(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Identity-Based Firewall (IBF) | Identity-Based Firewall (IBF) }} {{var | head | Einrich…“) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 8: | Zeile 8: | ||
{{var | head | {{var | head | ||
| Einrichtung Identity-Based Firewall (IBF) für SSL-VPN | | Einrichtung Identity-Based Firewall (IBF) für SSL-VPN | ||
| | | Identity-Based Firewall (IBF) setup for SSL VPN }} | ||
{{var | neu--Filterregel | {{var | neu--Filterregel | ||
| Hinweis zu [[#Portfilterregel_für_interne_Dienste_der_Firewall | Portfilterregeln | | Hinweis zu [[#Portfilterregel_für_interne_Dienste_der_Firewall | Portfilterregeln für interne Dienste]] | ||
| | | Notice for [{{#var:host}}UTM/RULE/ibf#Port_filter_rule_for_internal_services_of_the_firewall Port filter rule for internal services] }} | ||
{{var | Einführung | {{var | Einführung | ||
| Einführung | | Einführung | ||
| | | Introduction }} | ||
{{var | Einführung--desc | {{var | Einführung--desc | ||
| | | <p>Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.<br>Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter {{Menu | Firewall | Portfilter }} {{Reiter | Netzwerkobjekte}} als einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte}} angelegt und dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt.</p> | ||
<p>Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.<br> | |||
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert. | Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert. | ||
| | | <p>Firewall rules always apply to network objects.<br>To apply firewall rules to members of an SSL VPN group, they are created under {{Menu | Firewall | Portfilter }} {{Reiter | Network Objects}} as individual hosts or networks with IP addresses as {{KastenGrau | Network Objects}} and then merged into {{KastenGrau | network groups}}.</p> | ||
<p> Alternatively, it is possible to automatically create network objects based on user groups and thus use identity-based port filtering rules.<br> | |||
If users are authenticated through an AD or LDAP, the administrative effort is significantly reduced.</p>}} | |||
{{var | Einführung--Hinweis | {{var | Einführung--Hinweis | ||
| Portfilterregeln, die auf '''Benutzergruppen''' der Firewall ({{hover|IBF|Identity-Based Firewall}}) basieren, funktionieren '''nicht''' auf internen Diensten der Firewall. Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Portfilterregeln geschrieben werden. | | Portfilterregeln, die auf '''Benutzergruppen''' der Firewall ({{hover|IBF|Identity-Based Firewall}}) basieren, funktionieren '''nicht''' auf internen Diensten der Firewall. <br>Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Portfilterregeln geschrieben werden. | ||
| Port filter rules based on firewall '''user groups'''({{hover|IBF|Identity-Based Firewall}}) '''do not''' work on internal services of the firewall. <br>For the internal services (such as DNS), the transfer network must be created and the port filter rules written from there. }} | |||
| | |||
{{var | Konfiguration auf der UTM | {{var | Konfiguration auf der UTM | ||
| Konfiguration auf der UTM | | Konfiguration auf der UTM | ||
| | | Configuration on the UTM }} | ||
{{var | Gruppen konfigurieren | {{var | Gruppen konfigurieren | ||
| Gruppen konfigurieren | | Gruppen konfigurieren | ||
| | | Configure group }} | ||
{{var | Gruppen konfigurieren--desc | {{var | Gruppen konfigurieren--desc | ||
| Dies erfolgt unter {{Menu|Authentifizierung|Benutzer | | Dies erfolgt unter {{Menu|Authentifizierung|Benutzer|Gruppen}}.<br> | ||
Entweder wird eine neue Gruppe erstellt {{Button|Gruppe hinzufügen|+}} oder eine bestehende Gruppe wird {{Button||w}} bearbeitet. | Entweder wird eine neue Gruppe erstellt {{Button|Gruppe hinzufügen|+}} oder eine bestehende Gruppe wird {{Button||w}} bearbeitet. | ||
| | | This is done under {{Menu|Authentication|User|Groups}}.<br> | ||
Either a new group is created {{Button|Add group|+}} or an existing group is edited {{Button||w}}. }} | |||
{{var | Berechtigungen | {{var | Berechtigungen | ||
| Berechtigungen | | Berechtigungen | ||
| | | Permissions }} | ||
{{var | Gruppenname | {{var | Gruppenname | ||
| Gruppenname | | Gruppenname | ||
| | | Group name }} | ||
{{var | Gruppenname--desc | {{var | Gruppenname--desc | ||
| Eingabe eines aussagekräftigen Namens | | Eingabe eines aussagekräftigen Namens | ||
| | | Enter a descriptive name }} | ||
{{var | Gruppen konfigurieren--Bild | {{var | Gruppen konfigurieren--Bild | ||
| UTM v12.3 Authentifizierung Benutzer Gruppe-hinzufügen Berechtigungen.png | | UTM v12.3 Authentifizierung Benutzer Gruppe-hinzufügen Berechtigungen.png | ||
Zeile 51: | Zeile 51: | ||
{{var | Gruppen konfigurieren--cap | {{var | Gruppen konfigurieren--cap | ||
| Gruppe hinzufügen - Berechtigungen bearbeiten | | Gruppe hinzufügen - Berechtigungen bearbeiten | ||
| | | Add group - edit permissions }} | ||
{{var | Userinterface--desc | {{var | Userinterface--desc | ||
| Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client | | Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen. | ||
| | | Should be enabled, otherwise the user will not be able to download SSL VPN client or view his emails in the quarantine. }} | ||
{{var | SSL-VPN--desc | {{var | SSL-VPN--desc | ||
| Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | | Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | ||
| | | Should be enabled. Requires "user interface" permissions for client download }} | ||
{{var | Portfilterregel anlegen | {{var | Portfilterregel anlegen | ||
| Portfilterregel anlegen | | Portfilterregel anlegen | ||
| | | Create portfilter rule }} | ||
{{var | Portfilterregel anlegen--desc | {{var | Portfilterregel anlegen--desc | ||
| Eine Regel im Portfilter wird angelegt unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+|mit=true}} | | Eine Regel im Portfilter wird angelegt unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+|mit=true}} | ||
| | | A rule in the portfilter is created under {{Menu|Firewall|Port filter|Add rule|+|mit=true}} }} | ||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | | Regel hinzufügen | ||
| | | Add rule }} | ||
{{var | Aktiv | {{var | Aktiv | ||
| Aktiv | | Aktiv | ||
Zeile 78: | Zeile 72: | ||
{{var | Aktiv--desc | {{var | Aktiv--desc | ||
| Aktiviert/Deaktiviert die Regel | | Aktiviert/Deaktiviert die Regel | ||
| | | Activates/deactivates the rule }} | ||
{{var | Portfilterregel anlegen--Bild | {{var | Portfilterregel anlegen--Bild | ||
| UTM v12.2.3 Portfilter konfigurieren road warrior.png | | UTM v12.2.3 Portfilter konfigurieren road warrior.png | ||
Zeile 84: | Zeile 78: | ||
{{var | Portfilterregel anlegen--cap | {{var | Portfilterregel anlegen--cap | ||
| Portfilterregel | | Portfilterregel | ||
| | | Portfilter rule }} | ||
{{var | Quelle | {{var | Quelle | ||
| Quelle | | Quelle | ||
| | | Source }} | ||
{{var | Quelle--desc | {{var | Quelle--desc | ||
| Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | | Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | ||
| | | Here, the previously created SSL VPN group can now be selected directly as a network object }} | ||
{{var | Ziel | {{var | Ziel | ||
| Ziel | | Ziel | ||
| | | Destination }} | ||
{{var | Ziel--desc | {{var | Ziel--desc | ||
| Hier kann das Zielnetzwerkobjekt ausgewählt werden | | Hier kann das Zielnetzwerkobjekt ausgewählt werden | ||
| | | The destination network object can be selected here }} | ||
{{var | Dienst | {{var | Dienst | ||
| Dienst | | Dienst | ||
| | | Service }} | ||
{{var | Dienst--desc | {{var | Dienst--desc | ||
| Auswahl des benötigten Dienstes oder einer Dienstgruppe | | Auswahl des benötigten Dienstes oder einer Dienstgruppe | ||
| | | Selecting the required service or a service group }} | ||
{{var | Aktion | {{var | Aktion | ||
| Aktion | | Aktion | ||
| | | Action }} | ||
{{var | Aktion--desc | {{var | Aktion--desc | ||
| Der Zugriff soll gestattet werden | | Der Zugriff soll gestattet werden | ||
| | | Access shall be granted }} | ||
{{var | Logging--val | {{var | Logging--val | ||
| SHORT - Drei Einträge die Minute protokollieren | | SHORT - Drei Einträge die Minute protokollieren | ||
| | | SHORT - Log three entries per minute }} | ||
{{var | Logging--desc | {{var | Logging--desc | ||
| Gewünschte Loggingstufe | | Gewünschte Loggingstufe | ||
| | | Desired logging level }} | ||
{{var | Gruppe | {{var | Gruppe | ||
| Gruppe | | Gruppe | ||
| | | Group }} | ||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Gewünschte Regel-Gruppe auswählen | | Gewünschte Regel-Gruppe auswählen | ||
| | | Select desired rule group }} | ||
{{var | Hinzufügen und schließen | {{var | Hinzufügen und schließen | ||
| Hinzufügen und schließen | | Hinzufügen und schließen | ||
| | | Add and close }} | ||
{{var | Hinzufügen und schließen--desc | {{var | Hinzufügen und schließen--desc | ||
| Regel anlegen und Dialog schließen | | Regel anlegen und Dialog schließen | ||
| | | Add rule and close the dialog }} | ||
{{var | Hinzufügen und schließen--Hinweis | {{var | Hinzufügen und schließen--Hinweis | ||
| Damit die Regel auch angewendet wird, muss noch die Schaltfläche {{Button|Regeln aktualisieren|play}} betätigt werden. | | Damit die Regel auch angewendet wird, muss noch die Schaltfläche {{Button|Regeln aktualisieren|play}} betätigt werden. | ||
| | | In order for the rule to be applied, the button must be clicked. {{Button|Update rules|play}} }} | ||
{{var | Ergebnis | {{var | Ergebnis | ||
| Ergebnis | | Ergebnis | ||
| | | Result }} | ||
{{var | Ergebnis--desc | {{var | Ergebnis--desc | ||
| Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe | | Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden. | ||
| | | The created portfilter is now effective for all users who are in the Roadwarrior group. }} | ||
{{var | Portfilterregel interne Dienste | {{var | Portfilterregel interne Dienste | ||
| Portfilterregel für interne Dienste der Firewall | | Portfilterregel für interne Dienste der Firewall | ||
| | | Port filter rule for internal services of the firewall }} | ||
{{var | Portfilterregel interne Dienste--Hinweis | {{var | Portfilterregel interne Dienste--Hinweis | ||
| Portfilterregeln, die auf '''Benutzergruppen''' der Firewall basieren ({{hover|IBF|Identity-Based Firewall}}), wirken nicht auf '''interne Dienste''' der Firewall! | | Portfilterregeln, die auf '''Benutzergruppen''' der Firewall basieren ({{hover|IBF|Identity-Based Firewall}}), wirken nicht auf '''interne Dienste''' der Firewall! | ||
| | | Port filter rules based on firewall '''user groups'''({{hover|IBF|Identity-Based Firewall}}) do not work on '''internal services''' of the firewall. }} | ||
{{var | Portfilterregel interne Dienste--desc | {{var | Portfilterregel interne Dienste--desc | ||
| In diesem Falle muss das Transfernetz als Netzwerkobjekt angelegt werden.<br>Dabei erfolgt die Zuordnung zu einzelnen Benutzern dann ggf. über die Nutzung des Transfernetzes. | | In diesem Falle muss das Transfernetz als Netzwerkobjekt angelegt werden.<br>Dabei erfolgt die Zuordnung zu einzelnen Benutzern dann ggf. über die Nutzung des Transfernetzes. | ||
| }} | | In this case, the transfer network must be created as a network object.<br>The assignment to individual users then takes place, if necessary, via the use of the transfer network. }} | ||
{{var | Netzwerkobjekt anlegen | {{var | Netzwerkobjekt anlegen | ||
| Netzwerkobjekt anlegen | | Netzwerkobjekt anlegen | ||
| | | Create network object }} | ||
{{var | Netzwerkobjekt anlegen--desc | {{var | Netzwerkobjekt anlegen--desc | ||
| Netzwerkobjekt für das Transfernetz anlegen unter {{Menu|Firewall|Portfilter|Netzwerkobjekte|Objekt hinzufügen|+|mit=true}} | | Netzwerkobjekt für das Transfernetz anlegen unter {{Menu|Firewall|Portfilter|Netzwerkobjekte|Objekt hinzufügen|+|mit=true}} | ||
| | | Create network object for the transfer network under {{Menu|Firewall|Port filter|Network objects|Add object|+|mit=true}} }} | ||
{{var | Netzwerkobjekt anlegen--Bild | {{var | Netzwerkobjekt anlegen--Bild | ||
| UTM v12.2.3 IBF Netzwerkobjekt Transfernetz.png | | UTM v12.2.3 IBF Netzwerkobjekt Transfernetz.png | ||
| | | UTM v12.2.3 IBF Netzwerkobjekt Transfernetz-en.png }} | ||
{{var | Netzwerkobjekt anlegen--cap | {{var | Netzwerkobjekt anlegen--cap | ||
| Netzwerkobjekt für das Transfernetz | | Netzwerkobjekt für das Transfernetz | ||
| | | Network object for the transfer network }} | ||
{{var | Name | {{var | Name | ||
| Name: | | Name: | ||
| | | Name: }} | ||
{{var | Name--desc | {{var | Name--desc | ||
| Aussagekräftiger Name für das Netzwerkobjekt | | Aussagekräftiger Name für das Netzwerkobjekt | ||
| | | Descriptive name for the network object }} | ||
{{var | Name--val | {{var | Name--val | ||
| SSL-VPN Transfernetz | | SSL-VPN Transfernetz | ||
| | | SSL VPN transfer network }} | ||
{{var | Typ | {{var | Typ | ||
| Typ: | | Typ: | ||
| | | Type: }} | ||
{{var | Typ--val | {{var | Typ--val | ||
| VPN-Netzwerk | | VPN-Netzwerk | ||
| | | VPN network }} | ||
{{var | Typ--desc | {{var | Typ--desc | ||
| Typ des Netzwerkobjektes | | Typ des Netzwerkobjektes | ||
| | | Type of network object }} | ||
{{var | Adresse | {{var | Adresse | ||
| Adresse: | | Adresse: | ||
| | | Address: }} | ||
{{var | Adresse--desc | {{var | Adresse--desc | ||
| Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung | | Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde | ||
| | | The network IP that was set when the SSL VPN connection was established }} | ||
{{var | Adresse--info | {{var | Adresse--info | ||
| (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte ''Transfer Network/Pool'' (auch hier wird | | (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte ''Transfer Network/Pool'' (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt) | ||
| | | (Step 4 in the wizard, where the IP for the local end of the transfer network was set) or as in the overview of SSL VPN connections in the column ''Transfer network/pool'' | ||
(also here the IP for the local end of the transfer network is displayed) }} | |||
{{var | Zone | {{var | Zone | ||
| Zone: | | Zone: | ||
| | | Zone: }} | ||
{{var | Zone--desc | {{var | Zone--desc | ||
| Bei korrekt bekannter | | Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet | ||
| | | If the transfer network IP is known and correct, the zone is automatically assigned correctly }} | ||
{{var | Gruppe | {{var | Gruppe | ||
| Gruppe: | | Gruppe: | ||
| | | Group: }} | ||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | | Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | ||
| | | The network object can be directly assigned to a group }} | ||
{{var | Portfilterregel interne Dienste--desc | {{var | Portfilterregel interne Dienste--desc | ||
| | | Wird ein Dienst benötigt, der von einem {{spc|interface|o|Interface-Netzwerkobjekt}} zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.<br> | ||
Eine weitere Regel wird im Portfilter angelegt unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+|mit=true}} | |||
| If a service is required that is provided by an {{spc|interface|o|interface network object}} (e.g. DNS or, as in the following example, the proxy), another filter rule is required with the network object of the transfer network.<br> | |||
Another rule is created in the port filter under {{Menu|Firewall|Port filter|Add rule|+|mit=true}} }} | |||
{{var | interne Dienste-Quelle--desc | {{var | interne Dienste-Quelle--desc | ||
| Das soeben angelegte Netzwerkobjekt | | Das soeben angelegte Netzwerkobjekt | ||
| | | The network object just created }} | ||
{{var | interne Dienste-Ziel--desc | {{var | interne Dienste-Ziel--desc | ||
| Schnittstelle, die den internen Dienst zur Verfügung stellen soll | | Schnittstelle, die den internen Dienst zur Verfügung stellen soll | ||
| | | Interface that is to provide the internal service }} | ||
{{var | interne Dienste-Dienst--desc | {{var | interne Dienste-Dienst--desc | ||
| Benötigter Dienst der Schnittstelle | | Benötigter Dienst der Schnittstelle | ||
| | | Required service of the interface }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| | | General }} | ||
{{var | Ergebnis interne Dienste--desc | {{var | Ergebnis interne Dienste--desc | ||
| Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden. | | Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden. | ||
| | | With this additional rule, internal services of the firewall can also be used. }} | ||
{{var | | {{var | | ||
| | | |
UTM/RULE/ibf.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki