Watchguard eingehendes NAT

Netzwerk Video Software Leistungen Kontakt IT-Karriere

NAT für den öffentlichen Zugang zu Servern im privaten IP-Adressbereich im internen Netzwerk

Sie möchten zwei E-Mail-Server mit privaten IP-Adressen über das optionale Netzwerk Ihrer Firebox M oder Firebox T betreiben. Dazu müssen Sie sicherstellen, dass diese Server Daten mit Rechnern außerhalb Ihres lokalen Netzwerks auszutauschen, trotzdem sie private IP-Adressen haben. Dazu wird die Network Address Translation (NAT) der WatchGuard Firewall verwendet, um die Adressinformationen in den Datenpaketen zu ersetzen, um so das öffentliche mit dem privaten Netz zu verbinden. Wir zeigen hier zwei Konfigurationsmöglichkeiten, wie Sie NAT verwenden können, um öffentliche IP-Adressen einem Server hinter Ihrer XTM-Gerät zuzuweisen.

NAT zur Übersetzung öffentlicher in private IP-Adressen

Unsere Beispielkonfiguration gilt als Leitfaden. Zusätzliche Konfigurationseinstellungen können notwendig, oder
besser für Ihre Netzwerkumgebung geeignet sein. Wenn Sie nicht sicher sind, dann sprechen Sie mit uns. Unser Experten-Team arbeitet mit Ihnen zusammen die beste Lösung aus.

Voraussetzungen:

  • Firebox M oder Firebox T Firewall
    mit mindestens Fireware OS v11.5
  • Mail-Server
    Zwei SMTP-Server, konfiguriert als öffentliche Mail-Server, jeweils mit einer privaten IP-Adresse.
    Wir empfehlen, öffentlich zugängliche Server, wie Web-Server, FTP-Server oder E-Mail-Server nicht über das gleiche Netzwerk anzuschließen, wie interne Nutzer oder andere nicht-öffentliche Netzwerk-Ressourcen. Da diese Server öffentlich zugänglich sind, stellen sie eine mögliche Sicherheitslücke zu Ihrem internen Netzwerk dar. Stattdessen verbinden sie diese öffentlich zugänglichen Server in ein separaten Netzwerk und trennen Sie diese über die Firewall-Regeln von Ihrem internen Netzwerk. In diesem Beispiel werden die E-Mail Server am optionalen Netzwerk der Firebox Firewall verbunden.
  • Öffentliche IP-Adressen für die E-Mail-Server verwenden
    Sie müssen über eine öffentlich routbare IP-Adresse Ihres Providers für jede Server-Zuordnung verfügen. In unserem Beispiel verwenden wir zwei IP-Adressen eines Test-Netzes. Bitte benutzen Sie die von Ihrem Provider zugewiesenen IP Adressen. Es erleichtert die Konfiguration, wenn Sie jeweils aufeinanderfolgende IP-Adressen verwenden, welche extern und intern den gleichen Subnetz-Geräteteil haben wenn Sie mehrere Server übersetzen müssen.
  • DNS MX-Eintrag
    Für die per FQDN-Namen ansprechbaren Server müssen Sie DNS-Einträge erstellen, welche den Namen auf die öffentlichen IP-Adressen ihrer Server auflösen. Für Mail-Server erstellen Sie jeweils einen MX-Eintrag und einen entsprechenden A-Eintrag (oder CNAME).
  • Reverse DNS Eintrag
    Einige Mailserver lehnen den Empfang von Mails ab, wenn beim Absender Hostname, MTA-Name (MTA = SMTP Mailserver) und/oder der Reverse DNS Eintrag nicht übereinstimmen. Hier beauftragen Sie den Provider Ihrer öffentlichen IP-Adresse mit dem Eintrag einer Rückwärtsauflösung der IP Adresse. Voraussetzung ist meist dazu die korrekte Vorwärtsauflösung. Reverse DNS Einträge haben eine TTL von 24 Stunden. Daher liefern  fremde DNS-Server womöglich noch bis zum Ablauf der TTL die alten Einträge aus deren Cache aus.

Anwendungsszenario

Im Beispiel sind die beiden SMTP-E-Mail-Server hinter der WatchGuard Firebox-Firewall im optionalen Netzwerk und verfügen über private IP-Adressen.





Die WatchGuard Firebox Firewall und die SMTP E-Mail-Server haben folgende IP-Adressen:

Gerät / Schnittstelle IP Adresse
Firebox Firewall External interface: Primary 203.0.113.2/24
Firebox Firewall External interface: Secondary 203.0.113.25/24
Firebox Firewall External interface: Secondary 203.0.113.26/24
Firebox Firewall Trusted interface 10.0.1.1/24
Firebox Firewall Optional interface 10.0.2.1/24
E-Mail Server 1 im optionalen Netzwerk 10.0.2.25
E-Mail Server 2  im optionalen Netzwerk 10.0.2.26

Das Ziel ist, den Datenverkehr zwischen dem öffentlichen Internet und  den E-Mail-Servern hinter der Firebox Firewall zu ermöglichen. Die IP-Adressen die wir dazu für jeden Mail-Server übersetzen müssen, sind:

E-Mail Server (SMTP) Öffentliche (erreichbare) IP Adresse Private (tatsächliche) IP Adresse
E-Mail Server 1 203.0.113.25 10.0.2.25
E-Mail Server 2 203.0.113.26 10.0.2.26

Wir zeigen zwei verschiedene Arten von NAT-Konfigurationen, die verwendet werden können, um die öffentlichen IP-Adressen der E-Mail-Server mit den entsprechenden privaten IP-Adressen für eingehenden und ausgehenden Datenverkehr zu übersetzen. Damit haben Sie zwei verschiedene Möglichkeiten von NAT, um das gleiche Ergebnis zu erreichen.

  1. Statisches NAT für eingehenden Datenverkehr und Dynamisches NAT für ausgehenden Datenverkehr
  2. 1-zu-1-NAT für ein- und ausgehenden Datenverkehr um das gleiche Ergebnis mit weniger Schritten zu erreichen

NAT ermöglicht es der Firewall automatisch eine IP-Adresse zu einer anderen IP-Adresse in der Quelle oder dem Ziel einer Firewall-Policy zu übersetzen.

Wir verwenden drei verschiedene Arten von NAT, um eine öffentliche IP-Adresse in eine private IP-Adresse für ein- und ausgehenden Datenverkehr zu übersetzen.

  • Dynamische NAT: Adressübersetzung für ausgehenden Verkehr
  • Statisches NAT: Adressübersetzung für eingehenden Verkehr über die externe Schnittstelle
  • 1-zu-1-NAT: Adressübersetzung für eingehenden und ausgehenden Datenverkehr

NAT ist auf der WatchGuard Firewall regelbasiert. Die Policies der Firewallkonfiguration bestimmen also, wie NAT behandelt wird.

  • Für 1-zu-1-NAT und dynamische NAT - die NAT-Einstellungen auf der Registerkarte "Advanced" einer Policy stellt fest, ob die Einstellungen in "Network -> NAT" eingerichtet sind, für diese Richtlinie angewendet werden. Für dynamisches NAT, kann die Policy konfigurieren werden, dass die Netzwerk NAT-Einstellungen verwendet werden, oder eine Quell-IP-Adresse, für die das dynamische NAT verwendet wird.
  • Für statisches NAT - eine Policy, benutzt statisches NAT, wenn der "To:"-Abschnitt einer Policy eine statische NAT-Aktion enthält.

Option 1: Verwendung von Statischem NAT und Dynamischem NAT

Diese Konfiguration zeigt, wie statisches und dynamisches NAT verwendet wird, um die IP-Adressen  für den E-Mail-Server für ein- und ausgehenden Datenverkehr zu übersetzen.

