wiki:help/scc/firewall/listfirewall

Version 5 (modified by Edwin Eefting, 15 years ago) (diff)

--

Syn-3 firewall

De Syn-3 firewall is zeer uitgebreid, maar tegelijkertijd ook gebruiksvriendelijk.

De firewall is opgesplits in 2 delen:

  • Verkeer wat NAAR de Syn-3 machine gaat. Alle Syn-3 machines hebben dit.
  • Verkeer wat DOOR de Syn-3 machine gaat. Alleen bij Syn-3 servers met de Internet Optie.

Standaard staat de firewall veilig, maar toch bruikbaar afgesteld.

Blokkeer-regels staan boven aan en hebben voorrang op Toesta-regels.

Firewall naar de machine

In dit overzicht ziet u alle firewall regels die betrekking hebben op verkeer wat naar de Syn-3 server gaat.

Hier kunt u dus instellen welke services van de Syn-3 server gebruikt kunnen worden.

Standaard staan deze regels goed en veilig ingesteld, maar soms is het nodig wijzigingen te maken.

Als u bijvoorbeeld support van DatuX wilt is het nodig om Systeembeheer vanaf kantoor.datux.nl toe te staan.

Voorbeeld

De regel:

  • Email verkeer vanaf zone LAN naar deze server toestaan.

Betekend:

De poorten die nodig zijn voor email verkeer (poort 25/110/143..enz) zijn vanaf de LAN netwerk kaart toegestaan. Gebruikers in uw LAN zullen de Syn-3 server dus kunnen gebruiken om te emailen.

Firewall door de machine

De internet server heeft t.o.v. de andere producten een uitgebreidere firewall. De internet server beschikt namelijk ook over een ingebouwde intelligente router. Hiermee kunt u precies aangeven hoe het verkeer tussen de verschillende netwerken onderling mag plaatsvinden. De verschillende zones zijn als volgt gedefinieerd:

Iedere netwerk kaart is een andere zone, en de netwerken aan de andere kant van de VPN tunnels zijn gedefinieerd als Zone VPN. De koppeling tussen netwerk kaart en zone is gedefineerd bij het tabje Netwerk. Hier vind u ook extra online help over zones.

Standaard instellingen firewall

Hieronder staat een schematische voorstelling van de standaard ingestelde toegang tussen de verschillende zones. Uiteraard kunt u de firewall routing naar believen geheel anders configureren.

  • Vanuit de LAN is verkeer naar alle adressen (en dus zones) volledig toegestaan. De internet server zelf valt niet onder het netwerkblok 'alle adressen'! Toegang tot de internet server is aangegeven met 'deze server'.
  • Vanuit de DMZ is alleen volledig verkeer naar het internet toegestaan.
  • Alle netwerken die via VPN aangekoppeld zijn hebben volledige toegang tot het LAN netwerk.

We zien dus dat de richting van het verkeer bepalend is. Zo is het mogelijk om een nieuwe connectie vanuit de LAN naar de DMZ op te bouwen, maar andersom niet.

Omdat u op het internet maar 1 adres hebt, is het niet zomaar mogelijk om verkeer vanaf internet naar 1 van de zones toe te staan. Hiervoor is het mogelijk om speciale doorstuur regels te maken, zie volgende paragraaf.

Werken met een DMZ

Het gebruik van een DMZ biedt u een extra laag van beveiliging voor servers die vanaf het internet bereikbaar moeten zijn. Zodra een server in de DMZ gehacked word, zal de hacker namelijk nog niet op uw LAN netwerk kunnen komen. Bovendien heeft u zo een centraal te beheren firewall.

Hieronder een praktijk voorbeeld van een DMZ:

No image "dmz.png" attached to help/scc/firewall/listfirewall

  • De webserver en mailserver zijn op deze manier volledig vanuit het LAN netwerk te bereiken door dat verkeer vanuit Zone LAN naar Zone DMZ reeds is toegestaan. (groen pijl)
  • Voor de webserver maken we een zogenaamde doorstuur-regel (pijl 1): '[Webpaginas (http)] vanaf [zone Internet ] naar [deze server ] [doorsturen naar: 192.168.1.2:80]'
  • Voor de mailserver geldt hetzelfde (pijl 2): '[Mail bezorgen via SMTP] vanaf [zone Internet ] naar [deze server ] [doorsturen naar: 192.168.1.3:25]'

Op deze manier worden connecties vanaf internet die binnenkomen op de web of mailpoort doorgestuurd naar de juiste servers in de DMZ.

Het word afgeraden om inkomende connecties vanaf internet door te sturen naar servers uw LAN zone, i.v.m. beveiliging.

Servers die alleen voor intern gebruik zijn horen in uw LAN en niet in uw DMZ. (bijvoorbeeld een fileserver)

Wel kan het handig zijn om alleen connecties vanaf bepaalde internet adressen door te sturen naar LAN servers in verband met beheer-werkzaamheden. Bijvoorbeeld Windows remote desktop, of een SCC van eenfileserver in uw LAN.

Attachments (3)

Download all attachments as: .zip