Watchguard Firebox Regelwerk

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watxchguard Firebox Regelwerk und Policies

Funktionsweise des WatchGuard Firebox Regelwerks

Watchguard Installation, Support. ConsultingDie WatchGuard Firewall prüft jede neu anstehende Verbindung von einem IP-Gerät auf der einen Seite der Firewall zu einem IP-Gerät auf der anderen Seite der Firewall. Dabei werden zunächst die Header der IP-Pakete untersucht: Quell-Port, Ziel-Port, verwendetes Protokoll (TCP, UDP, ICMP etc.), Quell-IP-Adresseund Ziel-IP-Adresse.

Automatische Regelreihenfolge (Policy Precedence)

Watchguard Quick Setup Wizard PoliciesPolicy Precedence ist die Reihenfolge, in der die Firebox den Netzwerkverkehr untersucht und ihre Regeln anwendet. Die Firebox sortiert die Richtlinien automatisch von der detailliertesten bis hin zur allgemeinsten Policy. Dann vergleicht die Firebox die IP-Paket-Informationen von oben nach unten gegen die Liste der Regeln. Die erste Regel in der Liste deren Bedingungen zum Pakets passt, wird auf das Paket angewendet. Wenn das Paket zwei Richtlinien entspricht, nimmt eine Proxy-Policy immer Vorrang vor einem Paketfilter.

Die Firewall durchforstet also das Regelwerk von oben nach unten. Nacheinander wird jede einzelne Regel geprüft, ob der Traffic deren Kriterien erfüllt - so lange bis die erste Übereinstimmung gefunden wird. Genau diese Regel wird dann ausgeführt. Gibt es nachfolgend im Regelwerk eine andere Regel, auf die ebenfalls das Paket erlauben würden, wird diese Regel aber niemals erreicht oder ausgeführt. Wird eine passende Regel gefunden, so wird die Verbindung zugelassen und in die Session Table der Firewall eingetragen. Nachfolgende Pakete in der gleichen Session werden dann automatisch von der Firewall durchgelassen und nicht noch einmal geprüft. (Eine Ausnahme sind Proxy Regeln mit Application Control, welche eine zusätzliche Kontrolle des IP-Paket-Inhalts vornehmen).

Watchguard Policy automatische Reihenfolge Die Firebox gibt automatisch der spezifischsten Regel die höchste Priorität und die niedrigste Priorität der am wenigsten spezifischen Regel. Die Firebox bestimmt die Spezifität nach den Kriterien in der folgenden Reihenfolge. Wenn die Firebox die Priorität nicht am ersten Kriterium bestimmen kann, sucht sie im zweiten Kriterium und so weiter.

1. Policy Spezifität und Protokolle des Richtlinientyps

Die Firebox verwendet diese Kriterien um zwei Regeln zu vergleichen, bis feststeht , dass die Regeln gleich sind, oder dass eine detaillierter ist, als die andere.

  1. Eine "ANY" Regel hat immer die niedrigste Priorität.
  2. Eine Regel mit der geringeren Anzahl von TCP 0 (ANY) oder UDP 0 (ANY) Protokollen hat eine höhere Priorität.
  3. Eine Regel mit der geringeren Anzahl an eindeutigen TCP- und UDP-Protokollen hat eine höhere Priorität.
  4. Eine Regel mit der geringeren Anzahl an eindeutigen TCP und UDP-Ports hat eine höhere Priorität.
  5. Eine Regel mit der mit der kleineren Summe der IP-Protokoll-Werte hat eine höhere Priorität.

Wenn die Firebox den Vorrang nicht festgelegen kann, indem sie die Spezifität und Protokolle vergleicht, prüft sie als nächstes die Verkehrsregeln (traffic).

2. Traffic Regeln der Liste "FROM"

Die Firebox verwendet diese Kriterien um die allgemeinste Adressierung einer Quelladresse mit der allgemeinsten Adressierung der Quelladresse einer zweiten Regel zu vergleichen. Die hierbei eingeschränkteste Regel erhält die höchste Priorität.

  1. Watchguard Policy Quelladresse From, Zieladresse To Host Adresse
  2. IP Adressbereich (kleiner als das verglichene Subnetz)
  3. Subnetz
  4. IP Adressbereich (größer als das verglichene Subnetz)
  5. Benutzeranmeldenamen
  6. Gruppenanmeldenamen
  7. Interface der Firebox
  8. ANY-Extern, ANY-Trusted, ANY-Optional
  9. ANY

3. Traffic Regeln der Liste "TO"

Selbes Vorgehen für die Zieladressen wie zuvor in der Liste der Quelladressen. Wenn die Firebox den Vorrang nicht festgelegen kann, prüft sie anschließend die Firewall-Aktionen.

4. Firewall Aktion (erlaubt, verweigert) der Regel.Watchguard Firewall Aktionen (Firewall actions)

Die Firebox vergleicht die Firewall-Aktionen von zwei Richtlinien um einen Vorrang zu setzen. Die Festlegung der Präzedenz der Firewall-Aktionen erfolgt wieder von der höchsten zur niedrigsten:

  1. Denied oder Denied (send reset)
  2. Allowed proxy policy
  3. Allowed packet-filter policy

5. Zeitpläne der Regel

Die Firebox vergleicht die Zeitpläne zweier Richtlinien um den Vorrang zu setzen. Präzedenz der Zeitpläne von der höchsten zur niedrigsten:

  1. Always off
  2. Sometimes on
  3. Always on

6. Alphanumerische Reihenfolge basierend auf Richtlinientyp und Richtliniennamen

Wenn die beiden Richtlinien immer noch keinen Vorrang haben, sortiert die Firebox die Policies in alphanumerischer Reihenfolge. Zuerst wird der Richtlinientyp verwendet, dann der Name der Richtlinie. Da keine zwei Richtlinien vom gleichen Typ sein können und den gleichen Namen haben können, ist dies das letzte Vorrangskriterium.

Die unsichtbare DENY Regel

Jeder Datenverkehr, der nicht durch eine Firewall-Regel zugelassen ist, wird am Schluss des Durchlaufs von einer vorgegebenen DENY-Regel verweigert. Je nachdem, ob der Verbindungsaufbau von "internal" oder "external" erfolgt, erscheint im Traffic Monitor und im Log ein "Unhandled Internal Packet" oder ein "Unhandled External Packet", weil im Policy Manager bei "Setup" -> "Default Threat Protection" -> "Default Packet Handling" -> "Logging" der Haken "Send Log message" bei "Unhandled Internal Packet" und "Unhandled External Packet" gesetzt ist.

Watchguard Firebox: unhandled internal packets, unhandled external packets

Das Logging kann durch Entfernen des Hakens abgeschaltet werden, aber dann kann man im Traffic Monitor kein Fehlverhalten von Geräten oder falsche Konfigurationen im LAN erkennen. Die Anzeige der Denied Packets wird genutzt, um den Bedarf und die wahrscheinlichste Konfiguration für neue Regeln zu erkennen. Lässt sich ein bestimmtes Aufkommen von Unhandled Packets nicht vermeiden (z.B. Port 137/udp oder DHCP Anfragen) kann man eine entsprechende Firewall-Regel konfigurieren, die den Verkehr möglichst detailliert beschreibt, verbietet "Denied" und das Logging ausschaltet. Im Regelwerk werden Deny-Regeln mit einem roten X angezeigt. Wie oben gezeigt setzt sich eine DENY-Regel automatisch oberhalb einer ALLOW-Regel für den gleichen Port, das gleiche Protokoll und die gleichen Hosts und wird also früher abgearbeitet.

Das Quick Setup Wizard Regelwerk und die TCP-UDP-Outgoing-Regel

Der Quick Setup Wizard erzeugt bei der Ersteinrichtung der WatchGuard Firebox eine Basiskonfiguration, welche neben den vergebenen IP-Adressen auch fünf Richtlinien (TCP-UDP-Outgoing, FTP-Filter, Ping, WatchGuard und WatchGuard Web UI) enthält. Eingehender Verkehr (incoming) ist nicht erlaubt:

TCP-UDP-Outgoing Regel des Quick Setup Wizard

Sie können diese Grundkonfiguration im Policy Manager ändern. Aus Sicherheitsgründen sollten Sie dies auch sorgsam tun und sehr genau definieren, welcher ausgehende Datenverkehr zulässig ist und diesen auf IP- und Benutzer-Ebene auf das absolute Minimum beschränken. Neue Firewall-Regeln werden dazu ins Regelwerk aufgenommen und so weit wie möglich einschränkt. Ein gutes Firewall-Regelwerk wächst dadurch auf 30 Regeln, teilweise aber auch auf 300 und mehr Regeln an. Das erstellte Regelwerk wird aber nur dann wie beabsichtigt funktionieren, wenn die vom Quick Setup Wizard erstellte Outgoing-Regel auf "disabled", "denied" gesetzt oder ganz gelöscht wird, denn das Regelwerk wird wie gezeigt von oben nach unten abgearbeitet. Jeder durch eine Regel erlaubte Verkehr zählt. Solange unten also die globale Outgoing-Regel steht, nützen die Einschränkungen in den Regeln weiter oben gar nichts. Der Verkehr geht trotzdem über die TCP-UDP-Outgoing-Regel nach außen.

Verbieten der Outgoing Regel

Manuelle Regelreihenfolge

Watchguard Firebox Auto-Order-Mode / Malnual-Order-ModeSie können eine manuelle Regelreihenfolge auswählen und den Regel-Vorrang für die Firebox dann selbst setzen. In den meisten Fällen ist dies jedoch bei einer Firebox nicht nur unnötig, sondern sogar eher unübersichtlicher.

