Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zur Planung von Firewall-Filtern

Bevor Sie einen Firewallfilter erstellen und anwenden, legen Sie fest, was der Filter erreichen soll und wie Sie seine Übereinstimmungsbedingungen und Aktionen verwenden können, um Ihre Ziele zu erreichen. Es ist wichtig, dass Sie verstehen, wie Pakete abgeglichen werden, welche Standard- und konfigurierten Aktionen der Firewallfilter sind und wo der Firewallfilter angewendet werden soll.

Sie können nicht mehr als einen Firewall-Filter pro Routerschnittstelle und Richtung (Eingang und Ausgang) anwenden. Beispielsweise können Sie für eine bestimmte Schnittstelle höchstens einen Filter in Eingangsrichtung und einen Filter in Ausgaberichtung anwenden. Sie sollten versuchen, bei der Anzahl der Begriffe (Regeln), die Sie in die einzelnen Firewallfilter aufnehmen, konservativ vorzugehen, da eine große Anzahl von Begriffen eine längere Verarbeitungszeit während eines Commit-Vorgangs erfordert und das Testen und die Fehlerbehebung erschweren kann.

Bevor Sie Firewallfilter konfigurieren und anwenden, beantworten Sie für jeden von ihnen die folgenden Fragen:

  1. Wozu dient der Filter?

    So kann das System beispielsweise Pakete basierend auf Header-Informationen verwerfen, die Datenrate begrenzen, Pakete in Weiterleitungsklassen klassifizieren, Pakete protokollieren und zählen oder Denial-of-Service-Angriffe verhindern.

  2. Was sind die geeigneten Spielbedingungen? Bestimmen Sie die Paket-Header-Felder, die das Paket für eine Übereinstimmung enthalten muss. Mögliche Felder sind:

    • Layer-3-Header-Felder: Quell- und Ziel-IP-Adressen, Protokolle und IP-Optionen (IP-Priorität, IP-Fragmentierungsflags oder TTL-Typ).

    • TCP-Header-Felder: Quell- und Zielports und -flags.

    • ICMP-Header-Felder: Pakettyp und -code.

  3. Welche Maßnahmen sind zu ergreifen, wenn es zu einem Match kommt?

    Das System kann Pakete annehmen, verwerfen oder ablehnen.

  4. Welche zusätzlichen Aktionsmodifikatoren könnten erforderlich sein?

    Sie können das System beispielsweise so konfigurieren, dass Pakete an einen bestimmten Port gespiegelt (kopiert) werden, übereinstimmende Pakete gezählt werden, Datenverkehrsmanagement angewendet wird oder Pakete überwacht werden.

  5. Auf welcher Layer-3-Schnittstelle sollte der Firewall-Filter angewendet werden?

    Bevor Sie die Schnittstelle auswählen, auf die ein Firewallfilter angewendet werden soll, sollten Sie sich darüber im Klaren sein, wie sich diese Platzierung auf den Datenverkehrsfluss zu anderen Schnittstellen auswirken kann. Im Allgemeinen sollten Sie einen Filter in der Nähe des Quellgeräts anwenden, wenn der Filter mit Quell- oder Ziel-IP-Adressen, IP-Protokollen oder Protokollinformationen übereinstimmt, z. B. ICMP-Nachrichtentypen und TCP- oder UDP-Portnummern. Sie sollten jedoch einen Filter in der Nähe des Zielgeräts anwenden, wenn der Filter nur mit einer Quell-IP-Adresse übereinstimmt. Wenn Sie einen Filter anzuwenden, der zu nah am Quellgerät liegt, kann der Filter verhindern, dass dieses Quellgerät auf andere Dienste zugreift, die im Netzwerk verfügbar sind.

  6. In welche Richtung soll der Firewall-Filter angewendet werden?

    In der Regel konfigurieren Sie andere Aktionen für Datenverkehr, der in eine Schnittstelle eintritt, als für Datenverkehr, der eine Schnittstelle verlässt.

  7. Wie viele Filter sollte ich erstellen?