mehrere Ports oder Bereiche)
  • Quellports (einzelner Port oder Portbereich oder mehrere Ports oder Bereiche)
  • IP-Version (beliebig, IPv4 oder IPv6)
  • Zieltyp (IPv4 oder IPv6) beliebige Adresse/einzelne Adresse, Subnetz, Adressbereich
  • Quelltyp (IPv4 oder IPv6) beliebige Adresse/einzelne Adresse, Subnetz, Adressbereich
  • Exklusiv-Flag (Ausschluss)

FAQ - Firewall Management

Was ist eine Firewall?

Eine Firewall ist eine physische oder virtuelle Netzwerksicherheitsanwendung, die sowohl den eingehenden als auch den ausgehenden Netzwerkverkehr überwacht und als sicheres „Tor“ zwischen dem Netzwerk und dem öffentlichen Internet fungiert.

Wie funktionieren Firewalls?

Eine Firewall fungiert als sicheres Gateway und analysiert eingehende und ausgehende Datenpakete, um festzustellen, ob sie sicher durch das Tor geleitet werden können.

Kann ich eine komplexe Firewall-Konfiguration speichern?

Ja, mehr dazu im Kapitel Backup und Wiederherstellen

Benötige ich mehrere Firewalls?

Das hängt ganz von der Art der Einrichtung des Kunden ab. Für den privaten Gebrauch oder ein einzelnes Büro ist beispielsweise nur eine Firewall erforderlich. Für größere Organisationen können mehrere Firewalls verwendet werden, auch abhängig von der Größe des Netzwerks, insbesondere wenn dieses Zweigstellen, Remote-Benutzer usw. umfasst.

Was kann passieren, wenn ich keine Firewall verwende?

Wenn die Firewall deaktiviert wird Swisscom empfielt das NICHT!, kann der gesamte ein- und ausgehende Datenverkehr ungehindert durch das Swisscom-Netz fließen. Attacken sind die unmittelbare Folge! Das beeinträchtigt den Trust-Level und die Reputation des ISP's auf internationaler Ebene massiv. (Blacklisting)


info

Fehlt Ihnen hier etwas? Geben Sie uns Feedback! pilot@swisscom.com Bitte beschreiben Sie in welchem Bereich, Sie was erwarten würden oder was wir besser machen könnten.

Letztes Update am