Zum Umschalten auf die manuelle Regelreihenfolge im Policy Manager:

  1. Wählen Sie "View" -> "Auto-Order-Mode". Der Haken verschwindet und eine Bestätigungsmeldung wird angezeigt.
  2. Klicken Sie "Yes" um zu bestätigen, dass Sie in den Manual-Order-Mode wechseln möchten. Wenn Sie gewechselt haben, sehen Sie im Policy Manager Änderungen in der "Details"-Ansicht. Sie können die Reihenfolge der Richtlinien nicht ändern, wenn Sie sind im "Large Icon View" sind.
  3. Wählen Sie nun eine Regel und ziehen Sie diese an eine neue Position oder wählen Sie die Regelnummer aus und geben dieser dann die Nummer für den neuen Standort. Sie können auch die Auf- und Abwärtspfeile rechts oben auf der Symbolleiste "Policy Order" benutzen.

Policy Actions

Watchguard Policy ActionsIn der "Details"-Ansicht werden die Regel-Maßnahmen in Symbolen in der zweiten Spalte der Liste angezeigt. Auch ob die Policy ein Paketfilter oder eine Proxy ist, sowie die Einstellungen, welche für die Richtlinie konfiguriert sind. Um Details über die Symbole zu sehen, die in der Spalte "Action" für eine Policy erscheinen, können Sie mit der Maus über die Symbole fahren und eine Liste der aktivierten Aktionen und Definitionen anzeigen lassen.

GepaNet GmbH Ihr WatchGuard One Gold Partner

Gepanet GmbH ist Watchguard Gold PartnerGepaNet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein WatchGuard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Watchguard Installation, Support. ConsultingDeshalb können wir ein sehr breites Spektrum an Firewall-Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und VPN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei GepaNet GmbH und gewinnen Sie das gutes Gefühl mit Ihrer IT-Sicherheit zurück.

Watchguard Training, Schulung, WorkshopMit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard Firebox Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für WatchGuard Geräte, die nicht bei uns gekauft wurden.)

WatchGuard Firewall   Beschreibung
WatchGuard Firebox T20 -W
WatchGuard Firebox T40 -W

WatchGuard Firebox T20   5 Benutzer 154 Mbps UTM
WatchGuard Firebox T40  20 Benutzer 300 Mbps UTM

Die -W Modelle unterstützen Wireless 802.11 a/b/g/n

WatchGuard Firebox T80

WatchGuard Firebox T80  50 Benutzer 631 Gbps UTM

optionaler SFP+ Moduleinschub für 10GbE

WatchGuard Firebox M270
WatchGuard Firebox M370

WatchGuard Firebox M470
WatchGuard Firebox M570
WatchGuard Firebox M670

Watcguard Firebox M270 M370

WatchGuard Firebox M270    70 Benutzer  1,6 Gbps UTM
WatchGuard Firebox M370  200 Benutzer  2,6 Gbps UTM
WatchGuard Firebox M470  400 Benutzer  3,1 Gbps UTM
WatchGuard Firebox M570  750 Benutzer  4,4 Gbps UTM
WatchGuard Firebox M670 1000 Benutzer  5,4 Gbps UTM
WatchGuard Firebox M290
WatchGuard Firebox M390
WatchGuard Firebox M590
WatchGuard Firebox M690
WatchGuard Firebox M290 M390 WatchGuard Firebox M290    75 Benutzer  1,1 Gbps UTM
WatchGuard Firebox M390  250 Benutzer  2,4 Gbps UTM
WatchGuard Firebox M590  500 Benutzer  3,3 Gbps UTM
WatchGuard Firebox M690  850 Benutzer  4,6 Gbps UTM
WatchGuard Firebox M4800

WatchGuard Firebox M5800

Watchguard Firebox M4800 M5800

WatchGuard Firebox M4800  2500 Benutzer
50Gbps FW
WatchGuard Firebox M5600  10000 Benutzer
60 Gbps FW
WatchGuard FireboxV
WatchGuard Firebox Cloud

Watchguard FireboxVals virtuelle MaschineWatchguard FireboxCloud für AWS und Azure

WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor.
WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard  WiFi 5 APs

WatchGuard AP1255
WatchGuard AP225W
WatchGuard AP325
WatchGuard AP420
 

Watchguard AP 125 AP325 AP420

Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs

WatchGuard AP130
WatchGuard AP330
WatchGuard AP430CR

Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up Trade-In, RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung
WatchGuard Training

WatchGuard Certified Training Partner (WCTP): Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern.

Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support

Watchguard Support, Firebox Support

Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service
MSS
P

Watchguard zentrale Verwaltung und Administration durch Gepanet GmbH

Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster Watchguard FireCluster, High Availability Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen Watchguard LiveSecurity Service LSS, Watchguard Subscriptions WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.

WatchGuard APT Blocker

Watchguard APT-Blocker WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security Watchguard Mobile Security Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension Watchguard Dimension Command WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR Watchguard TDR, Thead Detection and Response TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.

WatchGuard DNSwatch

Watchguard DNSwatch

DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.

WatchGuard AccessPortal Watchguard Access Portal Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV Watchguard Intelligent AV Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System
Manager (WSM
)

Watchguard System Manager zentrale Verwaltung

Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security 100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.
 

GepaNet GmbH >> Services >> Tipps und Tricks >> WatchGuard Firebox Regelwerk

Gepanet GmbH ist Watchguard Gold Partner
WatchGuard Dimension Installation

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben