Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.
Firewallregeln wirken grundsätzlich auf Netzwerkobjekte. Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter Firewall Netzwerkobjekte als einzelne Hosts oder Netzwerke mit IP-Adresse als Netzwerkobjekte angelegt und dann zu Netzwerkgruppen zusammengefügt.
Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Paketfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.
Paketfilterregeln, die auf Benutzergruppen der Firewall (Identity-Based Firewall) basieren, funktionieren nicht auf internen Diensten der Firewall. Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Paketfilterregeln geschrieben werden.
Konfiguration auf der UTM
Gruppe konfigurieren
Dies erfolgt unter Authentifizierung Benutzer Bereich Gruppen.
Entweder wird eine neue Gruppe erstellt Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.
Berechtigungen
Berechtigungen
Beschriftung
Wert
Beschreibung
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppe hinzufügen - Berechtigungen bearbeiten
Gruppenname:
Road-Warrior
Eingabe eines aussagekräftigen Namens
Userinterface
Ein
Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen.
SSL-VPN
Ein
Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download
SSL-VPN
SSL-VPN
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
Beschriftung:
Wert
Beschreibung:
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen der Gruppe
Client im Userinterface herunterladbar:
Nein
Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
SSL-VPN Verbindung:
RW-Securepoint
Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
Client-Zertifikat:
cs-sslvpn-rw(1)
Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate Bereich Zertifikate) Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway:
192.168.175.1
IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
Redirect Gateway:
Aus
Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Paketfilter verfügbar:
Nein
Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.
Paketfilterregel anlegen
Eine Regel im Paketfilter wird angelegt unter → Firewall →Paketfilter mit der Schaltfläche Regel hinzufügen
Beschriftung
Wert
Beschreibung
Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilterregel
Aktiv:
Ein
Aktiviert/Deaktiviert die Regel
Quelle:
Road-Warrior
Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
Ziel:
internal-networks
Hier kann das Zielnetzwerkobjekt ausgewählt werden
Dienst:
ssl-vpn
Auswahl des benötigten Dienstes oder einer Dienstgruppe
Aktion:
ACCEPT
Der Zugriff soll gestattet werden
Speichern und schließen
Regel anlegen und Dialog schließen
Damit die Regel auch angewendet wird, muss noch die Schaltfläche Regeln aktualisieren betätigt werden.
Ergebnis
Der angelegte Paketfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.
Paketfilterregel für interne Dienste der Firewall
notempty
Paketfilterregeln, die auf Benutzergruppen der Firewall basieren (Identity-Based Firewall), wirken nicht auf interne Dienste der Firewall!
Wird ein Dienst benötigt, der von einem Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Paketfilter angelegt unter Firewall Paketfilter Schaltfläche Regel hinzufügen
Netzwerkobjekt anlegen
Netzwerkobjekt für das Transfernetz anlegen unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen
Beschriftung
Wert
Beschreibung
Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirwallNetzwerkobjekte Netzwerkobjekt für das Transfernetz
Name:
SSL-VPN Transfernetz
Aussagekräftiger Name für das Netzwerkobjekt
Typ:
VPN-Netzwerk
Typ des Netzwerkobjektes
Adresse:
10.0.1.0/24
Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde
(Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt)
Zone:
vpn-ssl-Roadwarrior
Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet
Gruppe:
Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden
Paketfilterregel anlegen
Wird ein Dienst benötigt, der von einem Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Paketfilter angelegt unter Firewall Paketfilter Schaltfläche Regel hinzufügen
Allgemein
Quelle
SSL-VPN Transfernetz
Das soeben angelegte Netzwerkobjekt
Ziel
internal-interface
Schnittstelle, die den internen Dienst zur Verfügung stellen soll
Dienst
proxy
Benötigter Dienst der Schnittstelle
Ergebnis
Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.