800x450_firewall-konfig

Firewall richtig konfiguriert

Eine Firewall bietet eine Vielzahl an Funktionen, die ein Netzwerk und Systeme vor Angriffen schützen können. Es folgen die Vor- und Nachteile sechs wichtiger Funktionen.

Dies ist eine Übersicht ein paar wichtiger Funktionen einer Firewall. Wir empfehlen, sich mit einer fundierten Ausbildung, zum Beispiel mit Kursen, im Detail mit der Security-Thematik vertraut zu machen. Je nachdem, wie hoch Ihre Sicherheitsanforderungen sind und welchen Aufwand man für die Konfiguration und den Unterhalt einer Firewall betreiben möchte, sollten folgende Funktionen genutzt werden.

 

Buchen Sie jetzt Ihre individuelle Security-Web-Demo

Bei den Firewalls von Zyxel ist ein Generationenwandel in vollem Gange. Welche Security-Lösung ist für Ihre Kunden heute oder morgen die richtige? Kennen Sie schon die Vorteile der USG-FLEX- und ATP-Firewalls, die sich wahlweise im Standalone-Modus oder mit der Cloud-Managementplattform Nebula konfigurieren und verwalten lassen?

> Hier gehts zur Buchungsseite

 

Unerwünschte URLs blockieren
Der Web- oder Content-Filter ist ein kostenpflichtiger Service für Firewalls, der von allen UTM-
Services womöglich den grössten Nutzen bringt. Typische Angriffe, die über URL-Links in E-Mails erfolgen, werden so effektiv geblockt. Es wird empfohlen, generell unbekannte URLs zu blockieren. 

 Icon_Pluspunkt_rund_stempelhell   Ermöglicht das Einschränken des Zugriffs auf unerwünschte oder gefährliche Websites wie Phishing-Seiten, Malware-Verteiler oder unangemessene Inhalte.

  • Minimaler Einfluss auf Performance.
  • Unterstützung bei der Einhaltung von Unternehmensrichtlinien oder gesetzlichen Anforderungen.
  • Erhöhung der Produktivität durch die Blockierung von unerwünschten Websites.
Icon_Minuspunkt_rund_stempelhell    Noch nicht kategorisierte Websites werden ungewollt blockiert.
  • Mögliche Umgehung der Blockierung durch die Verwendung von Proxys oder VPNs.
  • Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung der blockierten URLs.

Screen_URL-Filter

Es wird empfohlen, mindestens alle Security Threat Categories zu blockieren. Das ist der effektivste Schutz vor einem Ransomware-Angriff.


UTM-Dienste aktivieren
Die Zyxel-ATP-Firewalls bieten in ihrem Service-Package immer alle UTM-Dienste. Bei den USG FLEX
sind unterschiedliche Packages je nach Bedürfnis verfügbar.

UTM-Dienste


Icon_Pluspunkt_rund_stempelhell    Eine Lösung für mehrere Sicherheitsfunktionen wie Content-Filterung, URL-Blockierung, Reputation-Filter, Antivirus, Anti-Spam, Intrusion-Prävention.

  • Erhöhte Sicherheit durch die Verwendung von mehreren Schutzmechanismen in einer einzigen Lösung.
  • Erleichterte Verwaltung durch die Verwendung einer einzigen Konsole für die Verwaltung aller Sicherheitsfunktionen.

Icon_Minuspunkt_rund_stempelhell    Erhöhter Rechenaufwand durch die Verarbeitung von mehreren Sicherheitsfunktionen.

  • Mögliche Kompatibilitätsprobleme mit bestimmten Netzwerkinfrastrukturen oder -protokollen.
  • Mögliche Umgehung von Sicherheitsfunktionen durch erfahrene Angreifer.
  • Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung aller integrierten Sicherheitsfunktionen.


LAN zu WAN nicht generell offen
In der Grundkonfiguration ist Verkehr aus dem LAN auf das WAN generell erlaubt. Sicherheitstechnisch wird empfohlen, nicht benötigte Verbindungen zu blockieren.

Icon_Pluspunkt_rund_stempelhell    Malware kann nicht so einfach ungewünschte Verbindungen ins Internet aufbauen.

  • Generell bringen Einschränkungen im Verkehr über eine Firewall mehr Sicherheit.

Icon_Minuspunkt_rund_stempelhell    Zusätzliche Konfiguration notwendig.

  • Port 80 und 443 muss für normales Internet-Surfen geöffnet sein und kann einfach für ungewünschte Verbindungen missbraucht werden.
  • Erhöhter Verwaltungsaufwand für die Pflege und Aktualisierung der Firewall-Regeln.


SSL-Inspection

Erlaubt das Erkennen und Blockieren von Malware und Angriffen, die sich in verschlüsselten Verbindungen verstecken. Der grösste Anteil des Web- und Mail-Verkehrs ist mit SSL chiffriert und für eine Firewall ohne SSL-Inspection kaum einsehbar.

Icon_Pluspunkt_rund_stempelhell    Überwachung und Kontrolle des Datenverkehrs, auch wenn er verschlüsselt ist.

  • Verhinderung von Datenlecks durch Überwachung von SSL-Verbindungen zu externen Ressourcen.

Icon_Minuspunkt_rund_stempelhell    Erhöhter Rechenaufwand durch die Entschlüsselung und Verschlüsselung des Verkehrs.

  • Mögliche Verzögerungen im Netzwerkverkehr aufgrund der zusätzlichen Verarbeitungsschritte.
  • Mögliche Kompatibilitätsprobleme mit bestimmten SSL-Implementierungen.
  • Mögliche Umgehung der SSL-Inspection durch den Einsatz von VPN.

Screen_GEO-IP-GUI

Mit Geo IP lassen sich ungewünschte Zugriffe sehr einfach blockieren. Wer nur lokal tätig ist, sollte diese Vorkehrung treffen.


NAT (Port-Forwarding)

Port-Forwarding ermöglicht es Benutzern ausserhalb des Netzwerks, auf interne Ressourcen wie Server und Anwendungen zuzugreifen. Richtig konfiguriert wird dabei die Sicherheit gewährleistet.

Icon_Pluspunkt_rund_stempelhell    Port-Forwarding kann die Konfiguration des Netzwerks vereinfachen, indem es unnötige Verbindungen zu den internen Ressourcen blockiert und nur die benötigten Verbindungen zulässt.

  • Der Zugriff auf die NAT-Regel kann mit einer spezifischen Source IP eingeschränkt werden.
  • Um die Sicherheit zu erhöhen, kann man den externen Port auf einen anderen, nicht gängigen Port anpassen.

Icon_Minuspunkt_rund_stempelhell    Port-Forwarding kann ein Sicherheitsrisiko darstellen, da es externen Benutzern Zugang zu internen Netzwerkressourcen ermöglicht. Dies kann dazu führen, dass Angreifer auf sensible Daten und Systeme zugreifen können.

  • Ein unkontrolliertes Port-Forwarding kann dazu führen, dass das Netzwerk überlastet wird.

Screen_NAT

Ein Zugriff auf einen internen Server sollte mit möglichen Sicherheitsvorkehrungen vorgenommen werden.


Geo IP
Mit dem Geo-IP-Filter werden Anfragen von der Firewall aufgrund des Ursprungslandes blockiert.

Icon_Pluspunkt_rund_stempelhell    Keine zusätzlichen Kosten (lizenzfrei).

  • Verhindern von Zugriff auf das Netzwerk oder bestimmte Ressourcen aus definierten Regionen.
  • Verkehr wird in erster Instanz abgewiesen und belastet die Firewall nicht mit weiteren Überprüfungen.

Icon_Minuspunkt_rund_stempelhell    Geringe Sicherheit, Ursprungsland kann sehr einfach vorgetäuscht werden (VPN).
  • Unter Umständen Unterbrechung des Zugangs für legitime Benutzer oder Anwendungen.
  • Verwaltungsaufwand für die Pflege und Aktualisierung der blockierten IP-Adressen.