Firewall bei AlliedWare Plus™
Einleitung
Bei der AT-ARxxxx-Serie ist eine Firewall-Funktion vorhanden. Dieser Beitrag befasst sich mit der Konfiguration bei AlliedWare Plus™. Weitere Informationen zur Konzeptphase.
Vorbereitungen
Für eine einfache Konfiguration empfehle ich, zuerst ein Zone-Konzept zu Zeichnen und dieses dann entsprechenend zu konfigurieren. Die Zeichnung hilft auch bei der Überprüfung des Regelwerk.
Beispiel
In diesem Beispiel werden drei Zonen, 5 Netzwerke und 7 Host definiert.
Daten
Zonen und Netzwerke
Zone | Netzwerk | Erklärung |
---|---|---|
Green | Verwaltung | Netzwerk der Verwaltung |
Prokuktion | Netzwerk der Produktion | |
Gast | Besucher/Gastnetzwerk | |
Red | WAN | Öffentliches Internet |
Tech | Tech | Technisches Netzwerk |
IP-Netzwerke
Zone | Netzwerk | Subnet |
---|---|---|
Green | Verwaltung | 192.168.100.0/24 |
Produktion | 172.16.10.0/23 | |
Gast | 192.168.240.0/25 | |
Red | WAN | 0.0.0.0/0 |
Tech | Tech | 10.120.150.0/24 |
Host's
Zone | Netzwerk | IP-Adresse | Erklärung |
---|---|---|---|
Green | Verwaltung | 192.168.100.5 | Firewall |
192.168.100.20 | NAS-Speicher | ||
Produktion | 172.16.10.5 | Firewall | |
172.16.10.16 | Belegdrucker 1 | ||
172.16.10.17 | Belegdrucker 2 | ||
Gast | 192.168.240.10 | Firewall | |
Red | Firewall | dynamisch | Firewalle nach Aussen |
Regeln
- Das Netzwerk „Verwaltung“ hat keine Beschränkung für die Zugriffe auf das Internet.
- Das Netzwerk „Verwaltung“ darf auf die beiden Belegdrucker zugreiffen.
- Das Netzwerk „Verwaltung“ hat keinen Konfigurationszugriff auf die Firewall
- Das Netzwerk „Verwaltung“ hat keine Einschränkung für Zugriffe auf das Netzwerk „Verwaltung“
- Das Netzwerk „Verwaltung“ hat auf die anderen Netzwerk keinen Zugriff.
- Das Netzwerk „Produktion“ darf nicht ins Internet zugreifen
- Das Netzwerk „Produktion“ darf auf den NAS-Speicher zugreifen.
- Das Netzwerk „Produktion“ hat keinen Konfigurationszugriff auf die Firewall
- Das Netzwerk „Produktion“ hat keine Einschränkung für Zugriffe auf das Netzwerk „Produktion“
- Das Netzwerk „Produktion“ hat auf die anderen Netzwerke keinen Zugriff.
- Das Netzwerk „Gast“ darf nur in das Internet.
- Das Netzwerk „Gast“ hat in keine einziges Netzwerk Zugriff.
- Das Netzwerk „Tech“ hat in alle Netzwerk uneingeschränkten zugriff.
- Das Netzwerk „Tech“ hat keinen Zugriff in das Internet.
- Die Firewall selbst hat vollen Zugriff in das Internet.
Konfiguration
Zonen, Netzwerk, Host
mit Folgenden Befehlen werden die Zonen, Netzwerke und Host's angelegt:
awplus>en awplus#configure t awplus(config)#zone Green awplus(config-zone)#network Verwaltung awplus(config-network)#ip subnet 192.168.100.0/24 interface vlan 20 awplus(config-network)#host Firewall awplus(config-host)#ip addresse 192.168.100.5 awplus(config-host)#exit awplus(config-network)#host NAS awplus(config-host)#ip addresse 192.168.100.20 awplus(config-host)#exit awplus(config-network)#exit awplus(config-zone)#network Produktion awplus(config-network)#ip subnet 172.16.10.0/23 interface vlan 30 awplus(config-network)#host Firewall awplus(config-host)#ip addresse 172.16.10.5 awplus(config-host)#exit awplus(config-network)#host Belegdrucker_1 awplus(config-host)#ip addresse 172.16.10.16 awplus(config-host)#exit awplus(config-network)#host Belegdrucker_2 awplus(config-host)#ip addresse 172.16.10.17 awplus(config-host)#exit awplus(config-network)#exit awplus(config-zone)#network Gast awplus(config-network)#ip subnet 192.168.240.0/25 interface vlan 40 awplus(config-network)#host Firewall awplus(config-host)#ip addresse 192.168.240.10 awplus(config-host)#exit awplus(config-network)#exit awplus(config-zone)#exit awplus(config)#zone Red awplus(config-zone)#network WAN awplus(config-network)#ip subnet 0.0.0.0/0 interface eth1 awplus(config-network)#host Firewall awplus(config-host)#ip address dynamic awplus(config-host)#exit awplus(config-network)#exit awplus(config-zone)#exit awplus(config)#zone Tech awplus(config-zone)#network Tech awplus(config-network)#ip subnet 10.120.150.0/24 interface vlan1000 awplus(config-network)#exit awplus(config-zone)#exit awplus(config)#exit awplus#wr
Firewall-Regeln
awplus>en awplus#configure t awplus(config)#firewall awplus(config-firewall)#rule 10 permit any from Green.Verwaltung to Red awplus(config-firewall)#rule 20 permit any form Green.Verwaltung to Green.Produktion.Belegdrucker_1 awplus(config-firewall)#rule 30 permit any form Green.Verwaltung to Green.Produktion.Belegdrucker_2 awplus(config-firewall)#rule 40 permit any form Green.Verwaltung to Green.Verwaltung awplus(config-firewall)#rule 50 permit any form Green.Verwaltung to Green.Verwaltung.Firewall awplus(config-firewall)#rule 60 deny ssh form Green.Verwaltung to Green.Verwaltung.Firewall awplus(config-firewall)#rule 70 deny https form Green.Verwaltung to Green.Verwaltung.Firewall awplus(config-firewall)#rule 80 deny any form Green.Verwaltung to Green awplus(config-firewall)#rule 90 permit any from Green.Produktion to Green.Produktion awplus(config-firewall)#rule 100 permit any from Green.Produktion to Green.Verwaltung.NAS awplus(config-firewall)#rule 110 deny ssh form Green.Produktion to Green.Produktion.Firewall awplus(config-firewall)#rule 120 deny https form Green.Produktion to Green.Produktion.Firewall awplus(config-firewall)#rule 130 deny any form Green.Produktion to Green awplus(config-firewall)#rule 140 deny any form Green.Produktion to Red awplus(config-firewall)#rule 150 permit any from Green.Gast to Red awplus(config-firewall)#rule 160 permit any form Green.Gast to Green.Gast.Firewall awplus(config-firewall)#rule 170 deny ssh form Green.Gast to Green.Gast.Firewall awplus(config-firewall)#rule 180 deny https form Green.Gast to Green.Gast.Firewall awplus(config-firewall)#rule 190 deny any form Green.Gast to Green awplus(config-firewall)#rule 200 permit any from Tech to Green awplus(config-firewall)#rule 210 permit any from Tech to Tech awplus(config-firewall)#rule 220 deny any from Tech to Red awplus(config-firewall)#rule 230 permit any from Red.WAN.Firewall to Red awplus(config-firewall)#protect awplus(config-firewall)#exit awplus(config)#exit awplus#wr