Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zur Planung von Firewall-Filtern

Bevor Sie einen Firewall-Filter erstellen und anwenden, entscheiden Sie, was der Filter erreichen soll und wie die Übereinstimmungsbedingungen und Aktionen verwendet werden sollen, um Ihre Ziele zu erreichen. Es ist wichtig, dass Sie verstehen, wie Pakete abgestimmt werden, welche Standard- und konfigurierten Aktionen der Firewall-Filter anzuwenden sind und wo der Firewall-Filter angewendet werden soll.

Sie können pro Routerschnittstelle nicht mehr als einen Firewall-Filter pro Richtung (Ein- und Ausgabe) anwenden. Beispielsweise können Sie für eine bestimmte Schnittstelle mindestens einen Filter in die Eingangsrichtung und einen Filter in die Ausgangsrichtung anwenden. Sie sollten versuchen, sich in die Anzahl der Begriffe (Regeln) zu installieren, die Sie in jedem Firewall-Filter enthalten, da eine Vielzahl von Begriffen während eines Commit-Betriebs eine größere Verarbeitungszeit erfordert und Das Testen und die Fehlerbehebung schwieriger machen kann.

Bevor Sie Firewall-Filter konfigurieren und anwenden, beantworten Sie für jede dieser Fragen die folgenden Fragen:

  1. Was ist der Zweck des Filters?

    Das System kann beispielsweise Pakete basierend auf Headerinformationen, Begrenzung des Datenverkehrssrate, Klassifizierung von Paketen in Weiterleitungsklassen, Protokollen und Zählerpaketen ablegen oder Denial-of-Service verhindern.

  2. Welche Bedingungen sind für diese Bedingungen geeignet? Bestimmen Sie die Paket-Header-Felder, die das Paket für eine Übereinstimmung enthalten muss. Mögliche Felder sind:

    • Layer-3-Header-Felder: Quell- und Ziel-IP-Adressen, Protokolle und IP-Optionen (IP-Rangfolge, IP-Fragmentierungs-Flags oder TTL-Typ).

    • TCP-Header-Felder: Quell- und Ziel-Ports und Flags.

    • ICMP-Header-Felder – Pakettyp und Code.

  3. Was sind die geeigneten Maßnahmen, um bei einer Übereinstimmung zu handeln?

    Das System kann Pakete akzeptieren, verwerfen oder ablehnen.

  4. Welche zusätzlichen Aktionen sind möglicherweise erforderlich?

    Sie können das System so konfigurieren, dass Pakete zu einem bestimmten Port gespiegelt (kopiert), mehrere übereinstimmende Pakete gezählt, Datenverkehrsverwaltung angewendet oder Pakete policen können.

  5. Auf welcher Layer 3-Schnittstelle sollte der Firewall-Filter angewendet werden?

    Bevor Sie die Schnittstelle wählen, auf der Sie einen Firewall-Filter anwenden möchten, sollten Sie verstehen, wie sich diese Platzierung auf den Datenverkehrsfluss zu anderen Schnittstellen auswirken kann. Wenden Sie einen Filter in der Nähe des Quellgeräts an, wenn der Filter auf Quell- oder Ziel-IP-Adressen, IP-Protokollen oder Protokollinformationen (z. B. ICMP-Nachrichtentypen und TCP- oder UDP-Portnummern) entspricht. Sie sollten jedoch einen Filter in der Nähe des Zielgeräts anwenden, wenn der Filter nur zu einer Quell-IP-Adresse passt. Wenn Sie einen Filter zu nahe am Quellgerät anwenden, könnte der Filter verhindern, dass das Quellgerät auf andere Services im Netzwerk zuzugriff hat.

  6. In welche Richtung sollte der Firewall-Filter angewendet werden?

    Sie konfigurieren typischerweise verschiedene Aktionen für den datenverkehr, der an einer Schnittstelle einfing, als Sie für das Verlassen von Datenverkehr an der Schnittstelle konfigurieren.

  7. Wie viele Filter sollte ich erstellen?