Grundkonfiguration mit
Transcrição
Grundkonfiguration mit
HowTo: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Security Systems Version 2007nx Release 3 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Inhalt 1. 2. Verwenden des Securepoint Security Managers ............................................................ 3 1.1 Starten des Securepoint Security Managers............................................................ 4 1.2 Anlegen eines neuen Securepoint Security Systems............................................... 6 1.3 Anmelden mit dem Security Manager an der Appliance .......................................... 8 Grundkonfiguration durchführen ..................................................................................... 9 2.1 DSL-Provider eintragen ........................................................................................... 9 2.2 Dyn-DNS konfigurieren ..........................................................................................11 2.3 DSL-Interface anlegen ...........................................................................................12 2.3.1 DSL-PPPOE-Interface.....................................................................................12 2.3.2 DSL-PPTP-Interface........................................................................................13 2.4 Weitere interne IP-Adresse konfigurieren ...............................................................15 2.5 Zuweisen der IP-Adressen im internen Netzwerk per DHCP ..................................16 2.6 Allgemeine Server-Einstellungen konfigurieren ......................................................17 2.7 Appliance-Einstellungen .........................................................................................19 2.8 HTTP-Proxy einrichten ...........................................................................................20 2.8.1 2.9 POP3-Proxy einrichten ...........................................................................................22 2.9.1 3. 4. Transparenten HTTP-Proxy einrichten ............................................................21 Transparenten POP3-Proxy einrichten ............................................................23 2.10 Rechner/Netzwerkobjekte anlegen .........................................................................24 2.11 Hide-NAT ...............................................................................................................28 Regelwerk .....................................................................................................................29 3.1 Anlegen von Regeln ...............................................................................................29 3.2 Dienst einer Dienstgruppe hinzufügen ....................................................................32 Speichern der Konfiguration ..........................................................................................33 2 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 1. Verwenden des Securepoint Security Managers Dieses Tutorial beschreibt das Erstellen einer einfachen Grundkonfiguration mit dem Securepoint Security Manager 2007nx. Zielsetzung: Eine Securepoint Security Appliance soll mittels DSL an das Internet angeschlossen werden. Vom internen Netz soll dann sicher über den Browser auf das Internet zugegriffen werden können. Der Securepoint Security Manager ist das Konfigurations-Programm Ihres Securepoint Security Systems. Der Securepoint Security Manager ist ein Client-System, das mit dem Securepoint Server kommuniziert. Alle Daten zwischen dem Clienten (Securepoint Security Manager) und Server werden verschlüsselt übertragen. Abb. 1 Kommunikation zwischen Security Manager und Securepoint Security Appliance 3 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 1.1 Starten des Securepoint Security Managers Für den Start des Securepoint Security Managers (Client) Gehen Sie über: Start -> Programme -> Securepoint 2007nx -> Securepoint Security Manager und starten Sie damit den Security Manager. Beim ersten Start des Security Managers erscheint ein Dialog-Fenster (Abb. Container erzeugen). Tragen Sie einen Schlüssel ein und wiederholen Sie die Schlüssel-Eingabe. Bestätigen Sie Ihre Eingabe mit dem Button OK. Mit Hilfe dieses Schlüssels wird ein Daten-Container erzeugt, der lokal auf Ihrem Rechner liegt. Dieser Container enthält die Zugangsdaten zu Ihren Securepoint Security Systemen und ist aus Sicherheitsgründen verschlüsselt. Beachten Sie: Merken Sie sich den Schlüssel unbedingt gut. Mit ihm werden die lokalen Konfigurationsdateien und Zugangsdaten zu Ihren Systemen in einem Container verschlüsselt. Abb. 2 Container erzeugen Eingabefelder Schlüssel Schlüssel zum Verschlüsseln von Konfigurationsdateien in einem Container Bestätigung Wiederholung des Schlüssels 4 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Späteres Anmelden an dem Security Manager Sobald Sie den Schlüssel zur Verschlüsselung der lokalen Konfigurationsdateien eingegeben und gespeichert haben, werden Sie bei jedem Aufruf des Securepoint Security Managers nach diesem Schlüssel gefragt. Tragen Sie Ihren Schlüssel ein. Bestätigen Sie die Eingabe mit dem Button OK. Abb. 3 Container öffnen Eingabefelder Schlüssel Schlüssel zum Verschlüsseln von Konfigurationsdateien 5 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 1.2 Anlegen eines neuen Securepoint Security Systems Bevor Sie sich das erste Mal auf einem oder mehreren Systemen einloggen können, müssen Sie den oder die Securepoint Systeme, auf die Sie zugreifen wollen, im Security Manager anlegen. Abb. 4 Anlegen eine neuen Systems Klicken Sie auf das gekennzeichnete Firewall-Symbol Es öffnet sich das Dialog-Fenster Firewall - hinzufügen. Abb. 5 Eingabe der Appliance Daten (Firewall) Sie können ein neues System folgendermaßen anlegen: Geben Sie folgende Daten in der Registerkarte Firewall ein. Eingabefelder Adresse Port Login Passwort Bestätigung IP-Adresse (oder auflösbarer Name) des Interfaces der Firewall Port über dem die Appliance angesprochen wird. Standard: 22 (SSH Port) Ihr Login-Name auf der Firewall Ihr Passwort auf der Firewall Die Passwort Bestätigung 6 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Beachten Sie: Sie haben die Möglichkeit, mehrere Appliances über den Security Manager zu bedienen und zu verwalten. Tragen Sie alle Securepoint Server ein, die Sie verwalten möchten. Das Anlegen der weiteren Firewalls kann natürlich auch zu einem späteren Zeitpunkt erfolgen. Wechseln Sie auf die Registerkarte Logserver und geben Sie folgende Daten ein. Abb. 6 Eingabe der Appliance Daten (Logserver) Aktivieren Sie das External Logging und geben Sie folgende Daten ein. Eingabefelder Adresse IP-Adresse des Logservers Login Auf dem Logserver konfigurierter Benutzername. Es werden entweder lokale Benutzer oder Benutzer aus der Windows-Domäne angegeben, die sich zu dem Logserver verbinden dürfen. Die hier angegebenen Benutzer müssen über Adminrechte verfügen. Passwort Ihr Passwort für den konfigurierten Benutzer (Windows-User/-DomainPasswort) Bestätigung Die Passwort Bestätigung Beachten Sie: Unter Logserver wird ein Securepoint Logserver, auf dem die Appliance alle Logdaten ablegt, angegeben. Nur wenn hier alle Daten richtig angegeben werden, kann die Logfile-Auswertung über den Securepoint Security Manager verwendet werden. Weitere Informationen finden Sie unter Logserver HowTo. 7 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 1.3 Anmelden mit dem Security Manager an der Appliance Anmelden an der Appliance Abb. 7 Anmelden an der Appliance Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der rechten Maustaste auf das Firewall-Objekt sowie Auswahl des Menüpunktes Verbinden wird eine Verbindung zur ausgewählten Appliance hergestellt. Damit ist die Appliance über den Security Manager konfigurierbar. Alle weiteren Arbeiten können nun durchgeführt werden. Darstellung des Verbindungsstatus Der Verbindungsstatus wird mittels des farbig gekennzeichneten Appliance-Namen angezeigt. Ist der Text-Hintergrund „grün“ besteht zwischen dem Security Manager und der Appliance eine Verbindung. Folgende Kennzeichnungen sind vorhanden: keine Farbe: gelb: grün: rot: Es wurde noch keine Verbindung zur Appliance aufgebaut. Verbindung befindet sich im "Standby-Modus", die Schlüsselpaare zur Authentisierung wurden ausgetauscht, aber keine Daten übertragen. Verbindung wurde aufgebaut und Daten übertragen. Die Appliance kann administriert werden. Eine Verbindung zur Appliance ist nicht möglich. Wenn bereits eine Verbindung zu einer Firewall besteht, so wird diese auf „standby" gesetzt (LED gelb), wenn Sie eine Verbindung zur nächsten Firewall aufbauen. Beachten Sie: Erfolgt 15 Minuten lang keine Datenübertragung zu einer Firewall, die sich im Standby-Modus befindet, so wird ein neuer Anmeldevorgang automatisch ausgeführt (mit Schlüsselaustausch), wenn wieder Daten übertragen werden sollen. 8 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2. Grundkonfiguration durchführen 2.1 DSL-Provider eintragen Nachdem die Appliance angelegt wurde und das Verbinden zwischen Security Manager und Appliance erfolgreich war, muss ein neuer Provider hinzugefügt werden. Klicken Sie auf den Button Netzwerk und wählen Sie die Registerkarte DSL Provider aus. Klicken Sie auf das Icon Neu. Es öffnet sich das Dialog-Fenster DSL-Provider, mit der aktiven Registerkarte Logindaten. Diese Daten haben Sie von Ihrem Provider erhalten. Abb. 8 Eingeben der DSL Provider Daten Tragen Sie die Daten im Dialog-Fenster Logindaten ein. Bestätigen Sie anschließend Ihre Eingabe mit dem Button Übernehmen. 9 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Eingabefelder Provider IPS-Login Version 2007nx Release 3 Name des Providers Login wird von Ihrem Provider bereitgestellt. Mit diesem authentisieren Sie sich. Ihr Provider-Passwort Passwort Bestätigung Bei Aktivierung ist die Default-Route, die vom Provider zugewiesene IPAdresse des Point-To-Point Partners. IPS-Passwort Wiederholung Automatisch Default-Route setzen Zwangstrennung Setzen der Uhrzeit, zu der eine Zwangstrennung vorgenommen werden soll. 10 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.2 Dyn-DNS konfigurieren Unter der Registerkarte „Dyn-Dns“ kann ein dynamischer DNS-Dienst konfiguriert werden. Falls später ein externer Zugriff auf die Appliance oder das interne Netz (z. B. per VPN) erforderlich ist und keine feste externe IP-Adresse zur Verfügung steht, sollte ein Dyn-DnsAccount konfiguriert werden. Sie müssen sich dazu erst bei Dynamic Network Services Inc. registrieren lassen. Weitere Informationen zu diesem Dienst finden Sie unter folgender WebAdresse: http://www.dyndns.org. Wählen Sie die Registerkarte Dyn-DNS im Dialog-Fenster DSL-Provider aus. Bei fehlendem Bedarf überspringen Sie diesen Punkt. Abb. 9 Dyn-DNS Daten eingeben Tragen Sie die folgenden Daten im Dialog-Fenster ein. Bestätigen Sie anschließend Ihre Eingabe mit dem Button Übernehmen. Eingabefelder DynDNS-Name Interface Dyn-DNS-Login Dyn-DNSPasswort Wiederholung Dyn-DNS-Server FQD Name, den Sie bei der Anmeldung bei „DynDNS“ erhalten haben. Interface, an dem der Dyn-DNS-Name gebunden wird. Login-Daten für Dyn-DNS Passwort für Dyn-DNS Passwort Bestätigung Auswahl eines Dyn-DNS-Servers 11 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.3 DSL-Interface anlegen Nachdem Sie den DSL-Provider angelegt haben, können Sie das primäre DSL-Interface anlegen. Hierfür gibt es zwei Möglichkeiten in Abhängigkeit des benutzten Netzwerkprotokolls Ihres Providers: DSL-PPPOE-Interface Netzwerkprotokoll: Point-to-Point-Protocol-over-Ethernet DSL-PPTP-Interface Netzwerkprotokoll: Point-to-Point-Tunneling-Protokoll 2.3.1 DSL-PPPOE-Interface Klicken Sie auf der Registerkarte Interfaces mit der linken Maustaste auf das Icon Neu und wählen Sie DSL-PPPOE-Interface. Abb. 10 Anlegen eines DSL-PPPOE-Interfaces Es öffnet sich das Dialog-Fenster PPPOE-Interface [ppp0] – Hinzufügen. Wählen Sie als Interface das externe Interface eth0. Wählen Sie den angelegten DSL-Provider und geben Sie die MTU (Maximum Transmission Unit) ein. Bestätigen Sie Ihre Eingabe mit OK. Abb. 11 Interface Daten eingeben Der Name des Interfaces wird vom Manager gesetzt und durchnummeriert. Eingabefelder Interface DSL-Provider MTU Interface, an dem das DSL Interface angeschlossen ist. Erstellter DSL Internet Provider Maximum Transmission Unit (abhängig vom Provider) 12 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.3.2 DSL-PPTP-Interface Binden Sie zuerst eine IP-Adresse an das externe Interface. Diese muss aus dem gleichen Subnetz stammen wie die IP-Adresse, die Ihnen vom Provider zugewiesen wurde. Bsp: zugewiesene Adresse 192.168.99.1 Interface Adresse 192.168.99.2 Markieren Sie das Interface eth0 und klicken Sie auf das Icon Bearbeiten. Geben Sie im Fenster Interface [eth0] – Bearbeiten die IP-Adresse für eth0 ein. Abb. 12 Interface eine IP-Adresse zuweisen Klicken Sie auf der Registerkarte Interfaces auf den Pfeil neben dem Icon Neu und wählen Sie DSL-PPTP-Interface. Abb. 13 Anlegen eines DSL-PPTP-Interface 13 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Es öffnet sich das Dialog-Fenster PPTP-Interface [ppp0] – Hinzufügen. Wählen Sie den angelegten DSL-Provider. Geben Sie die vom Provider zugewiesene IP-Adresse ein. Bestätigen Sie Ihre Eingabe mit OK. Abb. 14 Interface Daten eingeben Der Name des Interfaces wird vom Manager gesetzt und durchnummeriert. Eingabefelder DSL-Provider IP-Adresse Erstellter DSL Internet Provider Vom Provider zugewiesene IP-Adresse. 14 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.4 Weitere interne IP-Adresse konfigurieren Eine weitere virtuelle IP-Adresse wird z. B. dann benötigt, wenn Sie ein weiteres Netz über ein physikalisches Interface bedienen wollen. Dieser Schritt ist daher nicht zwingend erforderlich. Klicken Sie unter Netzwerk auf der Registerkarte Interfaces mit dem rechten Mauszeiger auf ein existierendes Interface, und wählen Sie über das Verzeichnis IP hinzufügen. Abb. 15 IP-Adresse hinzufügen Es öffnet sich das Dialog-Fenster Interface [eth1] - Hinzufügen. Tragen Sie eine private IP-Adresse und eine passende Subnetzmaske ein. Bestätigen Sie Ihre Eingabe mit OK. Abb. 16 IP-Adresse hinzufügen Eingabefelder IP-Adresse Maske Zusätzliche private IP-Adresse Bitcount des Netzwerkes 15 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.5 Zuweisen der IP-Adressen im internen Netzwerk per DHCP Über DHCP können Sie automatisch IP-Adressen an Ihre Client-Rechner vergeben. Die Rechner im internen Netzwerk bekommen in diesem Beispiel die IP-Konfiguration per DHCP zugewiesen. Die Appliance dient dabei als DHCP-Server. Wählen Sie unter Netzwerk die Registerkarte DHCP-Einstellungen aus, um Ihre Einstellungen vorzunehmen. Das interne Netzwerk ist in diesem Fall das Netz: 10.1.2.0/24. Die Rechner bekommen IPs in dem Bereich 10.1.2.50 – 10.1.2.200 zugewiesen. Das Default Gateway sowie den DNSServer stellt die Appliance (10.1.2.1). Abb. 17 DHCP konfigurieren Tragen Sie die folgenden Daten auf der Registerkarte DHCP Einstellungen ein. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Eingabefelder Lokales Subnetz Maske IP-Bereich von…bis Default Gateway Primärer Nameserver Sekundärer Nameserver Max lease time Default lease time IP des Netzwerks Subnetzmaske des Netzwerkes IP-Range, die Sie den DHCP-Clients zur Verfügung stellen wollen. IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet werden kann. IP-Adresse des ersten Nameservers IP-Adresse des zweiten Nameservers Maximale Zeit, die eine IP-Adresse aus dem DHCP-Pool für einen Host reserviert bleibt. Standard Zeit, die eine IP-Adresse aus dem DHCP-Pool für einen Host reserviert bleibt. 16 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.6 Allgemeine Server-Einstellungen konfigurieren Der Name der Firewall, die Zeitzone, die DNS-Server, ein Time-Server sowie ein LoggingServer, auf dem alle Log-Daten der Appliance gesendet werden, können nun konfiguriert werden. Wählen Sie unter Netzwerk die Registerkarte Server Einstellungen aus, um Ihre Einstellungen vorzunehmen. Als DNS-Server sollte ein erreichbarer Server vom DSL-Provider eingetragen werden. Der Log-Server soll auf einem Rechner im internen Netz installiert werden, die entsprechende IP muss zu dem Logging-Server hinzugefügt werden. Ist die Firewall Teil einer High Availability Umgebung, muss der zeitliche Abstand der Überprüfungspakete angegeben werden und nach wie vielen ausbleibenden Paketen die PeerFirewall als offline deklariert wird. Ist diese Firewall Spare0 im Cluster-Verbund, kann durch Aktivierung der Checkbox „… in den Master schalten …“ erzwungen werden, dass sie immer den Masterstatus übernimmt. Abb. 18 allgemeine Server Einstellungen konfigurieren 17 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Tragen Sie die folgenden Daten auf der Registerkarte Server Einstellungen ein. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Eingabefelder Servername Zeitzone Primäre DNS-Server Sekundärer DNSServer Adresse NTP-Server Logging Server Verzögerung der Advertisement Pakete Anzahl ausbleibender Advertisement Pakete In den Master schalten Name des Systems Auswahl der Zeitzone, in dem das System steht. erster Name-Server. zweiter Name-Server (Backup) Hostname des Zeitabgleichservers IP-Adresse des Securepoint Log-Servers Zeit zwischen den Advertisement Paketen, die die Firewall an andere Firewalls im Verbund versendet. Anzahl der Advertisement Pakete, die ausbleiben dürfen, bis anderen Firewalls im Verbund als offline eingestuft werden. Die Firewall Spare0 in den Masterzustand setzen. 18 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.7 Appliance-Einstellungen Sollen weitere IPs oder Hosts administrativen Zugriff auf die Appliance haben, müssen die Firewall-Einstellungen angegeben werden. Wählen Sie unter Netzwerk die Registerkarte Appliance- Einstellungen aus, um Ihre Einstellungen vorzunehmen. Abb. 19 allgemeine Appliance Einstellungen Tragen Sie die folgenden Daten auf der Registerkarte Firewall Einstellungen ein. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Eingabefelder IP_Adresse oder Hostname maximale Anzahl der Verbindungen Logging-Einstellung Hostname oder IP-Adresse von denen die Appliance administriert werden darf. Zugelassene TCP/IP-Verbindungen Genauigkeit des Loggings von verworfenen Paketen 19 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.8 HTTP-Proxy einrichten Das interne Netzwerk soll für das HTTP Protokoll (dies gilt nicht für https und ftp) automatisch, d. h. transparent, den HTTP Proxy der Appliance benutzen. Wählen Sie unter Applikationen die Registerkarte HTTP Proxy aus, um Ihre Einstellungen vorzunehmen. Abb. 20 HTTP-Proxy konfigurieren Tragen Sie die folgenden Daten auf der Registerkarte HTTP Proxy ein. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Eingabefelder Proxy-Port Größe Kaskadieren Virenprüfung Port des Proxy-Servers Aktivierung der maximalen Down- und Upload-Größe. Angabe eines Parent Proxys Aktivierung des Virenscanners für den Download über den Proxy. 20 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.8.1 Transparenten HTTP-Proxy einrichten Die automatische Umleitung der http-Anfragen wird unter Applikationen auf der Registerkarte HTTP Proxy eingestellt. Wählen Sie das Verzeichnis Transparenter Proxy. Abb. 21 transparenten HTTP-Proxy einrichten Das interne Netzwerk befindet sich hinter dem Interface eth1, daher muss der transparente Proxy für dieses Interface aktiviert werden. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Die weiteren Einstellungsmöglichkeiten des Proxys können dem allgemeinen Handbuch entnommen werden. Eingabefelder Transparenter Proxy Interface Aktivierung schaltet den transparenten Modus für den HTTP-Proxy ein. Aktiviert den transparenten Proxy für das Netzwerk hinter dem jeweiligen Interface (default eth1 internes Netz) 21 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.9 POP3-Proxy einrichten Neben http-Anfragen sollen auch POP3-Verbindungen über einen transparenten Proxy laufen. Wählen Sie dazu unter Applikationen die Registerkarte POP3-Proxy. Abb. 22 POP3-Proxy aktivieren Im Verzeichnis Allgemein wird zuerst der Spam Filter und die Virenprüfung aktiviert. Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen. Eingabefelder Spam Filter Virenprüfung Aktiviert den Spam Filter für den POP3-Proxy. Aktiviert den Viren-Scanner für den POP3-Proxy. 22 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.9.1 Transparenten POP3-Proxy einrichten Unter Transparent wird wie beim HTTP Proxy festgelegt, für welche Interfaces die Anfragen umgebogen werden sollen. Klicken Sie Applikationen -> POP3 Proxy -> Transparent Abb. 23 transparenten POP3-Proxy aktivieren Tragen Sie die folgenden Daten auf der Registerkarte POP3-Proxy ein. Klicken Sie auf den Button Einstellungen übernehmen, um Ihre Daten zu speichern. Eingabefelder Transparenter Proxy Interface Aktivierung schaltet den transparenten Modus für den POP3-Proxy ein. Aktiviert den transparenten POP3-Proxy für das Netzwerk hinter dem jeweiligen Interface (default eth1 internes Netz). 23 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.10 Rechner/Netzwerkobjekte anlegen Damit die eben konfigurierten Dienste erreicht werden können und das interne Netzwerk ins Internet kommt, müssen Netzwerkobjekte und Firewall-Regeln angelegt werden. Damit die Beziehungen zwischen den Netzwerkobjekten geregelt werden können, müssen einzelne Objekte (Rechner und Netze) in Gruppen zusammengefasst werden. Es wird gesteuert, was eine Gruppe von Rechnern darf oder nicht darf. Wählen Sie unter Firewall die Registerkarte Netzwerkobjekte aus. Als erstes wird das interne Netz als Objekt erstellt. Klicken Sie hierzu auf das Icon Rechner und wählen Sie Netz aus. Abb. 24 Netzwerkobjekt anlegen 24 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Es öffnet sich das Dialog-Fenster Netz hinzufügen. Abb. 25 Netz hinzufügen Hinweis: Die Netzwerkadresse ist 10.1.2.0, die Netzwerkmaske 255.255.255.0, was 24 in der Bitcount Schreibweise entspricht. Die Zone ist internal (= hinter dem internen Interface). Es wird eine neue Gruppe erstellt. Eingabefelder Name IP-Adresse Maske Zone Gruppe Name des Netzwerkobjektes IP-Adresse des Rechners/Netzes Netzwerkmaske des Netzwerkes Auswahl der Zone, in dem sich das Objekt befindet. Auswahl der Gruppe, in die das Objekt eingestellt werden soll. Tragen Sie die vorstehenden Daten ein und klicken Sie auf OK. 25 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Es öffnet sich das Dialog-Fenster Rechnergruppe hinzufügen (sofern eine neue Gruppe erstellt worden ist, d. h. bei Auswahl einer existierenden Gruppe erscheint dieses DialogFenster nicht). Suchen Sie ein Symbol für Ihre Gruppe aus. Bestätigen Sie Ihre Wahl durch OK, damit ist die Rechnergruppe angelegt. Abb. 26 Dialog Rechnergruppe hinzufügen Um dem internen Netz Zugriff auf die Firewall zu geben, muss diese selbst als Netzwerkobjekt existieren. D. h. Sie legen ein weiteres Netzwerkobjekt an. Es wird daher ein Rechner mit der internen IP der Firewall angelegt. Wählen Sie über das Icon Rechner im Verzeichnis Rechner aus. Geben Sie die notwendigen Daten im Dialog-Fenster Rechner hinzufügen ein und bestätigen Ihre Eingabe mit OK. Abb. 27 Dialog Rechner hinzufügen Hinweis: Die Zone ist in diesem Fall firewall-internal (= das physikalische Interface). 26 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Weitere Netzwerkobjekte sind nicht erforderlich, da das Objekt Internet bereits vorgegeben ist. Falls dieses Objekt fehlt, muss ein Netz mit der Adresse 0.0.0.0/0 in der Zone external angelegt werden. Nachfolgend erhalten Sie eine Übersicht über die von Ihnen angelegten Netzwerkobjekte. Abb. 28 Übersicht Netzwerkobjekte 27 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 2.11 Hide-NAT Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete die externe IP der Firewall bekommen. Dieses so genannte Hide-NAT wird unter Firewall -> Hide-NAT konfiguriert. Das NAT-Objekt ist das interne Netzwerk, also internal-net. Die NATBeziehung (NAT Relationship) bestimmt, welche IP die Pakete aus dem internen Netz bekommen. Es kann entweder eine IP oder ein Interface angegeben werden. Bei einer dynamischen IP wird das entsprechende DSL-Interface angeben. In diesem Fall ppp0. Das HideNAT soll für alle Ziele gelten. Wählen Sie unter Firewall die Registerkarte Hide-NAT aus. Klicken Sie auf das Icon Neu. Abb. 29 Hide-NAT anlegen Es öffnet sich das Dialog-Fenster Hide-NAT. Tragen Sie folgende Daten in das Dialog-Fenster ein. Bestätigen Sie Ihre Eingabe mit OK. Eingabefelder NAT Objekt NAT Relationship Destination Einfügen an Position Ausnehmen Netzwerkobjekt, auf das das Hide-NAT zutreffen soll. Netzwerkobjekt, welches die IP vorgibt. Ziel, auf das das NAT-Objekt zugreift. Positionierung in der Liste. Aktivierung, wenn für angegebene Hide-NAT Regel nicht angewendet werden soll. 28 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 3. Regelwerk 3.1 Anlegen von Regeln Zum Schluss werden die notwendigen Firewallregeln erstellt. Wählen Sie über Firewall die Registerkarte Portfilter und klicken Sie auf das Icon Neu. Es wird zuerst eine Regel erzeugt, die dem internen Netzwerk direkten Zugriff auf das Internet für die Dienstgruppe „default internet“ gestattet. Abb. 30 Firewall - Regel hinzufügen (Grp-internal-net -> internet -> default-internet) Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus. Bestätigen Sie Ihre Eingabe mit OK. 29 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Damit das interne Netzwerk die Firewall als DNS Server verwenden kann, muss eine Regel erstellt werden, die Zugriff für die DNS Dienste auf das interne Firewall Interface zulässt. Abb. 31 Regel hizufügen (Grp-internal-net -> Grp-internal-interface -> dns) Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus. Bestätigen Sie Ihre Eingabe mit OK. 30 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 Für die Verwendung des transparenten Proxy muss eine ähnliche Regel erzeugt werden. Wie auf der nächsten Abbildung zu erkennen, ist in der Dienstgruppe nur der Dienst webcache (tcp/8080). Da jedoch auch der POP3-Proxy verwendet werden soll, muss entweder eine weitere Regel erstellt werden oder der entsprechende Dienst wird in die Dienstgruppe Proxy geschoben. Abb. 32 Regel hinzufügen (Grp-internal-net -> Grp-internal-interface -> proxy) Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus. Bestätigen Sie Ihre Eingabe mit OK. 31 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 3.2 Dienst einer Dienstgruppe hinzufügen Die Dienste werden unter Firewall in der Registerkarte Dienste konfiguriert. Wählen Sie über Firewall die Registerkarte Dienst. Markieren Sie Ihren gewünschten Dienst und ziehen ihn per „Drag & Drop“ mit der Maus in die entsprechende Dienstgruppe. Abb. 33 Dienst hinzufügen 32 HowTo: Grundkonfiguration mit dem Securepoint Security Manager Version 2007nx Release 3 4. Speichern der Konfiguration Wurden die einzelnen Konfigurationen übernommen, muss die Firewallkonfiguration noch gespeichert werden. Um die Konfiguration dauerhaft auf dem System zu speichern, klicken Sie auf Speichern. Führen Sie anschließend ein Regel-Update durch. Klicken Sie dafür auf das Icon Regelupdate in der Toolbar (Abb. 35). Abb. 34 Konfiguration speichern Abb. 35 Regelupdate ausführen 33