Firewall richtig konfiguriert
Eine Firewall bietet eine Vielzahl an Funktionen, die ein Netzwerk und Systeme vor Angriffen schützen können. Es folgen die Vor- und Nachteile sechs wichtiger Funktionen.
Dies ist eine Übersicht ein paar wichtiger Funktionen einer Firewall. Wir empfehlen, sich mit einer fundierten Ausbildung, zum Beispiel mit Kursen, im Detail mit der Security-Thematik vertraut zu machen. Je nachdem, wie hoch Ihre Sicherheitsanforderungen sind und welchen Aufwand man für die Konfiguration und den Unterhalt einer Firewall betreiben möchte, sollten folgende Funktionen genutzt werden.
Buchen Sie jetzt Ihre individuelle Security-Web-Demo Bei den Firewalls von Zyxel ist ein Generationenwandel in vollem Gange. Welche Security-Lösung ist für Ihre Kunden heute oder morgen die richtige? Kennen Sie schon die Vorteile der USG-FLEX- und ATP-Firewalls, die sich wahlweise im Standalone-Modus oder mit der Cloud-Managementplattform Nebula konfigurieren und verwalten lassen? |
Unerwünschte URLs blockieren
Der Web- oder Content-Filter ist ein kostenpflichtiger Service für Firewalls, der von allen UTM-
Services womöglich den grössten Nutzen bringt. Typische Angriffe, die über URL-Links in E-Mails erfolgen, werden so effektiv geblockt. Es wird empfohlen, generell unbekannte URLs zu blockieren.
Ermöglicht das Einschränken des Zugriffs auf unerwünschte oder gefährliche Websites wie Phishing-Seiten, Malware-Verteiler oder unangemessene Inhalte.
- Minimaler Einfluss auf Performance.
- Unterstützung bei der Einhaltung von Unternehmensrichtlinien oder gesetzlichen Anforderungen.
- Erhöhung der Produktivität durch die Blockierung von unerwünschten Websites.
- Mögliche Umgehung der Blockierung durch die Verwendung von Proxys oder VPNs.
- Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung der blockierten URLs.
Es wird empfohlen, mindestens alle Security Threat Categories zu blockieren. Das ist der effektivste Schutz vor einem Ransomware-Angriff.
UTM-Dienste aktivieren
Die Zyxel-ATP-Firewalls bieten in ihrem Service-Package immer alle UTM-Dienste. Bei den USG FLEX
sind unterschiedliche Packages je nach Bedürfnis verfügbar.
Eine Lösung für mehrere Sicherheitsfunktionen wie Content-Filterung, URL-Blockierung, Reputation-Filter, Antivirus, Anti-Spam, Intrusion-Prävention.
- Erhöhte Sicherheit durch die Verwendung von mehreren Schutzmechanismen in einer einzigen Lösung.
- Erleichterte Verwaltung durch die Verwendung einer einzigen Konsole für die Verwaltung aller Sicherheitsfunktionen.
Erhöhter Rechenaufwand durch die Verarbeitung von mehreren Sicherheitsfunktionen.
- Mögliche Kompatibilitätsprobleme mit bestimmten Netzwerkinfrastrukturen oder -protokollen.
- Mögliche Umgehung von Sicherheitsfunktionen durch erfahrene Angreifer.
- Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung aller integrierten Sicherheitsfunktionen.
LAN zu WAN nicht generell offen
In der Grundkonfiguration ist Verkehr aus dem LAN auf das WAN generell erlaubt. Sicherheitstechnisch wird empfohlen, nicht benötigte Verbindungen zu blockieren.
Malware kann nicht so einfach ungewünschte Verbindungen ins Internet aufbauen.
- Generell bringen Einschränkungen im Verkehr über eine Firewall mehr Sicherheit.
Zusätzliche Konfiguration notwendig.
- Port 80 und 443 muss für normales Internet-Surfen geöffnet sein und kann einfach für ungewünschte Verbindungen missbraucht werden.
- Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung der Firewall-Regeln.
SSL-Inspection
Erlaubt das Erkennen und Blockieren von Malware und Angriffen, die sich in verschlüsselten Verbindungen verstecken. Der grösste Anteil des Web- und Mail-Verkehrs ist mit SSL chiffriert und für eine Firewall ohne SSL-Inspection kaum einsehbar.
Überwachung und Kontrolle des Datenverkehrs, auch wenn er verschlüsselt ist.
- Verhinderung von Datenlecks durch Überwachung von SSL-Verbindungen zu externen Ressourcen.
Erhöhter Rechenaufwand durch die Entschlüsselung und Verschlüsselung des Verkehrs.
- Mögliche Verzögerungen im Netzwerkverkehr aufgrund der zusätzlichen Verarbeitungsschritte.
- Mögliche Kompatibilitätsprobleme mit bestimmten SSL-Implementierungen.
- Mögliche Umgehung der SSL-Inspection durch den Einsatz von VPN.
Mit Geo IP lassen sich ungewünschte Zugriffe sehr einfach blockieren. Wer nur lokal tätig ist, sollte diese Vorkehrung treffen.
NAT (Port-Forwarding)
Port-Forwarding ermöglicht es Benutzern ausserhalb des Netzwerks, auf interne Ressourcen wie Server und Anwendungen zuzugreifen. Richtig konfiguriert wird dabei die Sicherheit gewährleistet.
Port-Forwarding kann die Konfiguration des Netzwerks vereinfachen, indem es unnötige Verbindungen zu den internen Ressourcen blockiert und nur die benötigten Verbindungen zulässt.
- Der Zugriff auf die NAT-Regel kann mit einer spezifischen Source IP eingeschränkt werden.
- Um die Sicherheit zu erhöhen, kann man den externen Port auf einen anderen, nicht gängigen Port anpassen.
Port-Forwarding kann ein Sicherheitsrisiko darstellen, da es externen Benutzern Zugang zu internen Netzwerkressourcen ermöglicht. Dies kann dazu führen, dass Angreifer auf sensible Daten und Systeme zugreifen können.
- Ein unkontrolliertes Port-Forwarding kann dazu führen, dass das Netzwerk überlastet wird.
Ein Zugriff auf einen internen Server sollte mit möglichen Sicherheitsvorkehrungen vorgenommen werden.
Geo IP
Mit dem Geo-IP-Filter werden Anfragen von der Firewall aufgrund des Ursprungslandes blockiert.
Keine zusätzlichen Kosten (lizenzfrei).
- Verhindern von Zugriff auf das Netzwerk oder bestimmte Ressourcen aus definierten Regionen.
- Verkehr wird in erster Instanz abgewiesen und belastet die Firewall nicht mit weiteren Überprüfungen.
Geringe Sicherheit, Ursprungsland kann sehr einfach vorgetäuscht werden (VPN).
- Unter Umständen Unterbrechung des Zugangs für legitime Benutzer oder Anwendungen.
- Verwaltungsaufwand für die Pflege und Aktualisierung der blockierten IP-Adressen.