Externe Schnittstellenkonfiguration

Die externe Schnittstellenkonfiguration umfasst zwei sekundäre IP-Adressen, eine für jeden eMail-Server. Sie müssen diese sekundären, externen IP-Adressen hinzufügen, so dass Sie sie in einer Policy auswählen können, wenn Sie die statische NAT-Aktion konfigurieren.

Dies sind die öffentlichen IP-Adressen, welche in den DNS A-Records und MX-Records für die beiden Mail-Server definiert wurden. Diese werden später in der jeweiligen statischen und dynamischen NAT-Konfiguration verwendet.

Statische NAT-Konfiguration für eingehenden SMTP Verkehr

SMTP-Datenverkehr ist standardmäßig nicht eingehend erlaubt . Deshalb erstellen wir eine SMTP-Proxy-Richtlinie, um den eingehenden SMTP-Verkehr zu beiden Mail-Server zu ermöglichen. Diese SMTP-Proxy-Policy, verwendet statisches NAT (SNAT) für die eingehende SMTP-Datenverbindung.

1. Öffnen Sie die Firewall-Konfiguration mit dem WatchGuard Policy Manager.
2. Erstellen Sie eine SMTP-Proxy-Policy  "Edit"->"Add Policy..." aufgrund der "SMTP-proxy" Vorlage.

Das Dialogfeld "New Policy properties" wird angezeigt. Klicken Sie im "To"-Abschnitt auf "Add" dann auf "Add SNAT" und fügen Sie mit "Add..." einen neuen SNAT-Namen "SNAT_Mail_Servers" hinzu.


Mit "Add..." fügen Sie jetzt die SNAT Members hinzu. Für die "External/Optional IP Address" wählen Sie 203.0.113.25 für die "Internal IP Address" 10.0.2.25.  Bestätigen Sie das Paar mit "OK" und wiederholen Sie den Eintrag für das Paar 203.0.113.26 und 10.0.2.26.

Bestätigen Sie alle Einträge mit "OK", bis wieder das Dialogfeld "New Policy properties" angezeigt wird. Das sollte nun so aussehen:

Die SNAT-Regel in dieser Politcy ändert die Ziel-IP-Adressen für eingehenden Datenverkehr von der öffentlichen IP-Adresse jeden Servers an die private IP-Adresse jeden Servers. Die Wirkung dieser SNAT Aktion in der SMTP-Proxy-Richtlinie bei:

  • eingehendem SMTP-Verkehr zum eMail-Server 1, ändern Sie die Ziel-IP-Adresse von 203.0.113.25 zu 10.0.2.25.
  • eingehendem SMTP-Verkehr zum eMail-Server 2, ändern Sie die Ziel-IP-Adresse von 203.0.113.26 zu 10.0.2.26.

Diese SNAT Aktion verarbeitet NAT für den eingehenden Verkehr. Deshalb müssen wir zusätzlich dynamisches NAT verwenden, um bei ausgehendem Verkehr die Quell-IP-Adressen der eMail-Server zu öffentlichen IP Adressen zu übersetzen. Dazu erstellen wir eine Policy mit dynamisches NAT, welche ausgehenden SMTP-Verkehr behandelt:

Dynamische NAT-Konfiguration für ausgehenden SMTP-Verkehr

Die in der Firewall vorgegebene dynamische NAT-Konfiguration erstellt automatisch eine NAT-Übersetzung des gesamten Verkehrs von den drei privaten IP-Adressbereichen zur externen Schnittstelle. Standardmäßig ist dynamisches NAT für RFC 1918 definierte, private IP-Adressbereich zu allen externen Schnittstellen aktiviert.

Um die vorgegebene dynamische NAT-Konfiguration anzuzeigen klicken Sie auf "Network> NAT".

Jede dieser dynamischen NAT Konfigurationen gilt für den Verkehr von einer Quelle zu einem Ziel. Wenn der Verkehr der angegebenen Quelle und dem angegebenen Ziel entspricht, übersetzt das dynamische NAT die Quell-IP-Adresse in die primäre IP-Adresse des Ziel-Interface.

Die Wirkung des dritten Standardeintrags für dynamisches NAT "10.0.0.0/8 - Any-External" auf den ausgehenden Datenverkehr unserer eMail-Server:

  • ausgehender Verkehr von Mail-Server 1, ändert die Quell-IP-Adresse von 10.0.1.25 zu 203.0.113.2
  • ausgehender Verkehr von Mail-Server 2, ändert die Quell-IP-Adresse von 10.0.1.26 zu 203.0.113.2

Aber dieses Verhalten ist nicht, was wir erreichen wollten, denn wir wollen die Quell-IP-Adresse für jeden Mail-Server individuell ändern. Was wir wollen, ist:

  • ausgehender Verkehr von Mail-Server 1, ändert die Quell-IP-Adresse von 10.0.1.25 zu 203.0.113.25
  • ausgehender Verkehr von Mail-Server 2, ändert die Quell-IP-Adresse von 10.0.1.26 zu 203.0.113.26

Um die standardmäßige NAT-Quell-IP-Adresse außer Kraft zu setzen, ändern wir jedoch NICHT die dynamische NAT Konfiguration, sondern richten zwei neue Policies ein, welche den jeweils ausgehenden SMTP-Verkehr der beiden eMail-Server behandelt. In jeder dieser Richtlinien, geben wir die Quell-IP-Adresse für dynamisches NAT an. In unserem Beispiel werden diese Policies "SMTP-out-MS_1" für SMTP-Verkehr von eMail-Server 1 und "SMTP-out-MS_2" für SMTP-Verkehr von eMail Server 2 genannt.

Um bei dynamischem NAT die Quell-IP-Adresse angeben zu können, muss die Policy zwei Voraussetzungen erfüllen:

  • Die Policy darf ausgehenden Datenverkehr nur über eine einzige Schnittstelle erlauben.
  • Die gesetzte Quell-IP-Adresse muss sich im selben Subnetz wie die IP-Adresse der bei "To:" gewählten Schnittstelle befinden.

Um die Policy für den ausgehenden Datenverkehr vom Mail-Server 1 zu erstellen:
1. Erstellen Sie einen Paketfilter  "Edit"->"Add Policy..."aufgrund der SMTP-Filter Vorlage mit dem Namen "SMTP-out-MS_1".

2. Tragen Sie unter "From" die IP-Adresse "10.0.2.25" ein. Wählen Sie bei "To" die passende externe Schnittstelle. in unserem Beispiel "External".

2. Klicken Sie auf die Registerkarte "Advanced".


Wählen Sie "Dynamic NAT", "All Traffic in this policy" und "Set source IP" aus. Geben Sie die Quell-IP-Adresse, der öffentliche IP-Adresse des eMail-Servers 1 ein: "203.0.113.25". Dies ändert die dynamische NAT der Quelle.

3. Speichern Sie die Policy

Nun definieren Sie analog die Richtlinienkonfiguration für den ausgehenden Datenverkehr vom Mail-Server 2:

1. Erstellen Sie dazu die "SMTP-out-MS_2" Policy mit der 10.0.2.26-Adressen.
2. Klicken Sie dann auf die Registerkarte "Advanced", um die dynamische NAT Quell-IP-Adresskonfiguration mit 203.0.113.26 zu erstellen.
3. Speichern Sie die Policy.

Option 2: Verwendung von 1-zu-1-NAT

Eine andere Methode, um NAT für diese Mail-Server einzurichten ist die 1-zu-1-NAT Methode, anstatt statischer und dynamischer NAT zu verwenden. Da 1-zu-1-NAT sowohl eingehenden als auch ausgehenden Datenverkehr behandelt, erfordert diese Konfiguration weniger Schritte als es mit dynamischem und statischem NAT notwendig war.

Externe Schnittstellenkonfiguration

Die externe Schnittstellenkonfiguration braucht nicht die beiden sekundären IP-Adressen enthalten. Dies unterscheidet sich von der externen Schnittstellenkonfiguration zu Option 1. Sie brauchen keine sekundären  IP-Adressen auf der externen Schnittstelle, um sie in den 1-zu-1-NAT-Einstellungen konfigurieren zu können.

