Firewall bei AlliedWare Plus™

Bei der AT-ARxxxx-Serie ist eine Firewall-Funktion vorhanden. Dieser Beitrag befasst sich mit der Konfiguration bei AlliedWare Plus™. Weitere Informationen zur Konzeptphase.

Für eine einfache Konfiguration empfehle ich, zuerst ein Zone-Konzept zu Zeichnen und dieses dann entsprechenend zu konfigurieren. Die Zeichnung hilft auch bei der Überprüfung des Regelwerk.

In diesem Beispiel werden drei Zonen, 5 Netzwerke und 7 Host definiert.

Firewall

Zonen und Netzwerke

Zone Netzwerk Erklärung
Green Verwaltung Netzwerk der Verwaltung
Prokuktion Netzwerk der Produktion
Gast Besucher/Gastnetzwerk
Red WAN Öffentliches Internet
Tech Tech Technisches Netzwerk

IP-Netzwerke

Zone Netzwerk Subnet
Green Verwaltung 192.168.100.0/24
Produktion 172.16.10.0/23
Gast 192.168.240.0/25
Red WAN 0.0.0.0/0
Tech Tech 10.120.150.0/24

Host's

Zone Netzwerk IP-Adresse Erklärung
Green Verwaltung 192.168.100.5 Firewall
192.168.100.20 NAS-Speicher
Produktion 172.16.10.5 Firewall
172.16.10.16 Belegdrucker 1
172.16.10.17 Belegdrucker 2
Gast 192.168.240.10 Firewall
Red Firewall dynamisch Firewalle nach Aussen

Regeln

  1. Das Netzwerk „Verwaltung“ hat keine Beschränkung für die Zugriffe auf das Internet.
  2. Das Netzwerk „Verwaltung“ darf auf die beiden Belegdrucker zugreiffen.
  3. Das Netzwerk „Verwaltung“ hat keinen Konfigurationszugriff auf die Firewall
  4. Das Netzwerk „Verwaltung“ hat keine Einschränkung für Zugriffe auf das Netzwerk „Verwaltung“
  5. Das Netzwerk „Verwaltung“ hat auf die anderen Netzwerk keinen Zugriff.
  6. Das Netzwerk „Produktion“ darf nicht ins Internet zugreifen
  7. Das Netzwerk „Produktion“ darf auf den NAS-Speicher zugreifen.
  8. Das Netzwerk „Produktion“ hat keinen Konfigurationszugriff auf die Firewall
  9. Das Netzwerk „Produktion“ hat keine Einschränkung für Zugriffe auf das Netzwerk „Produktion“
  10. Das Netzwerk „Produktion“ hat auf die anderen Netzwerke keinen Zugriff.
  11. Das Netzwerk „Gast“ darf nur in das Internet.
  12. Das Netzwerk „Gast“ hat in keine einziges Netzwerk Zugriff.
  13. Das Netzwerk „Tech“ hat in alle Netzwerk uneingeschränkten zugriff.
  14. Das Netzwerk „Tech“ hat keinen Zugriff in das Internet.
  15. Die Firewall selbst hat vollen Zugriff in das Internet.

Zonen, Netzwerk, Host

mit Folgenden Befehlen werden die Zonen, Netzwerke und Host's angelegt:

awplus>en
awplus#configure t
awplus(config)#zone Green
awplus(config-zone)#network Verwaltung
awplus(config-network)#ip subnet 192.168.100.0/24 interface vlan 20
awplus(config-network)#host Firewall
awplus(config-host)#ip addresse 192.168.100.5
awplus(config-host)#exit
awplus(config-network)#host NAS
awplus(config-host)#ip addresse 192.168.100.20
awplus(config-host)#exit
awplus(config-network)#exit
awplus(config-zone)#network Produktion
awplus(config-network)#ip subnet 172.16.10.0/23 interface vlan 30
awplus(config-network)#host Firewall
awplus(config-host)#ip addresse 172.16.10.5
awplus(config-host)#exit
awplus(config-network)#host Belegdrucker_1
awplus(config-host)#ip addresse 172.16.10.16
awplus(config-host)#exit
awplus(config-network)#host Belegdrucker_2
awplus(config-host)#ip addresse 172.16.10.17
awplus(config-host)#exit
awplus(config-network)#exit
awplus(config-zone)#network Gast
awplus(config-network)#ip subnet 192.168.240.0/25 interface vlan 40
awplus(config-network)#host Firewall
awplus(config-host)#ip addresse 192.168.240.10
awplus(config-host)#exit
awplus(config-network)#exit
awplus(config-zone)#exit
awplus(config)#zone Red
awplus(config-zone)#network WAN
awplus(config-network)#ip subnet 0.0.0.0/0 interface eth1
awplus(config-network)#host Firewall
awplus(config-host)#ip address dynamic
awplus(config-host)#exit
awplus(config-network)#exit
awplus(config-zone)#exit
awplus(config)#zone Tech
awplus(config-zone)#network Tech
awplus(config-network)#ip subnet 10.120.150.0/24 interface vlan1000
awplus(config-network)#exit
awplus(config-zone)#exit
awplus(config)#exit
awplus#wr

Firewall-Regeln

awplus>en
awplus#configure t
awplus(config)#firewall
awplus(config-firewall)#rule 10 permit any from Green.Verwaltung to Red
awplus(config-firewall)#rule 20 permit any form Green.Verwaltung to Green.Produktion.Belegdrucker_1
awplus(config-firewall)#rule 30 permit any form Green.Verwaltung to Green.Produktion.Belegdrucker_2
awplus(config-firewall)#rule 40 permit any form Green.Verwaltung to Green.Verwaltung
awplus(config-firewall)#rule 50 permit any form Green.Verwaltung to Green.Verwaltung.Firewall
awplus(config-firewall)#rule 60 deny ssh form Green.Verwaltung to Green.Verwaltung.Firewall
awplus(config-firewall)#rule 70 deny https form Green.Verwaltung to Green.Verwaltung.Firewall
awplus(config-firewall)#rule 80 deny any form Green.Verwaltung to Green
awplus(config-firewall)#rule 90 permit any from Green.Produktion to Green.Produktion
awplus(config-firewall)#rule 100 permit any from Green.Produktion to Green.Verwaltung.NAS
awplus(config-firewall)#rule 110 deny ssh form Green.Produktion to Green.Produktion.Firewall
awplus(config-firewall)#rule 120 deny https form Green.Produktion to Green.Produktion.Firewall
awplus(config-firewall)#rule 130 deny any form Green.Produktion to Green
awplus(config-firewall)#rule 140 deny any form Green.Produktion to Red
awplus(config-firewall)#rule 150 permit any from Green.Gast to Red
awplus(config-firewall)#rule 160 permit any form Green.Gast to Green.Gast.Firewall
awplus(config-firewall)#rule 170 deny ssh form Green.Gast to Green.Gast.Firewall
awplus(config-firewall)#rule 180 deny https form Green.Gast to Green.Gast.Firewall
awplus(config-firewall)#rule 190 deny any form Green.Gast to Green
awplus(config-firewall)#rule 200 permit any from Tech to Green
awplus(config-firewall)#rule 210 permit any from Tech to Tech
awplus(config-firewall)#rule 220 deny any from Tech to Red
awplus(config-firewall)#rule 230 permit any from Red.WAN.Firewall to Red
awplus(config-firewall)#protect
awplus(config-firewall)#exit
awplus(config)#exit
awplus#wr
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
  • allied_telesis/cli/firewall.txt
  • Zuletzt geändert: vor 20 Monaten