KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 9: | Zeile 9: | ||
| Einrichtung Identity-Based Firewall (IBF) für SSL-VPN | | Einrichtung Identity-Based Firewall (IBF) für SSL-VPN | ||
| Identity-Based Firewall (IBF) setup for SSL VPN }} | | Identity-Based Firewall (IBF) setup for SSL VPN }} | ||
{{var | Firewall | |||
| Firewall | |||
| Firewall }} | |||
{{var | Paketfilter | |||
| Paketfilter | |||
| Packetfilter }} | |||
{{var | neu--Filterregel | {{var | neu--Filterregel | ||
| Hinweis zu [[# | | Hinweis zu [[#Paketfilterregel_für_interne_Dienste_der_Firewall | Paketfilterregeln für interne Dienste]] | ||
| Notice for [{{#var:host}}UTM/RULE/ibf# | | Notice for [{{#var:host}}UTM/RULE/ibf#Packet_filter_rule_for_internal_services_of_the_firewall Port filter rule for internal services] }} | ||
{{var | Einführung | {{var | Einführung | ||
| Zeile 17: | Zeile 23: | ||
| Introduction }} | | Introduction }} | ||
{{var | Einführung--desc | {{var | Einführung--desc | ||
| <p>Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.<br>Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter {{Menu | Firewall | | <p>Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.<br>Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter {{Menu-UTM|Firewall|Netzwerkobjekte}} als einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte}} angelegt und dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt.</p> | ||
<p>Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte | <p>Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Paketfilter-Regeln einzusetzen.<br> | ||
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert. | Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert. | ||
| <p>Firewall rules always apply to network objects.<br>To apply firewall rules to members of an SSL VPN group, they are created under {{Menu | Firewall | | <p>Firewall rules always apply to network objects.<br>To apply firewall rules to members of an SSL VPN group, they are created under {{Menu-UTM|Firewall|Network Objects}} as individual hosts or networks with IP addresses as {{KastenGrau | Network Objects}} and then merged into {{KastenGrau | network groups}}.</p> | ||
<p> Alternatively, it is possible to automatically create network objects based on user groups and thus use identity-based port filtering rules.<br> | <p> Alternatively, it is possible to automatically create network objects based on user groups and thus use identity-based port filtering rules.<br> | ||
If users are authenticated through an AD or LDAP, the administrative effort is significantly reduced.</p>}} | If users are authenticated through an AD or LDAP, the administrative effort is significantly reduced.</p>}} | ||
{{var | Einführung--Hinweis | {{var | Einführung--Hinweis | ||
| | | Paketfilterregeln, die auf '''Benutzergruppen''' der Firewall ({{hover|IBF|Identity-Based Firewall}}) basieren, funktionieren '''nicht''' auf internen Diensten der Firewall. <br>Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Paketfilterregeln geschrieben werden. | ||
| | | Packet filter rules based on firewall '''user groups'''({{hover|IBF|Identity-Based Firewall}}) '''do not''' work on internal services of the firewall. <br>For the internal services (such as DNS), the transfer network must be created and the packet filter rules written from there. }} | ||
{{var | Konfiguration auf der UTM | {{var | Konfiguration auf der UTM | ||
| Konfiguration auf der UTM | | Konfiguration auf der UTM | ||
| Configuration on the UTM }} | | Configuration on the UTM }} | ||
{{var | Gruppen konfigurieren | {{var | Gruppen konfigurieren | ||
| | | Gruppe konfigurieren | ||
| Configure group }} | | Configure group }} | ||
{{var | Gruppen konfigurieren--desc | {{var | Gruppen konfigurieren--desc | ||
| Dies erfolgt unter {{Menu|Authentifizierung|Benutzer|Gruppen}}.<br> | | Dies erfolgt unter {{Menu-UTM|Authentifizierung|Benutzer|Gruppen}}.<br> | ||
Entweder wird eine neue Gruppe erstellt {{Button|Gruppe hinzufügen|+}} oder eine bestehende Gruppe wird {{Button||w}} bearbeitet. | Entweder wird eine neue Gruppe erstellt {{Button|Gruppe hinzufügen|+}} oder eine bestehende Gruppe wird {{Button||w}} bearbeitet. | ||
| This is done under {{Menu|Authentication|User|Groups}}.<br> | | This is done under {{Menu-UTM|Authentication|User|Groups}}.<br> | ||
Either a new group is created {{Button|Add group|+}} or an existing group is edited {{Button||w}}. }} | Either a new group is created {{Button|Add group|+}} or an existing group is edited {{Button||w}}. }} | ||
{{var | Berechtigungen | {{var | Berechtigungen | ||
| Zeile 47: | Zeile 53: | ||
| Enter a descriptive name }} | | Enter a descriptive name }} | ||
{{var | Gruppen konfigurieren--Bild | {{var | Gruppen konfigurieren--Bild | ||
| UTM v12. | | UTM v12.6 ibf Gruppe hinzufuegen Road-Warrior.png | ||
| UTM v12. | | UTM v12.6 ibf Gruppe hinzufuegen Road-Warrior-en.png }} | ||
{{var | Gruppen konfigurieren--cap | {{var | Gruppen konfigurieren--cap | ||
| Gruppe hinzufügen - Berechtigungen bearbeiten | | Gruppe hinzufügen - Berechtigungen bearbeiten | ||
| Add group - edit permissions }} | | Add group - edit permissions }} | ||
{{var | Gruppe hinzufügen | |||
| Gruppe hinzufügen | |||
| Add group }} | |||
{{var | Authentifizierung | |||
| Authentifizierung | |||
| Authentication }} | |||
{{var | Benutzer | |||
| Benutzer | |||
| User }} | |||
{{var | Userinterface--desc | {{var | Userinterface--desc | ||
| Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen. | | Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen. | ||
| Zeile 58: | Zeile 73: | ||
| Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | | Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | ||
| Should be enabled. Requires "user interface" permissions for client download }} | | Should be enabled. Requires "user interface" permissions for client download }} | ||
{{var | | {{var | Paketfilterregel anlegen | ||
| | | Paketfilterregel anlegen | ||
| Create | | Create packetfilter rule }} | ||
{{var | | {{var | Paketfilterregel anlegen--desc | ||
| Eine Regel im | | Eine Regel im Paketfilter wird angelegt unter {{Menu|Firewall|Paketfilter||Regel hinzufügen|+|mit=true}} | ||
| A rule in the | | A rule in the packetfilter is created under {{Menu|Firewall|Packetfilter||Add rule|+|mit=true}} }} | ||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | | Regel hinzufügen | ||
| Zeile 73: | Zeile 88: | ||
| Aktiviert/Deaktiviert die Regel | | Aktiviert/Deaktiviert die Regel | ||
| Activates/deactivates the rule }} | | Activates/deactivates the rule }} | ||
{{var | | {{var | Paketfilterregel anlegen--Bild | ||
| UTM v12. | | UTM v12.6 ibf Paketfilterregel Quelle Road-Warrior.png | ||
| UTM v12. | | UTM v12.6 ibf Paketfilterregel Quelle Road-Warrior-en.png }} | ||
{{var | | {{var | Paketfilterregel anlegen--cap | ||
| | | Paketfilterregel | ||
| | | Packetfilter rule }} | ||
{{var | Quelle | {{var | Quelle | ||
| Quelle | | Quelle | ||
| Zeile 121: | Zeile 136: | ||
| Regel anlegen und Dialog schließen | | Regel anlegen und Dialog schließen | ||
| Add rule and close the dialog }} | | Add rule and close the dialog }} | ||
{{var | Regeln aktualisieren | |||
| Regeln aktualisieren | |||
| Update rules }} | |||
{{var | Hinzufügen und schließen--Hinweis | {{var | Hinzufügen und schließen--Hinweis | ||
| Damit die Regel auch angewendet wird, muss noch die Schaltfläche {{Button|Regeln aktualisieren|play}} betätigt werden. | | Damit die Regel auch angewendet wird, muss noch die Schaltfläche {{Button-dialog|Regeln aktualisieren|fa-play}} betätigt werden. | ||
| In order for the rule to be applied, the button must be clicked. {{Button|Update rules|play}} }} | | In order for the rule to be applied, the button must be clicked. {{Button-dialog|Update rules|fa-play}} }} | ||
{{var | Ergebnis | {{var | Ergebnis | ||
| Ergebnis | | Ergebnis | ||
| Result }} | | Result }} | ||
{{var | Ergebnis--desc | {{var | Ergebnis--desc | ||
| Der angelegte | | Der angelegte Paketfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden. | ||
| The created | | The created packetfilter is now effective for all users who are in the Roadwarrior group. }} | ||
{{var | | {{var | Paketfilterregel interne Dienste | ||
| | | Paketfilterregel für interne Dienste der Firewall | ||
| | | Packet filter rule for internal services of the firewall }} | ||
{{var | | {{var | Paketfilterregel interne Dienste--Hinweis | ||
| | | Paketfilterregeln, die auf '''Benutzergruppen''' der Firewall basieren ({{hover|IBF|Identity-Based Firewall}}), wirken nicht auf '''interne Dienste''' der Firewall! | ||
| | | Packet filter rules based on firewall '''user groups'''({{hover|IBF|Identity-Based Firewall}}) do not work on '''internal services''' of the firewall. }} | ||
{{var | | {{var | Paketfilterregel interne Dienste--desc | ||
| In diesem Falle muss das Transfernetz als Netzwerkobjekt angelegt werden.<br>Dabei erfolgt die Zuordnung zu einzelnen Benutzern dann ggf. über die Nutzung des Transfernetzes. | | In diesem Falle muss das Transfernetz als Netzwerkobjekt angelegt werden.<br>Dabei erfolgt die Zuordnung zu einzelnen Benutzern dann ggf. über die Nutzung des Transfernetzes. | ||
| In this case, the transfer network must be created as a network object.<br>The assignment to individual users then takes place, if necessary, via the use of the transfer network. }} | | In this case, the transfer network must be created as a network object.<br>The assignment to individual users then takes place, if necessary, via the use of the transfer network. }} | ||
| Zeile 143: | Zeile 161: | ||
| Create network object }} | | Create network object }} | ||
{{var | Netzwerkobjekt anlegen--desc | {{var | Netzwerkobjekt anlegen--desc | ||
| Netzwerkobjekt für das Transfernetz anlegen unter {{Menu|Firewall| | | Netzwerkobjekt für das Transfernetz anlegen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} | ||
| Create network object for the transfer network under {{Menu|Firewall | | Create network object for the transfer network under {{Menu-UTM|Firewall|Network objects||Add object|+}} }} | ||
{{var | Netzwerkobjekt anlegen--Bild | {{var | Netzwerkobjekt anlegen--Bild | ||
| UTM v12. | | UTM v12.6 ibf Netzwerkobjekt erstellen SSL-VPN Transfernetz.png | ||
| UTM v12. | | UTM v12.6 ibf Netzwerkobjekt erstellen SSL-VPN Transfernetz-en.png }} | ||
{{var | Netzwerkobjekt anlegen--cap | {{var | Netzwerkobjekt anlegen--cap | ||
| Netzwerkobjekt für das Transfernetz | | Netzwerkobjekt für das Transfernetz | ||
| Network object for the transfer network }} | | Network object for the transfer network }} | ||
{{var | Netzwerkobjekt hinzufügen | |||
| Netzwerkobjekt hinzufügen | |||
| Add network object }} | |||
{{var | Netzwerkobjekte | |||
| Netzwerkobjekte | |||
| Network objects }} | |||
{{var | Name | {{var | Name | ||
| Name: | | Name: | ||
| Zeile 191: | Zeile 215: | ||
| Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | | Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | ||
| The network object can be directly assigned to a group }} | | The network object can be directly assigned to a group }} | ||
{{var | | {{var | Paketfilterregel interne Dienste--desc | ||
| Wird ein Dienst benötigt, der von einem {{spc|interface|o|Interface-Netzwerkobjekt}} zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.<br> | | Wird ein Dienst benötigt, der von einem {{spc|interface|o|Interface-Netzwerkobjekt}} zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.<br> | ||
Eine weitere Regel wird im | Eine weitere Regel wird im Paketfilter angelegt unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} | ||
| If a service is required that is provided by an {{spc|interface|o|interface network object}} (e.g. DNS or, as in the following example, the proxy), another filter rule is required with the network object of the transfer network.<br> | | If a service is required that is provided by an {{spc|interface|o|interface network object}} (e.g. DNS or, as in the following example, the proxy), another filter rule is required with the network object of the transfer network.<br> | ||
Another rule is created in the port filter under {{Menu|Firewall| | Another rule is created in the port filter under {{Menu-UTM|Firewall|Packetfilter||Add rule|+}} }} | ||
{{var | interne Dienste-Quelle--desc | {{var | interne Dienste-Quelle--desc | ||
| Das soeben angelegte Netzwerkobjekt | | Das soeben angelegte Netzwerkobjekt | ||
| Zeile 211: | Zeile 235: | ||
| Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden. | | Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden. | ||
| With this additional rule, internal services of the firewall can also be used. }} | | With this additional rule, internal services of the firewall can also be used. }} | ||
{{var | | {{var | neu--ACME | ||
| | | Hinweis zur Nutzung von [[:#SSL-VPN|ACME-Zertifikaten]] (ab v.12.2) | ||
| | | It is also possible to use [[:#SSL-VPN|ACME certificates]] (as of v12.2) }} | ||
{{var | | {{var | Speichern und schließen | ||
| | | Speichern und schließen | ||
| | | Save and close }} | ||
---- | ---- | ||
UTM/RULE/ibf.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki