Firewall konfigurieren: Perfekt geregelt!

Bevor Sie die Regeln implementieren können, müssen Sie die Firewall erst vorbereiten. Leider sind die meisten Firewalls ab Werk so konfiguriert, dass eine Menge Dienste offen sind. Schließen Sie alle Dienste, so dass keine Daten durch die Firewall kommen. Diese – komplett geschlossene Firewall – ist die Basis auf der alle weiteren Arbeiten aufbauen.

Ein Wort noch zur Bestimmung „alle LAN-Nutzer dürfen uneingeschränkt auf das Internet zugreifen“: Diese Regel ist nicht sicher und wird deshalb in der folgenden Konfiguration dahingehend aufgelöst, dass die LAN-Nutzer Zugriff auf die Dienste erhalten, die sie auch wirklich brauchen. In diesem Fall sind dies DNS, HTTP, SMTP und POP.

Die Regeln folgen nun in der Reihenfolge, wie sie im Regelsatz erscheinen sollen, d.h. die erste Regel steht ganz oben und die elfte wird ganz zuletzt abgearbeitet.

1. Firewall-Admin-Zugang: Die folgende Lockdown-Regel verbietet sämtlichen Traffic zur Firewall, diese Regel erlaubt es den Admins, auf die Firewall zuzugreifen.
2. No Logging: Die vorletzte Regel Ihres Regelsatzes sollte die „No-Logging“-Regel sein. Diese Regel bezieht sich auf internen Traffic. Geschwätzige Protokolle wie NetBIOS produzieren jede Menge nutzlose Log-Einträge. Mit dieser Regel werden solche Protokolle ausgefiltert, und die Log-Dateien bleiben lesbar. Auch diese Regel gehört zu den Standard-Regeln, über die jede Firewall verfügen sollte.
3. Lockdown: Diese Regel blockiert den Zugriff auf die Firewall. Es handelt sich hier um eine Standard-Regel, die in jedem Regelsatz vorhanden sein sollte. Niemand außer dem Firewall-Administatoren benötigt Zugriff auf die Firewall
4. DNS-Zugriff: Internet-Nutzer sollen Zugriff auf den DNS-Server in der DMZ haben.
5. Mail-Zugriff : Internet- und LAN-Nutzer sollen Zugriff auf den Mail-Server via SMTP haben.
6. Web-Zugriff: Internet- und LAN-Nutzer sollen Zugriff auf den Web-Server via HTTP haben.
7. Admin-Zugriff: Diese Regel erlaubt den Admins den verschlüsselten Fernwartungs-Zugriff auf das LAN. Zur Erhöhung der Sicherheit sind sie dabei auf bestimmte IP-Adressen beschränkt.
8. Interner POP-Zugriff: Diese Regel erlaubt den Zugriff vom LAN via POP auf den Mail-Server.
9. DMZ abschotten: Diese Regel trennt die DMZ vom LAN. Kein Nutzer aus dem LAN darf auf die DMZ zugreifen.
10. DMZ-Kontrolle: Normalerweise sollte die DMZ niemals versuchen, Daten an das interne LAN zu senden. Wenn dies doch passiert ist das ein Indiz für einen Hacker-Einbruch. Diese Regel blockiert sämtliche Daten, loggt alles mit und alarmiert den entsprechenden Admin.
11. Drop-all: Standardmäßig werden alle Pakete, auf die sich keine Regel anwenden lässt, von der Firewall verworfen. Dieser Vorgang erscheint aber nicht in der Log-Datei. Sie sollten deshalb die Regel „Verwerfen UND mitloggen“ aufsetzen und ganz am Ende des Regelsatzes platzieren. Der Grund: Die meisten Angriffe erfolgen über illegitime Pakete, die keiner Firewall-Regel genügen.