Watchguard Firebox Regelwerk

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watxchguard Firebox Regelwerk und Policies

Funktionsweise des WatchGuard Firebox Regelwerks

Die WatchGuard Firewall prüft jede neu anstehende Verbindung von einem IP-Gerät auf der einen Seite der Firewall zu einem IP-Gerät auf der anderen Seite der Firewall. Dabei werden zunächst die Header der IP-Pakete untersucht: Quell-Port, Ziel-Port, verwendetes Protokoll (TCP, UDP, ICMP etc.), Quell-IP-Adresseund Ziel-IP-Adresse.

Automatische Regelreihenfolge (Policy Precedence)

Watchguard Quick Setup Wizard PoliciesPolicy Precedence ist die Reihenfolge, in der die Firebox den Netzwerkverkehr untersucht und ihre Regeln anwendet. Die Firebox sortiert die Richtlinien automatisch von der detailliertesten bis hin zur allgemeinsten Policy. Dann vergleicht die Firebox die IP-Paket-Informationen von oben nach unten gegen die Liste der Regeln. Die erste Regel in der Liste deren Bedingungen zum Pakets passt, wird auf das Paket angewendet. Wenn das Paket zwei Richtlinien entspricht, nimmt eine Proxy-Policy immer Vorrang vor einem Paketfilter.

Die Firewall durchforstet also das Regelwerk von oben nach unten. Nacheinander wird jede einzelne Regel geprüft, ob der Traffic deren Kriterien erfüllt - so lange bis die erste Übereinstimmung gefunden wird. Genau diese Regel wird dann ausgeführt. Gibt es nachfolgend im Regelwerk eine andere Regel, auf die ebenfalls das Paket erlauben würden, wird diese Regel aber niemals erreicht oder ausgeführt. Wird eine passende Regel gefunden, so wird die Verbindung zugelassen und in die Session Table der Firewall eingetragen. Nachfolgende Pakete in der gleichen Session werden dann automatisch von der Firewall durchgelassen und nicht noch einmal geprüft. (Eine Ausnahme sind Proxy Regeln mit Application Control, welche eine zusätzliche Kontrolle des IP-Paket-Inhalts vornehmen).

Watchguard Policy automatische Reihenfolge Die Firebox gibt automatisch der spezifischsten Regel die höchste Priorität und die niedrigste Priorität der am wenigsten spezifischen Regel. Die Firebox bestimmt die Spezifität nach den Kriterien in der folgenden Reihenfolge. Wenn die Firebox die Priorität nicht am ersten Kriterium bestimmen kann, sucht sie im zweiten Kriterium und so weiter.

1. Policy Spezifität und Protokolle des Richtlinientyps

Die Firebox verwendet diese Kriterien um zwei Regeln zu vergleichen, bis feststeht , dass die Regeln gleich sind, oder dass eine detaillierter ist, als die andere.

  1. Eine "ANY" Regel hat immer die niedrigste Priorität.
  2. Eine Regel mit der geringeren Anzahl von TCP 0 (ANY) oder UDP 0 (ANY) Protokollen hat eine höhere Priorität.
  3. Eine Regel mit der geringeren Anzahl an eindeutigen TCP- und UDP-Protokollen hat eine höhere Priorität.
  4. Eine Regel mit der geringeren Anzahl an eindeutigen TCP und UDP-Ports hat eine höhere Priorität.
  5. Eine Regel mit der mit der kleineren Summe der IP-Protokoll-Werte hat eine höhere Priorität.

Wenn die Firebox den Vorrang nicht festgelegen kann, indem sie die Spezifität und Protokolle vergleicht, prüft sie als nächstes die Verkehrsregeln (traffic).

2. Traffic Regeln der Liste "FROM"

Die Firebox verwendet diese Kriterien um die allgemeinste Adressierung einer Quelladresse mit der allgemeinsten Adressierung der Quelladresse einer zweiten Regel zu vergleichen. Die hierbei eingeschränkteste Regel erhält die höchste Priorität.

  1. Watchguard Policy Quelladresse From, Zieladresse To Host Adresse
  2. IP Adressbereich (kleiner als das verglichene Subnetz)
  3. Subnetz
  4. IP Adressbereich (größer als das verglichene Subnetz)
  5. Benutzeranmeldenamen
  6. Gruppenanmeldenamen
  7. Interface der Firebox
  8. ANY-Extern, ANY-Trusted, ANY-Optional
  9. ANY

3. Traffic Regeln der Liste "TO"

Selbes Vorgehen für die Zieladressen wie zuvor in der Liste der Quelladressen. Wenn die Firebox den Vorrang nicht festgelegen kann, prüft sie anschließend die Firewall-Aktionen.

4. Firewall Aktion (erlaubt, verweigert) der Regel.Watchguard Firewall Aktionen (Firewall actions)

Die Firebox vergleicht die Firewall-Aktionen von zwei Richtlinien um einen Vorrang zu setzen. Die Festlegung der Präzedenz der Firewall-Aktionen erfolgt wieder von der höchsten zur niedrigsten:

  1. Denied oder Denied (send reset)
  2. Allowed proxy policy
  3. Allowed packet-filter policy

5. Zeitpläne der Regel

Die Firebox vergleicht die Zeitpläne zweier Richtlinien um den Vorrang zu setzen. Präzedenz der Zeitpläne von der höchsten zur niedrigsten:

  1. Always off
  2. Sometimes on
  3. Always on

6. Alphanumerische Reihenfolge basierend auf Richtlinientyp und Richtliniennamen

Wenn die beiden Richtlinien immer noch keinen Vorrang haben, sortiert die Firebox die Policies in alphanumerischer Reihenfolge. Zuerst wird der Richtlinientyp verwendet, dann der Name der Richtlinie. Da keine zwei Richtlinien vom gleichen Typ sein können und den gleichen Namen haben können, ist dies das letzte Vorrangskriterium.

Die unsichtbare DENY Regel

Jeder Datenverkehr, der nicht durch eine Firewall-Regel zugelassen ist, wird am Schluss des Durchlaufs von einer vorgegebenen DENY-Regel verweigert. Je nachdem, ob der Verbindungsaufbau von "internal" oder "external" erfolgt, erscheint im Traffic Monitor und im Log ein "Unhandled Internal Packet" oder ein "Unhandled External Packet", weil im Policy Manager bei "Setup" -> "Default Threat Protection" -> "Default Packet Handling" -> "Logging" der Haken "Send Log message" bei "Unhandled Internal Packet" und "Unhandled External Packet" gesetzt ist.

Watchguard Firebox: unhandled internal packets, unhandled external packets

Das Logging kann durch Entfernen des Hakens abgeschaltet werden, aber dann kann man im Traffic Monitor kein Fehlverhalten von Geräten oder falsche Konfigurationen im LAN erkennen. Die Anzeige der Denied Packets wird genutzt, um den Bedarf und die wahrscheinlichste Konfiguration für neue Regeln zu erkennen. Lässt sich ein bestimmtes Aufkommen von Unhandled Packets nicht vermeiden (z.B. Port 137/udp oder DHCP Anfragen) kann man eine entsprechende Firewall-Regel konfigurieren, die den Verkehr möglichst detailliert beschreibt, verbietet "Denied" und das Logging ausschaltet. Im Regelwerk werden Deny-Regeln mit einem roten X angezeigt. Wie oben gezeigt setzt sich eine DENY-Regel automatisch oberhalb einer ALLOW-Regel für den gleichen Port, das gleiche Protokoll und die gleichen Hosts und wird also früher abgearbeitet.

Das Quick Setup Wizard Regelwerk und die TCP-UDP-Outgoing-Regel

Der Quick Setup Wizard erzeugt bei der Ersteinrichtung der WatchGuard Firebox eine Basiskonfiguration, welche neben den vergebenen IP-Adressen auch fünf Richtlinien (TCP-UDP-Outgoing, FTP-Filter, Ping, Watchguard und Watchguard Web UI) enthält. Eingehender Verkehr (incoming) ist nicht erlaubt:

TCP-UDP-Outgoing Regel des Quick Setup Wizard

Sie können diese Grundkonfiguration im Policy Manager ändern. Aus Sicherheitsgründen sollten Sie dies auch sorgsam tun und sehr genau definieren, welcher ausgehende Datenverkehr zulässig ist und diesen auf IP- und Benutzer-Ebene auf das absolute Minimum beschränken. Neue Firewall-Regeln werden dazu ins Regelwerk aufgenommen und so weit wie möglich einschränkt. Ein gutes Firewall-Regelwerk wächst dadurch auf 30 Regeln, teilweise aber auch auf 300 und mehr Regeln an. Das erstellte Regelwerk wird aber nur dann wie beabsichtigt funktionieren, wenn die vom Quick Setup Wizard erstellte Outgoing-Regel auf "disabled", "denied" gesetzt oder ganz gelöscht wird, denn das Regelwerk wird wie gezeigt von oben nach unten abgearbeitet. Jeder durch eine Regel erlaubte Verkehr zählt. Solange unten also die globale Outgoing-Regel steht, nützen die Einschränkungen in den Regeln weiter oben gar nichts. Der Verkehr geht trotzdem über die TCP-UDP-Outgoing-Regel nach außen.

Verbieten der Outgoing Regel

Manuelle Regelreihenfolge

Watchguard Firebox Auto-Order-Mode / Malnual-Order-ModeSie können eine manuelle Regelreihenfolge auswählen und den Regel-Vorrang für die Firebox dann selbst setzen. In den meisten Fällen ist dies jedoch bei einer Firebox nicht nur unnötig, sondern sogar eher unübersichtlicher.

Zum Umschalten auf die manuelle Regelreihenfolge im Policy Manager:

  1. Wählen Sie "View" -> "Auto-Order-Mode". Der Haken verschwindet und eine Bestätigungsmeldung wird angezeigt.
  2. Klicken Sie "Yes" um zu bestätigen, dass Sie in den Manual-Order-Mode wechseln möchten. Wenn Sie gewechselt haben, sehen Sie im Policy Manager Änderungen in der "Details"-Ansicht. Sie können die Reihenfolge der Richtlinien nicht ändern, wenn Sie sind im "Large Icon View" sind.
  3. Wählen Sie nun eine Regel und ziehen Sie diese an eine neue Position oder wählen Sie die Regelnummer aus und geben dieser dann die Nummer für den neuen Standort. Sie können auch die Auf- und Abwärtspfeile rechts oben auf der Symbolleiste "Policy Order" benutzen.

Policy Actions

Watchguard Policy ActionsIn der "Details"-Ansicht werden die Regel-Maßnahmen in Symbolen in der zweiten Spalte der Liste angezeigt. Auch ob die Policy ein Paketfilter oder eine Proxy ist, sowie die Einstellungen, welche für die Richtlinie konfiguriert sind. Um Details über die Symbole zu sehen, die in der Spalte "Action" für eine Policy erscheinen, können Sie mit der Maus über die Symbole fahren und eine Liste der aktivierten Aktionen und Definitionen anzeigen lassen.

Gepanet GmbH Ihr Watchguard One Gold Partner

Gepanet GmbH ist Watchguard Gold PartnerGepanet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein Watchguard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Deshalb können wir ein sehr breites Spektrum an Firewall-Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und VPN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei Gepanet GmbH und gewinnen Sie das gutes Gefühl mit Ihrer IT-Sicherheit zurück.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard XTM oder XCS Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard XTM Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für Watchguard Geräte, die nicht bei uns gekauft wurden.)

Watchguard Firewall   Beschreibung
Watchguard Firebox T10
Watchguard Firebox T10-W
Watchguard Firebox T10-D

Watchguard Firebox T10

Die Watchguard Firebox T10 sichert remote Netzwerke, die bisher keine ausreichende Sicherheit hatten. Ideal für kleine Büros / Home Office und Filialen mit bis zu 15 Benutzer. Die Firebox T10-W unterstützt Wireless, die T10-D aDSL / vDSL.
Watchguard Firebox T30 T30-W
Watchguard Firebox T50 T50-W

Watchguard Firebox T30 25 Benutzer
Watchguard Firebox T50  40 Benutzer
Firebox T30-W / T50-W: WLAN 802.11 a/g/n/ac.
kleine Büros / Home Office / Einzelhandel
Watchguard Firebox M200

Watchguard Firebox M300

Watchguard Firebox M400

Watchguard Firebox M440

Watchguard Firebox M500

Watchguard Firebox M400 / M500

Watchguard Firebox M200   60 Benutzer  515 Mbps
Watchguard Firebox M300  150 Benutzer  800 Mbps
Watchguard Firebox M400  350 Benutzer 1,4 Gbps
Watchguard Firebox M500  750 Benutzer 1,7 Gbps
Watchguard Firebox M440  750 Benutzer 24+2 Ports
Watchguard Firebox M4600

Watchguard Firebox M5600

Watchguard Firebox M4600  3000 Benutzer
40Gbps FW / 9Gbps AV


Watchguard Firebox M5600  12000 Benutzer
60 Gbps FW / 12 Gbps AV

Watchguard AccessPoints
Watchguard AP100 WAP
Watchguard AP102 WAP
Watchguard AP200 WAP
Watchguard AP300 WAP

Unter WSM zentral administrierbare Watchguard WLAN Access Points mit hoher Firewall-Sicherheit.
Watchguard AP100 und Watchguard AP200. Wetterfester Watchguard AP102 für Outdoor. Watchguard AP300 mit 802.11ac
Watchguard XTMv
XTMv Small Office, Medium Office
XTMv Large Office, Datacenter

Watchguard XTMv Firwall als virtuelle Maschine

Watchguard XTMv virtuelle Firewall für VMware Hypervisor. Hohe Netzwerksicherheit und Schutz für Anwendungen und Daten.
Watchguard LiveSecurity

WatchGuard APT Blocker

WatchGuard Dimension

Watchguard LiveSecurity Service LSS Watchguard Live Security: Support und Software-Updates.
Watchguard APT Blocker: Abwehr für Advanced Persistent Threats
Watchguard Dimension: Kostenfreie Visualisierung und optionale Verwaltung über Dimension Command
Watchguard System Manager
WSM

Watchguard System Manager zentrale Verwaltung

Zentrale Verwaltung der WatchGuard Produkte. Die Konfiguration und VPN Struktur wird zentral und einfach verwaltet und verteilt. Das erspart Fehlersuche und Systempflege.
Watchguard Training, Schulung

Watchguard Support

Training, Schulung, Workshops, Consulting, Inbetriebnahme, Regeländerungen, Problembehebung, ganze einfach mit Gepanet GmbH.
Watchguard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller ablösen und mit Watchguard Trade-In zur supergünstigen Firewall?

Gepanet GmbH >> Services >> Tipps und Tricks >> Watchguard Firebox Regelwerk

Gepanet GmbH ist Watchguard Gold Partner
Watchguard Dimension Installation

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Fax: +49 8382 9479 826
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben