11.2. Netzwerk-Objekte¶
Die Network Object-Einstellungen finden Sie unter Firewall → Netzwerk-Objekte.
Ein Netzwerk-Objekt kann einer der folgenden Typen sein:
Hosts (einzelne IPs oder Hostnamen)
Hosts (Netzwerkbereich)
Ports
MAC-Adressen
DNS Domain
Netzwerk-Objekt in Netzwerk-Objekten sind möglich, sie müssen jedoch vom gleichen Typ sein. Das Hinzufügen eines MAC-Adressen-Netzwerk-Objekts zu einem Port-Netzwerk-Objekts funktioniert nicht. Es ist auch nicht erlaubt, zyklische Strukturen wie z.B. 2 Netzwerk-Objekte anzulegen und diese jeweils dem anderen Netzwerk-Objekt hinzuzufügen. Diese Struktur erzeugt eine Schleife und ist nicht gültig.
Für Hosts können Sie auch Hostnamen (DNS Einträge) anstelle von IP-Adressen verwenden. Beachten Sie jedoch, dass es an dem Dienst liegt, in dem Sie das Netzwerk-Objekt verwenden, um diesen Hostnamen zu auf zu lösen. Sie können die Reihenfolge der Einträge innerhalb eines Netzwerkobjekts per drag-and-drop ordnen, sobald sie diese gespeichert haben. Die Reihenfolge ist nur kosmetisch und hat keinen Einfluss auf das Netzwerkobjekt.
Network Objects können an verschiedenen Stellen, wie z.B. Firewall-Regeln, verwendet werden.
Network Objects für Interface-IPs, Netzwerke und virtuelle IPs werden automatisch generiert.
11.2.1. Hosts (Einzel-IP)¶
Sie können einzelne IPs oder andere Network Objects mit einzelnen IPs eingeben. Diese können IPv4 oder IPv6 sein.
Sie können auch Hostnamen (DNS-Einträge) anstelle von IP-Adressen verwenden.
11.2.1.1. Eingebaute Hosts¶
Name |
IP-Adressen |
---|---|
OSPF |
|
11.2.2. Hosts (Netzwerkbereich)¶
Sie können Netzwerkbereiche oder andere Network Objects mit Netzwerkbereichen eingeben. Diese können IPv4 oder IPv6 sein.
11.2.2.1. Dynamische Blocklisten¶
Hier können Sie DBL aktivieren und eine URL eingeben. Das Update-Intervall kann täglich oder stündlich sein. Einmal konfiguriert, wird ein Systemjob regelmäßig ausgeführt und aktualisiert die Netzwerkobjekteinträge mit den Daten, die er von der URL erhält.
11.2.2.2. Eingebaute Netzwerkbereiche¶
Name |
Netzwerkbereich |
---|---|
LOOPBACK |
127.0.0.0/8 |
RFC1918_A |
10.0.0.0/8 |
RFC1918_B |
172.16.0.0/12 |
RFC1918_C |
192.168.0.0/16 |
MULTICAST |
224.0.0.0/4 |
RFC4193 |
fd00::/7 |
Private Netzwerke |
|
11.2.3. Ports¶
Sie können Ports oder andere Network Objects mit Ports eingeben. Sie können auch eingebaute Ports hinzufügen.
11.2.3.1. Eingebaute Ports¶
Name |
Port |
---|---|
BGP |
179 |
CIFS |
3020 |
CITRIX-ICA |
1494 |
DNS |
53 |
DNS-TLS |
853 |
ESP |
4500 |
FTP |
21 |
FTP-DATEN |
20 |
HTTP |
80 |
HTTPS |
443 |
IEC104 |
2404 |
IMAP |
143 |
IMAPSSL |
993 |
ISAKMP |
500 |
KERBEROS |
88 |
LDAP |
389 |
LDAPS |
636 |
LPD |
515 |
MODBUS |
502 |
NETBIOS-SSN |
139 |
NFS |
2049 |
OPENVPN |
1194 |
POP3 |
110 |
POP3S |
995 |
PPTP |
1723 |
RADIUS |
1812 |
RADIUS-ACCT |
1813 |
RSH |
514 |
RTSP |
554 |
NIS |
5̓060 |
SIP-TLS |
5061 |
SMTP |
25 |
SMTPTLS |
465 |
SMTPSSL |
587 |
SNMP |
161 |
SNMPTRAP |
162 |
SQLNET |
1522 |
SSH |
22 |
TELNET |
23 |
UUCP |
540 |
WHOIS |
43 |
11.2.4. MAC-Adressen¶
Sie können auch Mac-Adressen-Netzwerkobjekte erstellen. Sie werden nur für Quell-Mac-Adressen in Firewall-Regeln verwendet. Für Mac-Adressen können Sie auch Dynamische Blocklisten wie oben beschrieben verwenden. Seien Sie vorsichtig bei der Verwendung dieser Listen, da die Quell-Mac-Adresse von L3-Routern geändert wird.
11.2.5. DNS Domain¶
Sie können auch DNS-Domänen Network Objects erstellen. Es werden drei verschiedene Typen unterstützt:
Direkte Subdomains (*.test.de)
Alle Subdomains (**.test.de)
Genaue Übereinstimmung (www.test.de)
In der Regel ist es nicht möglich, alle Subdomänen abzufragen, da die meisten DNS-Server keine Zonenübertragungen zulassen und daher das Crawlen aller Subdomänen nicht möglich ist. Die VT AIR-Firewall lernt die Subdomänen automatisch, indem sie die Antworten des eingebauten DNS-Servers beobachtet. Bei direkten Subdomains werden nur Subdomains der ersten Ebene beobachtet, d. h. www.test.de wird beobachtet, aber nicht test.www.test.de. Die Ergebnisse sind auf 256 Einträge begrenzt. Danach wird der älteste Eintrag entfernt und durch einen neueren ersetzt.
Es ist daher wichtig, dass alle Clients hinter der Firewall den DNS-Server der Firewall und nicht einen DNS-Server eines Drittanbieters verwenden. Aus demselben Grund können DNS-Domänen Network Objects nur als Ziel in globalen und Schnittstellen-Firewall-Regeln verwendet werden.
Die DNS-Domäne ermöglicht das dynamische Hinzufügen von Wildcard-Domänen zu Firewall-Regeln durch Beobachtung der DNS-Ergebnisse.