Lancom Systems Advanced VPN Client 1 License LS61600 Benutzerhandbuch
Produktcode
LS61600
LANCOM Advanced VPN Client
쮿
Kapitel 3: Client Monitor
44
DE
Bitte beachten Sie, dass die Firewall-Einstellungen global gültig sind,
d.h. für alle in den Profilen gespeicherten Zielsysteme.
d.h. für alle in den Profilen gespeicherten Zielsysteme.
Dagegen ist die Einstellung der Link Firewall, die im Profil vorgenom-
men werden kann, nur für das dazu gehörenden Zielsystem und die
Verbindung zu diesem Zielsystem wirksam.
men werden kann, nur für das dazu gehörenden Zielsystem und die
Verbindung zu diesem Zielsystem wirksam.
쮿
Eigenschaften der Firewall
Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit
Stateful Packet Inspection (SPI). Die Firewall prüft alle ein- und ausgehenden
Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks, ob
ein Datenpaket weitergeleitet oder verworfen wird.
Stateful Packet Inspection (SPI). Die Firewall prüft alle ein- und ausgehenden
Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks, ob
ein Datenpaket weitergeleitet oder verworfen wird.
Sicherheit wird in zweierlei Hinsicht gewährleistet:
쮿
Zum einen wird der unbefugte Zugriff auf Daten und Ressourcen im zen-
tralen Datennetz verhindert.
tralen Datennetz verhindert.
쮿
Zum anderen wird mittels Stateful Inspection der jeweilige Status beste-
hender Verbindungen überwacht.
hender Verbindungen überwacht.
Die Firewall kann darüber hinaus erkennen, ob eine Verbindung „Tochterver-
bindungen“ geöffnet hat – wie beispielsweise bei FTP – deren Pakete eben-
falls weitergeleitet werden müssen. Wird eine Regel für eine ausgehende
Verbindung definiert, die einen Zugriff erlaubt, so gilt die Regel automatisch
für entsprechende Antwortpakete. Für die Kommunikationspartner stellt sich
eine Stateful Inspection-Verbindung als eine direkte Leitung dar, die nur für
einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt wer-
den darf.
bindungen“ geöffnet hat – wie beispielsweise bei FTP – deren Pakete eben-
falls weitergeleitet werden müssen. Wird eine Regel für eine ausgehende
Verbindung definiert, die einen Zugriff erlaubt, so gilt die Regel automatisch
für entsprechende Antwortpakete. Für die Kommunikationspartner stellt sich
eine Stateful Inspection-Verbindung als eine direkte Leitung dar, die nur für
einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt wer-
den darf.
Die Firewall-Regeln können dynamisch konfiguriert werden, d.h. ein
Anhalten der Software oder ein Neustart des Systems ist nicht nötig.
Anhalten der Software oder ein Neustart des Systems ist nicht nötig.
쮿
Stateful Inspection Firewall erkennt automatisch „Tochterverbindungen“
Die Stateful Inspection Firewall ist in der Lage, automatisch alle Tochterverbindungen folgen-
der Protokolle zu erkennen:
der Protokolle zu erkennen:
쮿
TCP, UDP
쮿
FTP (active und passive Mode)
쮿
ICMP
Wenn Applikationen zusätzlich zur Hauptverbindung dynamisch weitere Ports benötigen, so
können diese über anwendungsspezifische Firewall-Regeln bereitgestellt werden (z.B. für
bestimmte Multimedia-Anwendungen auf Basis H.323).
können diese über anwendungsspezifische Firewall-Regeln bereitgestellt werden (z.B. für
bestimmte Multimedia-Anwendungen auf Basis H.323).