11.2. Netzwerk-Objekte

Die Network Object-Einstellungen finden Sie unter Firewall → Netzwerk-Objekte.

Ein Netzwerk-Objekt kann einer der folgenden Typen sein:

  • Hosts (einzelne IPs oder Hostnamen)

  • Hosts (Netzwerkbereich)

  • Ports

  • MAC-Adressen

  • DNS Domain

Netzwerk-Objekt in Netzwerk-Objekten sind möglich, sie müssen jedoch vom gleichen Typ sein. Das Hinzufügen eines MAC-Adressen-Netzwerk-Objekts zu einem Port-Netzwerk-Objekts funktioniert nicht. Es ist auch nicht erlaubt, zyklische Strukturen wie z.B. 2 Netzwerk-Objekte anzulegen und diese jeweils dem anderen Netzwerk-Objekt hinzuzufügen. Diese Struktur erzeugt eine Schleife und ist nicht gültig.

Für Hosts können Sie auch Hostnamen (DNS Einträge) anstelle von IP-Adressen verwenden. Beachten Sie jedoch, dass es an dem Dienst liegt, in dem Sie das Netzwerk-Objekt verwenden, um diesen Hostnamen zu auf zu lösen. Sie können die Reihenfolge der Einträge innerhalb eines Netzwerkobjekts per drag-and-drop ordnen, sobald sie diese gespeichert haben. Die Reihenfolge ist nur kosmetisch und hat keinen Einfluss auf das Netzwerkobjekt.

Network Objects können an verschiedenen Stellen, wie z.B. Firewall-Regeln, verwendet werden.

Network Objects für Interface-IPs, Netzwerke und virtuelle IPs werden automatisch generiert.

11.2.1. Hosts (Einzel-IP)

Sie können einzelne IPs oder andere Network Objects mit einzelnen IPs eingeben. Diese können IPv4 oder IPv6 sein.

Sie können auch Hostnamen (DNS-Einträge) anstelle von IP-Adressen verwenden.

11.2.1.1. Eingebaute Hosts

Name

IP-Adressen

OSPF

  • 224.0.0.5

  • FF02::5

  • 224.0.0.6

  • FF02::6

11.2.2. Hosts (Netzwerkbereich)

Sie können Netzwerkbereiche oder andere Network Objects mit Netzwerkbereichen eingeben. Diese können IPv4 oder IPv6 sein.

11.2.2.1. Dynamische Blocklisten

Hier können Sie DBL aktivieren und eine URL eingeben. Das Update-Intervall kann täglich oder stündlich sein. Einmal konfiguriert, wird ein Systemjob regelmäßig ausgeführt und aktualisiert die Netzwerkobjekteinträge mit den Daten, die er von der URL erhält.

11.2.2.2. Eingebaute Netzwerkbereiche

Name

Netzwerkbereich

LOOPBACK

127.0.0.0/8

RFC1918_A

10.0.0.0/8

RFC1918_B

172.16.0.0/12

RFC1918_C

192.168.0.0/16

MULTICAST

224.0.0.0/4

RFC4193

fd00::/7

Private Netzwerke

  • RFC1918_A

  • RFC1918_B

  • RFC1918_C

  • RFC4193

11.2.3. Ports

Sie können Ports oder andere Network Objects mit Ports eingeben. Sie können auch eingebaute Ports hinzufügen.

11.2.3.1. Eingebaute Ports

Name

Port

BGP

179

CIFS

3020

CITRIX-ICA

1494

DNS

53

DNS-TLS

853

ESP

4500

FTP

21

FTP-DATEN

20

HTTP

80

HTTPS

443

IEC104

2404

IMAP

143

IMAPSSL

993

ISAKMP

500

KERBEROS

88

LDAP

389

LDAPS

636

LPD

515

MODBUS

502

NETBIOS-SSN

139

NFS

2049

OPENVPN

1194

POP3

110

POP3S

995

PPTP

1723

RADIUS

1812

RADIUS-ACCT

1813

RSH

514

RTSP

554

NIS

5̓060

SIP-TLS

5061

SMTP

25

SMTPTLS

465

SMTPSSL

587

SNMP

161

SNMPTRAP

162

SQLNET

1522

SSH

22

TELNET

23

UUCP

540

WHOIS

43

11.2.4. MAC-Adressen

Sie können auch Mac-Adressen-Netzwerkobjekte erstellen. Sie werden nur für Quell-Mac-Adressen in Firewall-Regeln verwendet. Für Mac-Adressen können Sie auch Dynamische Blocklisten wie oben beschrieben verwenden. Seien Sie vorsichtig bei der Verwendung dieser Listen, da die Quell-Mac-Adresse von L3-Routern geändert wird.

11.2.5. DNS Domain

Sie können auch DNS-Domänen Network Objects erstellen. Es werden drei verschiedene Typen unterstützt:

  • Direkte Subdomains (*.test.de)

  • Alle Subdomains (**.test.de)

  • Genaue Übereinstimmung (www.test.de)

In der Regel ist es nicht möglich, alle Subdomänen abzufragen, da die meisten DNS-Server keine Zonenübertragungen zulassen und daher das Crawlen aller Subdomänen nicht möglich ist. Die VT AIR-Firewall lernt die Subdomänen automatisch, indem sie die Antworten des eingebauten DNS-Servers beobachtet. Bei direkten Subdomains werden nur Subdomains der ersten Ebene beobachtet, d. h. www.test.de wird beobachtet, aber nicht test.www.test.de. Die Ergebnisse sind auf 256 Einträge begrenzt. Danach wird der älteste Eintrag entfernt und durch einen neueren ersetzt.

Es ist daher wichtig, dass alle Clients hinter der Firewall den DNS-Server der Firewall und nicht einen DNS-Server eines Drittanbieters verwenden. Aus demselben Grund können DNS-Domänen Network Objects nur als Ziel in globalen und Schnittstellen-Firewall-Regeln verwendet werden.

Die DNS-Domäne ermöglicht das dynamische Hinzufügen von Wildcard-Domänen zu Firewall-Regeln durch Beobachtung der DNS-Ergebnisse.