UF-50 - Feuerplatte LANCOM - Kostenlose Bedienungsanleitung

BEDIENUNGSANLEITUNG UF-50 LANCOM

1 Über dieses Handbuch....4

1.1 Zielgruppe....5
1.2 Inhalt dieses Benutzerhandbuchs....5
1.3 Konventionen....5
1.4 Weitere Quellen....6

2 Inbetriebnahme....7

2.1 Ersteinrichtung....7
2.2 Internetverbindung konfigurieren....14

2.2.1 Verbindung über Wählleitung....14
2.2.2 Kabel- oder Routerverbindung mit dynamischer IP-Adresse....15
2.2.3 Statische Verbindung mit statischer IP-Adresse....15

2.3 Internetzugang aktivieren....16

2.3.1 Internet-Objekt erstellen....16
2.3.2 Lokale Netzwerkverbindung konfigurieren....17
2.3.3 Netzwerk-Objekt erstellen....17
2.3.4 Firewall-Regeln für den Internetzugang konfigurieren....17
2.3.5 Desktopkonfiguration aktivieren....18

3 Benutzeroberfläche....19

3.1 Elemente des Webclients....19

3.1.1 Kopfzeile....20
3.1.2 Navigationsbereich....20
3.1.3 Desktop....21
3.1.4 Infobereich....22

3.2 Symbole und Schaltflächen....23

3.3 Einstellungen für Firewall-Regeln....25

3.3.1 Einrichten einer Verbindung....25
3.3.2 Erstellen einer Firewall-Regel....25

3.4 Menüreferenz....27

3.4.1 Firewall....27
3.4.2 Monitoring & Statistiken....59
3.4.3 Netzwerk....72
3.4.4 Desktop....95
3.4.5 UTM....111
3.4.6 VPN....126
3.4.7 Zertifikatsverwaltung....149
3.4.8 Diagnose-Tools....157

Copyright

© 2019 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten.

Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und Lieferbedingungen festgelegt ist.

Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung ihres Inhaltes sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten.

Windows® und Microsoft® sind eingetragene Marken von Microsoft, Corp.

LANCOM, LANCOM Systems, LCOS, LANcommunity und Hyper Integration sind eingetragene Marken. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. Dieses Dokument enthält zukunfts- bezogene Aussagen zu Produkten und Produkteigenschaften. LANCOM Systems behält sich vor, diese jederzeit ohne Angaben von Gründen zu ändern. Keine Gewähr für technische Ungenauigkeiten und / oder Auslassungen.

Das Produkt enthält separate Komponenten, die als sogenannte Open Source Software eigenen Lizenzen, insbesondere der General Public License (GPL), unterliegen. Sofern die jeweilige Lizenz dies verlangt, werden Quelldateien zu den betroffenen Software-Komponenten auf Anfrage bereitgestellt. Bitte senden Sie eine E-Mail an gpl@lancom.de.

Produkte von LANCOM Systems enthalten Software, die vom „OpenSSL Project“ für die Verwendung im „OpenSSL Toolkit“ entwickelt wurde (www.openssl.org).

Produkte von LANCOM Systems enthalten kryptographische Software, die von Eric Young (eay@cryptsoft.com) geschrieben wurde.

Produkte von LANCOM Systems enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwickelt wurde.

Produkte von LANCOM Systems enthalten das LZMA SDK, das von Igor Pavlov entwickelt wurde.

LANCOM Systems GmbH

Adenauerstr. 20/B2

52146 Würselen

Deutschland

www.lancom-systems.de

1 Über dieses Handbuch

1 Über dieses Handbuch

LCOS FX ist das Betriebssystem für LANCOM R&S ^® Unified Firewalls und Teil der LANCOM Betriebssystem-Familie.

Die LANCOM Betriebssysteme sind die vertrauenswürdige Grundlage für das gesamte LANCOM Produktportfolio. Jedes Betriebssystem verkörpert die LANCOM Werte Sicherheit, Zuverlässigkeit und Zukunftsfähigkeit.

Für höchste Sicherheit Ihrer Netzwerke

wird jedes LANCOM Betriebssystem in gewohnter Qualität von unseren Entwicklern sorgfältig gepflegt und weiterentwickelt. Garantiert Backdoor-frei.

Sie stehen für größtmögliche Zuverlässigkeit,

denn über die gesamte Lebenszeit eines Produktes werden regelmäßig Release Updates, Security Updates und Major Releases zur Verfügung gestellt.

Als Grundlage maximaler Zukunftsfähigkeit Ihrer Netzwerke

stehen sie im Zuge der LANCOM Lifecycle-Richtlinien für alle LANCOM Produkte kostenlos zur Verfügung, inklusive neuer Major Features.

Das LANCOM R&S®Unified Firewall Benutzerhandbuch beschreibt die Funktionalitäten von LANCOM R&S®Unified Firewalls.

LANCOM R&S ^® Unified Firewalls vereinen Firewall, Intrusion Prevention, Anwendungskontrolle, Web-Filter, Malware-Schutz und viele weitere Funktionen in einem einzigen System.

Dieses Dokument gilt für alle LANCOM R&S ^® Unified Firewall-Modelle.

Je nach vorliegender Lizenz kann das Produkt individuelle Funktionen aufweisen, die von anderen Modellen abweichen. Weitere Informationen zu Ihrem spezifischen Modell finden Sie im jeweiligen Datenblatt.

Im Folgenden erhalten Sie weitere Informationen zu diesem Dokument.

1.1 Zielgruppe

Dieses Handbuch ist für den Netzwerk- oder Computertechniker bestimmt, der für die Installation und Konfiguration der LANCOM R&S ^® Unified Firewalls zuständig ist sowie für Mitarbeiter, die über den Webclient Regeln für die Filterung des Datenverkehrs festlegen.

Um dieses Dokument effektiv nutzen zu können, sollten Sie, abhängig von Ihrer Zuständigkeit, über die folgenden Fähigkeiten verfügen:

Für die Installation und Konfiguration der Hardware sollten Sie mit Telekommunikationsgeräten und Installationsverfahren vertraut sein. Sie sollten außerdem über ausreichende Erfahrung als Netzwerk- oder Systemadministrator verfügen.
Zur Festlegung der Filterregeln müssen Sie grundlegende TCP/IP-Netzwerkkonzepte verstehen.

1.2 Inhalt dieses Benutzerhandbuchs

Der Inhalt dieses Benutzerhandbuchs soll Ihnen bei der Installation und Konfiguration von LANCOM R&S ^® Unified Firewalls behilflich sein.

Dieses Dokument enthält die folgenden Kapitel:

Inbetriebnahme auf Seite 7
Loggen Sie sich auf ihrer LANCOM R&S ^® Unified Firewall ein, um das System für Ihr Netzwerk einzurichten.

Benutzeroberfläche auf Seite 19

Die Abschnitte dieses Kapitels beschreiben die Elemente der Benutzeroberfläche von LANCOM R&S ^® Unified Firewalls.

Wir sind bestrebt, eine Dokumentation zur Verfügung zu stellen, die Ihren Bedürfnissen entspricht. Um die Dokumentation zu verbessern, senden Sie uns Fehler, Anregungen oder Kommentare an unser Support-Portal:

Wenn Sie Ihr Feedback senden, geben Sie den Titel und das Datum des Dokuments auf der Titelseite an.

1.3 Konventionen

In diesem Kapitel werden die typografischen Konventionen und andere Bezeichnungen erläutert, die zur Darstellung der Informationen in diesem Handbuch verwendet werden.

Elemente der webbasierten, grafischen Benutzeroberfläche (GUI, oder „Webinterface“) werden folgendermaßen angezeigt:

1 Über dieses Handbuch

Anmerkungen

Dieses Handbuch enthält die folgenden Formen von Hervorhebungen, um Sie auf bestimmte Informationen aufmerksam zu machen oder Ihnen zusätzliche Informationen zu geben:

Diese Hervorhebung enthält zusätzliche Informationen, die Ihnen die Arbeit erleichtern können.

Dies ist ein Hinweis. Dieser Hinweis enthält wichtige Zusatzinformationen zum Produkt oder dessen Verwendung.

Diese Hervorhebung markiert sicherheitsrelevante Informationen. Nichtbeachtung kann LANCOM R&S ^® Unified Firewalls gefährden, oder Ihre Netzwerksicherheit beeinträchtigen.

1.4 Weitere Quellen

Dieser Abschnitt enthält zusätzliche Dokumente und weitere Informationsquellen zu LANCOM R&S ^® Unified Firewalls. Beachten Sie die folgenden Dokumente und Quellen:

Datenblätter fassen die technischen Eigenschaften der verschiedenen LANCOM R&S®Unified Firewall-Modelle zusammen.
Release Notes enthalten aktualisierte Informationen zu jedem neuen Release von LCOS FX.

Für zusätzliche Dokumente, wie z. B. technische Spezifikationen, besuchen Sie unsere Produkt-Webseite

2 Inbetriebnahme

In diesem Dokument finden Sie alle zur Einrichtung und Konfiguration Ihres LANCOM R&S ^® Unified Firewall-Geräts benötigten Informationen.

Befolgen Sie zur Inbetriebnahme die unten beschriebenen Schritte.

Beim ersten Start nach der Lieferung oder nach einer Neuinstallation läuft LANCOM R&S ^® Unified Firewall für 30 Tage als Testversion. Weitere Informationen finden Sie unter Lizenz auf Seite 40.

2.1 Ersteinrichtung

1. Nehmen Sie das vorinstallierte LANCOM R&S ^® Unified Firewall-Gerät aus der Verpackung.
2. Verbinden Sie ein Patchkabel mit dem Port mit der Beschriftung eth1 auf der Frontseite Ihres LANCOM R&S® Unified Firewall-Geräts und mit dem Ethernet-Port Ihres Computers.
3. Verbinden Sie ein Patchkabel mit dem Port mit der Beschriftung eth0 auf der Frontseite Ihres LANCOM R&S® Unified Firewall-Geräts und mit dem LAN-Port des Geräts (z. B. Ihrem Router, DSL- oder Kabelmodem), welches Sie von Ihrem Provider für den Zugang zum Internet bekommen haben. Stellen Sie sicher, das dieses Gerät eingeschaltet ist.
4. Stellen Sie sicher, dass der Netzwerkadapter Ihres Computer auf „IP-Adresse automatisch konfigurieren“ eingestellt ist.
5. Schalten Sie Ihr LANCOM R&S ^® Unified Firewall-Gerät ein.
6. Starten Sie einen Webbrowser auf Ihrem Computer.
7. Geben Sie in der Adressleiste des Browsers https://192.168.1.254:3438 ein.
8. Erstellen Sie eine Ausnahme für die Zertifikatwarnung.

Die LANCOM R&S ^® Unified Firewall-Loginseite erscheint.

1. Geben Sie auf der Loginseite des LANCOM R&S ^® Unified Firewall-Webclients admin als Benutzername und das voreingestellte Kennwort admin ein.

Abbildung 2: Loginseite des LANCOM R&S ^® Unified Firewall Webclients

1. Klicken Sie auf Anmelden.

2. Nach dem ersten Login mit den voreingestellten Anmeldedaten werden Sie vom System aufgefordert, die Endnutzer-Lizenzvereinbarung (EULA) zu akzeptieren und anschließend die folgenden beiden Passwörter zu ändern:

Das Passwort für den Benutzer admin – Sie benötigen dieses Passwort, um sich beim LANCOM R&S®Unified Firewall-Webclient anzumelden.

2 Inbetriebnahme

Das Support-Passwort – Das Support-Passwort ist das Passwort, mit dem der technische Support sich auf Ihrer LANCOM R&S® Unified Firewall anmelden kann. Bewahren Sie es sicher und vor unbefugtem Zugriff geschützt auf.

Das neue Benutzerpasswort und das Support-Passwort dürfen aus nicht weniger als acht und nicht mehr als 255 Zeichen bestehen. Erlaubt sind lateinische Buchstaben inklusive deutsche Umlaute sowie Zahlen und Sonderzeichen. Kyrillisch oder andere Schriften nicht. Es müssen Zeichen aus mindestens drei der Kategorien Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen verwendet werden.

Dieser Schritt ist verpflichtend.

1. Klicken Sie auf Akzeptieren & Anmelden, um die neuen Passwörter und die EULA zu akzeptieren.

Der Setup-Assistent erscheint.

Mit Ausnahme der Sprachauswahl am Anfang des Setup-Assistenten können Sie den Assistenten jederzeit über die Schaltfläche Assistent abbrechen beenden. Nach einem Abbruch des Assistenten können Sie eine manuelle Einrichtung vornehmen, also mit den Schritten Internetverbindung konfigurieren auf Seite 14 und Internetzugang aktivieren auf Seite 16 fortfahren. Bis auf wenige Ausnahmen können Sie innerhalb des Setup-Assistenten mit den Schaltflächen Zurück und Weiter navigieren.

1. Wählen Sie die Sprache für den Setup-Assistenten und den Webclient aus. Sie können die Sprache des Webclient später nach Bedarf jederzeit umschalten.

Abbildung 3: Willkommensseite des Setup-Assistenten

1. Wenn Sie die Konfiguration einer vorherigen Installation wiederherstellen wollen, dann klicken Sie auf Auswählen, um eine Backup-Datei auszuwählen. Geben Sie das zugehörige Backup-Passwort an. Klicken Sie danach auf Backup wiederherstellen und neu starten.

Anschließend wird der Setup-Assistent beendet, die Konfiguration aus dem Backup wiederhergestellt und die Firewall neu gestartet.

Abbildung 4: Optional eine vorhandene Konfiguration aus einem Backup wiederherstellen

Alternativ fahren Sie für eine Neuinstallation mit Weiter ohne Backup fort.

1. Konfigurieren Sie die folgenden allgemeinen Einstellungen der Firewall:

Firewall-Hostname

Geben Sie Ihrer Firewall einen Namen, der als Hostname verwendet wird.

Zeitzone

Die Zeitzone wird mit der momentan im Browser eingestellten Zeitzone vorbelegt. Ändern Sie diese Einstellung bei Bedarf.

Nutzungs-Statistiken senden

Erlauben Sie optional, dass Informationen über Auslastung und Zustand der Firewall aufgezeichnet und an die LANCOM Systems GmbH übermittelt werden. Es werden keine persönlichen Informationen und keine Bestandteile des über die Firewall erfolgten Datenverkehrs übertragen.

Sie können diese Einstellung später wieder ändern. Siehe auch Allgemeine Einstellungen auf Seite 29.

Absturzberichte senden

Erlauben Sie optional, dass im Fehlerfall allgemeine Informationen zum Sytemzustand, zur aktuellen Systemkonfiguration und zum aufgetretenen Fehler an die LANCOM Systems GmbH übertragen werden. Die Daten werden nur zur Fehleranalyse verwendet und anschließend wieder gelöscht. Es erfolgt keine Weitergabe irgendwelcher Daten an Dritte.

Sie können diese Einstellung später wieder ändern. Siehe auch Allgemeine Einstellungen auf Seite 29.

Abbildung 5: Allgemeine Einstellungen der Firewall

1. Selektieren Sie als Internet-Interface den Firewall-Port (Standard: eth0), mit dem dass Gerät verbunden ist, welches Sie von Ihrem Provider für den Zugang zum Internet bekommen haben. Geben Sie dann Ihre Option für den Internetzugriff an:

Abhängig von Ihrer Auswahl können Sie für die Auswahl notwendige Daten konfigurieren.

DHCP

Die IP-Adresse für dieses Interface wird über DHCP bezogen.

Statische Konfiguration

Geben Sie die IP-Adresse mit Präfix-Länge (CIDR-Notation), den Standard-Gateway und den DNS-Server an.

ADSL / SDSL

Geben Sie den Benutzernamen und das Passwort an, die Sie von Ihrem Internet-Provider erhalten haben.

VDSL

Geben Sie die VLAN-ID, den Benutzernamen und das Passwort an, die Sie von Ihrem Internet-Provider erhalten haben.

Abbildung 6: Internetzugang

1. Konfigurieren Sie hier das lokale Netzwerk, mit dem die Firewall verbunden ist oder später sein soll. Jede Zeile entspricht einer Netzwerkschnittstelle der Firewall (Spalte Interface).

Sie können eine Schnittstelle aktivieren / deaktivieren, je nachdem, ob Sie sie verwenden möchten oder nicht (Spalte Aktiv). Die Internet-Schnittstelle kann nicht deaktiviert werden.

Geben Sie im Feld IP und Präfixlänge die IP ein, die die Firewall auf dieser Schnittstelle verwenden soll, einschließlich der Präfixlänge (CIDR-Notation). Wenn Sie das Feld leer lassen, hat die Firewall keine IP-Verbindung auf dieser Schnittstelle. In diesem Fall können Sie nicht über diese Schnittstelle auf die Firewall zugreifen und können keinen DHCP-Server oder Web- oder Mail-Zugang für alle Clients zulassen, die über diese Schnittstelle verbunden sind. Jede Schnittstelle sollte ein eigenes Subnetz haben.

Um einen DHCP-Server auf einer Schnittstelle zu aktivieren, aktivieren Sie das Kontrollkästchen DHCP-Server aktivieren für eine Schnittstelle. Der DHCP-Bereich hängt von der dieser Schnittstelle zugeordneten Firewall-IP ab und wird auf den größten im Subnetz verfügbaren kontinuierlichen Bereich voreingestellt.

Sie können typischen Internetverkehr (Web und E-Mail) für Clients zulassen, die mit einer Schnittstelle verbunden sind, indem Sie das entsprechende Kontrollkästchen für eine Schnittstelle aktivieren. Web ermöglicht es Clients, sich

2 Inbetriebnahme

über HTTP mit dem Internet zu verbinden. E-Mail ermöglicht SMTP-, POP3- und IMAP-Verkehr. Dazu gehören auch die SSL / TLS-Versionen dieser Protokolle.

Abbildung 7: Lokale Netzwerke

1. Wählen Sie die Sicherheitsfeatures Anti-Malware, IDS / IPS und / oder Content-Filter aus, die aktivert werden sollen. Abhängig von Ihrem Gerät sind evtl. nicht alle Features verfügbar.

Beim ersten Start nach der Lieferung oder nach einer Neuinstallation läuft die LANCOM R&S ^® Unified Firewall für 30 Tage als Testversion. Während des Testzeitraums können Sie kein Backup erstellen. Nach Ablauf des Testzeitraums bleibt die Firewall weiterhin mit Ihrer Konfiguration erhalten. Die UTM-Features werden deaktiviert und Sie können keine Änderungen mehr speichern.

Mehr Information hierzu finden Sie unter Lizenzauf Seite 40.

Abbildung 8: Sicherheitsfeatures

1. Hier sehen Sie eine Zusammenfassung der gemachten Einstellungen und können ggfs. zurückgehen, um diese anzupassen. Klicken Sie Fertigstellen, wenn alles in Ordnung ist.

Abbildung 9: Zusammenfassung der gemachten Einstellungen

1. Warten Sie ab bis der Setup-Assistent fertig ist. Nun werden Ihnen die Links angezeigt, über die Sie den Webclient nach Ablauf des Setup-Assistenten erreichen können. Klicken Sie entweder auf einen dieser Links oder auf OK, um zum Webclient zu wechseln.

Wenn Sie das automatisch erzeugt Zertifikat für den Web-Proxy verwenden wollen, dann laden Sie es herunter und rollen es auf Ihre Clients aus.

Abbildung 10: Fertigstellung

Falls Sie den Setup-Assistenten erneut verwenden wollen, dann müssen Sie Ihre Firewall auf die Werkseinstellungen zurücksetzen. Siehe hierzu Kopfzeile auf Seite 20.

2.2 Internetverbindung konfigurieren

Dieses Kapitel beschreibt, wie Sie ihre Internetverbindung einrichten können.

1. Verbinden Sie ein Patchkabel mit dem eth0-Port auf der Frontseite Ihrer LANCOM R&S ^® Unified Firewall und mit dem LAN-Port des Geräts, das Sie von Ihrem Anbieter für den Internetzugang erhalten haben (z. B. ein Router oder ein DSL- oder Kabelmodem).
2. Navigieren Sie in der Navigationsleiste zu Netzwerk > Verbindungen.

Rechts neben der Navigationsleiste öffnet sich die Objektleiste.

1. Um zu sehen, welche Netzwerkverbindung welchem Interface zugewiesen ist, klicken Sie in der rechten oberen Ecke der Objektleiste auf >>

Die Objektleiste erweitert sich.

1. Löschen Sie die voreingestellte Verbindung auf eth0, indem Sie in der letzten Tabellenspalte in derselben Zeile auf (Klicken zum Löschen) klicken.
2. Fahren Sie je nach Typ Ihrer Internetverbindung gemäß einem der folgenden drei Ansätze fort:

Verbindung über Wählleitung
Kabel- oder Routerverbindung mit dynamischer IP-Adresse
Statische Internetverbindung mit statischer IP-Adresse

2.2.1 Verbindung über Wählleitung

Netzwerkverbindung konfigurieren

Führen Sie diesen Schritt aus, wenn Sie eine PPTP-Verbindung konfigurieren möchten. Bei PPPoE-Verbindungen entfällt dieser Schritt.

1. Um eine neue Netzwerkverbindung anzulegen, klicken Sie in der Objektleiste auf ⚪Neuen Eintrag erstellen). Der Dialog Netzwerk-Verbindung öffnet sich. Damit können Sie eine Netzwerkverbindung konfigurieren.
2. Geben Sie im Eingabefeld Name einen Namen für Ihre Netzwerkverbindung ein.
3. Wählen Sie in der Drop-down-Liste Interface den Menüeintrag eth0 aus.
4. Wählen Sie in der Drop-down-Liste Typ den Menüeintrag Static aus.
5. Geben Sie im Eingabefeld IP-Adressen die IP-Adresse und die Subnetzmaske für die Netzwerkverbindung ein.

Bei dieser IP-Adresse handelt es sich um die Client-/NIC-IP-Adresse, die Sie von Ihrem Provider erhalten.

1. Klicken Sie rechts auf ☐ um Ihren Eintrag zur Liste der IP-Adressen hinzuzufügen.

2. Klicken Sie auf Erstellen.

Der Dialog Netzwerk-Verbindung schließt sich. Das neue Interface wird zur Liste der verfügbaren Netzwerkverbindungen in der Objektleiste hinzugefügt.

PPP-Interface erstellen

1. Navigieren Sie zu Netzwerk > Interfaces > PPP-Interfaces.
2. Um ein neues PPP-Interface zu erstellen, klicken Sie in der Leiste mit der Objektliste auf ⓄNeuen Eintrag erstellen). Der Dialog PPP-Interface öffnet sich. Darin können Sie ein PPP-Interface konfigurieren.

3. Wählen Sie in der Drop-down-Liste Haupt-Interface den Menüeintrag eth0 aus.

4. Sofern Ihr Provider es nicht anders vorgibt, belassen Sie die weiteren Einstellungen auf ihren Standardwerten.

5. Klicken Sie auf Erstellen.

Der Dialog PPP-Interface schließt sich. Das neue Interface wird zur Liste der verfügbaren PPP-Interfaces in der Objektleiste hinzugefügt.

PPP-Verbindung erstellen

1. Navigieren Sie zu Netzwerk > Verbindungen > PPP-Verbindungen.
2. Um eine neue PPP-Verbindung anzulegen, klicken Sie in der Objektleiste auf ☑Neuen Eintrag erstellen). Der Dialog PPP-Verbindung öffnet sich. Damit können Sie eine PPP-Verbindung konfigurieren.
3. Geben Sie im Eingabefeld Name einen Namen für Ihre PPP-Verbindung ein.
4. Wählen Sie aus der Drop-down-Liste Interface das PPP-Interface aus, das Sie unter PPP-Interface erstellen auf Seite 14 erstellt haben.
5. Wählen Sie aus der Drop-down-Liste Typ Ihren Verbindungstyp aus.
6. Geben Sie die Anmeldedaten ein, die Sie von Ihrem Provider erhalten haben.

Falls Sie eine PPTP-Verbindung erstellen, geben Sie im Eingabefeld PPTP-Server-IP die IP-Adresse des Modems ein, welches Sie von Ihrem Provider erhalten haben.

1. Sofern Ihr Provider es nicht anders vorgibt, belassen Sie die weiteren Einstellungen auf ihren Standardwerten.

2. Klicken Sie auf Erstellen.

Der Dialog PPP-Verbindung schließt sich. Die neue Verbindung wird zur Liste der verfügbaren PPP-Verbindungen in der Objektleiste hinzugefügt.

1. Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen. Sie haben Ihre Internetverbindung konfiguriert.

2.2.2 Kabel- oder Routerverbindung mit dynamischer IP-Adresse

1. Navigieren Sie zu Netzwerk > Verbindungen > Netzwerk-Verbindungen.
2. Um eine neue Netzwerkverbindung anzulegen, klicken Sie in der Objektleiste auf ⭕Neuen Eintrag erstellen). Der Dialog Netzwerk-Verbindung öffnet sich. Damit können Sie eine Netzwerkverbindung konfigurieren.
3. Geben Sie im Eingabefeld Name einen Namen für Ihre Netzwerkverbindung ein.
4. Wählen Sie in der Drop-down-Liste Interface den Menüeintrag eth0 aus.
5. Wählen Sie in der Drop-down-Liste Typ den Menüeintrag DHCP aus.
6. Setzen Sie den Haken im Kontrollkästchen DNS-Server beziehen
7. Setzen Sie den Haken im Kontrollkästchen Domain beziehen
8. Klicken Sie auf Erstellen.
   Der Dialog Netzwerk-Verbindung schließt sich. Die neue Verbindung wird zur Liste der verfügbaren Netzwerkverbindungen in der Objektleiste hinzugefügt.
9. Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen. Sie haben Ihre Internetverbindung konfiguriert.

2.2.3 Statische Verbindung mit statischer IP-Adresse

Netzwerkverbindung konfigurieren

1. Navigieren Sie zu Netzwerk > Verbindungen > Netzwerk-Verbindungen.

2 Inbetriebnahme

1. Um eine neue Netzwerkverbindung anzulegen, klicken Sie in der Objektleiste auf ⚪Neuen Eintrag erstellen). Der Dialog Netzwerk-Verbindung öffnet sich. Damit können Sie eine Netzwerkverbindung konfigurieren.
2. Geben Sie im Eingabefeld Name einen Namen für Ihre Netzwerkverbindung ein.
3. Wählen Sie in der Drop-down-Liste Interface den Menüeintrag eth0 aus.
4. Wählen Sie in der Drop-down-Liste Typ den Menüeintrag Static aus.
5. Geben Sie im Eingabefeld IP-Adressen die IP-Adresse und die Subnetzmaske für Ihre Netzwerkverbindung ein.

Die IP-Adresse erhalten Sie von Ihrem Provider.

1. Klicken Sie rechts auf ☐ um Ihren Eintrag zur Liste der IP-Adressen hinzuzufügen.

DNS-Einstellungen konfigurieren

1. Wechseln Sie im Fenster Netzwerk-Verbindung auf den Tab WAN.
2. Setzen Sie den Haken im Kontrollkästchen Standard Gateway setzen
3. Geben Sie im Eingabefeld Standard-Gateway die Standard-IP-Adresse Ihres Gateways ein.
4. Klicken Sie auf Erstellen.
   Der Dialog Netzwerk-Verbindung schließt sich. Die neue Verbindung wird zur Liste der verfügbaren Netzwerkverbindungen in der Objektleiste hinzugefügt.
5. Navigieren Sie zu Netzwerk > DNS-Einstellungen.
   Der Dialog DNS-Einstellungen öffnet sich. Damit können Sie die DNS-Einstellungen der LANCOM R&S® Unified Firewall konfigurieren.
6. Entfernen Sie den Haken im Kontrollkästchen DNS-Server beziehen.
   Die Eingabefelder 1. Nameserver/2. Nameserver können nun bearbeitet werden.
7. Geben Sie in den Eingabefeldern 1. Nameserver und 2. Nameserver die IP-Adressen der DNS-Server ein, die Sie von Ihrem Provider erhalten haben.
8. Um die Einstellungen zu speichern, klicken Sie auf Speichern.
   Der Dialog DNS-Einstellungen schließt sich.
9. Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.
   Sie haben Ihre Internetverbindung konfiguriert.

2.3 Internetzugang aktivieren

2.3.1 Internet-Objekt erstellen

1. Navigieren Sie zu Desktop > Desktop-Objekte > Internet-Objekte.
2. Klicken Sie in der Objektleiste auf ⚫Neuen Eintrag erstellen), um ein neues Internet-Objekt zu erstellen. Der Dialog Internet-Objekt öffnet sich. Damit können Sie ein Internet-Objekt konfigurieren.
3. Geben Sie unter Objekt-Name einen Namen für das Internet-Objekt an.
4. Wählen Sie aus der Drop-down-Liste Verbindungen Ihre Internetverbindung aus. Hinweise zur Erstellung einer Internetverbindung erhalten Sie unter Internetverbindung konfigurieren auf Seite 14.

5. Klicken Sie rechts auf ⊕um Ihren Eintrag zur Liste der Verbindungen hinzuzufügen.

6. Klicken Sie auf Erstellen.

Der Dialog Internet-Objekt schließt sich. Das neue Objekt wird zur Liste der verfügbaren Internet-Objekte in der Objektleiste hinzugefügt.

Weitere Informationen finden Sie unter Desktop-Objekte auf Seite 96.

2.3.2 Lokale Netzwerkverbindung konfigurieren

1. Nutzen Sie ein Patchkabel, um einen der Ports mit der Beschriftung ethX (ausgenommen eth0, da dieser für die Internetverbindung verwendet wird) auf der Frontseite Ihres LANCOM R&S® Unified Firewall Geräts mit einem der Ethernet-Ports auf Ihrem Netzwerkverteiler zu verbinden.
2. Navigieren Sie zu Netzwerk > Verbindungen > Netzwerk-Verbindungen.
3. Klicken Sie in der Leiste mit der Objektliste auf ☑Neuen Eintrag erstellen), um eine neue Netzwerkverbindung zu erstellen.

Der Dialog Netzwerk-Verbindung öffnet sich. Damit können Sie eine Netzwerkverbindung konfigurieren.

1. Geben Sie im Eingabefeld Name einen Namen für Ihre Netzwerkverbindung ein.
2. Wählen Sie in der Drop-down-Liste Interface den Port aus, an den Sie Ihren Netzwerkverteiler angeschlossen haben.
3. Wählen Sie in der Drop-down-Liste Typ den Typ Static aus.
4. Geben Sie im Eingabefeld IP-Adressen die IP-Adresse dieser Verbindung passend zu ihrem lokalen Netzwerk in CIDR-Schreibweise ein (IP-Adresse gefolgt von einem Schrägstrich „/“ und der Anzahl der in der Subnetzmaske festgelegten Bits, beispielsweise 192.168.50.1/24).
5. Klicken Sie rechts auf ☐ um Ihren Eintrag zur Liste der IP-Adressen hinzuzufügen.
6. Klicken Sie auf Erstellen.

Der Dialog Netzwerk-Verbindung schließt sich.

2.3.3 Netzwerk-Objekt erstellen

1. Navigieren Sie zu Desktop > Desktop-Objekte > Netzwerke.

2. Klicken Sie in der Leiste mit der Objektliste auf ✕(Neuen Eintrag erstellen), um ein neues Netzwerk-Objekt zu erstellen.
   Der Dialog Netzwerk öffnet sich. Damit können Sie eine Netzwerkverbindung konfigurieren.

3. Geben Sie im Eingabefeld Name einen Namen für das Netzwerk-Objekt ein.

4. Wählen Sie in der Drop-down-Liste Interface die Netzwerkverbindung aus, die Sie unter Lokale Netzwerkverbindung konfigurieren auf Seite 17 erstellt haben.
5. Geben Sie unter Netzwerk-IP die IP-Adresse Ihres lokalen Netzwerks ein.
6. Klicken Sie auf Erstellen.

Der Dialog Netzwerk schließt sich. Das neue Objekt wird zur Liste der verfügbaren Netzwerk-Objekte in der Objektleiste hinzugefügt.

Weitere Informationen finden Sie unter Desktop-Objekte auf Seite 96.

2.3.4 Firewall-Regeln für den Internetzugang konfigurieren

1. Richten Sie eine Verbindung zwischen dem Netzwerk-Objekt (siehe Netzwerk-Objekt erstellen auf Seite 17) und dem Internet-Objekt (siehe Internet-Objekt erstellen auf Seite 16) ein, die Sie in den vorigen Schritten erstellt haben:

a. Klicken Sie auf die Schaltfläche in der Symbolleiste oben auf dem Desktop. Die Desktop-Objekte, die für diese Verbindung und mögliche weitere Verbindungen zwischen Desktop-Objekten ausgewählt werden können, werden durch gepunktete Kreise und Linien hervorgehoben.

2 Inbetriebnahme

b. Wählen Sie ein Netzwerk-Objekt als Quellobjekt für die Verbindung aus, indem Sie auf das entsprechende Desktop-Objekt klicken.
c. Wählen Sie ein Internet-Objekt als Zielobjekt für die Verbindung aus, indem Sie auf das entsprechende Desktop-Objekt klicken.

Sie werden automatisch zu Desktop > Desktop-Verbindungen weitergeleitet. Das Bearbeitungsfenster Verbindung öffnet sich.

Alternativ können Sie auf die Schaltfläche in kreisförmigen Menü des Quellobjekts auf dem Desktop klicken und anschließend das Zielobjekt auswählen.

1. Richten Sie eine nach Ihren Bedürfnissen ausgerichtete Firewall-Regel mit HTTP und / oder HTTPS ein:

a. Auf der rechten Seite des Browserfensters erscheint eine Liste der Dienste, auf welche die Firewall-Regel angewendet werden kann. Diese Liste ist in Kategorien unterteilt, die Dienste mit ähnlichen Funktionen zusammenfassen.
Geben Sie in das Eingabefeld Filter HTTP oder HTTPS ein. Bereits während der Eingabe zeigt der Webclient diejenigen Dienste und Dienstgruppen an, die die eingegebenen Zeichen enthalten.

Um HTTP und HTTPS aus der Kategorie Internet hinzuzufügen, klicken Sie jeweils auf ✪.

Die ausgewählten Dienste werden aus der Dienstauswahlliste entfernt und in der Tabelle Regeln angezeigt.

b. Klicken Sie auf Erstellen.

c. Der Dialog Verbindung schließt sich. Die neue Desktop-Verbindung wird zur Liste der verfügbaren Desktop-Verbindungen in der Objektleiste hinzugefügt.

Weitere Informationen finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

2.3.5 Desktopkonfiguration aktivieren

1. Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen. Der Internetzugang über Ihre LANCOM R&S® Unified Firewall ist aktiviert.

3 Benutzeroberfläche

Die Abschnitte dieses Kapitels beschreiben die Elemente der Benutzeroberfläche Ihrer LANCOM R&S ^® Unified Firewall.

Der LANCOM R&S ^® Unified Firewall-Webclient erfordert eine Bildschirmauflösung von mindestens 1024 × 786 Pixeln (XGA).

Wenn JavaScript aktiviert ist, werden die folgenden Browser ab der angegebenen Version unterstützt:

Google Chrome 10
Chromium 10
Mozilla Firefox 12

Elemente des Webclients auf Seite 19 bietet eine Übersicht der Hauptkomponenten des Webclients.

Symbole und Schaltflächen auf Seite 23 erklärt die Bedeutung der Symbole und Schaltflächen, die auf der Benutzeroberfläche und in diesem Handbuch häufig zur Anwendung kommen.

Einstellungen für Firewall-Regeln auf Seite 25 beschreibt, wie Sie eine Firewall-Regel für eine Verbindung zwischen zwei Desktopobjekten einrichten.

Menüreferenz auf Seite 27 gibt die Anordnung der Menüpunkte in der Navigationsleiste auf der linken Seite der Benutzeroberfläche wieder. Informationen zu den verfügbaren Optionen finden Sie im jeweiligen Abschnitt.

3.1 Elemente des Webclients

Der LANCOM R&S ^® Unified Firewall-Webclient hat ein standardmäßig in vier Bereiche unterteiltes Seitenlayout mit einer gemeinsamen Kopfzeile, einer Navigationsleiste links sowie einem Hauptinhaltsbereich (Desktop) und einem Infobereich rechts.

1. Kopfzeile
2. Navigationsbereich
3. Desktop
4. Infobereich

Abbildung 11: LANCOM R&S® Unified Firewall-Webclient

In den folgenden Abschnitten werden die in jedem Bereich angezeigten Informationen beschrieben.

3 Benutzeroberfläche

3.1.1 Kopfzeile

Die Kopfzeile (1) enthält folgende Elemente (von links nach rechts):

Abbildung 12: Kopfzeile des LANCOM R&S® Unified Firewall-Webclients

1. ≡ Schaltfläche zum Ein- und Ausblenden der Navigationsleiste.
2. Rohde & Schwarz ^® Cybersecurity GmbH-Logo.
3. Sprachenmenü, mit dem Sie die Sprache des Webclients auswählen können.
4. Benutzermenü, mit dem Sie die aktuelle Sitzung beenden und zur Loginseite zurückkehren können.
5. Systemmenü, mit dem Sie LANCOM R&S ^® Unified Firewall herunterfahren, neu starten oder auf die Werkseinstellungen zurücksetzen können.
6. Ein Hilfemenü mit Links auf die PDF-Version des LANCOM R&S ^® Unified Firewall Benutzerhandbuchs.
7. Die Zeitangabe bis zum automatischen Logout aus dem Webclient.

Die Kopfzeile zeigt außerdem nicht gespeicherte Konfigurationsanpassungen an, wenn Sie ein Bearbeitungsfenster durch Drücken der [Esc]-Taste schließen. Wenn Sie ein Bearbeitungsfenster durch Klicken der Schaltfläche ✗n der rechten oberen Ecke des Fensters schließen, werden nicht gespeicherte Änderungen nicht angezeigt.

i

Die aktuelle-Version des Benutzerhandbuchs der LANCOM R&S ^® Unified Firewall ist auch auf der Login-Seite verfügbar. Klicken Sie auf den Link Benutzerhandbuch, um auf die Datei zuzugreifen.

Hinweise zum automatischen Logout

Sie werden automatisch nach 10 Minuten Inaktivität ausgeloggt, d. h., wenn keine HTTP-Anfragen an den Server gesendet werden. Alle Aktionen, wie Öffnen eines Dialogs, Speichern von Einstellungen oder aktive Logs, die regelmäßig aktualisiert werden (z. B. das Alarmprotokoll auf Seite 64), veranlassen einen Neustart des Timers. Ausnahmen sind Hintergrundanfragen, durch die kein Neustart des Timers erfolgt.

!

Wenn Sie Einstellungen in einem Dialog ändern, Ihre Änderungen nicht speichern und den Dialog geöffnet lassen, werden Sie automatisch nach 10 Minuten ausgeloggt.

3.1.2 Navigationsbereich

Der Navigationsbereich (2) befindet sich auf der linken Seite des Webclients. Je nach Auswahl in der ersten Leiste wird rechts davon eine zweite Leiste angezeigt. Die Menüeinträge in der ersten Navigationsleiste bieten Zugriff auf die LANCOM R&S® Unified Firewall-Einstellungen. Die Objektleiste rechts davon wird nach Auswahl eines Menüeintrags in der Navigationsleiste angezeigt. Sie dient der Anzeige von Informationen zur aktuellen Desktopkonfiguration.

Beide Leisten enthalten oben ein Filter-Eingabefeld, das Ihnen dabei hilft, bestimmte Menüelemente oder Listeneinträge schneller zu finden. Die Funktion der Eingabefelder beschränkt sich auf die jeweilige Leiste, in der Sie sich befinden. Während Sie Ihren Suchbegriff in eines der Eingabefelder eintippen, grenzt Ihre LANCOM R&S® Unified Firewall die jeweilige Liste auf die Dienste ein, die die eingegebenen Zeichen enthalten. Klicken Sie im Eingabefeld auf ☐ um die Sucheingabe zu entfernen und zur ungefilterten Ansicht der Leiste zurückzukehren.

In der rechten oberen Ecke der Navigationsleiste können Sie mit Klick auf ▷alle Menüs in der Navigationsleiste ausklappen und sie mit Klick auf ▶wieder einklappen. Sie können die Navigationsleiste mit einem Klick auf □der Kopfzeile ausblenden. Weitere Informationen finden Sie unter Kopfzeile auf Seite 20.

Welche Informationen die Objektleiste anzeigt, hängt einerseits davon ab, welches Menüelement Sie in der Navigationsleiste ausgewählt haben und andererseits davon, wie viele Informationen Sie anzeigen lassen möchten. Sie

können weitere Informationen ausklappen, indem Sie auf »klicken, oder die Menge der angezeigten Informationen reduzieren, indem Sie auf «n der rechten oberen Ecke dieses Felds klicken.

Einzelheiten zu den in jeder Ansicht verfügbaren Optionen finden Sie unter Menüreferenz auf Seite 27.

3.1.3 Desktop

Der Desktop (3) nimmt den größten Teil des Bildschirms unter dem Kopfzeilenbereich und rechts vom Navigationsbereich ein. Die hier angezeigten Knoten und Verbindungen hängen davon ab, welches Element in der Navigationsleiste oder auf dem Desktop ausgewählt ist.

graph TD
    A["XYZ"] --> B["Benutzmethylenführung"]
    C["Internet"] --> D["Privacy"]
    E["VIN"] --> D
    F["Internet"] --> D
    G["Standard-Benutzengruppe"] --> B
    H["1"] --> I["2"]
    I --> J["3"]
    J --> K["4"]
    K --> L["5"]

Abbildung 13: Desktop des LANCOM R&S ^® Unified Firewall-Webclients

Auf dem Desktop sehen Sie eine Übersicht Ihres gesamten konfigurierten Netzwerkes. Sie können in diesem Bereich verschiedene Einstellungen bearbeiten oder Details zu einer Konfiguration einsehen.

Eine Symbolleiste oben auf dem Desktop bietet schnellen Zugriff auf häufig verwendete Funktionen (von links nach rechts):

1. Aktivierungsschaltfläche
2. Auswahlwerkzeug, Verbindungswerkzeug
3. Werkzeuge zum Erstellen von Objekten
4. Werkzeuge zum Speichern, Wiederherstellen und Anordnen von Objekten
5. Filter- / Suchwerkzeug

Alle Schaltflächen in der Symbolleiste verwenden Popup-Beschriftungen, wenn Sie den Mauszeiger darüber bewegen, um eine einfache Identifizierung zu ermöglichen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Systemkonfiguration speichern (1)

Wenn sich die Systemkonfiguration ändert, wird die Schaltfläche √ Aktivieren im ersten Abschnitt der Symbolleiste hervorgehoben und fordert Sie auf, Ihre Konfiguration zu ändern. Klicken Sie auf diese Schaltfläche, um auf dem Desktop vorgenommene Konfigurationsänderungen zu speichern und sie auf Ihrer LANCOM R&S® Unified Firewall zu aktivieren.

Desktop-Objekte auswählen oder verbinden (2)

Mit dem Auswahlwerkzeug können Sie alle Aktionen auf dem Desktop ausführen, etwa Objekte verschieben oder bestimmte Funktionen auswählen. Mit dem Verbindungswerkzeug können Sie Verbindungen zwischen zwei Desktop-Objekten anlegen oder bearbeiten. Weitere Informationen finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

Wenn Sie mit der linken Maustaste auf ein Desktop-Objekt klicken, werden je nach Objekttyp verschiedene Schaltflächen in einem kreisförmigen Menü angezeigt. Mit diesen Schaltflächen können Sie die Einstellungen zu einem vorhandenen

3 Benutzeroberfläche

Objekt anpassen und eine Verbindung zwischen zwei vorhandenen Objekten erstellen oder bearbeiten. Außerdem können Sie Objekte, die an ein anderes Objekt angehängt sind, verstecken oder entfernen, Objekte von einer bestimmten Stelle auf dem Desktop loslösen oder ein Objekt vom Desktop entfernen.

Desktop-Objekt erstellen (3)

Um ein Desktop-Objekt zu erstellen, klicken Sie auf die jeweilige Schaltfläche. Es öffnet sich ein Bearbeitungsfenster, in das Sie die für das Objekt erforderlichen Daten eingeben können.

Desktoplayout anpassen (4)

Sie können das Layout des Desktops anpassen, indem Sie Objekte an die gewünschte Stelle ziehen, wo sie dann automatisch angeheftet werden. Sie können das angepasste Layout speichern und wiederherstellen oder die Objekte automatisch anordnen lassen.

Desktop-Objekte suchen (5)

Mit dem Filter-Eingabefeld Tags im letzten Bereich der Symbolleiste können Sie Desktop-Objekte auf der Grundlage vorher zugewiesener Desktop-Tags schnell identifizieren. Klicken Sie in das Eingabefeld, um eine Drop-down-Liste mit den Namen der zuvor konfigurierten Desktop-Tags zu öffnen. Sie können entweder ein Element aus der Liste auswählen, um es in die Filtereingabe zu übernehmen, oder über das Eingabefeld nach einem bestimmten Desktop-Tag suchen. Während Sie Ihre Suche in das Eingabefeld eintippen, zeigt Ihre LANCOM R&S® Unified Firewall nur Elemente der Drop-down-Liste an, die die eingegebenen Zeichen enthalten. Sie können beliebig viele Desktop-Tags in die Filtereingabe übernehmen.

Ihre LANCOM R&S ^® Unified Firewall schränkt die angezeigten Desktop-Objekte anhand der ausgewählten Desktop-Tags ein. Desktopknoten entlang des Pfades vom Firewall-Stammknoten zu einem Knoten, der den ausgewählten Desktop-Tags entspricht, werden immer angezeigt, selbst wenn keines ihrer Tags den Suchkriterien entspricht.

Klicken Sie auf ☑m Eingabefeld, um die Sucheingabe zu löschen und zur ungefilterten Listenansicht zurückzukehren. Weitere Informationen finden Sie unter Desktop-Tags auf Seite 107.

3.1.4 Infobereich

Der Infobereich (4) befindet sich auf der rechten Seite des Desktops.

Abbildung 14: Infobereich des LANCOM R&S ^® Unified Firewall-Webclients

Nach dem Login ist der Infobereich sichtbar und zeigt grundlegende Firewall-Informationen an.

Wählen Sie ein Desktop-Objekt aus, um dessen Informationen im Infobereich anzuzeigen, z. B.:

Beschreibung
Tags
IP-Adressen
Gruppenmitglieder

> Aufgebaute VPN-Verbindungen

Die Menge und Art der angezeigten Informationen ist für die verschiedenen Arten von Desktop-Objekten (Hosts, Internet-Objekte, Benutzer, etc.) unterschiedlich. Dynamische Informationen (z. B. der Status einer VPN-Verbindung) werden periodisch automatisch aktualisiert.

Klicken Sie auf », um den Infobereich zu minimieren. Klicken Sie auf das Info-Icon, um den Infobereich wieder anzuzeigen.

Sollten Einträge im Infobereich mit not available gekennzeichnet sein, verfügt der eingeloggte Nutzer nicht über entsprechende Rechte, diese Informationen einsehen zu können.

3.2 Symbole und Schaltflächen

In diesem Abschnitt werden die gängigen Symbole und Schaltflächen erläutert, die auf der Benutzeroberfläche und im Verlauf dieses Handbuchs verwendet werden.

Wenn Sie den Mauszeiger über die Schaltflächen bewegen, werden zur vereinfachten Identifizierung Pop-up-Beschriftungen angezeigt.

3.3 Einstellungen für Firewall-Regeln

Dieser Abschnitt beschreibt, wie Sie eine Firewall-Regel für eine Verbindung zwischen zwei Desktop-Objekten anlegen.

3.3.1 Einrichten einer Verbindung

Um eine Verbindung zwischen zwei Desktop-Objekten einzurichten, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf die Schaltfläche in der Symbolleiste oben auf dem Desktop.

Die Desktop-Objekte, die für diese Verbindung und mögliche weitere Verbindungen zwischen Desktop-Objekten ausgewählt werden können, werden durch gepunktete Kreise und Linien hervorgehoben.

1. Wählen Sie das Quellobjekt der Verbindung aus, indem Sie auf das entsprechende Desktop-Objekt klicken.

2. Wählen Sie das Zielobjekt für die Verbindung aus, indem Sie auf das entsprechende Desktop-Objekt klicken.

Der Teilbereich Verbindung öffnet sich. Darin werden, sofern zutreffend, bereits bestehende Firewall-Regeln für diese Verbindung angezeigt.

Alternativ können Sie auf die Schaltfläche in kreisförmigen Menü des Quellobjekts auf dem Desktop klicken und anschließend das Zielobjekt auswählen.

3.3.2 Erstellen einer Firewall-Regel

Führen Sie die folgenden Schritte aus, um eine Firewall-Regel zu erstellen:

1. Wählen Sie im Tab Regeln des Bearbeitungsfensters Verbindung mindestens einen Dienst aus, auf den Sie die Firewall-Regel anwenden möchten.

Eine Liste der Dienste, auf die die Firewall-Regel angewendet werden kann, wird in der Leiste auf der rechten Seite des Browserfensters angezeigt. Die Leiste ist in Kategorien von Diensten mit einer jeweils ähnlichen Funktion eingeteilt. Die Kategorien können mit einem Klick auf das entsprechende Symbol ein- und ausgeklappt werden.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Mithilfe des Filter-Eingabefelds oben in der Leiste mit der Diensteauswahlliste können Sie schnell und einfach einen bestimmten Dienst oder eine bestimmte Dienstgruppe finden. Während Sie Ihren Suchbegriff in das Eingabefeld eintippen, zeigt Ihre LANCOM R&S® Unified Firewall nur diejenigen Dienste und Dienstgruppen an, die die eingegebenen Zeichen enthalten. Klicken Sie im Eingabefeld auf 🔒 um die Sucheingabe zu löschen und zur ungefilterten Listenansicht zurückzukehren.

a. Es gibt zwei Möglichkeiten, Dienste zu einer Firewall-Regel hinzuzufügen:

3 Benutzeroberfläche

Um einen einzelnen Dienst hinzuzufügen, klicken Sie auf die Schaltfläche ✪ or dem jeweiligen Dienst in der Leiste mit der Dienstauswahlliste.
Um alle Dienste einer Kategorie gleichzeitig hinzuzufügen, klicken Sie auf die Schaltfläche ✉(Gefilterte Dienste hinzufügen) direkt unter dem Titel der jeweiligen Kategorie.

Die ausgewählten Dienste werden in der Tabelle im Tab Regeln angezeigt.

b. Um die Einstellungen für eine Firewall-Regel zu bearbeiten, klicken sie auf die Schaltfläche (Klicken zum Bearbeiten dieser Regel).

Ein Bearbeitungsfenster für den jeweiligen Dienst öffnet sich.

1. Im Bearbeitungsfenster können Sie die folgenden Informationen einsehen und die folgenden Elemente der Firewall-Regel konfigurieren:

a. Unter Beschreibung geben Sie zusätzliche Informationen zur Firewall-Regel für die interne Verwendung ein.
b. Im Tab Ports / Protokolle können Sie einsehen, welche Ports und Protokolle zur Verwendung für den Dienst festgelegt wurden. Weitere Informationen finden Sie unter Dienste auf Seite 109.

c. Im Tab Zeitsteuerung können Sie die Zeitspanne festlegen, während der die Firewall-Regel aktiv ist. Im Tab stehen die folgenden Optionen zur Verfügung:

Mit den Schiebereglern können Sie bestimmte Zeiten und Wochentage einstellen.
Klicken Sie auf Immer an – die Regel ist immer aktiv.
Klicken Sie auf Immer aus – die Regel ist immer inaktiv.

d. Im Tab zu den Einstellungen unter Erweitert stehen die folgenden Optionen zur Verfügung:

e. Mit den Schaltflächen unten rechts im Bearbeitungsfenster können Sie Ihre Änderungen an einer vorhandenen Regel speichern (OK), die Bearbeitung einer vorhandenen Regel abbrechen (Abbrechen) und Ihre Änderungen verwerfen (Zurücksetzen).

Die konfigurierte Regel wird in der Tabelle im Tab Regeln angezeigt. Um eine Regel aus der Tabelle zu löschen, klicken Sie auf die Schaltfläche ●Klicken zum Löschen dieser Regel) in der letzten Spalte.

1. Weitere Informationen zu den Tabs URL- / Content-Filter und Application Filter finden Sie unter Desktopverbindungen auf Seite 95
2. Mit den Schaltflächen unten rechts im Bearbeitungsfenster können Sie das Bearbeitungsfenster schließen (Schließen), sofern Sie keine Änderungen vorgenommen haben, Ihre Änderungen speichern (Speichern) oder verwerfen (Zurücksetzen).
3. Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

3.4 Menüreferenz

Dieses Referenzkapitel beschreibt die einzelnen Menüelemente in der Navigationsleiste links im Browserfenster. Ihre von LANCOM Systems erworbene Lizenz bestimmt, welche Menüelemente in Ihrer LANCOM R&S ^® Unified Firewall verfügbar sind. Die Funktionen, die in Ihrer LANCOM R&S ^® Unified Firewall-Lizenz nicht enthalten sind, werden in der Navigationsleiste ausgegraut angezeigt.

In den folgenden Abschnitten finden Sie Informationen zu den in jeder Ansicht verfügbaren Optionen.

3.4.1 Firewall

Nutzen Sie die Einstellungen unter Firewall, um LANCOM R&S ^® Unified Firewall für Ihre lokale Umgebung anzupassen. Außerdem können Sie hier Zugriffsmöglichkeiten auf Ihre LANCOM R&S ^® Unified Firewall aus externen Netzwerken oder dem Internet einrichten und Ihre LANCOM R&S ^® Unified Firewall mit einem Command Center Server verbinden.

Administratoren

Legen Sie mithilfe der Einstellungen unter Administratoren Administratoren und deren Zugriff auf bestimmte Dienste fest.

Weiterführende Informationen zu Administratoren finden Sie in den folgenden Abschnitten.

Übersicht Administratoren

Navigieren Sie zu Firewall > Administratoren, um die Liste der derzeit im System angelegten Administratoren in der Objektleiste anzuzeigen.

Mit der Schaltfläche +ber der Liste können Sie neue Administratoren hinzufügen.

In der erweiterten Ansicht zeigt die Spalte Name den Namen des Administrators an. Die Spalte Admin zeigt einen der folgenden Statusindikatoren an:

Grün – Der Administrator hat Zugriff auf den Webclient.
Orange – Der Administrator hat keinen Zugriff auf den Webclient.

Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für einen vorhandenen Administrator einsehen und bearbeiten. Außerdem können Sie mithilfe der Schaltflächen einen neuen Administrator ausgehend von einer Kopie eines vorhandenen Administrators anlegen oder einen Administrator aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23

Einstellungen zu Administratoren

Unter Firewall > Administratoren können Sie einen neuen Administrator hinzufügen, oder einen vorhandenen Administrator bearbeiten.

Der Standardbenutzer admin kann nicht gelöscht oder umbenannt werden. Außerdem können die Zugriffsrechte dieses Benutzers auf den Webclient nicht widerrufen werden.

Im Bearbeitungsfenster Administrator können Sie die folgenden Elemente konfigurieren:

Im Tab Client-Zugang :

Im Tab Webclient-Rechte können Sie festlegen, welche Aktionen der Administrator in bestimmten Bereichen des Webclients ausführen darf.

Treffen Sie eine Auswahl aus den folgenden Berechtigungen, indem Sie die entsprechende Optionsschaltfläche auswählen.

Verboten – Der Administrator hat keinen Zugriff auf den angegebenen Bereich des Webclients.
Lesen / Öffnen – Der Administrator kann die Elemente im angegebenen Bereich des Webclients öffnen und lesen, kann aber keine Änderungen daran vornehmen.
Schreiben / Ausführen – Der Administrator hat vollen Zugriff auf die Elemente im angegebenen Bereich des Webclients.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen Administrator hinzufügen oder einen bestehenden bearbeiten. Klicken Sie für einen neu konfigurierten Administrator auf Erstellen, um ihn zur

Liste der verfügbaren Administratoren hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Administrators klicken Sie auf Speichern, um den neu konfigurierten Administrator zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Allgemeine Einstellungen

Navigieren Sie zu Firewall > Allgemeine Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie einige zentrale Einstellungen für Ihre LANCOM R&S ^® Unified Firewall vornehmen können.

Im Bearbeitungsfenster Allgemeine Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Backup

Ihre LANCOM R&S ^® Unified Firewall speichert Einstellungen in Konfigurationsdateien, die jedes Mal automatisch erstellt werden, wenn Einstellungen über den Webclient angepasst werden. Mithilfe der Optionen unter Backup können Sie regelmäßige Backups der aktuellen Systemkonfiguration konfigurieren, manuell ein Backup der aktuellen Systemkonfiguration erstellen und vorherige Konfigurationen wiederherstellen.

! Backups können erstellt werden, sobald eine Lizenz importiert wurde (also nicht während der 30-tägigen Probezeit).

Weiterführende Informationen zu Backups finden Sie in den folgenden Abschnitten.

Einstellungen für automatische Backups

Mit den Einstellungen unter Auto-Backup können Sie eine Verbindung zu einem entfernten Backup-Server erstellen, auf dem Sie automatisch erstellte Backups speichern möchten. Außerdem können Sie in diesem Teilbereich die Intervalle für das automatische Backup der Firewall-Konfiguration festlegen. Die Anzahl und Intervalle der Backup-Erstellung sind unbegrenzt.

Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die Zeitzone ihrer LANCOM R&S® Unified Firewall wie unter Zeiteinstellungen auf Seite 45 beschrieben festgelegt haben. Andernfalls werden die Backups nach der Zeitzone „Europa – Berlin (CET/UTC +1)“ anstatt der von Ihnen in den Einstellungen für automatische Backups festgelegten Zeitzone erstellt.

Navigieren Sie zu Firewall > Backup > Auto-Backup, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Einstellungen für automatische Backups anzeigen und anpassen können.

Im Teilbereich unter Auto-Backup können Sie die folgenden Elemente konfigurieren:

Um die Verbindung zum konfigurierten Backup-Server zu überprüfen, klicken Sie auf die Schaltfläche Server-Einstellungen testen unten links im Bearbeitungsfenster. Das System versucht daraufhin, eine Testdatei (file name_test) auf dem Backup-Server zu speichern. War dieser Test erfolgreich, wird eine Textdatei auf dem Server gespeichert und ein Pop-up-Fenster mit einer Erfolgsmeldung erscheint. Nach dem Test können Sie diese Textdatei löschen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Exportieren eines Backups

Mit den Einstellungen unter Exportieren können Sie ein manuelles Backup der aktuellen Firewall-Konfiguration erstellen und exportieren. Nutzen Sie diese Funktion zum Beispiel, um eine Konfiguration nach einer Systemaktualisierung neu zu laden.

Navigieren Sie zu Firewall > Backup > Export, um ein Bearbeitungsfenster zu öffnen, in dem Sie ein manuelles Backup im GP-Dateiformat erstellen und auf ihren Rechner übertragen können, sodass Sie die gespeicherte Konfiguration bei Bedarf zu einem späteren Zeitpunkt wiederherstellen können.

Im Bearbeitungsfenster Exportieren können Sie die folgenden Elemente konfigurieren:

Klicken Sie auf Exportieren, wenn Sie die Backup-Datei exportieren möchten. Klicken Sie ansonsten auf Abbrechen, um das Bearbeitungsfenster zu schließen.

Importieren eines Backups

Mit LANCOM R&S ^® Unified Firewall können Sie eine zuvor heruntergeladene Backup-Datei hochladen, um die Systemkonfiguration wiederherzustellen (z. B. nach einer Neuinstallation).

Navigieren Sie zu Firewall > Backup > Import, um eine Firewall-Konfiguration aus einer zuvor erstellten Backup-Datei aufzurufen und zu aktivieren.

Um eine automatisch erstellte Backup-Datei hochzuladen, die auf dem Backup-Server gespeichert ist, müssen Sie die Backup-Datei zunächst vom Backup-Server auf Ihren lokalen Datenträger übertragen.

Im Bearbeitungsfenster Importieren können Sie die folgenden Elemente konfigurieren:

Klicken Sie auf Importieren, wenn Sie die Backup-Datei importieren möchten. Klicken Sie ansonsten auf Abbrechen, um das Bearbeitungsfenster zu schließen.

War der Upload erfolgreich, erscheint eine Erfolgsmeldung. Bestätigen Sie den Neustart des Systems, indem Sie auf Neustarten klicken. Das System wird neu gestartet, Sie werden ausgeloggt und die Login-Seite Ihrer LANCOM R&S ^® Unified Firewall öffnet sich. Geben Sie Ihre Login-Daten ein und klicken Sie auf Anmelden. Der Webclient erscheint.

Command Center

Mit dem LANCOM R&S ^® UF Command Center können Sie mehrere LANCOM R&S ^® Unified Firewall-Geräte in einer Anwendung administrieren.

Navigieren Sie zu Firewall > Command-Center, um ein Bearbeitungsfenster zu öffnen, in dem Sie Ihre LANCOM R&S ^® Unified Firewall über eine VPN-Verbindung mit einem LANCOM R&S ^® UF Command Center-Server verbinden können.

Um die VPN-Verbindung herzustellen, benötigen Sie VPN-Zertifikate für alle Geräte, die von derselben Zertifizierungsstelle (CA) signiert wurden. Es empfiehlt sich daher, die VPN-Zertifizierungsstelle und die VPN-Zertifikate an einem Standort zu verwalten und die VPN-Zertifikate von dort an alle weiteren Standorte zu exportieren.

Weitere Informationen zur Erstellung, zum Exportieren und zum Importieren von Zertifikaten finden Sie unter Zertifikate auf Seite 152.

Im Bearbeitungsfenster Command-Center können Sie die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

E-Mail-Einstellungen

Die E-Mail-Einstellungen sind die Voraussetzung für die Nutzung des Benachrichtigungs-Systems. Über dieses können Sie entweder sofort oder regelmäßig in aggregierter Form per E-Mail Nachrichten über bestimmte Benachrichtigungstypen erhalten. Näheres hierzu unter Benachrichtigungs-Einstellungen auf Seite 60.

Navigieren Sie zu Firewall > E-Mail-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die entsprechenden Daten für Absender und Verschlüsselung der Nachrichten konfigurieren können. Optional sind Einstellungen für einen Relay-Server möglich, wenn die E-Mails nicht direkt versendet werden können.

Im Bearbeitungsfenster E-Mail-Einstellungen können Sie die folgenden Elemente konfigurieren:

Im Tab Relay können Sie Vorgaben für die folgenden Elemente konfigurieren:

Um die vorgenommenen Einstellungen zu testen, können Sie über die Schaltfläche Test-Mail versenden eine E-Mail versenden. Es wird ein Dialog geöffnet, in dem Sie eine Empfänger-Adresse angeben können und dann über die Schaltfläche Versenden diese abschicken.

Beachten Sie, dass, falls ein Relay Server verwendet wird, die darauffolgende Status-Nachricht nur Auskunft darüber gibt, ob die E-Mail vom Relay Server akzeptiert wurde. Kann der Relay Server die Nachricht nicht zustellen, ist das nur auf dem Relay Server zu sehen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Hochverfügbarkeit

Mit den Einstellungen unter Firewall > Hochverfügbarkeit können Sie zwei unabhängige LANCOM R&S® Unified Firewall-Systeme in einer Master-/ Slave-Konfiguration über ein dediziertes Interface verbinden. Das sogenannte HA-Cluster

3 Benutzeroberfläche

bietet eine Ausfallsicherungsfunktion. Falls das Master-Gerät ausfällt, übernimmt das Standby-Gerät (Slave) dessen Aufgaben.

Die Master- und Slave-Systeme werden über ein Cluster-Interconnect-Kabel verbunden, über das sie miteinander kommunizieren und den Status des verbundenen Systems überwachen können. Die Konfiguration des Slave-Geräts wird mit der des Master-Geräts synchronisiert. Auf dem Slave-Gerät werden bestimmte Regeln angewandt, die Netzwerk-Kommunikation ausschließlich mit dem Master-Gerät erlauben. Falls das Slave-System kein „Heartbeat“-Signal vom Master empfängt, übernimmt es die Rolle des Master-Systems (z. B. im Fall von Stromausfällen oder Hardwareausfällen / -abschaltung).

Im Fall einer solchen Übernahme durch das Slave-Gerät entfernt dieses die spezifischen Blockaden und sendet eine Gratuitous-ARP-Anfrage. Der mit der LANCOM R&S® Unified Firewall verbundene Switch muss den ARP-Befehl-erlauben. Möglicherweise dauert es einige Sekunden, bis das Client-Gerät im Netzwerk seinen ARP-Cache aktualisiert hat und der neue Master erreichbar ist.

Die folgende Abbildung zeigt eine typische Netzwerkumgebung mit einer redundanten Master-/ Slave-Konfiguration für die Hochverfügbarkeit.

graph TD
    WAN["LAN"] -->|RIVER| SWITCH1["Switch"]
    SWITCH1 -->|RIVER| MASTER["MASTER"]
    SWITCH1 -->|RIVER| SLAVE["SLAVE"]
    SWITCH1 -->|RIVER| LAN1["LAN 1"]
    SWITCH1 -->|RIVER| LAN2["LAN 2"]
    SWITCH1 -->|RIVER| LAN1b["LAN 1"]
    SWITCH1 -->|RIVER| LAN2b["LAN 2"]
    SWITCH1 -->|RIVER| LAN1c["LAN 1"]
    SWITCH1 -->|RIVER| LAN2c["LAN 2"]
    SWITCH1 -->|RIVER| MASTER
    style WAN fill:#f9f,stroke:#333
    style MASTER fill:#ccf,stroke:#333
    style SLAVE fill:#ccf,stroke:#333
    style LAN1 fill:#dfd,stroke:#333
    style LAN2 fill:#dfd,stroke:#333
    style LAN1b fill:#dfd,stroke:#333
    style LAN2b fill:#dfd,stroke:#333

Abbildung 15: Beispiel-Netzwerk für Hochverfügbarkeit

Hochverfügbarkeit ist nicht für die Produktmodelle LANCOM R&S ^® Unified Firewall UF-50 und UF-100 verfügbar.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu Hochverfügbarkeit.

Einstellungen für Hochverfügbarkeit

Mit den Einstellungen unter Hochverfügbarkeit können Sie die Verbindungsparameter für die Master-/Slave-Konfiguration anpassen.

Für die Hochverfügbarkeit sind zwei identische Systeme des gleichen Hardwaretyps (z. B. UF-200 mit UF-200 oder UF-500 mit UF-500) und mit der gleichen Softwareversion erforderlich. Außerdem benötigen Sie ein freies Netzwerk-Interface (NIC) auf beiden Systemen, das von keinem anderen Interface (z. B. VLAN oder Bridge) und keiner anderen Netzwerkverbindung verwendet wird. Weitere Informationen finden Sie unter Interfaces auf Seite 84 und

Netzwerkverbindungen auf Seite 73. Für die Cluster-Verbindung muss in beiden Systemen das gleiche NIC verwendet werden.

Das Master-System synchronisiert seine anfängliche Konfiguration und alle späteren Konfigurationsänderungen auf das Slave-System, um sicherzustellen, dass bei einem Ausfall die gleiche Konfiguration angewendet wird.

Hochverfügbarkeit kann nur aktiviert werden, wenn keine Prozesse (wie z. B. Aktualisierungen oder Backups) im Hintergrund laufen.

Navigieren Sie zu Firewall > Hochverfügbarkeit, um die Hochverfügbarkeitsfunktion einzurichten.

Im Bearbeitungsfenster Hochverfügbarkeit können Sie die folgenden Elemente konfigurieren:

3 Benutzeroberfläche

Lokale IP und Remote-IP müssen sich im selben Subnetz befinden. HA-Cluster-Kommunikation über geroutete Netzwerke wird nicht unterstützt.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Bevor Sie das Slave-System mithilfe des Cluster-Verbindungskabels mit dem Master verbinden und Hochverfügbarkeit im Slave-System konfigurieren, muss die Konfiguration des Master-Systems vollständig und aktiviert sein.

Verbinden Sie das Slave-System mit den gleichen „WAN“ und „LAN“ Netzwerkkomponenten wie das Master-System (siehe Abbildung 15: Beispiel-Netzwerk für Hochverfügbarkeit auf Seite 34).

Nur das Master-System kann über den Webclient erreicht und konfiguriert werden.

Wenn Sie die Konfiguration der Hochverfügbarkeit anpassen möchten (zum Beispiel, um das HA-Interface zu ändern), deaktivieren Sie zunächst die Hochverfügbarkeit und nehmen Sie daraufhin Ihre Konfigurationsänderungen vor. Aktivieren Sie die Hochverfügbarkeit erneut mit der neuen Konfiguration.

Um die Firewalls mit dem LANCOM R&S ^® UF Command Center verwalten zu können, ist es nicht notwendig, beide Firewalls separat zu konfigurieren. Bei aktivierter Hochverfügbarkeit werden die Einstellungen des LANCOM R&S ^® UF Command Center über den Slave-Knoten synchronisiert, sodass das LANCOM R&S ^® UF Command Center nur einmal konfiguriert werden muss. Weitere Informationen finden Sie unter Command Center auf Seite 32.

Damit die Hochverfügbarkeitsfunktion zuverlässig funktioniert, müssen die Zeiteinstellungen beider Firewalls synchron sein. Sobald Sie die Hochverfügbarkeitsfunktion aktivieren, wird die Zeiteinstellung automatisch wie folgt eingerichtet:

1. NTP-Client und -Server werden auf beiden Firewalls aktiviert.
2. Die Cluster-Link-IPs werden zu beiden Knoten der NTP-Server-Liste hinzugefügt.

Weitere Informationen dazu finden Sie unter Zeiteinstellungen auf Seite 45.

Um das Slave-System aus der Hochverfügbarkeitskonfiguration zu entfernen und es als eigenständiges System zu betreiben, klicken Sie den Schiebeschalter, um die Hochverfügbarkeitsfunktion zu deaktivieren. Damit werden die Konfigurationseinstellungen des Slave-Systems und die IP-Adressen der Netzwerk-Interfaces auf Werkseinstellungen zurückgesetzt.

Möglicherweise stehen die Standard-IP-Adressen des Slave nach Zurücksetzen auf Werksteinstellungen mit den Master-IP-Adressen im Konflikt. Weitere Informationen finden Sie unter Inbetriebnahme auf Seite 7. Kontaktieren Sie in diesem Fall den Support, um die Master-Einstellungen entsprechend rekonfigurieren zu lassen, bevor Sie die Hochverfügbarkeitsfunktion deaktivieren.

Arbeitsweise der Hochverfügbarkeitsfunktion

In diesem Kapitel erfahren Sie, wie Sie Hochverfügbarkeit für Ihre LANCOM R&S ^® Unified Firewall einrichten und bedienen.

Initiale Einrichtung

Zur Verwendung der Hochverfügbarkeitsfunktion benötigen Sie eine dedizierte Cluster-Verbindung für die Kommunikation zwischen zwei Firewalls. Diese Verbindung ist für die korrekte Arbeitsweise der Hochverfügbarkeit essentiell. Verwenden Sie deshalb ein redundantes Interface, z. B. ein gebündeltes Interface, das durch Link Aggregation bereitgestellt wird.

! Folgende Interfaces sind als Cluster-Verbindung nicht verwendbar: VLAN, WLAN, PPP, Bridge-Interface.

Verwenden Sie einen Switch, um die Cluster-Verbindung aufzuteilen und somit das Master-System und das Slave-System über SNMP nahtlos überwachen zu können.

Synchronisierung

In diesem Kapitel erhalten Sie Informationen über die Synchronisierung des Master- und Slave-Systems im Rahmen der HA-Konfiguration, des Connection Tracking, der Protokolle und Statistiken sowie Einschränkungen bei der Synchronisierung.

Konfiguration

Alle Konfigurationsänderungen werden mit dem Slave-System synchronisiert. Während des Synchronisierungs- und Aktivierungsprozesses wird die Hochverfügbarkeitsfunktion als Nicht synchronisiert angezeigt. Ein Rollenwechsel während der Synchronisierung kann zu Verlust von Daten oder Konfigurationsänderungen führen.

Die Konfigurationsänderungen werden mit einer Verzögerung von 15 Sekunden synchronisiert, um unnötige Aktivierungen im Slave-System zu vermeiden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um eine vollständige Synchronisierung zu starten.

Connection Tracking

Verbindungsbasierte Protokolle, wie TCP, werden in der Firewall getrackt. Die Tracking-Tabellen werden automatisch mit dem Slave-System synchronisiert. Dadurch bleiben die Verbindungen auch nach einem Rollenwechsel erhalten, z. B. während eines Downloadvorgangs.

Protokolle und Statistiken

Ihre LANCOM R&S ^® Unified Firewall synchronisiert die Protokoll- und Statistikdatenbanken zwischen dem Master- und Slave-System. Die Protokolle des Slave-Systems werden nicht gespeichert, da auf die Slave-Datenbank nur Leserechte bestehen.

Einschränkungen

Die UTM-Features speichern den Status aller Verbindungen, die die Firewall passieren.

Beispiel: Die DPI-Engine speichert Metadaten von bereits analysierten Paketen, bis die Verbindung endet.

Ihre LANCOM R&S ^® Unified Firewall synchronisiert diesen Verbindungsstatus nicht, speichert diesen aber im Speicher des Master-Systems. Nach einem Rollenwechsel werden alle Verbindungen, die von den UTM-Systemen analysiert wurden, unterbrochen.

Beispiel: Bei der DPI-Engine führt der Verlust der Metadaten dazu, dass neue Pakete zu einer alten Verbindung als unbekannt abgelehnt werden.

Rollenwechsel

Für die Aktiv-Passiv-Hochverfügbarkeitsfunktion bietet die LANCOM R&S ^® Unified Firewall-Lösung die folgenden Rollen:

Master-System

Das Master-System verarbeitet aktiv den Netzwerkverkehr. Der Master ist außerdem verantwortlich für die Weitergabe aller Konfigurations- und Statusänderungen an den Slave, sodass beide Systeme synchron bleiben.

Slave-System

Das Slave-System ist ein passives System und fungiert als sofort einsetzbarer Ersatz, um bei Ausfall des Master dessen Aufgaben übernehmen zu können. Der Slave erkennt Konfigurations- und Statusänderungen, wendet diese an und aktiviert sie.

Sobald die Firewall fehlerhaft arbeitet, z. B. aufgrund von Hardware- oder Kernelfehlern, stellt die Hochverfügbarkeitsfunktion eine reibungslose Übernahme der Funktionen durch den Slave sicher. Damit werden Netzwerkausfälle verhindert. Der Übergang wird durch Senden von Gratuitous-ARP-Paketen an alle Hosts in jeder Broadcast-Domäne der Firewall ermöglicht. Diese Hosts lernen, dass die IP-Adressen ab sofort durch den neuen Master beantwortet werden.

3 Benutzeroberfläche

Die Verwendung der Hochverfügbarkeitsfunktion ist sinnvoll, wenn Sie Ihre Firewalls mit neuerer Hardware ohne Ausfallzeiten ausstatten möchten, z. B. mit Netzwerkmodulen oder SSD-Festplatten.

Lizenzierung

Ihre LANCOM R&S ^® Unified Firewall-Geräte müssen mit einer digitalen Lizenz für jedes Gerät lizenziert werden. Falls Sie zwei LANCOM R&S ^® Unified Firewall-Geräte erworben haben, um diese in einer Hochverfügbarkeitsumgebung zu verwenden, erhalten Sie nur eine Lizenz. Beide Firewalls müssen bereits während der Lizenzierung als Hochverfügbarkeits-Cluster konfiguriert und in Betrieb genommen werden. Andernfalls kann die Firewall die Lizenz ablehnen.

Update

Die Installation eines Updates kann in einer Hochverfügbarkeitsumgebung mit hoher Zuverlässigkeit und ohne Ausfallzeiten durchgeführt werden, auch wenn das Update fehlschlägt.

Erstellen Sie eine Sicherung Ihrer Konfiguration, bevor Sie ein Update durchführen. Weitere Informationen zu Updates finden Sie unter Update-Einstellungen auf Seite 46.

Der Master steuert den Updatevorgang automatisch wie folgt:

1. Downloaden des Updates oder Upgrades.

Dieser Schritt wird übersprungen, falls Sie das Update oder Upgrade bereits heruntergeladen haben, oder falls Sie das Firmware-Update manuell auf der Firewall installiert haben, z. B. in einer Offline-Umgebung.

1. Synchronisieren des Updates oder Upgrades mit dem Slave-System über die Cluster-Verbindung.

2. Installation auf dem Slave-System.

Der Master initiiert die Installation des Updates oder Upgrades auf dem Slave-System. Im Fehlerfall arbeitet der Master wie gewohnt weiter, und der Updatevorgang wird abgebrochen. Kontaktieren Sie in diesem Fall den Support, da ab diesem Zeitpunkt Ausfallzeiten möglich sind.

1. Installation auf dem Slave-System

Nach der Installation des Updates auf dem Slave wird es auf dem Master-System installiert.

Automatische Updates sind bei aktivierter Hochverfügbarkeitsfunktion nicht erlaubt, um Datenverlust oder Netzwerkausfall zu vermeiden, da nach einer fehlerhaften Updateinstallation ein erfolgreicher Rollenwechsel nicht gewährleistet werden kann.

Wenn beide Systeme nicht synchronisiert sind, können Updates nicht gestartet werden.

Update mit Neustart

Die meisten Updates erfordern einen Neustart nach der Installation. Ein Neustart in einer Hochverfügbarkeitsumgebung steuert einen Rollenwechsel an. Wir empfehlen deshalb die Betreuung des Updates durch einen Administrator.

Der Master steuert den Updatevorgang mit Neustart wie folgt:

1. Downloaden des Updates.
2. Synchronisieren des Updates mit dem Slave-System über die Cluster-Verbindung.
3. Installation auf dem Slave-System.
4. Neustart des Slave.

Der Slave startet sich automatisch nach erfolgreicher Installation neu.

1. Warten auf Bestätigung durch den Benutzer.

Der Webclient fordert den Administrator auf, den Updatevorgang fortzusetzen. Fehler, die vor diesem Schritt auftreten, können behoben werden. Wenden Sie sich an den Support, falls Sie hierzu Unterstützung benötigen.

1. Installation auf dem Slave-System.

2. Neustart des Masters.

Der Master startet sich automatisch nach erfolgreicher Installation neu. Der Rollenwechsel erfolgt bei Neustart.

Upgrade

Um ein Upgrade zu installieren, startet sich Ihre LANCOM R&S ^® Unified Firewall neu. Der Neustart steuert die Upgrade-Installation an, durch die das System mit der neuen Version neu aufgesetzt wird. Auch bei einem Upgrade wird ein Rollenwechsel angesteuert. Wir empfehlen deshalb die Betreuung des Upgradevorgangs durch den Administrator.

Der Master steuert den Upgradevorgang wie folgt:

1. Downloaden des Updates oder Upgrades.
2. Synchronisieren des Updates oder Upgrades mit dem Slave-System über die Cluster-Verbindung.
3. Installation auf dem Slave-System.
4. Upgrade des Slave-Systems.

Das Slave-System startet sich neu und startet die Upgrade-Installation automatisch.

1. Warten auf Bestätigung durch den Benutzer.

Der Webclient fordert den Administrator auf, den Updatevorgang fortzusetzen. Fehler, die vor diesem Schritt beim Slave-System auftreten, können behoben werden. Wenden Sie sich an den Support, falls Sie hierzu Unterstützung benötigen.

1. Installation auf dem Master-System.

2. Upgrade des Master-Systems.

Der Master startet sich automatisch nach erfolgreicher Installation neu und startet die Upgrade-Installation automatisch. Der Rollenwechsel erfolgt mit dem Neustart.

Synchronisierung

Vor der Updateinstallation deaktiviert Ihre LANCOM R&S ^® Unified Firewall die Synchronisierung, um die Konfiguration des Slave-Systems nach Installation einer neuen Version abzusichern. Alle Änderungen, die Sie nach Beginn der Update-Installation vorgenommen haben, werden erst nach erfolgreichem Update gespeichert.

Während des Upgrades synchronisiert Ihre LANCOM R&S® Unified Firewall die Protokolle und Statistiken von der alten zur neuen Version.

Monitoring

Falls sich ein Gerät offline schaltet und sich nicht selbständig wieder verbinden kann, z. B. aufgrund von Hardwareproblemen, muss der Administrator schnellstmöglich reagieren und das Problem beheben oder das fehlerhafte Gerät ersetzen. Ein Cluster, der nicht korrekt arbeitet, kann Ausfallzeiten nicht vermeiden. Deshalb ist es notwendig, die Firewalls bei aktivierter Hochverfügbarkeitsfunktion zu überwachen. Dies kann folgendermaßen erfolgen:

Webclient

Sie können die Hochverfügbarkeitsfunktion im Infobereich und im Hochverfügbarkeitsmenü (siehe Hochverfügbarkeit auf Seite 33) überwachen. Welche Firewall aktuell als Master konfiguriert ist, entnehmen Sie aus der lokalen IP-Adresse.

SNMP

SNMP ist der Standard für das Monitoring der Firewall. Informationen zur Konfiguration der Firewall und Hinweise zum Download der notwendigen MIB-Dateien entnehmen Sie SNMP-Einstellungen auf Seite 68. SNMP-Anfragen an die Firewall helfen Ihnen, die aktive Firewall zu identifizieren, indem Sie die IP-Adresse der Cluster-Verbindung ablesen.

3 Benutzeroberfläche

Die Überwachung des Slave-Knotens kann nur über die Cluster-Verbindung erfolgen. Um auf diese Schnittstelle zugreifen zu können, verwenden Sie einen Switch, wie in Initiale Einrichtung auf Seite 36 beschrieben.

Remote Syslog-Server

Sie können einen entfernten Syslog-Server verwenden, um Hochverfügbarkeitsereignisse zu überwachen, da Clustermeldungen in den Syslog-Protokollen enthalten sind. Rollenwechsel werden klar protokolliert. Die IP-Adresse des Masters können Sie ebenfalls aus den Protokollen entnehmen.

Die Protokolle des Slave-Knotens werden nicht an den entfernten Syslog-Server gesendet. Die Protokolle des Masterknotens sind ausreichend, um die wichtigsten Informationen zu erhalten.

Command Center

Verwenden Sie das LANCOM R&S ^® UF Command Center, um den Hochverfügbarkeitsstatus mehrerer Firewalls zu überwachen, sowie Lizenzstatus und Hardwareressourcen zu prüfen.

Lizenz

Die genauen Funktionen Ihrer LANCOM R&S ^® Unified Firewall Software sind abhängig von der Lizenz, die Sie von Ihrem Lieferanten erworben haben.

Folgende Features sind einzeln mit der erworbenen Lizenzdatei lizenzierbar:

Antispam (UTM-Lizenz)
Antivirus (UTM-Lizenz)
Application-Filter
Content-Filter
IDS/IPS (UTM-Lizenz)
WLAN

Navigieren Sie zu Firewall > Lizenz, um den Lizenzmanager zu öffnen, mithilfe dessen Sie die Gültigkeitsdauer Ihrer LANCOM R&S ^® Unified Firewall-Lizenz und zusätzliche Funktionslizenzen einsehen oder neue Lizenzen hochladen können.

Beim ersten Start nach der Lieferung oder nach einer Neuinstallation läuft die LANCOM R&S® Unified Firewall für 30 Tage als Testversion. Während des Testzeitraums können Sie kein Backup erstellen. Nach Ablauf des Testzeitraums bleibt die Firewall weiterhin mit Ihrer Konfiguration erhalten. Die UTM-Features werden deaktiviert und Sie können keine Änderungen mehr speichern.

Das System prüft in regelmäßigen Abständen die Ablaufdaten der Lizenzen in der Lizenzdatei. Läuft eine Lizenz ab oder endet der Testzeitraum, werden alle lizenzierbaren Funktionen deaktiviert, bis Sie eine neue Lizenz über den Webclient hochladen. Nach Ablauf der Lizenz wird Web- und E-Mail-Verkehr blockiert oder fortan ungefiltert durch die LANCOM R&S ^® Unified Firewall geleitet. Im ersten Fall sehen Sie sofort, daß Sie eine neue Lizenz herunterladen müssen, wenn Ihre aktuell verwendeten Lizenzdaten ausgelaufen sind. Wenn Sie das System nach Lizenzablauf in einem unsicheren Modus betreiben, werden Sie nur auf der Benutzeroberfläche der LANCOM R&S ^® Unified Firewall benachrichtigt. Sie können dieses im Lizenzmanager konfigurieren:

End-Of-License-Verhalten

Web- und Mailverkehr

• Webzugriffe auf eine Fehlerseite umleiter. E-Mails blockieren, falls der Mail-Proxy aktiv ist.
  Unsicheren Web- und Mailverkehr erlauben

Abbildung 16: Konfiguration des End-Of-License-Verhaltens

Unabhängig vom konfigurierten End-of-License-Verhalten werden Funktionen in der Benutzeroberfläche stets deaktiviert, wenn die Hauptlizenz abgelaufen ist.

Nach Ablauf einer Featurelizenz wird das entsprechende Feature deaktiviert. Der Einstellungsdialog für dieses Feature kann weiterhin geöffnet werden. Im Dialog wird angezeigt, dass die Lizenz abgelaufen ist. Falls Sie versuchen, Änderungen vorzunehmen, erscheint eine Fehlermeldung.

Die Lizenzinformationen im Infobereich des Webclients erscheinen in roter Schrift, sobald der Zeitraum bis zum Ablauf der Lizenz weniger als 30 Tage beträgt.

Für eine nichtlizenzierte LANCOM R&S ^® Unified Firewall wird im Infobereich eine temporäre Seriennummer angezeigt. Diese wird nach Erwerb einer Lizenz durch eine gültige Lizenznummer ersetzt.

Falls Sie die LANCOM R&S ^® Unified Firewall auf einer virtuellen Maschine installiert haben, wird die UUID der virtuellen Maschine im Infobereich angezeigt.

Unter Lizenz-Upload können Sie eine neue Lizenz für Ihre LANCOM R&S ^® Unified Firewall-Software hochladen. Gehen Sie dazu wie folgt vor:

1. Klicken Sie neben dem Datei auswählen-Eingabefeld auf Lizenzdatei.

Die Suchfunktion des lokalen Datenträgers öffnet sich.

1. Wählen Sie eine Lizenzdatei im GPLF- oder LIC-Format aus.

Die neue Lizenz muss der Versionsnummer der LANCOM R&S ^® Unified Firewall-Software und der Hardware entsprechen.

1. Klicken Sie auf Öffnen.

Die Suchfunktion des lokalen Datenträgers schließt sich.

1. Um die Lizenzdatei hochzuladen, klicken Sie auf Speichern.

Die Lizenz wird hochgeladen. War der Upload erfolgreich, werden alle Lizenzen und die zugehörigen Informationen automatisch auf Ihre LANCOM R&S ^® Unified Firewall übertragen und eine Erfolgsmeldung erscheint.

1. Bestätigen Sie, dass Sie sich ausloggen möchten, indem Sie auf OK klicken.

Sie werden ausgeloggt. Die Login-Seite der Firewall wird geöffnet.

1. Geben Sie Ihre Login-Daten ein.

2. Klicken Sie auf Anmelden.

Der Webclient erscheint.

Die hochgeladene Lizenz können Sie auch wieder herunterladen. Dazu einfach die weiter oben neben Download als Link angezeigte Lizenzdatei anklicken, sodass der Download der Datei startet.

Im Tab Details können Sie weiterführende Lizenzinformationen Ihrer LANCOM R&S ^® Unified Firewall-Software einsehen, z. B. Informationen zu den UTM-Lizenzen.

LANCOM Management Cloud-Einstellungen

Hier finden Sie die Einstellungen für die Konfiguration und das Monitoring Ihres Gerätes durch die LANCOM Management Cloud (LMC).

Navigieren Sie zu Firewall > LMC-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Einstellungen für die LMC anzeigen und anpassen können.

Im Bearbeitungsfenster LMC-Einstellungen können Sie die folgenden Elemente konfigurieren:

Zugriff auf die Firewall

Mit den Einstellungen unter Firewall-Zugriff können Sie den Zugriff auf Ihre LANCOM R&S ^® Unified Firewall aus externen Netzwerken oder dem Internet regeln. Außerdem können Sie festlegen, wie Ihre LANCOM R&S ^® Unified Firewall beispielsweise auf eine Ping-Anforderung reagieren soll.

Die Einstellungen unter Firewall-Zugriff gelten nur für den externen Zugriff auf die LANCOM R&S® Unified Firewall für festgelegte Benutzer. Der Zugriff auf die LANCOM R&S® Unified Firewall aus dem internen Netzwerk ist immer möglich.

Navigieren Sie zu Firewall > Firewall-Zugriff, um festzulegen, ob und wie der Zugriff auf die LANCOM R&S® Unified Firewall aus externen Netzwerken erlaubt wird.

Weiterführende Informationen zu den Einstellungen unter Firewall-Zugriff finden Sie in den folgenden Abschnitten.

Ping-Einstellungen

Mit den Ping-Einstellungen können Sie festlegen, wie Ihre LANCOM R&S ^® Unified Firewall mit ICMP-Echoanfragen (Pings) an die Firewall aus dem internen Netzwerk und dem Internet umgeht.

Navigieren Sie zu Firewall > Firewall-Zugriff > Ping-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Ping-Einstellungen anzeigen und anpassen können.

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

SSH-Einstellungen

Mit den Einstellungen unter SSH-Einstellungen können Sie den SSH-Zugriff auf Ihre LANCOM R&S® Unified Firewall aus dem Internet regeln.

Navigieren Sie zu Firewall > Firewall-Zugriff > SSH-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die SSH-Einstellungen anzeigen und anpassen können.

Im Teilbereich unter SSH-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Webclient-Einstellungen

Mit den Einstellungen unter Webclient-Einstellungen können Sie den externen-Webzugriff auf Ihre LANCOM R&S® Unified Firewall aus dem Internet regeln.

Navigieren Sie zu Firewall > Firewall-Zugriff > Webclient-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Webclient-Einstellungen anzeigen und anpassen können.

Im Teilbereich unter Webclient-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Zeiteinstellungen

Ihre LANCOM R&S ^® Unified Firewall arbeitet mit zeitempfindlichen Regeln. Darüber hinaus ist die Systemzeit für Dienste wie die Protokollierung und Berichterstattung besonders wichtig, da diese auf genaue und allgemein akzeptierte Zeitstempel angewiesen sind. Daher ist es notwendig, die korrekten Daten und Uhrzeiten festzulegen.

Navigieren Sie zu Firewall > Zeit-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Zeiteinstellungen für das System anzeigen und anpassen können.

Im Bearbeitungsfenster Zeiteinstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Update-Einstellungen

Im Bearbeitungsfenster Updates-Einstellungen können Sie Ihre LANCOM R&S® Unified Firewallimmer auf dem neuesten Stand halten. Neue Versionen der Betriebssysteme LCOS FX, Sicherheits-Updates und neue Funktionen können automatisch vom Update-Server heruntergeladen und schnell und einfach auf der Firewall installiert werden. Das Updatesystem verfügt über verschiedene Funktionen, die den Systemadministrator über neue Updates benachrichtigen. Außerdem können Sie den Verlauf importierter Updates anzeigen lassen.

Um die Installation unberechtigter oder bösartiger Updates auf der Firewall zu vermeiden, werden alle LCOS FX-Updates digital signiert. Nur Updates mit gültiger Signatur werden angezeigt und installiert.

Navigieren Sie zu Firewall > Updates-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem die Liste der verfügbaren Updates mit zusätzlichen Informationen und ihrem Status im Tab Updates angezeigt wird.

Im Eingabefeld Filter können Sie die Ergebnisse in der Tabelle darunter eingrenzen. Während Sie Ihre Suche in das Eingabefeld eintippen, zeigt Ihre LANCOM R&S® Unified Firewall nur diejenigen Einträge an, die die eingegebenen Zeichen im Namen, Typ oder in der Beschreibung enthalten. Klicken Sie auf ☑m Eingabefeld, um die Sucheingabe zu löschen und zur ungefilterten Listenansicht zurückzukehren.

Die Tabellenspalten der Updateliste enthalten die folgenden Informationen:

Klicken Sie auf Liste der Updates aktualisieren, um die Liste der verfügbaren Updates mit den neusten Versionen manuell zu aktualisieren.

Mit den Einstellungen im Tab Einstellungen können Sie die folgenden Elemente konfigurieren:

BeschreibungEingabefeld

Wenn Sie einen Update-Server bearbeiten, erscheint auf der rechten Seite des Eintrags ein Haken. Sie müssen Ihre Änderung zunächst mit diesem Haken bestätigen, bevor Sie die Einstellungen zum Update-Server speichern können.

Im Tab Verlauf wird der Verlauf der LANCOM R&S ^® Unified Firewall-Updates angezeigt.

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf die Schaltfläche Schließen, um das Fenster zu schließen und zur Übersicht Ihres gesamten konfigurierten Netzwerks zurückzukehren.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Informationen zur Installation von Systemupdates in einer Hochverfügbarkeit-Konfiguration finden Sie unter Update auf Seite 38.

Benutzerauthentifizierung

In den Einstellungen für die Benutzerauthentifizierung bestimmen Sie die Liste der Benutzer, die zur Verwendung Ihrer Netzwerkressourcen (z. B. Internetzugang und VPN-Tunnel) autorisiert werden können. Außerdem können Sie mit diesen Einstellungen lokale Benutzer einrichten und Ihre LANCOM R&S ^® Unified Firewall mit einem externen Verzeichnisdienst verbinden, aus dem einzelne Benutzer und Benutzergruppen abgerufen werden können. Damit legen Sie Firewall-Regeln nicht nur für Computer, sondern auch für einzelne Benutzer an.

Navigieren Sie zu Firewall > Benutzerauthentifizierung, um die Liste der derzeit im System angelegten Benutzer in der Objektleiste anzuzeigen.

In den folgenden Abschnitten finden Sie weiterführende Informationen zur Benutzerauthentifizierung.

Technischer Hintergrund und Vorbereitungen

Zweck der Benutzerauthentifizierung

Durch die Benutzerauthentifizierung können Benutzern Firewall-Regeln zugewiesen werden, wenn diese sich anmelden. Pro IP-Adresse darf nur ein Benutzer angemeldet sein. Wenn sich ein Benutzer von einer IP-Adresse aus anmeldet, die bereits für eine Sitzung verwendet wird, wird der zuvor angemeldete Benutzer ausgeloggt und der neue Benutzer angemeldet.

Einloggen auf der Firewall

LANCOM R&S ^® Unified Firewall betreibt einen gesonderten Webserver, der ausschließlich Benutzer-Logins verarbeitet. Dieser empfängt Benutzernamen und Passwort. Mithilfe einer Benutzerdatenbank, die lokal auf Ihrer LANCOM R&S ^® Unified Firewall erstellt wird, verifiziert ein Authentifizierungsdient zunächst, ob Benutzername und Passwort zulässig sind. Falls dieses Login fehlschlägt und ein Microsoft Active Directory Server oder ein openLDAP Server in der LANCOM R&S ^® Unified Firewall konfiguriert sind, ruft der Authentifizierungsdienst diese Directory-Server via Kerberos-Protokoll zusätzlich an, um zu überprüfen, ob der Benutzer authentifiziert werden kann. Ist die Authentifizierung erfolgt, werden die Firewall-Regeln dieses Benutzers den IP-Adressen zugewiesen, von denen die Anfrage geschickt wurde.

Benutzer, die in der lokalen Datenbank Ihrer LANCOM R&S® Unified Firewall registriert sind, können ihre Passwörter über den Webserver ändern. Das Passwort kann aus bis zu 248 Zeichen bestehen. Längere Passwörter werden akzeptiert, jedoch automatisch verkürzt.

Einige Computer, wie z. B. Terminalserver, an denen viele Benutzer gleichzeitig arbeiten, oder Server, auf denen sich nur Administratoren einloggen können, können von der Benutzerauthentifizierung ausgeschlossen werden. In diesem Fall akzeptieren Webserver und Authentifizierungsdienst keine Benutzeranmeldungen von den IP-Addressen dieser Computer.

Da alle Benutzer eines Terminalservers die gleiche IP-Adresse haben, kann Ihre LANCOM R&S ^® Unified Firewall in diesem Fall nicht die einzelnen Benutzer im Netzwerk identifizieren. Um dies zu umgehen, bietet Microsoft die sogenannte

Remotedesktop-IP-Virtualisierung für Server 2008 R2 und neuere Versionen an. Mit dieser Anwendung erhält jeder Benutzer seine eigene IP-Adresse aus einem Pool von IP-Adressen, ähnlich wie bei DHCP.

Authentifizierungsserver

Für kleine Unternehmen ohne zentrale Benutzerverwaltung bietet Ihre LANCOM R&S ^® Unified Firewall die Möglichkeit einer lokalen Benutzerverwaltung. Sie können jederzeit die lokale Benutzerdatenbank verwenden. Sie können allerdings auch einen externen Verzeichnisdienst wie etwa den Microsoft Active Directory-Server oder einen openDLAP-Server verwenden. Sowohl Microsoft Active Directory als auch openLDAP verwenden das Protokoll Kerberos für die Verifizierung aller Login-Daten, die von Benutzerauthentifizierungs-Clients bereitgestellt werden.

Active Directory-Gruppen

Wenn Sie einen Microsoft Active Directory-Server für die Authentifizierung verwenden, werden die Active Directory-Gruppen auch in der Objektleiste unter Benutzerauthentifizierung geführt. Active Directory-Gruppen sind eine effektive Möglichkeit, Sicherheitseinstellungen für einzelne Benutzer einzurichten und aufrechtzuerhalten. Beispielsweise können Sie Active Directory-Benutzer zu bestimmten Active Directory-Gruppen hinzufügen und mit Ihrer LANCOM R&S ^® Unified Firewall Firewall-Regeln für diese bestimmten Gruppen einrichten.

Einloggen

Es bestehen drei verschiedene Möglichkeiten, sich auf LANCOM R&S ^® Unified Firewalls einzuloggen:

Login über Web-Browser
Login über den LANCOM R&S® Unified Firewall Benutzerauthentifizierungs-Client
Login über den LANCOM R&S ^ Unified Firewall Single Sign-On-Client

Login über Web-Browser

Wenn Benutzer als Desktop-Objekte eingerichtet wurden und Firewall-Regeln für diese Benutzer konfiguriert wurden, können sie mithilfe der sogenannten Landingpage den Regeln entsprechend agieren. Das Einloggen über einen Webbrowser ist mit jedem Browser möglich und erfolgt SSL-verschlüsselt.

Gehen Sie wie folgt vor, um sich über einen Webbrowser auf Ihrer LANCOM R&S ^® Unified Firewall einzuloggen:

1. Starten Sie einen Webbrowser.
2. Stellen Sie sicher, dass Cookies aktiviert sind.
3. Geben Sie die IP-Adresse Ihrer LANCOM R&S ^® Unified Firewall, z. B. https://192.168.12.1 (Standardport 443), in die Adresszeile ein.

Eine spezielle Webseite mit der LANCOM R&S ^® Unified Firewall Landingpage erscheint.

Abbildung 17: Benutzerauthentifizierung über einen Webbrowser

1. Geben Sie im Feld Name Ihren Benutzernamen ein.

3 Benutzeroberfläche

Wenn es sich um einen LDAP-Benutzer handelt, muss der Login-Name des Benutzers exakt mit dem Benutzernamen im sAMAccountName-Attribut des Benutzers übereinstimmen. Andernfalls entspricht der Name in den benutzerspezifischen Firewall-Regeln nicht dem Namen des sich am Client anmeldenden Benutzers und die Regeln stimmen nicht überein.

1. Geben Sie das Kennwort ein.

2. Klicken Sie auf Anmelden.

Die Authentifizierung wird ausgeführt.

Das Browserfenster, das zum Einloggen genutzt wurde, muss aus Sicherheitsgründen während der gesamten Sitzung geöffnet bleiben. Andernfalls wird der Benutzer nach einer Minute automatisch ausgeloggt. Dies verhindert, dass Unbefugte Zugriff auf die Firewall erlangen können, falls ein Benutzer sich aus Versehen nicht ausgeloggt hat.

Login über den LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client

Der auf Windows basierende LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client befindet sich im Verzeichnis UA Client auf dem USB-Flash-Laufwerk.

Gehen Sie wie folgt vor, um sich über den LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client auf Ihrer LANCOM R&S ^® Unified Firewall einzuloggen:

1. Installieren Sie den LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client.
2. Starten Sie den LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client.

Abbildung 18: LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client

1. Geben Sie unter Server-Adresse die IP-Adresse Ihrer LANCOM R&S ^® Unified Firewall ein.
2. Geben Sie im Feld Benutzername Ihren Benutzernamen ein.

Wenn es sich um einen LDAP-Benutzer handelt, muss der Login-Name des Benutzers exakt mit dem Benutzernamen im sAMAccountName-Attribut des Benutzers übereinstimmen. Andernfalls entspricht der Name in den benutzerspezifischen Firewall-Regeln nicht dem Namen des sich am Client anmeldenden Benutzers und die Regeln stimmen nicht überein.

1. Geben Sie das Kennwort ein.

2. Optional: Setzen Sie den Haken im Kontrollkästchen Passwort speichern, um das Passwort für zukünftige Logins zu speichern.

3. Optional: Passen Sie unter Einstellungen das Zeitfenster für die Neuverbindung an, indem Sie mit der rechten Maustaste auf das Symbol im Benachrichtigungsfeld der Windows-Taskleiste klicken.

Abbildung 19: LANCOM R&S® Unified Firewall Benutzerauthentifizierungs-Client-Einstellungen

1. Klicken Sie auf Anmelden.

Die Authentifizierung wird ausgeführt.

Aus Sicherheitsgründen wird empfohlen, den LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Client stets auf die neueste verfügbare Version zu aktualisieren. Es ist allerdings möglich, einen Kompatibilitätsmodus zu aktivieren, über den ältere Versionen des LANCOM R&S ^® Unified Firewall Benutzerauthentifizierungs-Clients ab Version 10 des LCOS FX arbeiten können. Weitere Informationen finden Sie unter Einstellungen Benutzerauthentifizierung auf Seite 54.

Login über den LANCOM R&S ^® Unified Firewall Single Sign-On-Client

Bei Verwendung von Single-Sign-On (SSO) loggen sich Active Directory-Domänenbenutzer auf einem Windows-Client ein. Die auf Ihrer LANCOM R&S ^® Unified Firewall konfigurierten Regeln, die diese Benutzer betreffen, werden dann automatisch angewandt.

Um SSO mit LANCOM R&S ^® Unified Firewall in einer Active Directory-Umgebung zu verwenden, müssen folgende Voraussetzungen erfüllt werden:

1. Da Kerberos zeitgebunden ist, stellen Sie sicher, dass für alle SSO-Komponenten (Domain Controller, Windows-Client und LANCOM R&S ^® Unified Firewall) die gleiche Uhrzeit und der gleiche NTP-Server eingestellt ist.

2. Erstellen des Benutzers gpLogin

Im Active Directory muss in der Benutzerverwaltung unter „CN=Users“ ein normaler Domänenbenutzer erstellt werden. Diesem Benutzer wird dann ein sogenannter Service Principal Name (SPN) zugewiesen, der für die Authentifizierung Ihrer LANCOM R&S® Unified Firewall beim Server notwendig ist. Der Benutzer benötigt keine besonderen Rechte.

3 Benutzeroberfläche

a. Öffnen Sie den Domain Controller.

Abbildung 20: Benutzer anlegen

b. Geben Sie unter Vorname gpLogin ein.

Mit diesem Namen ist es später einfacher, den Benutzer in der Benutzerübersicht zu finden.

c. Geben Sie unter Benutzeranmeldename gpLogin/ ein.

Im oberen Beispiel lautet der Hostname () Ihrer LANCOM R&S® Unified Firewall rsuf, folglich lautet der Login-Name des Benutzers gpLogin/rsuf.

d. Geben Sie unter Benutzeranmeldename (Prä-Windows 2000) gpLogin ein.

e. Klicken Sie auf Weiter.

f. Geben Sie ein Passwort für den Benutzer ein und bestätigen Sie es.

Abbildung 21: Benutzerpasswort eingeben

g. Setzen Sie den Haken im Kontrollkästchen Passwort läuft nie ab.

h. Klicken Sie auf Weiter.

i. Um die Details zum neuen Benutzer zu überprüfen, klicken Sie auf Beenden.

Der Benutzer gpLogin wird erstellt.

1. Login mit dem Benutzer gpLogin zur Abfrage des Active Directory.

Geben Sie im Eingabefeld Benutzername unter Authentifizierungs-Server gpLogin ein.

1. Konfigurieren des Service Principal Name (SPN).

Weisen Sie dem neu erstellten Benutzer einen SPN zu, sodass Ihre LANCOM R&S® Unified Firewall den Domain Controller als vertrauenswürdig erkennen kann. Führen Sie hierzu den folgenden Befehl im Domain Controller aus: setspn -A gpLogin/rsuf gpLogin

5. Erzeugen eines Kerberos-Schlüssels

Mithilfe des LANCOM R&S ^® Unified Firewall Single Sign-On-Client kann ein Benutzerlogin auf der Windows-Domäne an Ihre LANCOM R&S ^® Unified Firewall weitergeleitet werden. Mit dem Kerberos-Schlüssel kann Ihre LANCOM R&S ^® Unified Firewall die weitergeleiteten Informationen prüfen und die benutzerspezifischen Firewall-Regeln aktivieren. Gehen Sie wie folgt vor, um einen Kerberos-Schlüssel zu erzeugen:

a. Loggen Sie sich auf Ihrer LANCOM R&S ^® Unified Firewall ein.
b. Navigieren Sie zu Firewall > Benutzerauthentifizierung > Einstellungen.

Das Bearbeitungsfenster Benutzerauthentifizierungs-Einstellungen öffnet sich.

c. Aktivieren Sie die Benutzerauthentifizierungs-Einstellungen, indem Sie den Schiebeschalter auf I setzen.
d. Klicken Sie im Tab Kerberos auf die Schaltfläche Kerberos-Schlüssel erstellen, um den Kerberos-Schlüssel zu erzeugen.

Das Active Directory wird abgefragt, um den spezifizierten AD-Benutzer zu validieren und relevante Informationen wie beispielsweise die Versionsnummer des Kerberos-Schlüssels zu erhalten. Mit diesen Informationen kann Ihre LANCOM R&S ^® Unified Firewall lokal einen gültigen Kerberos-Schlüssel erzeugen.

6. Aktivieren von SSO auf Ihrer LANCOM R&S ^® Unified Firewall

Gehen Sie wie folgt vor, um SSO auf Ihrer LANCOM R&S ^® Unified Firewall zu aktivieren:

a. Setzen Sie den Haken im Kontrollkästchen Aktiv im Tab Kerberos.
b. Klicken Sie aufSpeichern, um Ihre Einstellungen zu speichern.

7. Vorbereiten des Windows-Clients.

Das ZIP-Archiv mit dem Windows Installer für den Single-Sign-On-Client finden Sie auf:

https://www.lancom-systems.de/downloads/

Es gibt drei Möglichkeiten, den LANCOM R&S ^® Unified Firewall Single-Sign-On-Client zu installieren:

Kopieren Sie die eigenständige Anwendung UAClientSSO.exe an den gewünschten Zielort.
Führen Sie das Setupprogramm UAClientSSOSetup.exe aus und installieren Sie die eigenständige Anwendung UAClientSSO.exe im folgenden Pfad:

C:\Program Files\R&S Cybersecurity\UA Client\3.0\

Installieren Sie den Client über die Domain und verwenden Sie dabei den Microsoft-Installer UAClientSSO.msi in einem Gruppenrichtlinienobjekt.

In allen Fällen wird die eigenständige Anwendung UAClientSSO.exe auf dem Windows-PC installiert. Sie kann daraufhin ausgeführt werden, wenn die folgenden Parameter gegeben sind:

Hostname der LANCOM R&S ^ Unified Firewall (weitere Informationen finden Sie unter Einstellungen Benutzerauthentifizierung auf Seite 54).
IP-Adresse der LANCOM R&S ^® Unified Firewall im Netzwerk des Client-Computers.

Beispiel: Der Hostname Iher LANCOM R&S ^® Unified Firewall ist rsuf. Die IP-Adresse im Netzwerk des Client-Computers ist 192.168.0.1. Der Zielpfad für die Installation des LANCOM R&S ^® Unified Firewall Single-Sign-On-Clients ist demnach:

C:\Program Files\R&S Cybersecurity\UA Client\3.0\UAClientSSO.exersuf 192.168.0.1.

Einstellungen Benutzerauthentifizierung

Mit den Benutzerauthentifizierungs-Einstellungen können Sie die Benutzerauthentifizierung generell aktivieren oder deaktivieren. Außerdem können Sie die Verbindungsparameter für den Verzeichnisserver angeben, der zur Verwaltung der LDAP-Benutzer in Ihrem Netzwerk genutzt wird.

Navigieren Sie zu Firewall > Benutzerauthentifizierung > Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die generellen Einstellungen für die Benutzerauthentifizierung und den Verzeichnisdienst erstellen können.

Im Bearbeitungsfenster Benutzerauthentifizierungs-Einstellungen können Sie die folgenden Elemente konfigurieren:

Im Tab Allgemein :

Für jede IP-Adresse wird eine einzige Benutzeranmeldung unterstützt, auch wenn der Modus Mehrfache Anmeldung aktiviert ist.

Im Tab Authentifizierungs-Server können Sie angeben, welchen Datenbanktyp Sie benutzen wollen. Sie können die lokale Benutzer-Datenbank in der LANCOM R&S ^® Unified Firewall unabhängig benutzen, oder zusätzlich zum Microsoft-Active Directory Server oder zum openLDAP-Server mit Kerberos als externe Benutzer-Datenbank.

Wenn Sie Microsoft Active Directory Server auswählen, können Sie die folgenden Elemente konfigurieren:

Um die konfigurierten Einstellungen für Microsoft Active Directory Server zu prüfen, klicken Sie auf AD-Einstellungen testen.

Wenn Sie OpenLDAP Server auswählen, können Sie die folgenden Elemente konfigurieren:

3 Benutzeroberfläche

Wenn Sie auf Speichern klicken, ergänzt das System mit standardmäßigen Werten alle optionalen Felder, in denen Sie nichts angegeben haben.

Wenn Sie bei Single-Sign-On Kerberos verwenden möchten, muss der Benutzername gpLogin sein. Der Hostname und die Domain Ihrer Firewall wird aus den allgemeinen Einstellungen entnommen. Siehe Allgemeine Einstellungen auf Seite 29. Weitere Informationen finden Sie unter Einloggen auf Seite 49.

Im Tab Kerberos :

Benutzer

Wie Computer können auch Benutzer und LDAP-Gruppen auf dem Desktop als einzelne Benutzer oder Benutzergruppen eingerichtet werden.

Für diese Desktop-Objekte können Sie dann Regeln bestimmen, die den Benutzern zugewiesen werden, sobald sie sich einloggen. Wenn ein Benutzer sich von einem Computer aus einloggt, dem bestimmte Regeln zugewiesen sind, werden dem Benutzer die Regeln dieses Computers zusammen mit seinen benutzerspezifischen Regeln zugewiesen. Sie können Benutzer und LDAP-Gruppen aus der lokalen Benutzerdatenbank Ihrer LANCOM R&S® Unified Firewall und aus dem openLDAP- oder Active Directory-Authentifizierungsserver auswählen und sie den Benutzergruppen auf dem Desktop hinzufügen. Es gibt auch eine spezielle Standard-Benutzergruppe, die auf dem Desktop ausgewählt werden kann. Zu dieser Benutzergruppe kann kein Benutzer hinzugefügt werden. Sie besteht aus allen Benutzern, die sich einloggen können, jedoch noch nicht als einzelne Benutzer oder Mitglieder einer anderen Benutzergruppe auf dem Desktop eingerichtet wurden. Wenn eine Standard-Benutzergruppe auf dem Desktop eingerichtet ist, der Sie Regeln zugewiesen haben, werden Benutzer, die nachträglich auf dem Active-Directory-Server erstellt werden, automatisch zu dieser Standard-Benutzergruppe hinzugefügt. Nach dem Login werden diesen neuen Benutzern die Standard-Regeln ohne weiteren Verwaltungsaufwand automatisch zugewiesen.

LDAP-Gruppen

Es ist möglich, Ihre LANCOM R&S ^® Unified Firewall über das Lightweight Directory Access Protocol (LDAP) mit einem externen Verzeichnisserver zu verbinden, um Benutzergruppen abzurufen. Sie können diese Benutzergruppen in gruppenspezifische Firewall-Regeln einbinden.

Außerdem können Sie LDAP verwenden, um auf Verzeichnisdienste zuzugreifen und um Benutzerdaten zu verwalten.

Verbinden Sie sich wie unter Einstellungen Benutzerauthentifizierung auf Seite 54 beschrieben mit einem Verzeichnisserver.

Navigieren Sie zu Firewall > Benutzerauthentifizierung > LDAP-Gruppen, um die Liste der derzeit im Verzeichnisserver angelegten LDAP-Gruppen in der Objektleiste anzuzeigen.

Um die hier aufgelisteten LDAP-Gruppen für Verbindungen und gruppenspezifische Firewall-Regeln zur Verfügung stellen zu können, müssen die Gruppen einem Benutzergruppen-Desktopobjekt zugewiesen werden. Weitere Informationen finden Sie unter Benutzergruppen auf Seite 100.

LDAP-Benutzer

Es ist möglich, Ihre LANCOM R&S ^® Unified Firewall über das Lightweight Directory Access Protocol (LDAP) mit einem externen Verzeichnisserver zu verbinden, um von dort Benutzer abzurufen. Diese Benutzer können dann in benutzerspezifische Firewall-Regeln eingebunden werden.

Außerdem können Sie LDAP verwenden, um auf Verzeichnisdienste zuzugreifen und um Benutzerdaten zu verwalten.

Verbinden Sie sich wie unter Einstellungen Benutzerauthentifizierung auf Seite 54 beschrieben mit einem Verzeichnisserver.

Navigieren Sie zu Firewall > Benutzerauthentifizierung > LDAP-Benutzer, um die Liste der derzeit im Verzeichnisserver angelegten LDAP-Benutzer in der Objektleiste anzuzeigen.

Um die hier aufgelisteten LDAP-Benutzer für Verbindungen und gruppenspezifische Firewall-Regeln zur Verfügung stellen zu können, müssen die Gruppen einem Benutzer-Desktopobjekt zugewiesen werden. Weitere Informationen finden Sie unter Benutzergruppen auf Seite 100.

Lokale Benutzer

Ihre LANCOM R&S ^® Unified Firewall bietet eine lokale Benutzeradministration für kleinere Unternehmen ohne zentrale Administration. Nutzen Sie die Einstellungen unter Lokale Benutzer, um Benutzernamen und Passwörter anzugeben. Auf diese Weise können Sie Benutzer verwalten und definieren.

Navigieren Sie zu Firewall > Benutzerauthentifizierung > Lokale Benutzer, um die Liste der derzeit im System angelegten lokalen Benutzer in der Objektleiste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Name des lokalen Benutzers und zusätzlich eine Beschreibung angezeigt, sofern diese eingegeben wurde. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen eines lokalen Benutzers einsehen und anpassen, einen neuen Benutzer ausgehend von einer Kopie des vorhandenen lokalen Benutzers anlegen, oder einen Benutzer aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Unter Firewall > Benutzerauthentifizierung > Lokale Benutzer können Sie einen neuen Administrator hinzufügen oder einen vorhandenen lokalen Benutzer bearbeiten.

Im Bearbeitungsfenster Lokale Benutzer-Authentifizierung können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen lokalen Benutzer hinzufügen oder einen bestehenden Benutzer bearbeiten. Klicken Sie für einen neu konfigurierten lokalen Benutzer auf Erstellen, um den neuen Benutzer zur Liste der verfügbaren lokalen Benutzer hinzuzufügen, oder auf Abbrechen, um die Erstellung zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern), oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Die hier definierten lokalen Benutzer stehen zur Verwendung in Desktopobjekten wie beispielsweise VPN-Benutzern zur Verfügung.

Nicht zugewiesene Benutzer

Navigieren Sie zu Firewall > Benutzerauthentifizierung > Nicht zugewiesen, um LDAP-Benutzer anzuzeigen, die Benutzerobjekten auf dem Desktop zugewiesen sind, aber nicht mehr im Verzeichnisdienst aufgerufen werden können.

Anwendungsbeispiele

In einer Windows-Domain

Wenn Sie über eine Windows-Domain verfügen, können Sie die Benutzerauthentifizierung mit dem Windows Domain Controller verbinden.

Gehen Sie wie folgt vor, um die Benutzerauthentifizierung mit dem Windows Domain Controller zu verbinden:

1. Navigieren Sie zu Firewall > Benutzerauthentifizierung > Einstellungen.
2. Klicken Sie auf Authentifizierungs-Server.
3. Geben Sie die Daten ihres Domain-Controllers ein.

Alle Benutzer in der angegebenen Domain werden in der Benutzerliste angezeigt.

1. Ziehen Sie die Benutzersymbole in das Konfigurationsdesktop und weisen Sie ihnen Regeln zu.

Um sich einzuloggen, müssen Benutzer die URL mit https://und der IP-Adresse der Firewall in der Adressleiste ihres Browsers eingeben. Eine Loginseite erscheint. Nach erfolgreichem Login werden den angegebenen IP-Adressen die Firewall-Regeln des Benutzers zugewiesen. Wenn das Browserfenster geschlossen wird, läuft der Sitzungscookie ab und die Regeln sind nicht mehr gültig.

Den Terminalserver von der Benutzerauthentifizierung ausschließen

Wenn Sie einen Terminalserver verwenden, sollten Sie diesen von der Benutzerauthentifizierung ausschließen. Andernfalls werden alle bisherigen Benutzer ausgeloggt, wenn sich ein neuer Benutzer einloggt.

Gehen Sie wie folgt vor, um den Terminalserver von der Benutzerauthentifizierung auszuschließen.

1. Klicken Sie auf das Hostgruppen-Symbol in der Symbolleiste im oberen Bereich des Desktops.

2. Entfernen Sie den Haken im Kontrollkästchen in der Spalte Login erlaubt.

Abbildung 22: Objekteinstellungen – Terminalserver

Falls Ihre Benutzer eine Authentifizierung im Terminalserver benötigen, können Sie Remote-desktop-IP-Virtualisierung im Terminalserver aktivieren. Hierdurch wird allen Benutzern während einer Sitzung eine eigene IP-Adresse zugewiesen.

3.4.2 Monitoring & Statistiken

Die Monitoring & Statistics Einstellungen zeigen detaillierte Informationen zum Datenverkehr an, der durch Ihre LANCOM R&S® Unified Firewall fließt. Mit den Einstellungen können Sie Remote-SNMP- und Syslog-Server konfigurieren, um von verschiedenen Meldungsquellen erzeugte Ereignisprotokoll-Meldungen weiterzuleiten. Außerdem können Sie konfigurieren, wie mit verschiedenen von Ihrer LANCOM R&S® Unified Firewall erkannten Ereignistypen umgegangen werden soll und für welche davon Statistiken geführt werden sollen.

Einstellungen zu Statistiken

Navigieren Sie zu Monitoring & Statistiken > Einstellungen, um die Statistiken anzupassen.
Außerdem können Sie konfigurieren, wie mit verschiedenen von Ihrer LANCOM R&S ^® Unified Firewall erkannten Ereignistypen umgegangen werden soll und für welche davon Statistiken geführt werden sollen. Wählen Sie aus den Drop-down-Listen für jeden Ereignistyp eine der folgenden Optionen aus:

Bewegen Sie die Maus über das Icon lieben der Bezeichnung eines Ereignistyps, um eine Erklärung dazu anzuzeigen, in welchen Graph ein bestimmtes Ereignis fließt. Mit der Drop-down-Liste Alle Ereignis-Typen können Sie alle Ereignistypen auf einmal auf den gleichen Modus setzen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Benachrichtigungs-Einstellungen

Über das Benachrichtigungs-System können Sie entweder sofort oder regelmäßig in aggregierter Form per E-Mail Nachrichten über bestimmte Benachrichtigungstypen erhalten. Voraussetzung hierfür ist eine aktive E-Mail-Funktion, in der zumindest ein Absender eingestellt ist. Zur Absicherung sind die optionalen Einstellungen Remote-Zertifikat verifizieren für die Sicherstellung der korrekten Gegenstelle für den E-Mail-Empfang und S/MIME-Zertifikat zur Verschlüsselung der ausgehenden Mail. Näheres hierzu unter E-Mail-Einstellungen auf Seite 33

Navigieren Sie zu Monitoring & Statistiken > Benachrichtigungs-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die folgenden Elemente konfigurieren können:

Tabelle 1: Allgemein

Im Bereich Aggregierte Benachrichtigungen können Sie die folgenden Elemente konfigurieren:

Im Bereich Sofort-Benachrichtigungen können Sie die folgenden Elemente konfigurieren:

Im Bereich Benachrichtigungstypen können Sie die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Connection Tracking

Im Bearbeitungsfenster Connection Tracking können Sie das In-Kernel Connection Tracking System einsehen und bearbeiten, um eine Liste aller auf Ihrer LANCOM R&S ^® Unified Firewall aktiven Verbindungen anzuzeigen.

Navigieren Sie zu Monitoring & Statistiken > Connection Tracking, um ein Bearbeitungsfenster zu öffnen, in dem eine Liste aller im System verfolgten Verbindungen angezeigt wird.

Mithilfe von Filteroptionen können Sie die Ergebnisse in der unteren Tabelle eingrenzen. Wählen Sie zunächst eine Option aus der Drop-down-Liste aus oder tippen Sie in das Eingabefeld. Klicken Sie dann auf Neu laden, um nur diejenigen Einträge anzuzeigen, die die eingegebene Option oder die eingegebenen Zeichen enthalten. Klicken Sie auf ✕n der Drop-down-Liste oder ☑m Eingabefeld, um die ausgewählte Option oder die Sucheingabe zu löschen oder klicken Sie auf Filter zurücksetzen, um alle Eingaben zu löschen und zur ungefilterten Listenansicht zurückzukehren.

Die Filteroptionen sind AND-verbunden.

Die Tabellenspalten der Liste der derzeit aktiven Verbindungen enthalten die folgenden Informationen:

Klicken Sie auf Neu laden, um die Liste der Verbindungen in der Tabelle neu zu laden.

Mit der Schaltfläche Schließen unten im Bearbeitungsfenster können Sie das Fenster schließen und zur kompletten Übersicht Ihres gesamten konfigurierten Netzwerks zurückkehren.

Protokolle

Ihre LANCOM R&S ^® Unified Firewall bewahrt Aufzeichnungen über Systemereignisse, Statusinformationen, Fehler und andere Kommunikation in einer Protokolldatenbank auf. Navigieren Sie zu Monitoring & Statistiken > Protokolle, um die Ereignisprotokolle einzusehen. Die Fenster zeigen die Inhalte jedes Ereignisprotokolls an. Falls ein Problem auftritt, können Sie in diesen Protokollen ggf. technische Details zur Ursache des Problems finden.

Die Ereignisprotokolle werden automatisch aktualisiert, um die neusten Einträge anzuzeigen. Sie können die automatische Aktualisierung deaktivieren, um den Schwerpunkt auf ältere Einträge zu legen, indem Sie auf den Schiebeschalter AUTOM. LADEN EIN klicken. Klicken Sie auf Manuell neu laden, um die Objektliste manuell zu aktualisieren. Um wieder auf die automatische Aktualisierung umzuschalten, klicken Sie auf den Schiebeschalter, der diese aktiviert.

Mit den Filteroptionen über den Tabellen können Sie die Ergebnisse eingrenzen, um nur Einträge anzuzeigen, die einen bestimmten Suchbegriff enthalten. Variieren Sie die Optionen, um Suchkriterien in den Eingabefeldern einzustellen. Die Filter Nachricht und Benutzer geben alle Ergebnisse aus, die die Sucheingabe enthalten. Alle übrigen Filterfelder geben nur exakte Übereinstimmungen aus. Die verfügbaren Optionen hängen vom Typ des Ereignisprotokolls ab. Wenn Filteroptionen eingestellt wurden, werden die Ereignisprotokolle immer automatisch aktualisiert.

Klicken Sie auf das Eingabefeld Zeit, um den Inhalt eines Protokolls nach einer benutzerdefinierten Zeitspanne zu filtern. Es öffnet sich ein neues Fenster, in dem Sie entweder einen voreingestellten Zeitraum wählen oder einen eigenen eingeben können. Wenn Sie auf Benutzerdefiniert klicken, erscheinen ein Kalender und Drop-down-Listen, mit denen Sie Datum und Uhrzeit ändern können. Legen Sie die gewünschten Daten und

3 Benutzeroberfläche

Uhrzeiten fest. Klicken Sie auf Anwenden, um Ihre Änderungen zu speichern und das gefilterte Ereignisprotokoll anzuzeigen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

Um zum vollständigen Protokoll zurückzukehren, entfernen Sie alle Suchkriterien, indem Sie entweder auf Zurücksetzen, die Schaltfläche ✗echts neben einem ausgewählten Eintrag in der Drop-down-Liste oder die Schaltfläche Ⓞ den Eingabefeldern klicken.

Abbildung 23: Beispiel eines gefilterten Systemprotokolls

Mit der Schaltfläche Schließen unten in den Protokollfeldern können Sie die Protokollfelder schließen und zur kompletten Übersicht Ihres gesamten konfigurierten Netzwerks zurückkehren.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu lokalen Ereignisprotokollen.

Alarmprotokoll

Navigieren Sie zu Monitoring & Statistiken > Protokolle" > Alarmprotokoll, um die Ereignisprotokolle zu Alarmen einzusehen und Filter zur Anzeige einzurichten. Im Bearbeitungsfenster Alarmprotokoll können Sie einsehen, welcher Traffic durch Ihre LANCOM R&S® Unified Firewall blockiert, oder in welcher Form Traffic durch die Firewall übertragen wurde.

Die Tabellenspalten enthalten die folgenden Informationen:

Tabelle 2: Filtertypen

Filterfunktion

Sie können das Alarmprotokoll mithilfe der Filterfunktion im Eingabefeld Weitere Filter um verschiedene Suchkriterien und -optionen eingrenzen. Diese Filter beziehen sich auf das Zeitintervall, das Sie unter Zeit eingestellt haben.

Abbildung 24: Alarmprotokoll mit angewandtem Filter

Um einen Filter zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie in das Eingabefeld.

Der Webclient zeigt Filtervorschläge an.

Mögliche Filtertypen, Eingabeformate und Vorgabewerte entnehmen Sie der Tabelle Filtertypen.

1. Wählen Sie einen der vorgeschlagenen Filter aus der Drop-down-Liste aus oder geben Sie einen beliebigen Suchtext ein, um weitere Vorschläge zu erhalten.

Für jeden Vorschlag können Sie auswählen, ob dieser als Inklusionsfilter (+/ UND-Verknüpfung) oder Exklusionsfilter (∅ UND-NICHT-Verknüpfung) verwendet werden soll.

Nach der Auswahl wird der Filtervorschlag als Suchkriterium in das Eingabefeld eingefügt.

Die Liste der Protokollmeldungen passt sich an die Suchabfrage an. Gefundene Übereinstimmungen werden in den Protokolleinträgen hervorgehoben.

Wiederholen Sie die obigen Schritte, bis Sie die gewünschten Filterkriterien zu Ihrer Suchanfrage hinzugefügt haben.

Es werden nur Einträge angezeigt, die mit allen Filterkriterien übereinstimmen.

Um ein Filterkriterium in einer Suchabfrage zu löschen, klicken Sie auf ✗

Sie können mehrere Zeilen zu Ihrer Suchanfrage hinzufügen, indem Sie neben dem Eingabefeld auf + ODER klicken. Sie können wählen, ob Sie eine neue leere Zeile einfügen, oder die zuletzt angelegte Zeile kopieren möchten. Jede Zeile ist in sich eine eigene Suchabfrage, die mit den anderen Zeilen ODER-verknüpft wird.

Abbildung 25: Kombinierte Filterabfrage

Löschen Sie die Zeile, indem Sie neben der Zeile auf 📁licken.

Filtertypen

3 Benutzeroberfläche

Auditprotokoll

Das Audit Log erstellt Aufzeichnungen über jede Konfigurationsänderung, die auf Ihrer LANCOM R&S® Unified Firewall durchgeführt wurde (z. B. Aktualisierung der VPN-Einstellungen), jede ausgeführte Aktion (z. B. Importieren eines Backups) und von wem diese jeweils ausgelöst wurde. Um das Protokoll anzuzeigen, werden Rechte auf Monitoring benötigt. Weitere Informationen zu den Webclient-Rechten finden Sie unter Einstellungen zu Administratoren auf Seite 28.

Die Tabellenspalten enthalten die folgenden Informationen:

Systemprotokoll

Das Systemprotokoll zeigt eine Liste neuerer Systemmeldungen an.

Die Tabellenspalten enthalten die folgenden Informationen:

Setzen Sie das Häkchen bei Alarme anzeigen, um zusätzlich zu den Protokollmeldungen Alarme unabhängig vom ausgewählten Dienst anzuzeigen.

Alarme können zusätzliche Informationen zu Ereignissen enthalten, um den Ursprung eines Fehlers identifizieren zu können.

SNMP-Einstellungen

SNMP (Simple Network Management Protocol) ist ein Netzwerkprotokoll, das zum Senden und Empfangen von Statusmeldungen innerhalb eines Netzwerks verwendet wird. Die Teilnehmer eines SNMP-basierten Informationsaustausches sind der SNMP-Manager (z. B. Nagios) und SNMP-Clients (Geräte wie etwa Ihre LANCOM R&S® Unified Firewall, die vom SNMP-Manager überwacht werden sollen).

Der SNMP-Manager fordert Informationen an und empfängt und überwacht diese. Die SNMP-Clients antworten auf Informationsanforderungen (z. B. „Zeige die aktuelle CPU-Auslastung / den aktuellen Speicherverbrauch des Geräts“). Die von den überwachten Geräten ausgegebenen Statusmeldungen werden wie ein Baum angeordnet (die sogenannte Management Information Base, kurz MIB), an dem jedes Blatt eine abrufbare Informationseinheit darstellt. Jedes Blatt kann einzeln über seine individuelle numerische Adresse aufgerufen und abgefragt werden. Eine Datei, die diese numerischen Adressdaten in sinnvolle Namen übersetzt und damit eine Übersicht aller auf dem überwachten Gerät verfügbaren Optionen darstellt, kann dem SNMP-Manager zur Verfügung gestellt werden, um die Nutzbarkeit für den Menschen zu erhöhen (29577.1.1 wird z. B. als RSCS.SystemLoad.cpuLoad übersetzt).

Mit den SNMP-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Statistiken

Die Statistiken-Fenster enthalten Grafiken und Tabellen. Sie können verschiedene Einstellungen an der Darstellung und den Daten dieser Statistiken vornehmen.

Um auf die Statistiken zuzugreifen und die entsprechenden Einstellungen zu konfigurieren, benötigen Sie Statistiken-Rechte. Weitere Informationen zu den Webclient-Rechten finden Sie unter Einstellungen zu Administratoren auf Seite 28.

Beim Analysieren der Statistiken und beim Konfigurieren der dazugehörigen Einstellungen muss der Administrator Vorschriften zur Datensicherheit einhalten.

Es gibt zwei Möglichkeiten, die einzelnen Statistiken abzurufen:

Über die Links in der Navigationsleiste zu den detaillierten Statistikfenstern navigieren, z. B. über Monitoring & Statistiken > Statistiken > Blockierte Verbindungen.

3 Benutzeroberfläche

Verwenden Sie den Link Details in der oberen rechten Ecke des jeweiligen Grafikfensters in der Übersicht Statistiken. Der Link leitet Sie zu einem detaillierten Statistikfenster für diese Grafik weiter. Weitere Informationen finden Sie unter Übersicht auf Seite 71.

Arbeiten mit Statistiken

Es gibt zwei verschiedene Arten von Statistiken:

Zähler werden als Liniendiagramme in den Statistikfenstern Blockierte Verbindungen und Blockierte Inhalte angezeigt. Die Diagramme enthalten jeweils mehrere Zähler.
Toplisten geben eine Rangfolge verschiedener Ereignistypen an, die je nach ausgewähltem Zeitraum als Kreisdiagramm oder als Flächendiagramm angezeigt wird. Daten für den Zeitraum Tag werden als Kreisdiagramm angezeigt, Daten für die Zeiträume Monat und Jahr als Flächendiagramm.

Die Statistiken werden jeweils durch eine Tabellenansicht der grafischen Daten ergänzt. Bei Zählern zeigt die Datentabelle immer die gleichen Daten wie das Diagramm an. Jedes Statistik-element stellt eine Spalte in der Datentabelle dar. Bei Toplisten zeigt die Datentabelle die Werte der statistischen Elemente an.

Die Diagramme und Tabellen in den Statistik-Ansichten haben gemeinsame Funktionen, mit denen Sie die Anzeige der Daten anpassen und die Daten herausfiltern können, an denen Sie interessiert sind.

Unter Zeitraum in der Kopfzeile der Statistikfenster können Sie die gewünschte Zeitspanne der anzuzeigenden Daten angeben. Mithilfe der Schaltflächen können Sie zwischen verschiedenen verfügbaren Zeiträumen wechseln. Sie können aus Tag, Monat und Jahr auswählen. Diese Option ist standardmäßig auf Tag gesetzt.
Toplisten enthalten in der Kopfzeile des Fensters normalerweise ein Eingabefeld. Im Eingabefeld Einträge können Sie anpassen, wie viele Elemente maximal in der Grafik dargestellt werden. Diese Option ist standardmäßig auf 5 Einträge gesetzt. Sie können entweder eine andere Zahl eingeben oder die Anzahl über die Pfeile im Eingabefeld anpassen.

Unabhängig vom für die Grafik gesetzten Wert zeigt die Tabelle immer bis zu 1000 Einträge.

Sie können die Grafiken und Tabellen ein- und ausklappen, indem Sie auf das entsprechende Symbol in der Kopfzeile einer Grafik oder Tabelle klicken, um die Tabelle zu erweitern oder nicht benötigte Details auszublenden. Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Klicken Sie auf dem der oberen rechten Ecke einer Grafik, um die verschiedenen Exportoptionen (Ansicht drucken, PNG, JPEG, SVG, PDF, CSV und XLS) für die in der Grafik dargestellten Daten zu nutzen.

Wenn Sie die XLS-Exportoption für Toplisten auswählen, werden nur die von dieser Grafik genutzten Daten unter Berücksichtigung der von Ihnen gewählten maximalen Anzahl an Toplisten-Elementen exportiert.

Kreis- und Flächendiagramme enthalten eine Legende. Die Legende ist farbkodiert und kann als Filter für die Grafik verwendet werden. Klicken Sie auf Elemente in der Legende unter der Grafik, um sie in der Grafik zu aktivieren oder deaktivieren. Wenn das Klicken keine Reaktion hervorruft und die Legende grau bleibt, ist die Datenerhebung für den zugrundeliegenden Ereignistypen in den Statistikeinstellungen deaktiviert und die Daten daher nicht verfügbar. Weitere Informationen finden Sie unter Einstellungen zu Statistiken auf Seite 59.

Tooltips bieten Details zu spezifischen Punkten der grafischen Statistiken. Bewegen Sie die Maus über die Grafik, um genaue Werte für einen bestimmten Zeitpunkt einzusehen.

In den folgenden Abschnitten finden Sie weitere Informationen zu den in der Statistikübersicht verfügbaren Daten, den einzelnen Statistikfenstern und den dazugehörigen Einstellungen.

Blockierte Verbindungen

Im Bearbeitungsfenster Blockierte Verbindungen können Sie die folgenden Elemente konfigurieren:

Blockierte Inhalte

Im Bearbeitungsfenster Blockierte Inhalte können Sie die folgenden Elemente konfigurieren:

Übersicht

Navigieren Sie zu Monitoring & Statistiken > Statistiken > Übersicht, um eine Zusammenfassung aller verfügbaren statistischen Grafiken einzusehen. Diese kann als Dashboard von Statistiken betrachtet werden und soll grundlegende Antworten auf die häufigsten Fragen zu den durch Ihre LANCOM R&S ^® Unified Firewall erkennbaren Ereignissen geben.

Folgende spezielle Funktionen gelten nur für dieses Fenster (anders als in der Beschreibung der individuellen Statistikfenster in Statistiken auf Seite 69):

Unter Zeitraum in der Kopfzeile des Statistikfensters können Sie die gewünschte Zeitspanne für die in allen Grafiken anzuizeigenden Daten angeben.
Klicken Sie auf den Link Details in der oberen rechten Ecke einer einzelnen Grafik, um zum detaillierten Statistikfenster für die jeweilige Grafik weitergeleitet zu werden.
Die Anzahl der Einträge für Toplist-Grafiken ist auf 5 festgesetzt.

Meistaufgerufene Domains

Das Fenster Top aufgerufene Domains zeigt die häufigsten von den Benutzern des lokalen Netzwerks aufgerufenen Internetseiten an, sofern Sie Ihrer LANCOM R&S ^® Unified Firewall erlauben, diese Daten zu erheben, indem Sie den Ereignistyp Web-Zugriff erlaubt aktivieren. Diese Statistiken dienen dazu, festzustellen, ob die Internetnutzung den Unternehmensrichtlinien und den Zielen der Firma entspricht.

Meistblockierte Domains

Das Fenster Top blockierte Domains zeigt die am häufigsten blockierten Internetseiten an, sofern Sie Ihrer LANCOM R&S® Unified Firewall erlauben, diese Daten zu erheben, indem Sie den Ereignistyp Web-Zugriff verhindert aktivieren.

Höchster Datenverkehr pro Quelle

Das Fenster Top Traffic pro Quelle zeigt das Datenvolumen der meistaufgerufen Datenverkehrsquellen an, sofern Sie Ihrer LANCOM R&S® Unified Firewall erlauben, diese Daten zu erheben, indem Sie den Ereignistyp Beendete Verbindung aktivieren.

Syslog-Server

Mit Ihrer LANCOM R&S®Unified Firewall können mehrere externe Syslog-Server so konfiguriert werden, dass sie von verschiedenen Meldungsquellen erzeugte Ereignisprotokoll-Meldungen für Berichtszwecke weiterleiten.

Syslog-Meldungen werden in der Regel im Klartext (unverschlüsselt) über Port Nummer 514 und entweder über das User Datagram Protocol (UDP) oder das Transmission Control Protocol (TCP) an den Remote-Syslog-Server gesendet.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu externen Syslog-Servern.

Übersicht Syslog-Server

Navigieren Sie zu Monitoring & Statistiken > Syslog Server, um die Liste der derzeit im System angelegten Remote-Syslog-Server in der Objektleiste anzuzeigen.

In der erweiterten Ansicht zeigt die Tabelle die Serveradresse des externen Syslog-Servers an, die sich aus der IP-Adresse und dem Port zusammensetzt. Zum Beispiel steht die Serveradresse 192.168.124.5:514 für die IP-Adresse 192.168.124.5 und die Port-Nummer 514. Außerdem wird der Protokolltyp angezeigt, der für die Übertragung der Textmeldung verwendet wird. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für einen vorhandenen externen Syslog-Server einsehen und anpassen, einen neuen Syslog-Server ausgehend von einer Kopie eines vorhandenen externen Syslog-Servers anlegen oder einen Remote-Syslog-Server aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Syslog-Server

Mit den Einstellungen unter Syslog Server können Sie Verbindungsdetails für mehrere Remote-Syslog-Server angeben, um von verschiedenen Meldungsquellen erzeugte Ereignisprotokoll-Meldungen weiterzuleiten.

Unter Monitoring & Statistiken > Syslog Server können Sie einen neuen entfernten Syslog-Server hinzufügen oder einen vorhandenen bearbeiten.

Im Bearbeitungsfenster Syslog Server können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen Remote-Syslog-Server hinzufügen oder einen bestehenden Server bearbeiten. Für einen neu konfigurierten Server klicken Sie Erstellen, um den Server zur Liste der verfügbaren Remote-Syslog-Server hinzuzufügen oder Abbrechen, um Ihre Änderungen zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

3.4.3 Netzwerk

Mit den Einstellungen unter 🚫 Netzwerk können Sie Ihr Netzwerk organisieren, indem Sie Interfaces, Verbindungen, WLAN, Routing-Regeln und DHCP-Einstellungen konfigurieren. Darüber hinaus können Sie den WAN-Zugang Ihrer LANCOM R&S® Unified Firewall einrichten, indem Sie DNS-Einstellungen, DynDNS-Accounts und QoS-Einstellungen konfigurieren.

Verbindungen

Mit den Desktop-Verbindungen-Einstellungen können Sie die Netzwerk- und PPP-Verbindungen auf Ihrer LANCOM R&S ^® Unified Firewall konfigurieren.

Netzwerkverbindungen

Mit den Einstellungen unter Netzwerk-Verbindungen können Sie Netzwerkverbindungen konfigurieren. Das System bietet standardmäßige Verbindungen zu allem verfügbaren Ethernet-Interfaces.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu Netzwerkverbindungen.

Übersicht Netzwerkverbindungen

Navigieren Sie zu Netzwerk > Verbindungen > Netzwerk-Verbindungen, um die Liste der Netzwerk-Verbindungen, die derzeit im System angelegt sind, in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Spalte der Name der Netzwerkverbindung angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – Die Netzwerkverbindung ist aktiv.
Grau – Die Netzwerkverbindung ist inaktiv.
Rot – Die Netzwerkverbindung ist getrennt.

Außerdem werden das Interface, dem die Netzwerkverbindung zugewiesen ist sowie der Typ der Verbindung angezeigt. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Netzwerkverbindung einsehen und anpassen, eine neue Verbindung auf der Grundlage einer Kopie einer bestehenden Netzwerkverbindung anlegen oder eine Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Netzwerkverbindungen

Nutzen Sie die Einstellungen unter Netzwerk-Verbindungen, um benutzerdefinierte Netzwerkverbindungen zu konfigurieren.

Unter Netzwerk > Verbindungen > Netzwerk-Verbindungen können Sie eine neue Netzwerkverbindung hinzufügen oder eine vorhandene bearbeiten.

Im Bearbeitungsfenster Netzwerk-Verbindung können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Im Tab Netzwerk :

Im Tab WAN :

Im Tab Failover :

3 Benutzeroberfläche

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue Netzwerkverbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Netzwerkverbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren Netzwerkverbindungen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Netzwerkverbindung abzubrechen. Zum Bearbeiten einer vorhandenen Netzwerkverbindung klicken Sie auf Speichern, um die neu konfigurierte Verbindung zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Heartbeat-Einstellungen

Im Bearbeitungsfenster Heartbeat können sie automatische Heartbeat-Tests einrichten, mit denen der Status der Verbindung überprüft wird. Sie können in diesem Bearbeitungsfenster die folgenden Elemente konfigurieren:

Wenn Sie im Tab Failover eine Backup-Internetverbindung festgelegt haben und der automatische Heartbeat-Test den Status der Verbindung als disconnectedanzeigt, wechselt LANCOM R&S ^® Unified Firewall automatisch zur verfügbaren Backup-Verbindung mit der höchsten Priorität.

Mit den Schaltflächen unten im Bearbeitungsfenster rechts können Sie Ihre Änderungen am automatischen Heartbeattest speichern (OK) oder den Verbindungstest manuell ausführen (Testen). Außerdem können Sie Ihre Änderungen am Test verwerfen (Abbrechen), das Bearbeitungsfenster schließen und zum Bearbeitungsfenster Netzwerk-Verbindung zurückkehren. Der festgelegte Test wird als Eintrag in der Liste unter Heartbeats im Tab Failover angezeigt.

PPP-Verbindungen

Mit den Einstellungen unter PPP-Verbindungen können Sie vorhandene Verbindungen, die das Point-to-Point-Protokoll verwenden, konfigurieren und neue hinzufügen.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu PPP-Verbindungen.

Übersicht PPP-Verbindungen

Navigieren Sie zu Netzwerk > Verbindungen > PPP-Verbindungen, um die Liste der derzeit im System angelegten PPP-Verbindungen in der Objektleiste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Name und der Typ der Verbindung angezeigt und ob sie Aktiv ist oder nicht. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene PPP-Verbindung einsehen und anpassen, eine neue Verbindung auf der Grundlage einer Kopie einer bestehenden PPP-Verbindung anlegen oder eine PPP-Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für PPP-Verbindungen

Unter Netzwerk > Verbindungen > PPP-Verbindungen können Sie eine neue Netzwerkverbindung hinzufügen oder eine vorhandene bearbeiten.

Die Einstellungen unter PPP-Verbindungen enthalten die folgenden Elemente:

Im Tab Konfiguration :

3 Benutzeroberfläche

Im Tab WAN :

Im Tab Failover :

Heartbeat-Einstellungen

Mit den Einstellungen unter Heartbeats können Sie automatische Heartbeat-Tests für diese Verbindung konfigurieren. Das Bearbeitungsfenster enthält die folgenden Elemente:

Klicken Sie auf Testen, um den Verbindungstest manuell durchzuführen. Klicken Sie auf OK, um die Einstellungen zu speichern und zum Bearbeitungsfenster Netzwerk-Verbindung zurückzukehren.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue PPP-Verbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Netzwerkverbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren PPP-Netzwerkverbindungen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Netzwerkverbindung abzubrechen. Zum Bearbeiten einer vorhandenen PPP-Verbindung klicken Sie auf Speichern, um die neu konfigurierte Verbindung zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

DHCP-Einstellungen

Navigieren Sie zu Netzwerk > DHCP-Einstellungen, um die DHCP-Einstellungen auf Ihrer LANCOM R&S®Unified Firewall zu konfigurieren.

Einstellungen für DHCP-Server

Wenn Sie den DHCP-Server auf LANCOM R&S ^® Unified Firewall betreiben, können Sie IP-Adressen zuweisen und sie auf andere Konfigurationsparameter (Gateway, DNS-Server, NTP-Server etc.) übertragen. Alternativ ist es möglich, DHCP-Anfragen an einen bereits vorhandenen DHCP-Server in einem anderen Netzwerk zu übertragen.

Konfigurieren Sie für den DHCP-Server die folgenden Elemente:

Im Bearbeitungsfenster DHCP-Einstellungen für ein Interface können Sie die folgenden Elemente konfigurieren:

Im Tab Allgemein :

Im Tab Statische IP-Adressen :

Klicken Sie auf OK, um die Einstellungen zu speichern und zum Bearbeitungsfenster DHCP-Einstellungen zurückzukehren.

DHCP-Relay-Einstellungen

Ein DHCP-Relay leitet eingehende Anfragen an einen DHCP-Server an ein anderes Netzwerk weiter, da DHCP-Anfragen nicht geroutet werden können.

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

DNS-Einstellungen

Navigieren Sie zu Netzwerk > DNS-Einstellungen, um die DNS-Einstellungen auf Ihrer LANCOM R&S® Unified Firewall zu konfigurieren.

Normalerweise werden die DNS-Server-Einstellungen von der WAN-Verbindung vorgegeben. Sie sollten die DNS-Server-Einstellungen nur konfigurieren müssen, wenn Sie sie nicht über die WAN-Verbindung beziehen können.

Im Bearbeitungsfenster DNS-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

DynDNS-Accounts

Um sich aus einem externen Netzwerk, beispielsweise über eine VPN-Verbindung, mit Ihrer LANCOM R&S ^® Unified Firewall verbinden zu können, muss die IP-Adresse Ihres Geräts im Internet erkannt werden. Durch die Verwendung des dynamischen DNS („DynDNS“) erhält Ihre LANCOM R&S ^® Unified Firewall einen festen Hostnamen (z. B. firmenname.dyndns.org), selbst wenn es selbst keine feste öffentliche IP-Adresse hat. Dies ist möglich, indem die aktuelle IP-Adresse an einen DynDNS-Provider gesendet wird, der sie einem Domain-Namen zuordnet, sodass die Firewall über diesen Domain-Namen zugänglich ist. Falls sich die IP-Adresse zum Beispiel durch eine durch Ihren Internetprovider ausgelöste Verbindungstrennung ändert, wird die IP-Adresse erneut an den DynDNS-Provider gesendet. So wird sichergestellt, dass die dynamische DNS immer auf die aktuelle IP-Adresse verweist.

Um DynDNS auf Ihrer LANCOM R&S ^® Unified Firewall einzurichten, benötigen Sie einen konfigurierten DynDNS-Account bei einem DynDNS-Provider. Weitere Informationen zum dynamischen DNS und der Registrierung für das dynamische DNS-Verfahren finden Sie zum Beispiel unter www.dyndns.org.

Weiterführende Informationen zu DynDNS-Accounts finden Sie in den folgenden Abschnitten.

Übersicht DynDNS-Accounts

Navigieren Sie zu Netzwerk > DynDNS-Konten, um die Liste der derzeit im System angelegten DynDNS-Accounts in der Objektleiste anzuzeigen.

In der erweiterten Ansicht zeigen die Tabellenspalten den Hostname des DynDNS-Account, den Server-Typ des Accounts und den Status an. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für einen vorhandenen DynDNS-Account einsehen und anpassen, einen Account ausgehend von einer Kopie eines vorhandenen DynDNS-Accounts anlegen oder einen Account aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen zu DynDNS-Accounts

Unter Netzwerk > DynDNS-Konten können Sie einen neuen, benutzerdefinierten DynDNS-Account für generellen WAN-Zugang hinzufügen, oder einen vorhandenen bearbeiten.

Im Bearbeitungsfenster DynDNS-Konto können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen DynDNS-Account hinzufügen oder einen bestehenden Account bearbeiten. Klicken Sie für einen neu konfigurierten Account auf Erstellen, um den Account zur Liste der verfügbaren DynDNS-Accounts hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Accounts klicken Sie auf Speichern, um den neu konfigurierten Account zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Interfaces

Navigieren Sie zu Netzwerk > Interfaces, um Ethernet-, VLAN-, Bridge-, PPP- und WLAN-Interfaces zu konfigurieren. In der Objektleiste erhalten Sie eine Übersicht aller aktuell im System angelegten Interfaces.

Gebündelte Interfaces

Nutzen Sie die Einstellungen unter Gebündelte Interfaces, um mehrere physische Ethernet-Interfaces zu einem logischen gebündelten Interface zu bündeln. Je nach Betriebsmodus bietet ein gebündeltes Interface die folgenden Vorteile:

Lastverteilung – Ein gebündeltes Interface bietet eine größere Bandbreite, indem alle verbundenen Ethernet-Interfaces parallel zur Datenübertragung genutzt werden können.
Hochverfügbarkeit – Falls ein Ethernet-Interface ausfällt, können auf den übrigen Ethernet-Interfaces weiterhin Daten empfangen und übertragen werden.

Sie können eine beliebige Anzahl an gebündelten Interfaces hinzufügen, solange Ethernet-Interfaces verfügbar sind, die nicht durch andere Interfaces oder in anderen Netzwerkverbindungen verwendet werden.

In den folgenden Abschnitten finden Sie weitere Informationen zu gebündelten Interfaces.

Übersicht gebündelte Interfaces

Navigieren Sie zu Netzwerk > Interfaces > Gebündelte Interfaces, um die Liste der derzeit im System angelegten gebündelten Interfaces in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Spalte der Tabelle der Name des gebündelten Interfaces angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – Das gebündelte Interface ist aktiv.
Grau – Das gebündelte-Interface ist inaktiv.

Außerdem werden die Ports (d. h. die Ethernet-Interfaces), die dem gebündelten Interface zugewiesen sind, angezeigt. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes gebündeltes Interface ansehen und anpassen oder ein gebündeltes Interface aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für gebündelte Interfaces

Nutzen Sie die Einstellungen unter Gebündelte Interfaces, um benutzerdefinierte, gebündelte Interfaces zu konfigurieren.

Unter Netzwerk > Interfaces > Gebündelte Interfaces können Sie ein neues gebündeltes Interface hinzufügen oder ein vorhandenes gebündeltes Interface bearbeiten.

Im Bearbeitungsfenster Gebündeltes Interface können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues gebündeltes Interface hinzufügen oder ein bestehendes bearbeiten. Klicken Sie für ein neu konfiguriertes gebündeltes Interface auf Erstellen, um das gebündelte Interface zur Liste der verfügbaren gebündelten Interfaces hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen gebündelten Interfaces klicken Sie auf Speichern, um

3 Benutzeroberfläche

das neu konfigurierte gebündelte Interface zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Bridge-Interfaces

Nutzen Sie die Einstellungen unter Bridge Interfaces, um zwei Interfaces und deren Netzwerke auf Layer 2 zu verbinden, sodass sie eine gemeinsame Broadcast-Domäne ergeben.

In den folgenden Abschnitten finden Sie weitere Informationen zu Bridge-Interfaces.

Übersicht Bridge-Interfaces

Navigieren Sie zu Netzwerk > Interfaces > Bridge Interfaces, um die Liste der derzeit im System angelegten Bridge-Interfaces in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Spalte der Tabelle der Name des Bridge-Interfaces angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – Das Bridge-Interface ist aktiviert.
Orange – Das Bridge-Interface ist deaktiviert.

Außerdem werden die Ports, die dem Bridge-Interface zugewiesen sind, angezeigt. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Bridge-Interface einsehen und anpassen, ein neues Bridge-Interface ausgehend von einer Kopie eines vorhandenen Bridge-Interfaces anlegen, oder ein Bridge-Interface aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen zu Bridge-Interfaces

Nutzen Sie die Einstellungen unter Bridge Interfaces, um benutzerdefinierte Bridge-Interfaces zu konfigurieren.

Unter Netzwerk > Interfaces > Bridge Interfaces können Sie ein neues Bridge-Interface hinzufügen, oder ein vorhandenes bearbeiten.

Im Bearbeitungsfenster Bridge Interface können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues Interface hinzufügen oder ein bestehendes bearbeiten. Klicken Sie für ein neu konfiguriertes Bridge-Interface auf Erstellen, um es zur Liste der verfügbaren Bridge-Interfaces hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Bridge-Interfaces klicken Sie auf Speichern, um das neu konfigurierte Bridge-Interface zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Ethernet-Interfaces

Die physischen Ethernet-Interfaces erhalten die folgenden standardmäßigen IP-Adressen: 192.168.X.254/24 (X steht für die Nummer der Interfaces, die IP-Adresse von eth0 ist also 192.168.0.254).

In den folgenden Abschnitten finden Sie detailliertere Informationen zu Ethernet-Interfaces.

Übersicht Ethernet-Interfaces

Navigieren Sie zu Netzwerk > Interfaces > Ethernet-Interfaces, um die Liste der derzeit im System angelegten Ethernet-Interfaces in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Spalte der Tabelle der Name des Ethernet-Interfaces angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – Das Ethernet-Interface ist aktiv.
Grau – Das Ethernet-Interface ist inaktiv.

Außerdem wird die Geschwindigkeit des Ethernet-Interfaces angezeigt. Mit der Schaltfläche in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Ethernet-Interface einsehen und bearbeiten.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen zu Ethernet-Interfaces

Unter Netzwerk > Interfaces > Ethernet-Interfaces können Sie weiterführende Informationen zu den verfügbaren Ethernet-Interfaces anzeigen und die entsprechenden Einstellungen anpassen.

Im Bearbeitungsfenster Ethernet-Interface können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

3 Benutzeroberfläche

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

PPP-Interfaces

Mit den Einstellungen unter PPP-Interfaces können Sie Interfaces unter Verwendung des Point-to-Point-Protokolls erstellen.

In den folgenden Abschnitten finden Sie detailliertere Informationen zu PPP-Interfaces.

Übersicht PPP-Interfaces

Navigieren Sie zu Netzwerk > Interfaces > PPP-Interfaces, um die Liste der derzeit im System angelegten PPP-Interfaces in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Tabellenspalte der Name des PPP-Interfaces angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – das PPP-Interface ist aktiviert.
Orange – das PPP-Interface ist deaktiviert.

Außerdem wird das Haupt-Interface angezeigt, zu dem das PPP-Interface gehört. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes PPP-Interface einsehen und anpassen, ein neues PPP-Interface ausgehend von einer Kopie eines vorhandenen PPP Interfaces anlegen, oder ein PPP-Interface aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen zu PPP-Interfaces

Nutzen Sie die Einstellungen unter PPP-Interfaces, um benutzerdefinierte PPP-Interfaces zu konfigurieren.

Unter Netzwerk > Interfaces > PPP-Interfaces können Sie ein neues PPP-Interface hinzufügen, oder ein bestehendes bearbeiten.

Im Bearbeitungsfenster PPP-Interfaces können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues PPP-Interface hinzufügen oder ein bestehendes bearbeiten. Klicken Sie für ein neu konfiguriertes PPP-Interface auf Erstellen, um es zur Liste der verfügbaren PPP-Interfaces hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen PPP-Interfaces klicken Sie auf Speichern, um das neu konfigurierte Interface zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VLAN-Interfaces

Mit den Einstellungen unter VLAN-Interfaces können Sie dem Datenverkehr eines bestimmten Interfaces benutzerdefinierte Tags zuweisen.

Dadurch können Sie „virtual interfaces“ anlegen, die es Ihnen ermöglichen, mehrere logische Netzwerkzonen auf ein physisches Interface zu legen. Wenn ein VLAN-Tag einem Netzwerk-Interface zugeordnet wird, wird der Tag an alle ausgehenden Pakete angefügt, die über dieses virtuelle Interface versandt werden und von denjenigen eingehenden Paketen entfernt, die über dieses VLAN empfangen werden. Mit jedem Netzwerk-Interface können mehrere VLANs verknüpft werden. Pakete mit verschiedenen Tags können verarbeitet und den entsprechenden Interfaces zugeordnet werden.

In den folgenden Abschnitten finden Sie detailliertere Informationen zu VLAN-Interfaces.

Übersicht VLAN-Interfaces

Navigieren Sie zu Netzwerk > Interfaces > VLAN-Interfaces, um die Liste der derzeit im System angelegten VLAN-Interfaces in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Tabellenspalte der Name des VLAN-Interfaces angezeigt. Die Spalte Status zeigt einen der folgenden Statusindikatoren an.

Grün – das VLAN-Interface ist aktiviert.
Orange – das VLAN-Interface ist deaktiviert.

Außerdem werden das zum VLAN gehörige Haupt-Interface und der VLAN-Tag angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VLAN einsehen und anpassen, ein neues VLAN-Interface ausgehend von einer Kopie eines vorhandenen anlegen, oder ein VLAN-Interface aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen zu VLAN-Interfaces

Mit den Einstellungen unter VLAN-Interfaces können Sie benutzerdefinierte Tags für das Virtual Local Area Network (virtuelles lokales Netzwerk) konfigurieren, die dem gesamten Traffic an einem bestimmten Interface hinzugefügt werden.

Unter Netzwerk > Interfaces > VLAN-Interfaces können Sie ein neues VLAN-Interface hinzufügen oder ein vorhandenes bearbeiten.

Im Bearbeitungsfenster VLAN-Interface können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues VLAN-Interface hinzufügen oder ein bestehendes VLAN bearbeiten. Klicken Sie für ein neu konfiguriertes VLAN-Interface auf Erstellen, um es zur Liste der verfügbaren VLAN-Interfaces hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen VLAN-Interfaces klicken Sie auf Speichern, um das neu konfigurierte VLAN-Interface zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Unter Netzwerk > QoS können Sie Quality of Service für Ihre Internetverbindungen aktivieren, also für diejenigen Netzwerk- und PPP-Verbindungen, für die Sie ein Standard-Gateway eingerichtet haben.

Quality of Service (QoS) priorisiert die Verarbeitung ausstehender Netzwerkpakete in Ihrer LANCOM R&S ^® Unified Firewall nach Type of Service (ToS)-Flags. So können systemkritische Anwendungen wie beispielsweise Voice over IP (RTP) priorisiert werden.

Als zwingende Voraussetzung für Quality of Service müssen Anwendungen oder Geräte (wie etwa VoIP-Telefonsysteme) das ToS-Feld im IP-Datenpaket setzen. Ihre LANCOM R&S ^® Unified Firewall sortiert die Pakete dann nach dem Wert im ToS-Feld und reiht sie in Warteschlangen mit unterschiedlichen Prioritäten ein. Datenpakete in der Warteschlange mit

der höchsten Priorität werden sofort weitergeleitet. Datenpakete in Warteschlangen mit niedrigerer Priorität werden nur dann weitergeleitet, wenn alle Warteschlangen mit jeweils höherer Priorität bereits bearbeitet wurden.

QoS-Einstellungen

Navigieren Sie zu Netzwerk > QoS > QoS-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Quality of Service-Einstellungen einsehen, aktivieren und anpassen können.

Im Bearbeitungsfenster QoS-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

QoS-Verbindungen

Mit den Einstellungen unter Verbindungen können Sie Quality-of-Service-Verbindungen konfigurieren.

Die hier konfigurierten QoS-Verbindungen werden nur hergestellt, wenn Quality of Service für Internetverbindungen aktiviert wurde. Weitere Informationen finden Sie unter QoS-Einstellungen auf Seite 91.

Weiterführende Informationen zu QoS-Verbindungen finden Sie in den folgenden Abschnitten.

QoS-Verbindungsübersicht

Navigieren Sie zu Netzwerk > QoS > Verbindungen, um die Liste der derzeit im System angelegten QoS-Verbindungen in der Objektleiste anzuzeigen.

In der erweiterten Ansicht zeigen die Tabellenspalten den Namen der Verbindung und die konfigurierten Download- und Upload-Bandbreitenschwellen an. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene QoS-Verbindung einsehen und anpassen oder eine Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für QoS-Verbindungen

Mit den Einstellungen unter QoS-Verbindung können Sie die folgenden Elemente für Quality of Service konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Routing

Nutzen Sie die Einstellungen unter Routing, um Routingtabellen und Routing-Regeln zu konfigurieren.

Über die Routingeinstellungen können Sie benutzerdefinierte Routen anlegen, die genutzt werden, um Computer in einem bestimmten Zielnetzwerk zu erreichen.

Routen zwischen Netzwerkobjekten werden automatisch erstellt und verborgen. Normalerweise müssen Sie keine Routen erstellen, es sei denn, Sie haben einen übergeordneten Router, der spezielle Routen erfordert. Um den Datenverkehr zwischen den Netzwerkobjekten zu beeinflussen, erstellen Sie wie unter Einstellungen für Firewall-Regeln auf Seite 25beschrieben eine Firewall-Regel.

Routing-Regeln

Routing-Regeln legen fest, welche Pakete von welcher Routingtabelle verwaltet werden. Dies ermöglicht ein differenzierteres Routing, da Routing-Regeln mehr Felder des IP-Headers in die Routingentscheidung einbeziehen, während Routingtabellen nur die Ziel-IP-Adresse beachten.

Übersicht Routing-Regeln

Navigieren Sie zu Netzwerk > Routing-Regeln, um die Liste der Routing-Regeln anzuzeigen, die derzeit im System angelegt sind.

Über die Plus-Schaltfläche über den Filtereinstellungen können Sie neue Routing-Regeln anlegen.

Mit den Filtereinstellungen können Sie die Ergebnisse eingrenzen und nur Einträge anzeigen, die einen bestimmten Suchbegriff enthalten. Sie können Inhalte filtern, indem Sie die gewünschten Optionen aus der Drop-down-Liste auswählen und / oder einen Suchbefehl im jeweiligen Eingabefeld eingeben. Klicken Sie auf Anwenden, um die gewählten Filteroptionen anzuwenden. Die Liste der Routing-Regeln zeigt nun Ihre Filterergebnisse an. Klicken Sie auf Zurücksetzen, um die gewählten Filteroptionen wieder zu entfernen und eine ungefilterte Ansicht der Liste der Routing-Regeln anzuzeigen.

Die Tabellenspalten der Liste der Routing-Regeln zeigen die Priorität der jeweiligen Routing-Regel an, die Selektoren, mit denen definiert werden kann, welcher Traffic geroutet wird und ob es sich um eine Systemregel handelt oder nicht. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Routing-Regel einsehen und anpassen oder eine Regel aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Vom System vorgesehene Routing-Regeln können nicht angepasst oder gelöscht werden.

Klicken Sie auf ✗ in der rechten oberen Ecke des Fensters, um das Fenster Routing-Regeln zu schließen.

Einstellungen für Routing-Regeln

Unter Netzwerk > Routing-Regeln können Sie eine neue Routing-Regel hinzufügen oder eine vorhandene bearbeiten.

Im Bearbeitungsfenster Routing-Regel können Sie die folgenden Elemente konfigurieren:

Wenn Sie keinen der Selektoren bestimmen, stimmt der gesamte Datenverkehr mit der Regel überein.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue Routing-Regel hinzufügen oder eine bestehende Regel bearbeiten. Klicken Sie für eine neu konfigurierte Routing-Regel auf Erstellen, um die Regel zur Liste der verfügbaren Routing-Regeln hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Regel abzubrechen. Zum Bearbeiten einer vorhandenen Regel klicken Sie auf Speichern, um die neu konfigurierte Regel zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Routingtabellen

Routingtabellen routen Pakete nach ihrer Ziel-IP-Adresse durch das Netzwerk.

In den folgenden Abschnitten finden Sie weiterführende Informationen zu Routingtabellen.

Übersicht Routingtabellen

Navigieren Sie zu Netzwerk > Routing > Routing-Tabellen, um die Liste der derzeit im System angelegten Routingtabellen in der Leiste mit der Objektliste anzuzeigen.

Entfernen Sie den Haken vor Nur konfigurierbare Tabellen zeigen, um alle Tabellen im System anzuzeigen. Wenn Sie den Haken gesetzt lassen, werden nur diejenigen Tabellen angezeigt, die bearbeitet werden können.

Die folgenden Tabellen sind im System vorhanden:

3 Benutzeroberfläche

Tabelle 254 ist die primäre Routingtabelle. Zu dieser Tabelle können Sie benutzerdefinierte Routen hinzufügen. Die Einträge werden dann für alle bestehenden Routingtabellen übernommen.
Tabelle 255 enthält lokale Routen für alle konfigurierten Interfaces.
Tabellen 1 bis 63 sind für die Verwaltung der Internetverbindungen reserviert.
Tabellen 64 bis 250 sind für Routen mit Quelladresse reserviert und erscheinen während der Einrichtung der Routen mit ihrer Quell-IP-Adresse.
Tabelle 293 ist für den transparenten Proxy reserviert.

In der erweiterten Ansicht zeigen die Tabellenspalten den Namen der Routingtabelle an. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Routingtabelle einsehen und anpassen oder eine Tabelle aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Routingtabellen

Unter Routing-Tabellen können Sie eine neue Routingtabelle hinzufügen, oder vorhandene Routingtabellen bearbeiten.

Im Bearbeitungsfenster Routing-Tabelle können Sie die folgenden Elemente konfigurieren:

Im Bearbeitungsfenster Route bearbeiten können Sie die folgenden Elemente konfigurieren:

Klicken Sie auf OK, um die Routingeinstellungen zu speichern und zum Fenster Routing-Tabelle zurückzukehren.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue Routingtabelle hinzufügen oder eine bestehende Tabelle bearbeiten. Klicken Sie für eine neu konfigurierte Routingtabelle auf Erstellen, um die Tabelle zur Liste der verfügbaren Routingtabellen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten einer vorhandenen Tabelle klicken Sie auf Speichern, um die neu konfigurierte Tabelle zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

3.4.4 Desktop

Die Einstellungen unter 📁 Desktop zeigen eine Liste aller verfügbaren Dienste und der im System definierten Firewall-Regeln an.

Desktopverbindungen

Navigieren Sie zu Desktop > Desktop-Verbindungen, um die Verbindungen zwischen verschiedenen Desktop-Objekten, die im System definiert sind, anzuzeigen und zu bearbeiten.

Übersicht Desktopverbindungen

In der erweiterten Ansicht zeigen die Tabellenspalten die einzelnen Knoten der Desktopverbindung an. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Desktopverbindung einsehen und anpassen, eine neue Desktopverbindung ausgehend von einer Kopie einer bestehenden Desktopverbindung anlegen, oder eine Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Kopierte Desktopverbindungen werden stets zwischen denselben Knoten eingerichtet wie das Original.

Einstellungen für Desktopverbindungen

Wenn Sie eine Desktopverbindung bearbeiten, öffnet sich das Verbindung Fenster. Unter Beschreibung können Sie zusätzliche Informationen zur Desktopverbindung für die interne Verwendung eingeben.

Im Tab Regeln können Sie den Regelsatz für die gewählte Verbindung anpassen. Weitere Informationen zur Erstellung von Firewall-Regeln finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

Im Tab URL- / Content-Filter können Sie den URL- und den Contentfilter für die gewählte Verbindung konfigurieren:

Wenn Sie Anwendungsfilter (siehe Application-Filter auf Seite 114) erstellt haben, können Sie diese für die gewählte Desktopverbindung aktivieren oder deaktivieren. Im Tab Application Filter können Sie den Modus des Anwendungsfilters auf Blacklist oder Whitelist setzen, oder den Application-Filter für jedes gewählte Profil deaktivieren, indem Sie die entsprechende Optionsschaltfläche auswählen.

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Weitere Informationen zu URL-, Content- und Application-Filtern finden Sie unter URL-/Contentfilter auf Seite 123 und Application-Filter auf Seite 114.

Desktop-Objekte

Mit den Einstellungen unter Desktop-Objekte können Sie Ihr Netzwerk durch das Erstellen einzelner Objekte und Objektgruppen für Hosts, Benutzer, VPN- und IP-Bereiche organisieren. Die erstellten Objekte werden als Knoten auf dem Desktop angezeigt und können als Quelle und / oder Ziel einer Verbindung eingesetzt werden, um Firewall-Regeln anzuwenden.

In der Objektleiste erhalten Sie eine nach Typen gruppierte Übersicht aller aktuell im System definierten Desktop-Objekte. Wenn Sie auf einen Eintrag in der Objektleiste klicken, werden das entsprechende Desktop-Objekt und alle Verbindungen, die diesen Dienst verwenden, auf dem Desktop hervorgehoben.

Um ein Desktop-Objekt zu erstellen, klicken Sie auf die Schaltfläche oben im jeweiligen Abschnitt der Objektliste. Alternativ können Sie auch auf das Symbol für das Desktop-Objekt in der Symbolleiste oben auf dem Desktop klicken.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Die nachfolgenden Abschnitte enthalten weitere Informationen zu den verschiedenen Typen von Desktop-Objekten.

Host- / Netzwerkgruppen

Erstellen Sie Desktop-Objekte für Host- und Netzwerkgruppen, die zur Erstellung von Verbindungen zwischen mehreren Hosts, Netzwerken oder anderen Desktop-Objekten (z. B. VPN-Objekten) verwendet werden können. Host- und Netzwerkgruppen können bei der Anwendung von Firewall-Regeln und Webfiltern für mehrere Computer als Quellen bzw. Ziele dienen.

Übersicht Host- / Netzwerkgruppen

Navigieren Sie zu Desktop > Desktop-Objekte > Host-/Netzwerk-Gruppen, um die Liste der Host- und Netzwerkgruppenobjekte, die derzeit im System angelegt sind, in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in der Tabelle der Name des Host- oder Netzwerkgruppenobjekts angezeigt. Anhand der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Host- oder Netzwerkgruppenobjekt einsehen und anpassen, ein neues Gruppenobjekt ausgehend von einer Kopie eines vorhandenen Host- oder Netzwerkgruppenobjekts anlegen oder ein Gruppenobjekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Host-/Netzwerkgruppen

Mit den Host-/Netzwerk-Gruppe-Einstellungen können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues Host- oder Netzwerkgruppenobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren Host- und Netzwerkgruppen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Hosts

Erstellen Sie ein Hostobjekt, das zur Erstellung von Verbindungen zwischen dem Host und weiteren Desktop-Objekten (z. B. VPN-Objekten) verwendet werden kann. Einem Host (z. B. einem Drucker oder einem VoIP-Telefon) kann eine eigene IP-Adresse zugewiesen werden, sodass die Firewall-Regeln speziell darauf angewendet werden können. Weitere Informationen zur Erstellung von Firewall-Regeln finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

Übersicht Hosts

Navigieren Sie zu Desktop > Desktop-Objekte > Hosts, um die Liste der im System angelegten Hostobjekte in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name und die IP des Hostobjekts angezeigt und mit welchem Interface er verbunden ist. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Hostobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen Netzwerkobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Hosteinstellungen

Im Bearbeitungsfenster Host können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld sind davon abhängig, ob Sie ein neues Host-Objekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren Objekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines

3 Benutzeroberfläche

vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Internetobjekte

Erstellen Sie Internetobjekte für Ihre Internetverbindungen. Internetobjekte werden verwendet, um Verbindungen zwischen anderen Desktop-Objekten (z. B. VPN-Objekten) und dem Internet herzustellen.

Übersicht Internetobjekte

Navigieren Sie zu Desktop > Desktop-Objekte > Internet-Objekte, um die Liste der im System angelegten Internetobjekte in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht zeigt die Tabelle den Objekt-Name des Internetobjekts an. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Internetobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen Internetobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Internetobjekte

Im Bearbeitungsfenster Internet-Objekt können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues Internetobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren Internetobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Weitere Informationen zur Erstellung von Internetobjekten finden Sie unter Internetzugang aktivieren auf Seite 16.

IP-Bereiche

Erstellen Sie ein Objekt für einen IP-Adressenbereich, um Hosts nach ihrer Start- und End-IP-Adresse zu gruppieren. Wenn ein DHCP-Server für das gewählte Interface konfiguriert ist, können Sie auch den Adressbereich des DHCP-Servers verwenden.

Übersicht IP-Bereiche

Navigieren Sie zu Desktop > Desktop-Objekte > IP-Bereiche, um die Liste der im System angelegten IP-Bereichsobjekte in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht zeigen die Tabellenspalten den Objekt-Name des IP-Bereichsobjekts an, mit welchem Interface er verbunden ist sowie seine Start-IP und End-IP. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes IP-Bereichsobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen IP-Bereichsobjekts anlegen oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für IP-Bereiche

Mit den IP-Bereich-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie den IP-Adressbereich des DHCP-Servers des gewählten Interface verwenden möchten, klicken Sie auf die Schaltfläche DHCP-IP-Bereich verwenden unten links im Bearbeitungsfenster.

Die Schaltflächen rechts unten im Bearbeitungsfeld sind davon abhängig, ob Sie ein neues IP-Bereichsobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren IP-Bereichsobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Netzwerke

Erstellen Sie ein Netzwerkobjekt, das zur Erstellung von Verbindungen zwischen dem Netzwerk und weiteren Desktop-Objekten (z. B. VPN-Objekten) verwendet werden kann.

Übersicht Netzwerke

Navigieren Sie zu Desktop > Desktop-Objekte > Netzwerke, um die Liste der derzeit im System angelegten Netzwerk-Objekte in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name und die IP des Netzwerkobjekts angezeigt und mit welchem Interface es verbunden ist. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Netzwerkobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen Netzwerkobjekts anlegen oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Netzwerkeinstellungen

Im Bearbeitungsfenster Netzwerk können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld sind davon abhängig, ob Sie ein neues Netzwerkobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren Netzwerkobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Netzwerks klicken Sie auf Speichern, um das neu konfigurierte Netzwerk zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Benutzergruppen

Erstellen Sie Desktop-Objekte für Benutzer, die zum Einsehen aller Benutzer auf dem Desktop und zur Erstellung von Verbindungen zwischen mehreren Benutzern oder anderen Desktop-Objekten (z. B. VPN-Objekten) verwendet werden können.

Übersicht Benutzergruppen

Navigieren Sie zu Desktop > Desktop-Objekte > Benutzergruppen, um die Liste der derzeit im System angelegten Benutzergruppenobjekte in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der Tabelle der Name des Benutzergruppenobjekts angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Benutzergruppenobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen Benutzergruppenobjekts anlegen oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Benutzergruppen

Im Bearbeitungsfenster Benutzergruppe können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld sind davon abhängig, ob Sie eine neue Benutzergruppe hinzufügen oder eine bestehende Gruppe bearbeiten. Klicken Sie für eine neu konfigurierte Gruppe auf Erstellen, um sie zur Liste der verfügbaren Benutzergruppen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten einer vorhandenen Gruppe klicken Sie auf Speichern, um die neu konfigurierte Gruppe zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Benutzer

Erstellen Sie Desktop-Objekte für Benutzer, die zum Einsehen aller Benutzer auf dem Desktop und zur Erstellung von Verbindungen zwischen mehreren Benutzern und anderen Desktop-Objekten (z. B. VPN-Objekten) verwendet werden können.

Mit dem Menü Desktop > Desktop-Objekte > Benutzer können nur Desktop-Objekte für Benutzer erstellt werden, die bereits im System angelegt sind. Weitere Informationen zum Hinzufügen und Verwalten von Benutzern finden Sie unter Benutzerauthentifizierung auf Seite 48.

Übersicht Benutzer

Navigieren Sie zu Desktop > Desktop-Objekte > Benutzer, um die Liste der derzeit im System angelegten Benutzerobjekte in der Objektleiste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Name des Benutzerobjekts und der damit verbundene Benutzername angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Benutzerobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen Benutzerobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Benutzereinstellungen

Im Bearbeitungsfenster Benutzer können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues Benutzerobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren Benutzerobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-Gruppen

Erstellen Sie VPN-Gruppenobjekte, die zur Erstellung von Verbindungen zwischen mehreren VPN-Verbindungen oder anderen Desktop-Objekten (z. B. VPN-Objekten) verwendet werden können, indem ein gemeinsamer Regelsatz auf mehrere VPN-Verbindungen angewandt wird.

Übersicht VPN-Gruppen

Navigieren Sie zu Desktop > Desktop-Objekte > VPN-Gruppen, um die Liste der VPN-Gruppenobjekte, die derzeit im System angelegt sind, in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in der Tabelle der Name des VPN-Gruppenobjekts angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VPN-Benutzergruppenobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen VPN-Benutzergruppenobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für VPN-Gruppen

Mit den VPN-Gruppe-Einstellungen können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld sind davon abhängig, ob Sie ein neues VPN-Gruppenobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren VPN-Gruppenobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-Hosts

Erstellen Sie ein VPN-Netzwerkobjekt, das zur Konfiguration von Firewall-Regeln für Client-to-Site VPN-Verbindungen verwendet werden kann.

Übersicht VPN-Hosts

Navigieren Sie zu Desktop > Desktop-Objekte > VPN-Hosts, um die Liste der VPN-Hostobjekte, die derzeit im System angelegt sind, in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Name des VPN-Hostobjekts, der Typ der VPN-Verbindung und die VPN-Verbindung angezeigt, zu der der VPN-Host gehört, an. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VPN-Hostobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen VPN-Hostobjekts anlegen oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für VPN-Hosts

Im Bearbeitungsfenster VPN-Host können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues VPN-Hostobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren VPN-Hostobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-Netzwerke

Erstellen Sie ein VPN-Netzwerkobjekt, das zur Konfiguration von Firewall-Regeln für Site-to-Site VPN-Verbindungen verwendet werden kann.

Übersicht VPN-Netzwerke

Navigieren Sie zu Desktop > Desktop-Objekte > VPN-Netzwerke, um die Liste der VPN- Netzwerkobjekte, die derzeit im System angelegt sind, in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name des VPN-Netzwerkobjekts, der Typ der VPN-Verbindung und die VPN-Verbindung angezeigt, zu der das VPN-Netzwerk gehört, an. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VPN-Netzwerkobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen VPN-Netzwerkobjekts anlegen oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für VPN-Netzwerke

Im Bearbeitungsfenster VPN-Netzwerk können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues VPN-Netzwerkobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren VPN-Netzwerkobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-Benutzergruppen

Erstellen Sie Desktop-Objekte für VPN-Benutzergruppen, die zur Erstellung von Verbindungen zwischen mehreren Benutzern oder anderen Desktop-Objekten verwendet werden können, indem ein gemeinsamer Regelsatz auf mehrere VPN-Benutzer angewandt wird. VPN-Benutzergruppen werden am VPN-Knoten auf dem Desktop angezeigt.

Übersicht VPN-Benutzergruppen

Navigieren Sie zu Desktop > Desktop-Objekte > VPN-Benutzergruppen, um die Liste der derzeit im System angelegten VPN-Benutzergruppenobjekte in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der Tabelle der Name des VPN-Benutzergruppenobjekts angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VPN-Benutzergruppenobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen VPN-Benutzergruppenobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für VPN-Benutzergruppen

Im Bearbeitungsfenster VPN-Benutzergruppe können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue VPN-Benutzergruppe hinzufügen oder eine bestehende Gruppe bearbeiten. Klicken Sie für eine neu konfigurierte Gruppe auf Erstellen, um sie zur Liste

3 Benutzeroberfläche

der verfügbaren VPN-Benutzergruppen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten einer vorhandenen Gruppe klicken Sie auf Speichern, um die neu konfigurierte Gruppe zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-Benutzer

Erstellen Sie Desktop-Objekte für Benutzer, die in VPN-Verbindungen verwendet werden können. Die VPN-Benutzer werden am VPN-Knoten auf dem Desktop angezeigt.

Mit dem Menü Desktop > Desktop-Objekte > VPN-Benutzer können nur Desktop-Objekte für Benutzer erstellt werden, die bereits im System angelegt sind. Weitere Informationen zum Hinzufügen und Verwalten von Benutzern finden Sie unter Benutzerauthentifizierung auf Seite 48.

Übersicht VPN-Benutzer

Navigieren Sie zu Desktop > Desktop-Objekte > VPN-Benutzer, um die Liste der derzeit im System angelegten VPN-Benutzerobjekte in der Objektleiste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Objekt-Name des VPN Benutzerobjekts und zusätzlich ein Benutzername angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes VPN-Benutzerobjekt einsehen und anpassen, ein neues Objekt ausgehend von einer Kopie eines vorhandenen VPN-Benutzerobjekts anlegen, oder ein Objekt aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für VPN-Benutzer

Mit den VPN-Benutzer-Einstellungen können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues VPN-Benutzerobjekt hinzufügen oder ein bestehendes Objekt bearbeiten. Klicken Sie für ein neu konfiguriertes Objekt auf Erstellen, um es zur Liste der verfügbaren VPN- Benutzerobjekte hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Objekts klicken Sie auf Speichern, um das neu konfigurierte Objekt zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Desktopregeln

Mit den Desktop-Regeln-Einstellungen können Sie die Regeln zur Verwaltung des Netzwerksverkehrs anzeigen und bearbeiten. Weiterführende Informationen zur Erstellung von Firewall-Regeln finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

Navigieren Sie zu Desktop > Desktop-Regeln, um die Liste der im System angelegten Regeln anzuzeigen.

Mit den Filtereinstellungen können Sie die Liste der Regeln eingrenzen und nur Regeln anzeigen, die einen bestimmten Suchbegriff enthalten. Sie können Inhalte filtern, indem Sie die gewünschten Optionen aus der Drop-down-Liste auswählen und / oder eine Sucheingabe im jeweiligen Eingabefeld eingeben. Klicken Sie auf Anwenden, um die gewählten Filteroptionen anzuwenden. Die Liste der Firewall-Regeln zeigt nun Ihre Filterergebnisse an. Klicken Sie auf Zurücksetzen, um die gewählten Filteroptionen wieder zu entfernen und eine ungefilterte Ansicht der Liste der Regeln anzuzeigen.

Die Tabellenspalten der Liste der Regeln enthalten die folgenden Informationen:

Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Verbindung einsehen und bearbeiten. Klicken Sie auf ↗, um den Dialog Verbindung zu öffnen. Weiterführende Informationen zur Erstellung von Firewall-Regeln und zum Bearbeiten von Verbindungen finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25 und Desktopverbindungen auf Seite 95.

Um das Fenster Desktop-Regeln zu schließen und zum Desktop zurückzukehren, klicken Sie auf ✗ in der oberen rechten Ecke des Fensters.

Desktop-Tags

Unter Desktop-Tags können Sie eine Liste von Tags anlegen, die Sie beliebigen Desktopobjekten zuordnen können, mit Ausnahme des Firewall-Rootknotens und der Hauptknoten (z. B. Intranet). Mit diesen Tags können Sie eine gefilterte Desktopansicht anzeigen, um sich nach Ihren Bedürfnissen eine Übersicht Ihres konfigurierten Netzwerks zu erstellen. Weitere Informationen finden Sie unter Desktop auf Seite 21.

Wenn Sie ein Backup einer LCOS FX-Version vor 10.0 wiederherstellen, werden die Ebenen und Regionen, die in dieser Version erstellt wurden, in Tags umgewandelt. Alle Desktop-Objekte, die auf einer Ebene oder Region liegen, werden mit den umgewandelten Tags markiert.

Übersicht Desktop-Tags

Navigieren Sie zu Desktop > Desktop-Tags, um die Liste der im System angelegten Desktop-Tags in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Spalte der Tabelle der Name des Desktop-Tags angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für einen vorhandenen Desktop-Tag einsehen und anpassen, einen neuen Tag auf der Grundlage einer Kopie eines bestehenden Desktop-Tags anlegen oder einen Tag aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Wenn Sie auf einen Eintrag in der Objektleiste klicken, werden das entsprechende Desktop-Objekt und alle Verbindungen, die diesen Dienst verwenden, auf dem Desktop hervorgehoben. Wenn Sie auf den Knoten eines Desktop-Objekts klicken, während die Objektleiste mit den Desktop-Tags offen ist, werden die diesem Desktop-Objekt zugewiesenen Desktop-Tags darin hervorgehoben.

Einstellungen für Desktop-Tags

Unter Desktop > Desktop-Tags können Sie einen neuen Desktop-Tag hinzufügen, oder einen vorhandenen bearbeiten.

Im Bearbeitungsfenster Desktop-Tag können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen Desktop-Tag hinzufügen oder einen bestehenden Tag bearbeiten. Klicken Sie für einen neu konfigurierten Desktop-Tag auf Erstellen, um ihn zur Liste der verfügbaren Desktop-Tags hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen Desktop-Tags klicken Sie auf Speichern, um den neu konfigurierten Tag zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Desktopexport

Navigieren Sie zu Desktop > Exportieren, um einen Bericht über die aktuelle Desktopkonfiguration zu erstellen und diesen auf Ihren Computer zu übertragen.

Im Fenster Exportieren können Sie zwischen den Dateiformaten PDF und HTML wählen, indem Sie die entsprechende Optionsschaltfläche auswählen.

Abbildung 26: Desktopexport – Auswahl des Dateiformats für den Bericht

Die Exportdatei enthält ein Abbild des aktuellen Desktops und eine Tabelle mit allen konfigurierten Firewall-Regeln, inklusive zusätzlicher Informationen wie NAT, DMZ, IP-Adressen der Hostobjekte und dem Inhalt der Beschreibungsfelder der konfigurierten Desktop-Objekte und -verbindungen.

Abbildung 27: Beispiel für einen Desktop-Exportbericht

Desktop-Objekte werden nur mit eingeschlossen, wenn sie mit anderen Desktop-Objekten verknüpft sind.

Klicken Sie auf Exportieren, wenn Sie die Exportdatei erstellen und übertragen möchten. Klicken Sie ansonsten auf Abbrechen, um das Bearbeitungsfenster zu schließen.

Dienste

Navigieren Sie zu Desktop > Dienste, um die Liste der im System angelegten Dienste und Dienstgruppen in der Objektleiste anzuzeigen. Dienste sind Protokolle oder Kombinationen aus Protokollen und Ports, falls die Protokolle Ports wie z. B. TCP und UDP verwenden. Wenn Sie auf einen Eintrag in der Objektleiste klicken, werden das entsprechende Desktop-Objekt und alle Verbindungen, die diesen Dienst verwenden, auf dem Desktop hervorgehoben. Wenn Sie auf ein Objekt auf dem Desktop klicken, werden in der Liste diejenigen Dienste hervorgehoben, die von diesem Objekt verwendet werden.

Um einen benutzerdefinierten Dienst oder eine Dienstgruppe zu erstellen, klicken Sie auf die Schaltfläche ✦ben im entsprechenden Abschnitt der Objektleiste.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Die nachfolgenden Abschnitte enthalten weitere Informationen zu den verschiedenen Typen von Diensten und Dienstgruppen.

Vordefinierte Dienste

Navigieren Sie zu Desktop > Dienste > Vordefinierte Dienste, um die Liste der derzeit im System angelegten vordefinierten Dienste in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name des jeweiligen Dienstes angezeigt, ob der Dienst in einer Verbindung verwendet wird (grün), oder nicht (orange), und – soweit verfügbar – die Ports und Protokolle, die der Dienst verwendet.

Die voreingestellten Dienste stehen zur Verwendung in benutzerdefinierten Firewall-Regeln zur Verfügung (siehe Erstellen einer Firewall-Regel auf Seite 25).

Dienstgruppen

Mit den Dienst-Gruppen-Einstellungen können Sie vordefinierte und benutzerdefinierte Dienste in eine Dienstgruppe einordnen. Somit können Sie ähnliche Regelsätze auf verschiedene Verbindungen anwenden, ohne jeden Dienst einzeln hinzufügen zu müssen.

Übersicht Dienstgruppen

Navigieren Sie zu Desktop > Dienste > Dienst-Gruppen, um die Liste der im System angelegten Dienstgruppen in der Leiste mit der Objektliste anzuzeigen.

In der erweiterten Ansicht werden in der Tabelle der Name der Dienstgruppe und die Anzahl der Dienste in der Gruppe angezeigt. Anhand der Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Dienstgruppe einsehen und anpassen, eine neue Gruppe ausgehend von einer Kopie einer vorhandenen Dienstgruppe anlegen oder eine Dienstgruppe aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Dienstgruppen

Nutzen Sie die Einstellungen unter Dienst-Gruppen, um Dienstgruppen zu konfigurieren.

Unter Desktop > Dienste > Dienst-Gruppen können Sie eine neue Dienstgruppe hinzufügen oder eine vorhandene bearbeiten.

Im Fenster Dienst-Gruppe können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue Dienstgruppe hinzufügen oder eine bestehende Gruppe bearbeiten. Klicken Sie für eine neu konfigurierte Dienstgruppe auf Erstellen, um die Gruppe zur Liste der verfügbaren Dienstgruppen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Dienstgruppe abzubrechen. Zum Bearbeiten einer vorhandenen Dienstgruppe klicken Sie auf Speichern, um die neu konfigurierte Gruppe zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Die hier definierten Dienstgruppen stehen zur Verwendung in benutzerdefinierten Firewall-Regeln zur Verfügung (weiterführende Informationen finden Sie unter Erstellen einer Firewall-Regel auf Seite 25).

Benutzerdefinierte Dienste

Wenn Sie einen Port oder ein Protokoll benötigen, das nicht von einem der vordefinierten Dienste (siehe Vordefinierte Dienste auf Seite 109) abgedeckt ist, können Sie einen benutzerdefinierten Dienst erstellen, der auf eine Verbindung angewandt werden kann.

Navigieren Sie zu Desktop > Dienste > Benutzerdef. Dienste, um die Liste der im System angelegten benutzerdefinierten Dienste in der Objektliste anzuzeigen.

Übersicht benutzerdefinierte Dienste

In der erweiterten Ansicht wird in den Tabellenspalten der Name des jeweiligen Dienstes angezeigt, ob der Dienst in einer Verbindung verwendet wird (grün), oder nicht (orange) und (soweit verfügbar) die Ports und Protokolle, die der Dienst verwendet. Anhand der Schaltflächen in der letzten Spalte können Sie die Einstellungen für einen benutzerdefinierten Dienst einsehen und anpassen, einen neuen Dienst ausgehend von einer Kopie eines vorhandenen benutzerdefinierten Dienstes anlegen, oder einen benutzerdefinierten Dienst aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für benutzerdefinierte Dienste

Unter Desktop > Dienste > Benutzerdef. Dienste können Sie einen neuen benutzerdefinierten Dienst hinzufügen oder einen vorhandenen benutzerdefinierten Dienst bearbeiten.

Im Bearbeitungsfenster Benutzerdefinierte Dienste können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen benutzerdefinierten Dienst hinzufügen oder einen bestehenden bearbeiten. Klicken Sie für einen neu konfigurierten benutzerdefinierten Dienst auf Erstellen, um ihn zur Liste der verfügbaren Dienste hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten eines vorhandenen benutzerdefinierten Dienstes klicken Sie auf Speichern, um den benutzerdefinierten Dienst zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen. Sie können auf Schließen klicken, um das Bearbeitungsfenster zu schließen, solange keine Änderungen darin vorgenommen wurden.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Die hier definierten benutzerdefinierten Dienste stehen zur Verwendung in benutzerdefinierten Firewall-Regeln zur Verfügung (weiterführende Informationen finden Sie unter Erstellen einer Firewall-Regel auf Seite 25).

3.4.5 UTM

Mit den UTM Einstellungen können Sie neue Anwendungsfilterprofile erstellen oder bestehende bearbeiten, URL- und Contentfilter definieren sowie Antivirus-Anwendungen, E-Mail-Sicherheitseinstellungen und Proxies konfigurieren, um Ihr Netzwerk zu schützen.

Antivirus-Einstellungen

Ihre LANCOM R&S®Unified Firewall schützt Ihr internes Netzwerk mit einem integrierten Virenscanner von Avira vor Computerviren.

Der Virenscanner ist in der UTM-Lizenz enthalten. Wenn Sie Ihre LANCOM R&S ^® Unified Firewall das erste Mal starten, läuft der Virenscanner 30 Tage als Testversion. Nach Ablauf dieser Frist wird der Virenscanner automatisch deaktiviert. Weitere Informationen finden Sie unter Lizenz auf Seite 40.

Navigieren Sie zu UTM > Antivirus-Einstellungen, um einen Konfigurationsdialog zu öffnen, in dem Sie die Antivirus-Einstellungen für Ihren Web- und E-Mail-Proxy anzeigen, aktivieren und anpassen können.

Im Fenster Antivirus-Einstellungen können Sie die folgenden Informationen einsehen und konfigurieren:

Scanner

Im Tab Scanner aktivieren oder deaktivieren Sie den Virenscanner für E-Mail, HTTP(S) und FTP und passen die Antivirus-Einstellungen an.

Whitelist

Im Tab Whitelist setzen Sie vertrauenswürdige Hosts und Server auf eine Whitelist. Daten, die von diesen Hosts über HTTP oder FTP übertragen werden sowie E-Mail-Adressen werden nicht auf Viren überprüft.

Geben Sie im Eingabefeld Vertrauenswürdige HTTP / FTP-Quellen die IP-Adresse oder den Domainnamen des vertrauenswürdigen Hosts oder Servers ein.

Um Subdomains einzuschließen, können Sie Platzhalter (* und . für ganze Wörter, ? für einzelne Zeichen) verwenden.

Klicken Sie auf ✝um den Host oder Server zur Liste hinzuzufügen.

Sie können einzelne Einträge in den Listen bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.

Wenn Sie einen Eintrag bearbeiten, erscheint auf der rechten Seite des Eintrags ein Haken. Setzen Sie den Haken im Kontrolkästchen, um Ihre Änderungen zu übernehmen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Klicken Sie auf [→ Export, um Ihre Whitelist in das Dateisystem zu exportieren. Klicken Sie auf →] Import, um eine Whitelist zu importieren.

Um vertrauenswürdige E-Mail-Adressen hinzuzufügen, wählen Sie unter Vertrauenswürdige Mail-Adressen aus den folgenden Optionen aus:

> Sender

Alle von diesen E-Mail-Adressen aus gesendeten E-Mails werden vom Virenscanner ausgeschlossen.

> Empfänger

Alle an diese E-Mail-Adressen gesendeten E-Mails werden vom Virenscanner ausgeschlossen.

> Sender / Empfänger

Alle E-Mails, die von ODER an diese E-Mail-Adresse gesendet werden, werden vom Virenscanner ausgeschlossen.

Klicken Sie auf ✉um die E-Mail-Adresse zur Liste hinzuzufügen.

Sie können einzelne Einträge in den Listen bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.

Wenn Sie einen Eintrag bearbeiten, erscheint auf der rechten Seite des Eintrags ein Haken. Setzen Sie den Haken im Kontrolkästchen, um Ihre Änderungen zu übernehmen.

Update

Im Tab Updates richten Sie automatische Aktualisierungen des Virenscanners ein:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Die Antivirus-Einstellungen für bestimmte Protokolle (HTTP, FTP, E-Mail) werden nur auf Datenverkehr angewandt, der mit einer Regel mit einem für dieses Protokoll aktiven Proxy übereinstimmt. Um einen Proxy zu konfigurieren, navigieren Sie zu den Proxyeinstellungen und erstellen oder bearbeiten Sie eine Firewall-Regel, um den Proxy für das entsprechende Protokoll zu aktivieren (siehe auch HTTP(S)-Proxy-Einstellungen auf Seite 119 und E-Mail Sicherheit auf Seite 115).

Application-Filter

Mit Application-Filtern filtern Sie Datenverkehr im Netzwerk auf der Basis des Verhaltens des Datenstroms. So können Teile einer Anwendung, wie z. B. der Chatfunktion von Skype, systematisch ausgefiltert werden, selbst wenn diese verschlüsselt sind.

In einigen Fällen, z. B. im Fall von Skype, kann der Application-Filter Anwendungen erst einordnen, wenn eine bestimmte Anzahl an Paketen ausgetauscht wurde. Das bedeutet, dass ein Erstkontakt nicht verhindert werden kann. Alle weiteren Pakete werden dann aber blockiert.

Einstellungen für Application-Filter

Mit den Application-Filter-Einstellungen können Sie Filter generell aktivieren oder deaktivieren.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Application-Filter-Profile

Navigieren Sie zu UTM > Application-Filter > Profile, um die Liste der im System angelegten Application-Filter-Profile in der Objektleiste anzuzeigen.

In der erweiterten Ansicht werden in den Tabellenspalten der Name des Profils und die Anzahl der ausgewählten Protokolle und Anwendungen angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes Application-Filter-Profil einsehen und anpassen, ein neues Profil auf der Grundlage einer Kopie eines vorhandenen Profils anlegen oder ein Profil aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Mit den Application-Filter-Profil Einstellungen können Sie die folgenden Optionen konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie ein neues Application-Filter-Profil hinzufügen oder ein bestehendes Profil bearbeiten. Klicken Sie für ein neu konfiguriertes Profil auf Erstellen, um es zur Liste der verfügbaren Profile hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Die hier definierten Application-Filter-Profile stehen zur Verwendung in benutzerdefinierten Firewall-Regeln zur Verfügung, in denen die ausgewählten Protokolle und Anwendungen auf der Blacklist stehen (weiterführende Informationen finden Sie unter Firewall auf Seite 27 und Einstellungen für Desktopverbindungen auf Seite 95).

E-Mail Sicherheit

Unter UTM > E-Mail-Sicherheit können Sie Einstellungen zu Ihren E-Mail- und Spamfiltern vornehmen.

Antispam-Einstellungen

Sie können Ihre LANCOM R&S ^® Unified Firewall konfigurieren, um Ihr System vor Spam-E-Mail zu schützen.

Der Spamfilter ist in der UTM-Lizenz enthalten. Wenn Sie Ihre LANCOM R&S ^® Unified Firewall das erste Mal starten, läuft der Spamfilter 30 Tage als Testversion. Nach Ablauf dieser Frist wird der Spamfilter automatisch deaktiviert. Weitere Informationen zu den Lizenzen finden Sie unter Lizenz auf Seite 40.

Navigieren Sie zu UTM > E-Mail-Sicherheit > Antispam-Einstellungen, um ein Bearbeitungsfenster zu öffnen, in dem Sie die Spamfilter-Einstellungen anzeigen, aktivieren und anpassen können.

Im Fenster Antispam Einstellungen können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Die hier festgelegten Antispam-Einstellungen für das Mailprotokoll werden nur auf Datenverkehr angewandt, der mit einer Regel mit einem für dieses Protokoll aktiven Proxy übereinstimmt. Außerdem muss der Proxy wie unter Einstellungen für Mail-Filter auf Seite 117 beschrieben aktiviert werden.

Einstellungen für Mail-Filter

Unter UTM > E-Mail-Sicherheit > Mailfilter Einstellungen aktivieren Sie den Mailproxy Ihrer LANCOM R&S® Unified Firewall. Sobald Sie den Mailproxy aktiviert haben, können Sie E-Mails nach ihrer Zieladresse filtern. Wenn sie ausgefiltert werden, erreichen diese E-Mails den Empfänger und / oder den Mailserver nicht.

Im Bearbeitungsfenster Mailfilter Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Nur wenn der Mailproxy aktiviert wurde, werden die weiteren Mailfilter-, Antispam- und Antivirus-Einstellungen aktiv. Weitere Informationen finden Sie unter Antispam-Einstellungen auf Seite 115 und Antivirus-Einstellungen auf Seite 111.

Wenn Sie sowohl im Mail-Filter als auch in Firewall-Regeln SSL-Untersuchung verwenden, müssen Sie Ihre Zertifizierungsstelle zum Truststore Ihrer LANCOM R&S® Unified Firewall und Ihrer Clientgeräte hinzufügen.

IDS / IPS

Das Intrusion Detection / Prevention System („IDS/IPS“) pflegt eine Datenbank bekannter Bedrohungen, um die Computer in Ihrem Netzwerk vor einem breiten Spektrum von feindlichen Angriffen zu schützen, Warnmeldungen auszugeben, wenn solche Bedrohungen festgestellt werden, und die Kommunikationsverbindung zu feindlichen Quellen zu beenden. Das System zur Erkennung und Bekämpfung von Netzwerkbedrohungen basiert auf Suricata.

Seine Bedrohungsdatenbank besteht aus einem von ProofPoint bereitgestellten, ausführlichen Regelsatz. Dieser Regelsatz enthält eine Blacklist mit IP-Adressen, Muster zur Erkennung von Malware in Kommunikationsverbindungen, Muster für Netzwerk-Scans, Muster für Brute-Force-Angriffe und mehr. Im IDS-Modus generiert die IDS / IPS-Vorrichtung lediglich Warnmeldungen, wenn eine Regel auf den Datenverkehr zutrifft. Im IPS-Modus generiert die IDS / IPS-Vorrichtung Warnmeldungen und blockiert bösartigen Datenverkehr zusätzlich. Sobald Sie IDS / IPS aktivieren, sind alle Regeln standardmäßig aktiv. Falls Dienste fälschlicherweise im Netzwerk von IDS / IPS blockiert werden, können Sie die IDS / IPS-Vorrichtung so konfigurieren, dass sie die Regel ignoriert, die den falschen Alarm ausgelöst hat. Weitere Informationen zu diesen Kategorien finden Sie unter FAQ Emerging Threats.

Wenn die IDS / IPS-Vorrichtung aktiviert ist, scannt sie durchgehend den gesamten Datenverkehr.

IDS / IPS ist in der UTM-Lizenz enthalten. Wenn Sie Ihre LANCOM R&S ^® Unified Firewall das erste Mal starten, läuft IDS / IPS 30 Tage als Testversion. Nach Ablauf dieser Frist wird IDS / IPS automatisch deaktiviert. Weitere Informationen zu den Lizenzen finden Sie unter Lizenz auf Seite 40.

Navigieren Sie zu UTM > IDS/IPS, um ein Bearbeitungsfenster zu öffnen, in dem Sie die IDS / IPS-Einstellungen anzeigen, aktivieren und anpassen können.

Im Bearbeitungsfenster IDS/IPS können Sie die folgenden Elemente konfigurieren:

Im Tab Regeln legen Sie IDS / IPS-Regeln fest, die ignoriert werden sollen. Fügen Sie beliebig viele Regeln hinzu.

Alternativ können Sie IDS / IPS-Regeln, die ignoriert werden sollen, aus dem Systemprotokoll auswählen und hinzufügen. Weitere Informationen finden Sie unter Systemprotokoll auf Seite 67.

Mit der Schaltfläche Ignorierte Regeln löschen unten links im Bearbeitungsfenster können Sie alle ignorierten IDS / IPS-Regeln gleichzeitig entfernen.

Im Tab können Sie Profile für automatische IDS / IPS-Aktualisierungen erstellen:

Klicken Sie auf Hinzufügen, um das Profil zur Liste hinzuzufügen. Sie können einzelne Einträge in der Liste bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Proxy

Unter UTM > Proxy können Sie die Einstellungen zu HTTP(S)-, E-Mail- und VoIP-Proxys anpassen.

HTTP(S)-Proxy-Einstellungen

Ihre LANCOM R&S ^® Unified Firewall verwendet den Proxy Squid. Dieser Proxy dient als Schnittstelle zum Contentfilter und zum Virenscanner (siehe URL- / Contentfilter auf Seite 123 und Antivirus-Einstellungen auf Seite 111).

Unter UTM > Proxy > HTTP-Proxy-Einstellungen können Sie den HTTP(S)-Proxy Ihrer LANCOM R&S® Unified Firewall konfigurieren.

Der HTTP(S)-Proxy dient als Mittelsmann. Er stellt eine Verbindung zum Webserver her, generiert mithilfe seiner eigenen HTTP(S)-Proxy-CA ein Pseudo-Zertifikat für die Website und verwendet dieses, um eine Verbindung zum Browser herzustellen. So kann der Proxy den Datenverkehr analysieren, URL- und Contentfilter anwenden und nach Viren suchen.

Stellen Sie sicher, dass der DNS-Server Ihrer LANCOM R&S ^® Unified Firewall die Domains, auf die zugegriffen wird, korrekt auflösen kann, wenn der HTTP(S)-Proxy aktiv ist. Importieren Sie außerdem die HTTP(S)-Proxy-CA Ihrer LANCOM R&S ^® Unified Firewall als vertrauenswürdige Zertifizierungsstelle in die Browser aller Clients.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Mail-Proxy-Einstellungen

Mithilfe dieses Mail-Proxy können Sie Ihre LANCOM R&S ^® Unified Firewall als Proxy für E-Mails verwenden.

Unter UTM > Proxy > Mail-Proxy-Einstellungen können Sie den Mail-Proxy Ihrer LANCOM R&S®Unified Firewall Software konfigurieren:

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VoIP-Proxy-Einstellungen

Mithilfe des VoIP-Proxy können Sie Ihre LANCOM R&S ^® Unified Firewall als Proxy für VoIP-Verbindungen verwenden.

Unter UTM > Proxy > VoIP-Proxy-Einstellungen konfigurieren Sie den VoIP-Proxy Ihrer LANCOM R&S ^® Unified Firewall:

Um den VoIP-Proxy zu verwenden, müssen Sie auf Ihren VoIP-Geräten die IP-Adresse Ihrer LANCOM R&S ^® Unified Firewall mit Port 5060 eingeben. Weitere Details finden Sie in der Dokumentation Ihrer VoIP-Endgeräte.

3 Benutzeroberfläche

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Reverse-Proxy

Unter UTM > Reverse-Proxy können Sie die Einstellungen für Backends, Frontends und Reverse-Proxy verwalten.

Ein Reverse-Proxy ist sinnvoll, wenn Sie auf Ihrem eigenen Netzwerk eine öffentliche Website hosten.

Wenn der Reverse-Proxy aktiv ist, nimmt Ihre LANCOM R&S ^® Unified Firewall Anfragen auf diese Website aus externen Netzwerken (z. B. dem Internet) entgegen. Es leitet diese dann entsprechend Ihrer Konfiguration an einen oder mehrere interne Webserver weiter.

Mit dem Reverse-Proxy können Sie mehrere Domains auf einer IP-Adresse hosten. Er dient außerdem zur Lastverteilung und als Ausfallsicherung, wenn Sie mehrere interne Server verwenden.

Reverse-Proxy-Einstellungen

Unter UTM > Reverse-Proxy > Reverse-Proxy-Einstellungen können Sie den Reverse Proxy generell aktivieren oder deaktivieren.

Abbildung 28: Reverse-Proxy-Einstellungen

Backends

Navigieren Sie zu UTM > Reverse-Proxy > Backends, um mindestens ein Backend mit einem Server anzulegen. Ein Backend besteht aus einem oder mehreren internen Webservern, die Ihre Website bereitstellen.

Im Fenster Reverse-Proxy-Backend können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Mit den Schaltflächen unten rechts im Bearbeitungsfenster können Sie Ihre Änderungen verwerfen (Abbrechen), oder ein neues Backend anlegen (Erstellen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Frontends

Navigieren Sie zu UTM > Reverse-Proxy > Frontends, um Ihre Frontends zu konfigurieren.

Um die Konfiguration vorzunehmen, müssen Sie mindestens ein Backend mit mindestens einem Server angelegt haben.

Nachdem Sie ein Backend erstellt haben, können Sie im Reverse-Proxy-Frontend ein Frontend erstellen. Jedes konfigurierte Frontend stellt eine Website mit externer IP-Adresse, Port, Domain und – sofern SSL aktiviert ist – Zertifikat dar.

Im Fenster Reverse-Proxy-Frontend können Sie die folgenden Informationen einsehen und die folgenden Elemente konfigurieren:

Mit den Schaltflächen unten rechts im Bearbeitungsfenster können Sie Ihre Änderungen verwerfen (Abbrechen) oder ein neues Frontend anlegen (Erstellen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

URL- / Contentfilter

URL- und Contentfilter bestimmen, welche Websites für Computer im geschützten Netzwerk erreichbar sind.

Die URL-Filterfunktion Ihrer LANCOM R&S ^® Unified Firewall überprüft Internetadressen (URLs), die im HTTP-Datenverkehr empfangen werden, nach erlaubten und / oder nicht erlaubten Begriffen je nach Einordnung in Black- und Whitelists.

Ein „Blacklist“ Ansatz legt eine Liste von gesperrten Seiten fest und gewährt Zugriff auf alle Seiten, die nicht ausdrücklich verboten sind. Wenn zum Beispiel die URL einer Website auf einer Blacklist steht, wird der Zugriff auf diese Seite gesperrt. Daher wird die URL http://www.amazon.de gesperrt, wenn die Kategorie Ordering unter das Blacklisting fällt.

3 Benutzeroberfläche

Durch eine „Whitelist“ kann der Zugriff auf eine Liste von Seiten begrenzt werden, die speziell für die Benutzung zugelassen wurden, während alle anderen gesperrt sind. Wenn zum Beispiel die Unterkategorie Shopping auf der Sperrliste steht, Sie jedoch den Zugriff auf die URL http://www.amazon.de erlauben möchten, sollten Sie diese URL in eine Whitelist eintragen.

Wenn Websites keine verifizierbaren Begriffe in ihren URLs enthalten, reicht ein URL-Filter allein nicht aus. Daher filtert Ihre LANCOM R&S ^® Unified Firewall auch die HTTP-Datenkommunikation nach dem Inhalt der Websites. Ähnlich wie eine Suchmaschine durchsucht der Contentfilter im Internet verfügbare Websites, analysiert und kategorisiert sie und bereitet die Ergebnisse in einer Datenbank auf.

Um URL- und Contentfilter zu verwenden, wird der HTTP-Proxy benötigt. Die HTTP-Datenkommunikation einer Verbindung kann nur nach URL-Listen und Inhalten gefiltert werden, wenn der HTTP-Proxy bei der Bearbeitung der Regeln für diese Verbindung aktiviert wurde.

Die hier definierten URL- und Contentfilter stehen zur Verwendung in benutzerdefinierten Firewall-Regeln zur Verfügung. Weiterführende Informationen finden Sie unter Einstellungen für Firewall-Regeln auf Seite 25.

Weiterführende Informationen zu URL- / Contentfiltern finden Sie in den folgenden Abschnitten.

Einstellungen für URL- / Contentfilter

Navigieren Sie zu UTM > URL-/Contentfilter > Settings, um die URL- und Contentfilter Ihrer LANCOM R&S® Unified Firewall zu konfigurieren.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Übersicht URL- / Contentfilter

Navigieren Sie zu UTM > URL-/Contentfilter > URL-/Contentfilter, um die Liste der im System angelegten URL- und Contentfilter anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name des Filters und die Anzahl der ausgewählten Einträge in Contentfiltern, Blacklists und Whitelists angezeigt. Mithilfe der Schaltflächen in der letzten Spalte können Sie die

Einstellungen für URL- und Contentfilter einsehen und anpassen, einen neuen Filter auf der Grundlage einer Kopie eines vorhandenen Filters anlegen oder einen Filter aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für URL- / Contentfilter

Mit diesen Einstellungen können Sie die folgenden Optionen konfigurieren:

Content-Filter

Im Abschnitt Content-Filter legen Sie fest, welche Websites für die Benutzer im Netzwerk verfügbar und welche gesperrt sein sollen.

Klicken Sie auf die Schaltfläche ➤ neben einer Kategorie, um ihre Unterkategorien anzuzeigen. Wählen Sie ganze Kategorien oder einzelne Unterkategorien aus, indem Sie die das entsprechende Häkchen setzen. Entfernen Sie das Häkchen neben einer Kategorie oder Unterkategorie, um diese von der Blacklist oder Whitelist zu entfernen. Um die Unterkategorien zu verbergen, klicken Sie auf die Schaltfläche ➤ neben der Kategorie.

URL-Filter

Im Abschnitt URL-Filter können Sie Blacklist- und / oder Whitelistfilter für URLs definieren.

3 Benutzeroberfläche

Um eine Blacklist oder Whitelist zu erstellen, können Sie Suchbegriffe entweder direkt eingeben, oder reguläre Ausdrücke (RegEx) verwenden.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie einen neuen URL- und Contentfilter hinzufügen oder einen bestehenden bearbeiten. Klicken Sie für einen neu konfigurierten URL- und Contentfilter auf Erstellen, um ihn zur Liste der verfügbaren Dienste hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

3.4.6 VPN

Mit den Einstellungen unter VPN können Sie Ihre LANCOM R&S ^® Unified Firewall für die Verwendung als Virtual Private Network-Server konfigurieren, um Client-to-Site (C2S)-VPN-Verbindungen zur Verfügung zu stellen. So können Computer an einem anderen Ort mittels IPsec und VPN-SSL sicher auf Ressourcen im lokalen Netzwerk zugreifen. Durch ein Site-to-Site (S2S) VPN-Gateway kann über das Internet mittels IPsec und VPN-SSL ein sicherer Kommunikationskanal zwischen zwei Remote-Netzwerken aufgebaut werden.

Client-to-Site VPN-Verbindungen

Durch eine Client-to-Site VPN-Verbindung kann das Unternehmensnetzwerk von außen erreicht werden. Die Authentifizierung erfolgt entweder über IPsec mit ausgestellten Zertifikaten, mittels eines so genannten PSK (Pre-Shared Key) oder über VPN-SSL mit Zertifikaten.

Client-to-Site-Verbindungen über IPsec und VPN-SSL können abhängig von den Client-Einstellungen in einem von zwei Modi betrieben werden:

Im Split-Tunnel-Modus wird nur die Kommunikation zwischen dem Client und dem internen Netzwerk (z. B. einem Unternehmensnetzwerk) durch die Firewall geleitet. Clients können Geräte im internen Netzwerk über den Tunnel erreichen. Für andere Ziele (wie das Internet) vorgesehene Pakete werden nicht durch die LANCOM R&S® Unified Firewall geroutet.

Beispiel: Ein Benutzer wählt sich mithilfe eines VPN-Software-Clients per Fernzugriff aus dem Drahtlosnetzwerk eines Hotels in ein Unternehmensnetzwerk ein. Durch Split Tunneling kann der Benutzer sich über die VPN-Verbindung mit Dateiservern, Datenbankenservern, Mailservern und anderen Diensten im Unternehmensnetzwerk verbinden. Verbindet sich der Benutzer mit Internetressourcen (Websites, FTP-Seiten etc.), wird die Verbindungsanfrage direkt über das Gateway des Hotelnetzwerks abgesendet.

Im Full-Tunnel-Modus wird der gesamte Datenverkehr zurück zu Ihrer LANCOM R&S®Unified Firewall geleitet, einschließlich der Kommunikation mit Internetseiten.

Full Tunneling erlaubt es dem Benutzer beispielsweise nicht, über Hotelnetzwerke direkt auf das Internet zuzugreifen. Jeglicher Datenverkehr, der vom Client ausgesendet wird, während die VPN-Verbindung aktiv ist, wird an die Firewall gesendet.

C2S-Verbindungen über IPsec werden mithilfe eines gewöhnlichen VPN-Clients hergestellt, z. B. dem LANCOM Advanced VPN Client. Weitere Informationen finden Sie unter IPsec-Verbindungs-Einstellungen auf Seite 133.

VPN-SSL C2S-Verbindungen werden mithilfe eines gewöhnlichen VPN-Clients hergestellt. Weitere Informationen finden Sie unter VPN-SSL-Verbindungseinstellungen auf Seite 147.

Site-to-Site VPN-Verbindungen

Bei einer Site-to-Site-Verbindung werden zwei Standorte über einen verschlüsselten Tunnel miteinander zu einem virtuellen Netzwerk verbunden und tauschen durch diesen Tunnel Daten aus. Die beiden Standorte können feste IP-Adressen haben. Die Authentifizierung erfolgt entweder über IPsec mit ausgestellten Zertifikaten, mittels eines so genannten PSK (Pre-Shared Key) oder über VPN-SSL mit Zertifikaten.

IPsec

IPsec (Internet Protocol Security) ist ein Satz von Protokollen, der auf Ebene der Vermittlungsschicht oder der Sicherungsschicht arbeitet und den Austausch von Paketen über nicht vertrauenswürdige Netzwerke (bspw. das Internet) sichert, indem er jedes IP-Paket einer Kommunikationssitzung authentifiziert und verschlüsselt. IPsec erfüllt die höchsten Sicherheitsanforderungen.

VPN-SSL

VPN über SSL bietet eine schnelle und sichere Möglichkeit, eine Roadwarrior-Verbindung einzurichten. Der größte Vorteil an VPN-SSL ist, dass der gesamte Datenverkehr über einen TCP- oder UDP-Port läuft und im Gegensatz zu IPsec keine weiteren speziellen Protokolle benötigt werden.

Stellen Sie vor der Einrichtung von VPN-Verbindungen sicher, dass Sie die notwendigen Zertifikate installiert haben, wie unter Zertifikatsverwaltung auf Seite 149 beschrieben.

IPsec

Die IPsec-Protokollsuite (Internet Protocol Security) arbeitet auf der Ebene der Vermittlungsschicht und nutzt die Authentifizierung und Verschlüsselung von IP-Paketen, um die Kommunikation in nicht vertrauenswürdigen Netzwerken abzusichern.

Für eine Site-to-Site-Verbindung über IPsec benötigen Sie zwei VPN-IPsec-fähige Server. Für eine Client-to-Site-Verbindung benötigen Sie separate Client-Software.

Ihre LANCOM R&S ^® Unified Firewall ist in der Lage, mithilfe der IPsec-Protokollsuite sichere Verbindungen aufzubauen und zu nutzen. Ermöglicht wird dies durch ESP im Tunnel-Modus. Der Schlüsselaustausch kann mithilfe von Version 1 des IKE-Protokolls oder des neueren IKEv2 erfolgen. Nach Wahl werden Pre-shared Keys oder Zertifikate nach dem X.509-Standard verwendet. Mit IKEv1 ist auch eine Authentifizierung über XAUTH möglich. Beu IKEv2 gibt es die zusätzliche Authentifizierungsmöglichkeit über EAP.

IPsec-Einstellungen

Unter VPN > IPsec > IPsec-Einstellungen können Sie IPsec aktivieren und die Einstellungen konfigurieren:

Tabelle 3: Allgemein

3 Benutzeroberfläche

Tabelle 4: DHCP-Server

Tabelle 5: RADIUS-Server

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Sicherheits-Profile

Unter VPN > IPsec > Sicherheits-Profile finden Sie eine Liste von vordefinierten Profilen, die Sie mit selbst erstellten Profilen erweitern können.

Die vordefinierten Profile können weder bearbeitet noch gelöscht werden.

Werden verwendete Sicherheits-Profile geändert, können in der erweiterten Listbar alle zugehörigen Verbindungen neugestartet werden. Sicherheits-Profile werden in Vorlagen und Verbindungen gewählt.

Klicken Sie auf ✝um ein neues Sicherheitsprofil hinzuzufügen.

Tabelle 6: Allgemeine Einstellungen

ISAKMP (IKE)

In diesem Tab können Sicherheits-Einstellungen für die IKE-Phase definiert werden. IKE definiert, wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden

Tabelle 7: ISAKMP (IKE)

Die Verschlüsselungsalgorithmen, Authentifizierungsalgorithmen und DH-Gruppen, die hier definier werden, werden beim Aufbau der IPsec-Verbindung verwendet, um eine Verschlüsselungs-Authentifizierungs-Kombination mit der Gegenstelle auszuhandeln. Je mehr Einträge hier definiert werden, desto höher sind die Kombinationsmöglichkeiten.

Die Anzahl der Kombinationsmöglichkeiten ist bei Verwendung von IKEv1 auf etwas über 200 begrenzt. Bei IKEv2 gibt es keine Beschränkung.

IPsec (ESP)

Encapsulating Security Payload (ESP) stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Diese Einstellungen bestimmen somit die Verschlüsselungs- und Authentifizierungsalgorithmen der eigentlichen IP-Pakete.

Klicken Sie auf Erstellen.

Der Dialog Sicherheits-Profil schließt sich. Das neue Sicherheits-Profil wird zur Liste der verfügbaren Sicherheits-Profile in der Objektleiste hinzugefügt.

Virtuelle IP-Pools

Virtuelle IP-Pools können verwendet werden, um verbundenen Clients IP-Adressen-Konfigurationen zu schicken. Die virtuellen IP-Pools können in den Vorlagen und Verbindungen unter dem Tab Tunnel ausgewählt werden.

Unter VPN > IPsec > Virtuelle IP-Pools finden Sie zum einen die vordefinierten und nicht veränderbaren virtuellen IP-Pools für DHCP- und RADIUS-Server, zum anderen den Default Virtual-IP pool, den Sie bearbeiten können. Alternativ klicken Sie auf ✉um einen neuen virtuellen IP-Pool hinzuzufügen.

Die vordefinierten Profile können weder bearbeitet noch gelöscht werden.

Tabelle 9: Virtueller IP-Pool

Klicken Sie auf Erstellen.

Der Dialog Virtueller IP-Pool schließt sich. Der neue Pool wird zur Liste der verfügbaren virtuellen IP-Pools in der Objektleiste hinzugefügt.

Werden verwendete IP-Pools geändert, können in der erweiterten Listbar alle zugehörigen Verbindungen neu gestartet werden.

Vorlagen

Die Verbindungs-Vorlagen können verwendet werden, um Werte für Verbindungen vorzudefinieren, die häufig verwendet werden. Alle Werte außer dem Vorlagen-Namen sind optional und füllen das entsprechende Feld einer auf Basis dieser Vorlage erstellten VPN-Verbindung aus.

Es sind verschiedene Vorlagen vordefiniert, wie z. B. die Vorlage „LANCOM Advanced VPN Client“, um IPsec-Verbindungen mit diesem Client zu vereinfachen. Die Vorlage „(empty)“ kann verwendet werden, falls die Werte einer vorhandenen Verbindungen gelöscht werden sollen.

Die vordefinierten Vorlagen können weder bearbeitet noch gelöscht werden.

Unter VPN > IPsec > Vorlagen können Sie das Fenster IPsec Verbindugs-Vorlage öffnen. Im Fenster IPsec Verbindungs-Vorlage können Sie die folgenden Informationen einsehen und konfigurieren:

Tabelle 10: IPsec Verbindungs-Vorlage

Im Tab Verbindung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 11: Verbindung

Im Tab Tunnel können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 12: Tunnel

Im Tab Authentifizierung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 13: Authentifizierung

Klicken Sie auf Erstellen.

Der Dialog IPsec Verbindugs-Vorlage schließt sich. Die neue Vorlage wird zur Liste der verfügbaren Vorlagen in der Objektleiste hinzugefügt.

IPsec-Verbindungen

Mit Ihrer LANCOM R&S ^® Unified Firewall können Sie Remote-Clients über IPsec (IPsec Client-to-Site) VPN-Zugang verschaffen und einen sicheren Tunnel zwischen zwei Remote-Netzwerken erstellen (IPsec Site-to-Site).

Übersicht IPSec-Verbindungen

Navigieren Sie zu VPN > IPsec > Verbindungen, um die Liste der derzeit im System angelegten IPSec-Verbindungen in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name und der Status der IPSec-Verbindung angezeigt. Des Weiteren zeigen die Spalten die für diese Verbindung gewählte Authentifizierungsmethode an. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine IPsec-Verbindung einsehen und anpassen oder eine Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

IPsec-Verbindungs-Einstellungen

Unter VPN > IPsec > Verbindungen können Sie eine IPsec-Verbindung hinzufügen, oder eine vorhandene Verbindung bearbeiten.

Im Bearbeitungsfenster Verbindung können Sie die folgenden Elemente konfigurieren:

Im Tab Verbindung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 14: Verbindung

Im Tab Tunnel können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 15: Tunnel

Im Tab Authentifizierung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 16: Authentifizierung

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue VPN-IPsec-Verbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Netzwerkverbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren IPSec-Netzwerkverbindungen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Netzwerkverbindung abzubrechen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Einrichtung einer IKEv2 VPN-Verbindung mit dem LANCOM Advanced VPN-Client

Szenario: Die LANCOM R&S® Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
Die Firmenzentrale verfügt über eine LANCOM R&S® Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

graph LR
    A["Unified Firewall"] -->|LAN-Zentrale 192.168.3.0/24| B["Server"]
    A --> C["Internet"]
    C --> D["VPN-Verbindung IKEv2"]
    D --> E["Notebook mit installiertem LANCOM Advanced VPN Client"]
    style A fill:#f9f,stroke:#333
    style E fill:#bbf,stroke:#333

3 Benutzeroberfläche

Konfigurationsschritte auf der LANCOM R&S® Unified Firewall

1. Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN > IPsec > IPsec-Einstellungen
2. Aktivieren Sie IPsec, indem Sie es über den Schiebeschalter oben links einschalten. Speichern Sie diese Änderung.
3. Wechseln Sie auf VPN > IPsec > Verbindungen und klicken auf +, um eine neue IPsec-Verbindung zu erstellen.
4. Speichern Sie die folgenden Parameter:

Name: Vergeben Sie einen aussagekräftigen Namen.

Der Name darf nur Buchstaben, Zahlen und Unterstriche enthalten!

Vorlage: Wählen Sie „LANCOM Advanced VPN Client“.
Netzwerk-Verbindung: Wählen Sie im Dropdown-Menü das WAN-Objekt aus, welches für die Internet-Verbindung verwendet wird.

1. Wechseln Sie zum Reiter Tunnel und hinterlegen folgende Parameter:

Lokale Netzwerke: Hinterlegen Sie das lokale Netzwerk in CIDR-Schreibweise (Classless Inter-Domain Routing), mit dem der VPN-Client kommunizieren soll.
Virtueller IP-Pool: Entfernen Sie mit einem Klick auf das rechte x den voreingestellten virtuellen IP-Pool.

Virtuelle IP: Weisen Sie dem VPN-Client eine IP-Adresse aus dem lokalen Netzwerk zu. Diese IP-Adresse wird dem VPN-Client bei jeder Einwahl über den IKE-Config-Mode zugeteilt.

1. Wechseln Sie zum Reiter Authentifizierung und hinterlegen folgende Parameter:

Authentifizierungstyp: Wählen Sie „PSK (Preshared Key)“ aus.
PSK (Preshared Key): Vergeben Sie einen Preshared Key.
Lokaler Identifier: Bestimmen Sie die lokale Identität.
Remote Identifier: Bestimmen Sie die entfernte Identität.

3 Benutzeroberfläche

Der Local und Remote Identifier dürfen nicht übereinstimmen!

1. Klicken Sie auf Erstellen, um die Verbindung anzulegen.
2. Um einen neuen VPN-Host anzulegen, klicken Sie auf 📄

1. Speichern Sie die folgenden Parameter:

Name: Vergeben Sie einen aussagekräftigen Namen.
VPN-Verbindungstyp: Wählen Sie den Typ IPsec.

3 Benutzeroberfläche

IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPsec die in Schritt 3 auf Seite 136 bis 7 auf Seite 138 erstellte VPN-Verbindung aus.

1. Klicken Sie im VPN-Host auf und klicken anschließend auf das Netzwerk-Objekt, auf welches der LANCOM Advanced VPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

Wiederholen Sie diesen Schritt für jedes weitere interne Netzwerk, auf das der LANCOM Advanced VPN Client Zugriff haben soll.

graph TD
    A["Client_Test"] --> B["VPN"]
    B --> C["Fossil"]
    D["Nachstellung"] --> E["Internet"]
    F["Internet"] --> G["Internet-Benutzergruppe"]
    G --> H["Benutzergenentifizierung"]
    H --> I["Client Test"]
    I --> J["Internet"]
    J --> K["Internet-Benutzergruppe"]
    K --> L["Benutzergenentifizierung"]
    L --> M["Benutzergruppe"]

1. Weisen Sie über ✉lie erforderlichen Protokolle dem VPN-Host zu.

3 Benutzeroberfläche

Eine LANCOM R&S® Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

1. Klicken Sie zuletzt auf √ Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

1. Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.

Konfigurationsschritte im LANCOM Advanced VPN Client:

1. Öffnen Sie den LANCOM Advanced VPN Client und wechseln in das Menü Configuration > Profiles.

1. Klicken Sie auf Add / Import, um einen neuen VPN-Zugang zu erstellen.

1. Wählen Sie Link to Corporate Network Using IPSec.

1. Vergeben Sie einen aussagekräftigen Namen.

1. Wählen Sie das Verbindungsmedium aus.

3 Benutzeroberfläche

Werden wechselnde Verbindungsmediem verwendet (z. B. LAN und WLAN), verwenden Sie die Option automatische Medienerkennung.

1. Geben Sie die öffentliche IP-Adresse oder den DynDNS-Namen der Unified Firewall an.

1. Setzen Sie den Exchange Mode auf „IKEv2“ und die PFS-Group auf „DH16 (modp4096)“. Deaktivieren Sie die Funktion IPsec-over-HTTPS.

1. Speichern Sie die folgenden Parameter:

Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
ID: Hinterlegen Sie den Remote Identifier, vergeben im Schritt 6 auf Seite 137

Shared Secret: Hinterlegen Sie den im Schritt 6 auf Seite 137 vergebenen Preshared Key.

1. Wählen Sie im Dropdown-Menü „IKE Config Mode“ aus, damit dem VPN-Client die IP-Adresse automatisch durch die LANCOM R&S® Unified Firewall zugewiesen wird.

1. Hinterlegen Sie zur Verwendung der Funktion Split Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll.

Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen!

1. Die Konfigurationsschritte im LANCOM Advanced VPN Client sind damit abgeschlossen.

3 Benutzeroberfläche

Zusätzliche Schritte für eine „Parallel“ Lösung

Szenario: Die LANCOM R&S ^® Unified Firewall geht über einen vorgeschalteten Router ins Internet:

Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
Die Firmenzentrale verfügt über eine LANCOM R&S® Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.81.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

graph LR
    A["Unified Firewall"] --> B["Router"]
    B --> C["Internet"]
    C --> D["Notebook mit installiertem LANCOM Advanced VPN Client"]
    A -->|LAN-Zentrale 192.168.3.0/24| E["Computer"]
    B -->|OFFENL IP-Adresse: 81.81.81.81| F["Computer"]
    C -->|VPN-Verbindung IKEv2| G["Internet"]

Bei diesem Szenario muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden.

Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden. Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.

Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die LANCOM R&S® Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden.

1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router > Maskierung. > Port-Forwarding-Tabelle.

1. Speichern Sie die folgenden Parameter:

Anfangs-Port: Hinterlegen Sie den Port 500.
End-Port: Hinterlegen Sie den Port 500.
Intranet-Adresse: Hinterlegen Sie die IP-Adresse der LANCOM R&S® Unified Firewall im Transfernetz zwischen LANCOM R&S® Unified Firewall und dem LANCOM Router.

Protokoll: Wählen Sie im Dropdown-Menü UDP aus.

1. Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.

1. Schreiben Sie die Konfiguration in den Router zurück.

VPN-SSL

VPN über SSL bietet eine schnelle und sichere Möglichkeit, eine Roadwarrior-Verbindung einzurichten. Der größte Vorteil von VPN-SSL ist, dass der gesamte Datenverkehr über einen TCP- oder UDP-Port läuft und keine weiteren speziellen Protokolle benötigt werden.

Ihre LANCOM R&S ^® Unified Firewall ermöglicht es Ihnen, Remote-Clientcomputern einen VPN-Zugang zu gewähren (C2S, „Client-to-Site“), oder eine sichere Verbindung zwischen zwei Remote-Netzwerken (S2S, „Site-to-Site“) über das VPN-SSL-Protokoll herzustellen.

VPN-SSL-Einstellungen

Unter VPN > VPN-SSL > VPN-SSL-Einstellungen können Sie VPN-SSL aktivieren und die allgemeinen Einstellungen dazu auf Ihrer LANCOM R&S® Unified Firewall konfigurieren:

3 Benutzeroberfläche

Im Tab Client-to-Site :

Im Tab Site-to-Site :

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

VPN-SSL-Verbindungen

Unter VPN > VPN-SSL > VPN-SSL-Verbindungen können Sie VPN-SSL-Verbindungen erstellen und verwalten.

Mit Ihrer LANCOM R&S ^® Unified Firewall können Sie Remote-Clients über VPN-SSL (Client-to-Site) VPN-Zugang verschaffen und einen sicheren Tunnel zwischen zwei Remote-Netzwerken erstellen (Site-to-Site).

Übersicht VPN-SSL-Verbindungen

Navigieren Sie zu VPN > VPN-SSL > VPN-SSL-Verbindungen, um die Liste der derzeit im System angelegten VPN-SSL-Verbindungen in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in den Tabellenspalten der Name der VPN-SSL-Verbindung, das für die Verbindung verwendete Zertifikat sowie der Typ und der Status der Verbindung angezeigt. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine VPN-SSL-Verbindung einsehen und anpassen oder eine Verbindung aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

VPN-SSL-Verbindungseinstellungen

Unter VPN >VPN-SSL >VPN-SSL-Verbindungen können Sie eine VPN-SSL-Verbindung hinzufügen, oder eine vorhandene Verbindung bearbeiten.

Mit den Einstellungen unter VPN-SSL-Verbindungen können Sie die folgenden Elemente konfigurieren:

Die angezeigten Elemente in den Einstellungen hängen vom gewählten Verbindungstyp ab:

Bei Client-to-Site-Verbindungen können Sie die folgende Elemente konfigurieren:

Bei Site-to-Site-Verbindungen, bei denen Ihre LANCOM R&S ^® Unified Firewall als Server dient, können Sie die folgenden Elemente konfigurieren:

Bei Site-to-Site-Verbindungen, bei denen Ihre LANCOM R&S ^® Unified Firewall als Client dient, können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue VPN-SSL-Verbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Verbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren VPN-SSL-Verbindungen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

3.4.7 Zertifikatsverwaltung

Mit den Einstellungen unter -Zertifikatsverwaltung können Sie die vom Webclient, vom eingebauten SSL-Proxy und vom OpenVPN-Server verwendeten Zertifikate verwalten, Vorlagen erstellen, die die Erstellung von Zertifikaten vereinfachen und OCSP / CRL-Dienste aktivieren.

Mit LANCOM R&S ^® Unified Firewall können Sie ein Certificate Signing Request (Zertifikatssignierungsanforderung) erstellen und ein solches Certificate Signing Request exportieren, um das Zertifikat z. B. auf einer anderen Firewall zu signieren.

Übersicht Certificate Signing Requests

Navigieren Sie zu Zertifikatsverwaltung > Zertifikats-Requests, um die Liste der derzeit im System angelegten Certificate Signing Requests in der Objektleiste anzuzeigen.

3 Benutzeroberfläche

Mit den Schaltflächen oberhalb der Liste können Sie ein neues Certificate Signing Request erstellen und ein Certificate Signing Request signieren.

In der erweiterten Ansicht zeigt die Objektleiste den Common Name des Certificate Signing Request. Mit den Schaltflächen in der letzten Spalte können Sie ein vorhandenes Certificate Signing Request aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Certificate Signing Requests

Unter Zertifikatsverwaltung > Zertifikats-Requests können Sie ein neues Certificate Signing Request hinzufügen.

Mit Einstellungen unter Zertifikats-Requests erstellen können Sie die folgenden Elemente konfigurieren (einige Felder werden nur für bestimmte Zertifikatstypen angezeigt):

Mit den Schaltflächen rechts unten im Bearbeitungsfeld können Sie ein neues Certificate Signing Request erstellen und es zur Liste der verfügbaren Certificate Signing Requests hinzufügen, oder die Erstellung eines neuen Certificate Signing Requests abbrechen (Abbrechen).

Nachdem Sie ein Certificate Signing Request erstellt haben, werden Sie aufgefordert, dieses als PEM-Datei lokal abzuspeichern.

Signieren eines Certificate Signing Request

Gehen Sie wie folgt vor, um ein Certificate Signing Request zu signieren:

1. Navigieren Sie zu Zertifikatsverwaltung > Zertifikats-Requests.

Die Liste der derzeit im System angelegten Certificate Signing Requests öffnet sich.

1. Klicken Sie auf die Schaltfläche →(Zertifikats-Request signieren) in der Kopfzeile der Objektleiste.

Das Bearbeitungsfenster Sign Certificate Request öffnet sich.

1. Klicken Sie neben dem Request-Datei-Eingabefeld auf Datei auswählen.

Die Suchfunktion des lokalen Datenträgers öffnet sich.

1. Wählen Sie ein Certificate Signing Request im PEM-Format auf dem lokalen Datenträger aus.

2. Klicken Sie auf Öffnen.

Die Suchfunktion des lokalen Datenträgers schließt sich.

3 Benutzeroberfläche

1. Legen Sie unter Gültigkeit den anfänglichen Zeitraum der Gültigkeit des neuen Zertifikats fest. Sie können das Datum im Format MM/TT/JJJJ (zum Beispiel: 04/20/2017) angeben, oder die Datumsauswahl nutzen, um die Gültigkeitsdauer des Zertifikats einzustellen.

Die Gültigkeitsdauer des Zertifikats darf die Gültigkeitsdauer der signierenden Zertifizierungsstelle nicht überschreiten.

1. Wählen Sie unter Signing CA die Zertifizierungsstelle, die für die Signatur des neuen Zertifikats genutzt werden soll, aus der Drop-down-Liste aus. Diese Zertifizierungsstelle nimmt die Funktion der übergeordneten Zertifizierungsstelle ein, die dazu dient, das Zertifikat zu verifizieren oder zu widerrufen.
2. Geben Sie unter CA-Kennwort das Passwort für den privaten Schlüssel der signierenden Zertifizierungsstelle ein. Das Passwort ist notwendig, da die Signatur des öffentlichen Schlüssels für das neue Zertifikat mit dem privaten Schlüssel der signierenden Zertifizierungsstelle erfolgt.
3. Optional: Setzen Sie den Haken im Passwort anzeigen-Kontrollkästchen, um das Passwort für die signierende Zertifizierungsstelle zur Überprüfung anzuzeigen.
4. Klicken Sie auf Signieren, um das Certificate Signing Request zu signieren.

Das Certificate Signing Request wird daraufhin signiert.

Nachdem das Certificate Signing Request signiert wurde, werden Sie aufgefordert, das Zertifikat lokal abzuspeichern. Sie können das Zertifikat auch wie unter Zertifikate auf Seite 152 beschrieben exportieren.

Zertifikate

Mit den Einstellungen unter Zertifikate können Sie die Zertifikate verwalten, die der LANCOM R&S ^® Unified Firewall-Webclient, der integrierte SSL-Proxy und der OpenVPN-Server nutzen.

Um verschlüsselte Verbindungen abzusichern, nutzt Ihre LANCOM R&S ^® Unified Firewall digitale Zertifikate, wie im X.509-Standard beschrieben.

Die LANCOM R&S ^® Unified Firewall selbst agiert als Zertifizierungsstelle (Certification Authority). Daher ist ein so genanntes CA-Zertifikat erforderlich. Um die Verwaltung der Zertifikate zu zentralisieren, ist es empfehlenswert, ein CA-Zertifikat in einer zentralen Firewall zu erstellen und es direkt für die Signatur aller für die Anwendung genutzten Zertifikate zu verwenden. Dies wird als einstufige Zertifizierungskette bezeichnet.

Alle Zertifikate für Anwendungen müssen von der zentralen Firewall signiert werden. Wenn ein Zertifikat für eine andere Firewall benötigt wird, müssen Sie darauf eine Anforderung erstellen. Diese Anforderung muss von der zentralen Firewall signiert werden. Die signierte Anforderung, die Sie erstellt haben, muss von den anderen Firewalls importiert werden, um genutzt werden zu können.

Um die anderen Firewalls dazu zu befähigen, Zertifikate zu erstellen, die zwar hauptsächlich lokalen Zwecken dienen, aber dennoch in Ihrer gesamten Organisation als gültig anerkannt werden, können Sie mehrstufige Zertifizierungsketten einsetzen. Dafür benötigen Sie in Ihrer zentralen Firewall ein so genanntes Root-CA-Zertifikat, mit dem Sie die untergeordneten CA-Zertifikate signieren können. Sie müssen für diese untergeordneten CA-Zertifikate Anforderungen auf Ihren anderen Firewalls erstellen. Nachdem Sie die signierten CA-Zertifikate importiert haben, sind die anderen Firewalls selbst in der Lage, Zertifikate für Anwendungen zu signieren. Um diese Hierarchien übersichtlich darzustellen, zeigt die LANCOM R&S ^® Unified Firewall sie in einer Baumansicht.

Übersicht Zertifikate

Navigieren Sie zu Zertifikatsverwaltung > Zertifikate, um die Liste der derzeit im System angelegten Zertifikate in einem Baumdiagramm nach Zertifizierungsstellen in der Objektleiste anzuzeigen.

Mit den Schaltflächen oberhalb der Liste können Sie ein Zertifikat aus einer Datei importieren oder ein neues Zertifikat erstellen.

Nach dem ersten Hochfahren und nach einer erneuten Installation werden vier Zertifikate standardmäßig angelegt:

In der erweiterten Ansicht zeigt die Objektleiste den Namen des Zertifikats und dessen Abhängigkeit an. Die Schaltflächen hinter den jeweiligen Zertifikaten zeigen den Gültigkeitsstatus und den Typ des Zertifikats an. Außerdem können Sie mithilfe der Schaltflächen Details zu jedem Zertifikat anzeigen lassen, ein Zertifikat durch den Import eines neuen Zertifikats ersetzen, ein Zertifikat exportieren und verifizieren, die Gültigkeit eines Zertifikats temporär aussetzen oder erneuern und das Zertifikat endgültig widerrufen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Zertifikate

Die Einstellungen unter Zertifikate steuern die durch Ihre LANCOM R&S ^® Unified Firewall verwendeten Zertifikate.

Mit der Plus-Schaltfläche +berhalb der Liste mit den Elementen können Sie neue Zertifikate hinzufügen.

Mit den Einstellungen für Zertifikate können Sie die folgenden Elemente konfigurieren (einige Felder werden nur für bestimmte Zertifikatstypen angezeigt):

Mit den Schaltflächen rechts unten im Bearbeitungsfeld können Sie ein neues Zertifikat erstellen und zu der Liste der verfügbaren Zertifikate hinzufügen oder die Erstellung eines neuen Zertifikats abbrechen (Abbrechen).

Zertifikatstypen

LANCOM R&S ^® Unified Firewall bietet bei der Erstellung eines neuen Zertifikats verschiedene Zertifikatstypen zur Auswahl an.

OCSP / CRL

Aktivieren Sie die OCSP- bzw. CRL-Dienste, um es Clients zu ermöglichen, die Gültigkeit von durch die zentrale Firewall ausgestellten Zertifikaten zu überprüfen.

Wenn Mitarbeiter das Unternehmen verlassen oder ein privater Schlüssel verloren geht, muss das dazugehörige Zertifikat gesperrt werden, um die Sicherheit des Unternehmens zu gewährleisten. Dies muss auf der Firewall erfolgen, welche das Zertifikat ausgestellt hat. Die Löschung des Zertifikats auf der ausstellenden Firewall beinhaltet immer auch den Widerruf des Zertifikats. Um den Status eines Zertifikats für andere Firewalls abrufbar zu machen, bietet die LANCOM R&S ^® Unified Firewall zwei separate Dienste:

OCSP (Online Certificate Status Protocol) – Die Remote-Firewall fordert den Status des Zertifikats von der ausstellenden Firewall dann an, wenn das Zertifikat benötigt wird.
CRL (Certificate Revocation List) – Die Firewall kann in festgelegten Intervallen statische Widerrufslisten bereitstellen, die von Remote-Firewalls heruntergeladen werden können. Die Anwendung muss dann nur noch prüfen, ob die aktuelle CRL das Zertifikat als gesperrt auflistet.

Um OCSP bzw. CRL zu nutzen, müssen die Dienste generell einmalig mit den notwendigen Einstellungen aktiviert werden. Bei der Erstellung oder Erneuerung einer CA müssen Sie angeben, ob OCSP- und / oder CRL-Anfragen gesendet werden sollen und unter welchen Adressen (URLs) diese Dienste angeboten werden sollen. Diese Optionen werden in den Zertifikaten selbst gespeichert, sodass Anwendungen oder Remote-Firewalls wissen, wo der Status eines Zertifikats zu prüfen ist. Weitere Informationen finden Sie unter Zertifikate auf Seite 152.

Mit den OCSP/CRL-Einstellungen können Sie die folgenden Elemente konfigurieren:

Wenn Sie diese Einstellungen ändern, klicken Sie zum Speichern Ihrer Änderungen auf Speichern oder auf Zurücksetzen, um sie zu verwerfen. Klicken Sie ansonsten auf Schließen, um das Bearbeitungsfenster zu schließen.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

Vorlagen

Zur vereinfachten Erstellung neuer Zertifikate können Sie Vorlagen nutzen, um die Eingabefelder für den Distinguished Name und den Subject Alternative Names automatisch auszufüllen.

Übersicht Vorlagen

Navigieren Sie zu Zertifikatsverwaltung > Vorlagen, um die Liste der derzeit im System angelegten Vorlagen in der Objektleiste anzuzeigen.

In der erweiterten Ansicht zeigen die Tabellenspalten den Namen und die Einstellungen der Vorlage. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für eine vorhandene Vorlage einsehen und anpassen, eine neue Vorlage ausgehend von einer vorhandenen anlegen, oder eine Vorlage aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Einstellungen für Vorlagen

Im Bearbeitungsfenster Vorlagen können Sie die folgenden Elemente konfigurieren:

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue Vorlage hinzufügen oder eine bestehende bearbeiten. Klicken Sie für eine neu konfigurierte Vorlage auf Erstellen, um sie zur Liste der verfügbaren Vorlagen hinzuzufügen, oder auf Abbrechen, um Ihre Änderungen zu verwerfen. Zum Bearbeiten einer vorhandenen

Vorlagen klicken Sie auf Speichern, um die neu konfigurierte Vorlage zu speichern, oder auf Zurücksetzen, um Ihre Änderungen zu verwerfen.

Vertrauenswürdige Proxy-CAs

Navigieren Sie zu Zertifikatsverwaltung > Vertrauenswürdige Proxy CAs, um die Liste der derzeit im System angelegten benutzerdefinierten und System-Zertifizierungsstellen, denen der SSL-Proxy für externe Verbindungen vertraut, in der Objektleiste anzuzeigen.

In der erweiterten Ansicht wird in der ersten Tabellenspalte der Name des CA-Zertifikats angezeigt. Mit den Schaltflächen in der letzten Spalte können Sie die Einstellungen für ein vorhandenes CA-Zertifikat einsehen oder ein CA-Zertifikat aus dem System löschen.

Weitere Informationen finden Sie unter Symbole und Schaltflächen auf Seite 23.

Um eine benutzerdefinierte CA an Ihre LANCOM R&S® Unified Firewall zu senden, klicken Sie auf die (Import)-Schaltfläche in der Kopfzeile der Objektleiste, wählen Sie die gewünschte PEM-Datei aus, öffnen Sie sie und klicken Sie auf Importieren. Das importierte benutzerdefinierte Zertifikat wird zur Liste verfügbarer vertrauenswürdiger Proxy-CAs hinzugefügt.

Klicken Sie auf √ Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.

3.4.8 Diagnose-Tools

Navigieren Sie zum Menü ✿ Diagnose-Tools, um Diagnose-Tools zu nutzen, falls Probleme in der Kommunikation zwischen der LANCOM R&S® Unified Firewall und anderen Geräten auftreten.

Nutzen Sie die Diagnose-Tools, um zu prüfen, ob Ihre LANCOM R&S ^® Unified Firewall mit einem Computer oder einem anderen Gerät mit einer bestimmten Netzwerkadresse kommunizieren kann (Ping), oder um den Weg einer Mitteilung durch das Netzwerk zu verfolgen (Traceroute).

Um eine diagnostische Analyse zwischen verschiedenen Zonen zu ermöglichen, muss eine Firewall-Regel mit dem ICMP-Protokoll oder der ICMP-Ping-Anwendung in der entsprechenden Richtung aktiv sein.

In den folgenden Abschnitten finden Sie detailliertere Informationen zu Netzwerk-Tools.

Ping

Navigieren Sie zu Diagnose-Tools > Ping, um über den Befehl ping zu prüfen, ob Ihre LANCOM R&S ^® Unified Firewall mit einem Computer oder einem anderen Gerät mit einer bestimmten Netzwerkadresse kommunizieren kann.

Ping ist ein Diagnose-Tool, das dauerhaft ein Ping-Signal an ein Ziel sendet, um zu prüfen, ob dieses Ziel Daten empfangen kann. Mit dem Ping-Befehl können Sie Kommunikationsprobleme beheben, indem Sie die Konnektivität zwischen Ihrer LANCOM R&S ^® Unified Firewall und dem Remote-Gerät prüfen.

Im Bearbeitungsfenster Ping können Sie die folgenden Elemente konfigurieren:

Klicken Sie auf Starten, um den Ping zu starten. Im Bereich Ausgabe wird der Ausgang des Ping– Befehls angezeigt. Wenn das andere Gerät auf den Ping antwortet, kann Ihre LANCOM R&S ^® Unified Firewall das Gerät erreichen.

Mit der Schaltfläche Schließen unten in dem Fenster können Sie das Fenster schließen und zur kompletten Übersicht Ihres gesamten konfigurierten Netzwerks zurückkehren.

Traceroute

Navigieren Sie zu Diagnose-Tools > Traceroute, um den Befehl traceroute zu nutzen, um den Weg einer Mitteilung durch das Netzwerk zu verfolgen.

Von Ihrer LANCOM R&S ^® Unified Firewall gesendete Pakete können auf dem Weg zu ihrem endgültigen Ziel mehrere andere Geräte durchlaufen. Dies kann das genaue Orten eines Verbindungsproblems erschweren. Mithilfe des traceroute-Befehls können Sie die Route verfolgen, die Pakete von Ihrer LANCOM R&S ^® Unified Firewall bis zu einem bestimmten Host einschlagen.

Mit den Traceroute-Einstellungen können Sie die folgenden Parameter konfigurieren:

Klicken Sie auf Starten, um Tracerouting zu starten. Die Liste der auf dem Weg durchlaufenen Gateways wird im Bereich Ausgabe angezeigt.

Mit der Schaltfläche Schließen unten in dem Fenster können Sie das Fenster schließen und zur kompletten Übersicht Ihres gesamten konfigurierten Netzwerks zurückkehren.