Netzwerk 1-zu-1-NAT-Konfiguration

Netzwerk 1-zu-1-NAT-Einstellungen werden für den Verkehr von allen Policies verwendet, bei denen das Kontrollkästchen "1-zu-1-NAT" ausgewählt ist. Für die Beispiel-Konfiguration erstellen wir eine einzige 1-zu-1-NAT-Regel, die eingehendes und ausgehendes NAT für beide eMail-Server verarbeitet.

Um die NAT-Einstellungen 1-zu-1 zu konfigurieren:

1. Öffnen Sie die Konfiguration im Policy Manager.
2. Wählen Sie "Network" -> "NAT".
3. Klicken Sie auf die 1-zu-1-NAT-Registerkarte.
4. Klicken Sie auf "Add..."


 

Tragen Sie im "Add 1-to-1 Mapping" folgende Parameter ein:

MAP Type
Hier kann eine einzelne IP Adresse mit "Single IP", ein ganzer Adressbereich mit "IP SUBnet" oder  eine Reihe von aufeinanderfolgende IP-Adressen mit "IP-Range" ausgewählt werden.  Da in unserem Beispiel die IP Adressen sowohl im realen Bereich als auch im übersetzten NAT Bereich jeweils aufeinanderfolgen, ist "IP-Range" die richtige Wahl.

Interface (Schnittstelle)
Diese 1-zu-1-NAT-Aktion soll für ein- und ausgehende Verkehr auf der externen Schnittstelle "External" gelten.

Number of Hosts to NAT (Anzahl der IP Adressen für die Übersetzung)
Anzahl der aufeinanderfolgenden IP-Adressen in dieser 1-zu-1-NAT-Aktion. In diesem Fall für die zwei E-Mail-Server.

NAT Base (öffentliche NAT Basis)
Die NAT-Basis ist die niedrigste IP-Adresse im Bereich der übersetzen Adressen. Die NAT-Basisbereich ist eine Reihe von aufeinander folgenden IP-Adressen, bis zu der Anzahl der angegebenen Host. In unserem Beispiel ist die Anzahl der Hosts 2, so dass die NAT-Basisadressbereich aus den folgenden Adressen besteht :

  • 203.0.113.25 - die öffentliche IP-Adresse des Mail-Server 1
  • 203.0.113.26 - die öffentliche IP-Adresse des Mail-Server 2

Real Base (private NAT Basis)
Die Real Base ist die niedrigste IP-Adresse im Bereich der zu übersetzenden privaten Adressen. Der Real Base Bereich ist eine Reihe von aufeinander folgenden IP-Adressen, bis zu der Anzahl der angegebenen Hosts. Die Anzahl der Hosts ist in unserem Beispiel 2, so dass die Echtbasisadressbereich aus den folgenden Adressen besteht:

  • 10.0.2.25 - die private IP-Adresse des Mail-Server 1
  • 10.0.2.26 - die private IP-Adresse des Mail-Server 2

Wenn die öffentlichen und/oder privaten IP-Adressen der Server nicht in einer Abfolge sind, können Sie mehrere einzelne 1-zu-1-NAT-Zuordnungen im NAT Setup vornehmen.
Auch wenn Ihr Server aufeinander folgende IP-Adressen haben, können Sie die 1-zu-1-NAT-Zuordnungen, für eine bessere Übersicht, einzeln konfigurieren. Egal, ob Sie also eine 1-zu-1-NAT-Regel mit einer Reihe an IP-Adressen konfigurieren, oder ob Sie separate 1-zu-1-NAT-Regeln für jeden Server konfigurieren, das 1-zu-1-NAT funktioniert in gleicher Weise. In unserem Beispiel ergibt sich aus der vorgenommenen 1-zu-1-NAT-Konfiguration:

1-zu-1-NAT für Mail-Server 1:

  • eingehender Verkehr auf  "External" und Quell-IP ist 203.0.113.25, wird geändert auf 10.0.1.25.
  • ausgehender Verkehr zu "External" und Quell-IP ist 10.0.1.25, wird geändert auf 203.0.113.25.

1-zu-1-NAT für Mail-Server 2:

  • eingehender Verkehr auf  "External" und Quell-IP ist 203.0.113.26, wird geändert auf 10.0.1.26.
  • ausgehender Verkehr zu "External" und Quell-IP ist 10.0.1.26, wird geändert auf 203.0.113.26.

Richtlinienkonfiguration

Eingehender SMTP-Datenverkehr ist auf der Firewall standardmäßig nicht erlaubt. Für unsere Beispiel-Konfiguration erstellen wir dehalb eine SMTP-Proxy-Richtlinie, um den eingehenden SMTP-Verkehr auf beide E-Mail-Server zu ermöglichen. Da die Standard-NAT-Einstellungen in der SMTP-Proxy-Richtlinie 1-zu-1-NAT verwenden, sind keine Änderungen an der Standard-NAT-Einstellung der Richtlinie erforderlich. Standardmäßig sind immer 1-zu-1-NAT und Dynamic NAT in allen Policies aktiviert. 1-zu-1-NAT hat Vorrang vor dynamischem NAT, falls beide ausgewählt sind.
Um die SMTP-Proxy-Policy zu konfigurieren:

1. Öffnen Sie die Firewall-Konfiguration mit dem WatchGuard Policy Manager.
2. Erstellen Sie eine SMTP-Proxy-Policy "Edit"->"Add Policy...". Das Dialogfeld "New Policy properties" wird angezeigt.
3. Wählen Sie im Abschnitt "From"  die zu benutzende, externe Schnittstelle aus. In unserem Fall "External". Klicken Sie im "To"-Abschnitt auf "Add" und fügen Sie mit "Add Other..." die beiden ÖFFENTLICHEN IP-Adressen 203.0.113.25 und 203.0.113.26 hinzu.
4. Speichern Sie die Policy

Diese Policy sendet den an der externen Schnittstelle ankommenden Verkehr an die öffentlichen IP-Adressen der E-Mailserver. Dies sind die IP-Adressen in der NAT-Basis der 1-zu-1-NAT-Konfiguration. Deshalb kümmert sich 1-zu-1-NAT dann um die Adressübersetzung zu den internen IP Adressen.

Da die "Outgiong" Policy als Standard allen ausgehenden TCP/UDP verkehr erlaubt, ermöglich sie auch ausgehenden SMTP Verkehr. Das 1-zu-1 NAT zieht auch in dieser Regel, so dass keine Änderungen an den NAT-Einstellungen in der Richtlinie erforderlich sind. Die Konfiguration wäre also eigentlich abgeschlossen.

Wir empfehlen jedoch die "Outgoing"-Policy von "Allowed" auf "Denied" zu setzen und zu loggen. Dadurch muss aller ausgehender Datenverkehr explizit erlaubt werden. Für unsere Beispiel-Konfiguration erstellen wir deshalb zusätzlich auch eine ausgehende SMTP-Richtlinie, um SMTP-Datenverkehr von Any-Optional, nach "External" zu erlauben.

Weitere Überlegungen
Die in den 1-zu-1-NAT-Einstellungen konfigurierten Zuordnungen werden standardmäßig in allen Policies aktiviert. Wenn Ihr E-Mail-Server auch für anderen ausgehenden Datenverkehr verwendet wird und Sie nicht wollen, dass er unter die vorgegebene 1-zu-1-NAT-Übersetzung fällt, stellen Sie sicher, dass Sie 1-zu1-NAT im "Advanced"-Reiter der Policy deaktiviert haben.

Diese Beispielkonfiguration ist als Leitfaden zur Verfügung gestellt. Zusätzliche Konfigurationseinstellungen können für Ihre Netzwerkumgebung notwendig oder sinnvoll sein. (Zum Beispiel die "Proxy-action" Einstellungen für die Anpassung der HELO-Namen oder den Spam-Schutz durch Domain und Benutzer-Angaben)
Für eine Unterstützung Ihres WatchGuard Produkts finden Sie im GepaNet GmbH Support jederzeit kompetente Hilfe.
 

GepaNet GmbH ist WatchGuard Gold PartnerGepanet GmbH ist Watchguard Gold Partner

GepaNet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein WatchGuard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Deshalb können wir ein sehr breites Spektrum an Firewall-Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und VPN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei GepaNet GmbH und gewinnen Sie das gutes Gefühl mit Ihrer IT-Sicherheit zurück.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard Firebox Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für WatchGuard Geräte, die nicht bei uns gekauft wurden.)

WatchGuard Firewall   Beschreibung
WatchGuard Firebox T20 -W
WatchGuard Firebox T40 -W

WatchGuard Firebox T20   5 Benutzer 154 Mbps UTM
WatchGuard Firebox T40  20 Benutzer 300 Mbps UTM

Die -W Modelle unterstützen Wireless 802.11 a/b/g/n

WatchGuard Firebox T80

WatchGuard Firebox T80  50 Benutzer 631 Gbps UTM

optionaler SFP+ Moduleinschub für 10GbE

WatchGuard Firebox M270
WatchGuard Firebox M370

WatchGuard Firebox M470
WatchGuard Firebox M570
WatchGuard Firebox M670

Watcguard Firebox M270 M370

WatchGuard Firebox M270    70 Benutzer  1,6 Gbps UTM
WatchGuard Firebox M370  200 Benutzer  2,6 Gbps UTM
WatchGuard Firebox M470  400 Benutzer  3,1 Gbps UTM
WatchGuard Firebox M570  750 Benutzer  4,4 Gbps UTM
WatchGuard Firebox M670 1000 Benutzer  5,4 Gbps UTM
WatchGuard Firebox M290
WatchGuard Firebox M390
WatchGuard Firebox M590
WatchGuard Firebox M690
WatchGuard Firebox M290 M390 WatchGuard Firebox M290    75 Benutzer  1,1 Gbps UTM
WatchGuard Firebox M390  250 Benutzer  2,4 Gbps UTM
WatchGuard Firebox M590  500 Benutzer  3,3 Gbps UTM
WatchGuard Firebox M690  850 Benutzer  4,6 Gbps UTM
WatchGuard Firebox M4800

WatchGuard Firebox M5800

Watchguard Firebox M4800 M5800

WatchGuard Firebox M4800  2500 Benutzer
50Gbps FW
WatchGuard Firebox M5600  10000 Benutzer
60 Gbps FW
WatchGuard FireboxV
WatchGuard Firebox Cloud

Watchguard FireboxVals virtuelle MaschineWatchguard FireboxCloud für AWS und Azure

WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor.
WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard  WiFi 5 APs

WatchGuard AP1255
WatchGuard AP225W
WatchGuard AP325
WatchGuard AP420
 

Watchguard AP 125 AP325 AP420

Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs

WatchGuard AP130
WatchGuard AP330
WatchGuard AP430CR

Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up Trade-In, RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung
WatchGuard Training

WatchGuard Certified Training Partner (WCTP): Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern.

Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support

Watchguard Support, Firebox Support

Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service
MSS
P

Watchguard zentrale Verwaltung und Administration durch Gepanet GmbH

Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster Watchguard FireCluster, High Availability Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen Watchguard LiveSecurity Service LSS, Watchguard Subscriptions WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.
WatchGuard APT Blocker Watchguard APT-Blocker WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security Watchguard Mobile Security Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension Watchguard Dimension Command WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR Watchguard TDR, Thead Detection and Response TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.
WatchGuard DNSwatch

Watchguard DNSwatch

DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.
WatchGuard AccessPortal Watchguard Access Portal Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV Watchguard Intelligent AV Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System
Manager (WSM
)

Watchguard System Manager zentrale Verwaltung

Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security 100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.

GepaNet GmbH >> Services >> Tipps und Tricks >> WatchGuard eingehendes NAT

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben