How-to: Grundkonfiguration mit dem Securepoint Security Manager
Securepoint Security System
Version 2007nx
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
Seite 2
Inhaltsverzeichnis
1 Verwenden des Securepoint Security Managers ............................................................................................. 3
1.1 Starten des Securepoint Security Managers ................................................................................................... 4
1.2 Späteres Anmelden mit dem Security Manager .............................................................................................. 5
1.3 Anlegen eines neuen Securepoint Security Systems ....................................................................................... 6
1.4 Anmelden mit dem Security Manager an der Appliance .................................................................................. 8
2 Grundkonfiguration durchführen ................................................................................................................... 9
2.1 DSL-Provider eintragen ................................................................................................................................ 9
2.2 Dyn-DNS konfigurieren............................................................................................................................... 10
2.3 DSL-Interfaces anlegen .............................................................................................................................. 11
2.4 Weitere interne Virtuelle IP-Adresse konfigurieren ....................................................................................... 12
2.5 Zuweisen der IP-Adressen im internen Netz per DHCP ................................................................................. 13
2.6 Allgemeine Server-Einstellungen konfigurieren............................................................................................. 14
2.7 Firewall-Einstellungen ................................................................................................................................ 15
2.8 HTTP-Proxy einrichten ............................................................................................................................... 16
2.8.1 Transparenten HTTP-Proxy einrichten ......................................................................................................... 17
2.9 POP3-Proxy einrichten................................................................................................................................ 18
2.9.1 Transparenten POP3-Proxy einrichten ......................................................................................................... 19
2.10 Rechner/Netzwerkobjekte anlegen.............................................................................................................. 20
2.11 Hide-NAT .................................................................................................................................................. 23
3 Regelwerk ................................................................................................................................................. 24
3.1 Anlegen von Regeln ................................................................................................................................... 24
3.2 Dienst einer Dienstgruppe hinzufügen......................................................................................................... 26
4 Speichern der Konfiguration ....................................................................................................................... 27
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
1 Verwenden des Securepoint Security Managers
Dieses Tutorial beschreibt das Erstellen einer einfachen Grundkonfiguration mit dem Securepoint Security Manager 2007nx.
Zielsetzung: Eine Securepoint Security Appliance soll mittels DSL an das Internet angeschlossen werden. Vom internen Netz soll
dann sicher über den Browser auf das Internet zugegriffen werden können.
Der Securepoint Security Manager ist das Konfigurations-Programm Ihres Securepoint Security Systems. Der Securepoint
Security Manager ist ein Client-System, das mit dem Securepoint Server kommuniziert. Alle Daten zwischen dem Clienten
(Securepoint Security Manager) und Server werden verschlüsselt übertragen.
Abb. Kommunikation zwischen Security Manager und Securepoint Security Appliance
Seite 3
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
1.1 Starten des Securepoint Security Managers
Für den Start des Securepoint Security Managers (Client)
Gehen Sie über: Start -> Programme -> Securepoint 2007nx -> Securepoint Security Manager
und starten Sie damit den Security Manager. Beim ersten Start des Security Managers erscheint ein Dialog-Fenster (Abb.
Container erzeugen).
Tragen Sie einen Schlüssel ein und wiederholen Sie die Schlüssel-Eingabe.
Bestätigen Sie Ihre Eingabe mit dem Button OK.
Mit Hilfe dieses Schlüssels wird ein Daten-Container erzeugt, der lokal auf Ihrem Rechner liegt. Dieser Container enthält die
Zugangsdaten zu Ihren Securepoint Security Systemen und ist aus Sicherheitsgründen verschlüsselt.
Beachten Sie: Merken Sie sich den Schlüssel unbedingt gut. Mit ihm werden die lokalen
Konfigurationsdateien und Zugangsdaten zu Ihren Systemen in einem Container verschlüsselt.
Abb. Container erzeugen
Eingabefelder
Schlüssel: Schlüssel zum Verschlüsseln von Konfigurationsdateien in einem Container
Bestätigung: Wiederholung des Schlüssels
Seite 4
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
1.2 Späteres Anmelden mit dem Security Manager
Sobald Sie den Schlüssel zur Verschlüsselung der lokalen Konfigurationsdateien eingegeben und gespeichert haben, werden Sie
bei jedem Aufruf des Securepoint Security Managers nach diesem Schlüssel gefragt.
Tragen Sie Ihren Schlüssel ein.
Bestätigen Sie die Eingabe mit dem Button OK.
Abb. Container öffnen
Eingabefeld
Schlüssel: Schlüssel zum Verschlüsseln von Konfigurationsdateien
Seite 5
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
1.3 Anlegen eines neuen Securepoint Security Systems
Bevor Sie sich das erste Mal auf einem oder mehreren Systemen einloggen können, müssen Sie den oder die Securepoint
Systeme, auf die Sie zugreifen wollen, im Security Manager anlegen.
Abb. Anlegen eines neuen Systems
Klicken Sie auf das gekennzeichnete Firewall-Symbol
Es öffnet sich das Dialog-Fenster Firewall - hinzufügen.
Abb. Eingabe der Appliance-Daten (Firewall)
Sie können ein neues System folgendermaßen anlegen:
Geben Sie folgende Daten im Folder Firewall ein.
Eingabefelder
Adresse: IP-Adresse (oder auflösbarer Name) des Interfaces der Firewall
Login: Ihr Login-Name auf der Firewall
Passwort: Ihr Passwort auf der Firewall
Bestätigung: Die Passwort-Bestätigung
Seite 6
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
Beachten Sie: Sie haben die Möglichkeit, mehrere Appliances über den Security Manager zu
bedienen und zu verwalten. Tragen Sie alle Securepoint Server ein, die Sie verwalten möchten. Das
Anlegen der weiteren Firewalls kann natürlich auch zu einem späteren Zeitpunkt erfolgen.
Wechseln Sie auf den Folder Logserver und geben Sie folgende Daten ein.
Abb. Eingabe der Appliance-Daten (Logserver)
Aktivieren Sie das External Logging und geben Sie folgende Daten ein.
Eingabefelder
Adresse: IP-Adresse des Logservers
Login: Auf dem Logserver konfigurierter Benutzername. Es werden entweder lokale Benutzer oder Benutzer
aus der Windows-Domäne angegeben, die sich zu dem Logserver verbinden dürfen. Die hier
angegebenen Benutzer müssen über Adminrechte verfügen.
Passwort: Ihr Passwort für den konfigurierten Benutzer (Windows-User/-Domain-Passwort)
Bestätigung: Die Passwort-Bestätigung
Beachten Sie: Unter Logserver wird ein Securepoint Logserver, auf dem die Appliance alle
Logdaten ablegt, angegeben. Nur wenn hier alle Daten richtig angegeben werden, kann die Logfile-
Auswertung über den Securepoint Security Manager verwendet werden.
Weitere Informationen finden Sie unter Logserver How-to.
Seite 7
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
1.4 Anmelden mit dem Security Manager an der Appliance
Anmelden an der Appliance
Abb. Anmelden am System
Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der rechten Maustaste auf das Firewall-
Objekt sowie Auswahl des Menüpunktes Verbinden wird eine Verbindung zur ausgewählten Appliance hergestellt.
Damit ist die Appliance über den Security Manager konfigurierbar. Alle weiteren Arbeiten können nun durchgeführt werden.
Darstellung des Verbindungsstatus
Der Verbindungsstatus wird mittels des farbig gekennzeichneten Appliance-Namen angezeigt. Ist der Text-Hintergrund „grün“
besteht zwischen dem Security Manager und der Appliance eine Verbindung. Folgende Kennzeichnungen sind vorhanden:
keine Farbe: Es wurde noch keine Verbindung zur Appliance aufgebaut
gelb: Verbindung befindet sich im "Standby-Modus", die Schlüsselpaare zur Authentisierung wurden
ausgetauscht, aber keine Daten übertragen.
grün: Verbindung wurde aufgebaut und Daten übertragen. Die Appliance kann administriert werden
rot : Eine Verbindung zur Appliance ist nicht möglich.
Wenn bereits eine Verbindung zu einer Firewall besteht, so wird diese auf „standby" gesetzt (LED gelb), wenn Sie eine
Verbindung zur nächsten Firewall aufbauen.
Beachten Sie: Erfolgt 15 Minuten lang keine Datenübertragung zu einer Firewall, die sich im
Standby-Modus befindet, so wird ein neuer Anmeldevorgang automatisch ausgeführt (mit
Schlüsselaustausch), wenn wieder Daten übertragen werden sollen.
Seite 8
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2 Grundkonfiguration durchführen
2.1 DSL-Provider eintragen
Nachdem die Appliance angelegt wurde und das Verbinden zwischen Security Manager und Appliance erfolgreich war, muss ein
neuer Provider hinzugefügt werden.
Klicken Sie auf den Button Netzwerk und wählen Sie den Folder DSL Provider aus.
Klicken Sie auf das Icon Neu.
Es öffnet sich das Dialog-Fenster DSL-Provider, mit aktivem Folder Logindaten. Diese Daten haben Sie von Ihrem Provider
erhalten.
Abb. Anlegen eines neuen Systems, Dialog-Fenster Logindaten
Tragen Sie die Daten im Dialog-Fenster Logindaten ein.
Bestätigen Sie anschließend Ihre Eingabe mit dem Button Übernehmen.
Eingabefelder
Provider: Name des Providers
ISP-Login: Login wird von Ihrem Provider bereitgestellt, um sich zu authentisieren
ISP-Passwort: Ihr Provider-Passwort
Wiederholung: Passwort-Bestätigung
Automatisch default bei Aktivierung ist die default Route, die vom Provider zugewiesene IP-Adresse
Route setzen: des point-to-point Partners
Zwangstrennung: Setzen der Uhrzeit, wenn eine Zwangstrennung vorgenommen werden soll
Seite 9
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.2 Dyn-DNS konfigurieren
Unter dem Folder „Dyn-Dns“ kann ein dynamischer DNS-Dienst konfiguriert werden. Falls später ein externer Zugriff auf die
Appliance oder das interne Netz (z. B. per VPN) erforderlich ist und keine feste externe IP-Adresse zur Verfügung steht, sollte
ein Dyn-Dns-Account konfiguriert werden. Sie müssen sich dazu erst bei Dynamic Network Services Inc. registrieren lassen.
Weitere Informationen zu diesem Dienst finden Sie unter folgender Web-Adresse: http://www.dyndns.org.
Wählen Sie den Folder Dyn-DNS im Dialog-Fenster DSL-Provider aus.
Bei fehlendem Bedarf überspringen Sie diesen Punkt.
Abb. Dialog-Fenster Dyn-DNS einrichten
Tragen Sie die folgenden Daten im Dialog-Fenster ein.
Bestätigen Sie anschließend Ihre Eingabe mit dem Button Übernehmen.
Eingabefelder
Dyn-DNS-Name: FQD Name, den Sie bei der Anmeldung bei „DynDNS“ erhalten haben
Interface: an dem der Dyn-DNS-Name angebunden wird
Dyn-DNS-Login: Login-Daten für Dyn-DNS
Dyn-DNS-Passwort: Passwort-Daten für Dyn-DNS
Wiederholung: Passwort-Wiederholung für Dyn-DNS
Dyn-DNS-Server: Auswahl eines Dyn-DNS-Servers
Seite 10
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.3 DSL-Interfaces anlegen
Nachdem Sie den DSL-Provider angelegt haben, können Sie das primäre DSL Interface anlegen.
Klicken Sie im Folder Interfaces mit der linken Maustaste auf das Icon Neu und wählen Sie DSL Interface.
Abb. Anlegen externes Interface
Es öffnet sich das Dialog-Fenster Interface [ppp0] – Hinzufügen.
Tragen Sie die folgenden Daten im Dialog-Fenster ein.
Bestätigen Sie Ihre Eingabe mit OK.
Das DSL-Interface erscheint dann am Ende der Interfaceliste.
Abb. Dialog-Fenster Interface [ppp0] Hinzufügen
Eingabefelder
Interface: Interface, an das das DSL Modem angeschlossen ist
Provider: der zuvor erstellte
Seite 11
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.4 Weitere interne Virtuelle IP-Adresse konfigurieren
Eine weitere Virtuelle IP-Adresse wird z. B. dann benötigt, wenn Sie ein weiteres Netz über ein physikalisches Interface
bedienen wollen. Dieser Schritt ist daher nicht zwingend erforderlich.
Klicken Sie unter Netzwerk im Folder Interfaces mit dem rechten Mauszeiger auf ein existierendes Interface, und
wählen Sie über das Verzeichnis IP hinzufügen.
Abb. weitere interne IP-Adresse konfigurieren
Es öffnet sich das Dialog-Fenster Interface [eth1] - Hinzufügen.
Tragen Sie die folgenden Daten im Dialog-Fenster ein.
Bestätigen Sie Ihre Eingabe mit OK.
Abb. weitere interne IP-Adresse konfigurieren
Eingabefelder
IP-Adresse: Zusätzliche interne IP-Adresse
Maske: Bitcount des Netzwerkes
Seite 12
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.5 Zuweisen der IP-Adressen im internen Netz per DHCP
Über DHCP können Sie automatisch IP-Adressen an Ihre Client-Rechner vergeben. Die Rechner im internen Netzwerk
bekommen in diesem Beispiel die IP-Konfiguration per DHCP zugewiesen. Die Appliance dient dabei als DHCP-Server.
Wählen Sie unter Netzwerk den Folder DHCP-Einstellungen aus, um Ihre Einstellungen vorzunehmen.
Das interne Netzwerk ist in diesem Fall das Netz: 10.1.2.0/24. Die Rechner bekommen IPs in dem Bereich 10.1.2.50 –
10.1.2.200 zugewiesen. Das Default Gateway sowie den DNS-Server stellt die Appliance (10.1.2.1).
Abb. DHCP-Konfiguration
Tragen Sie die folgenden Daten im Folder DHCP Einstellungen ein.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Eingabefelder
Lokales Subnetz: IP des Netzwerks
Maske: Subnet-Maske des Netzwerks
IP-Bereich von ... bis: IP-Range, die Sie den DHCP-Clients zur Verfügung stellen wollen
Default Gateway: IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet
werden kann
Primärer Nameserver: IP-Adresse des ersten Nameservers
Sekundärer Nameserver: IP-Adresse des zweiten Nameservers
Max. Lease Time: Maximale Zeit, die eine IP-Adresse aus dem DHCP-Pool für einen Host reserviert bleibt
Seite 13
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.6 Allgemeine Server-Einstellungen konfigurieren
Der Name der Firewall, die Zeitzone, die DNS-Server, ein Time-Server sowie ein Logging-Server, auf dem alle Log-Daten der
Appliance gesendet werden, können nun konfiguriert werden.
Wählen Sie unter Netzwerk den Folder Server Einstellungen aus, um Ihre Einstellungen vorzunehmen.
Als DNS-Server sollte ein erreichbarer Server vom DSL-Provider eingetragen werden. Der Log-Server soll auf einem Rechner im
internen Netz installiert werden, die entsprechende IP muss zu dem Logging-Server hinzugefügt werden.
Abb. Server Einstellungen
Tragen Sie die folgenden Daten im Folder Server Einstellungen ein.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Eingabefelder
Server Name: Name des Systems
Zeitzone: Auswahl Ihrer Zeitzone, in dem das System steht
Primärer DNS Server: erster Nameserver
Sekundärer DNS Server: zweiter Nameserver (Backup)
Adresse NTP Server: Host Name des Zeitabgleichs-Servers
Login Server: IP des Securepoint Log Servers
Seite 14
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.7 Firewall-Einstellungen
Sollen weitere IPs oder Hosts administrativen Zugriff auf die Appliance haben, müssen die Firewall-Einstellungen angegeben
werden.
Wählen Sie unter Netzwerk den Folder Firewall Einstellungen aus, um Ihre Einstellungen vorzunehmen.
Abb. Firewall Einstellungen
Tragen Sie die folgenden Daten im Folder Firewall Einstellungen ein.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Eingabefelder
IP Adresse: Hostname oder IP-Adresse des Administrators für Zugriff
Max. Anzahl: der zugelassenen TCP/IP Verbindungen (Begrenzung)
Logging-Einstellung: Genauigkeit des Loggings der verworfenen Pakete
Seite 15
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.8 HTTP-Proxy einrichten
Das interne Netzwerk soll für das HTTP Protokoll (dies gilt nicht für https und ftp) automatisch, d. h. transparent, den HTTP
Proxy der Appliance benutzen.
Wählen Sie unter Applikationen den Folder HTTP Proxy aus, um Ihre Einstellungen vorzunehmen.
Abb. HTTP Proxy einrichten
Tragen Sie die folgenden Daten im Folder HTTP Proxy ein.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Eingabefelder
Proxy Port: Port des Proxy-Servers
Größe: Aktivierung der maximalen Down- und Upload-Größe
Kaskadieren: Angabe eines Parent Proxys
Virusscanning: Aktivierung des Virus Scanner für Download über Proxy
Seite 16
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.8.1 Transparenten HTTP-Proxy einrichten
Die automatische Umleitung der http-Anfragen wird unter Applikationen im Folder HTTP Proxy eingestellt.
Wählen Sie das Verzeichnis Transparent.
Abb. Transparenter HTTP-Proxy einrichten
Das interne Netzwerk befindet sich hinter dem Interface eth1, daher muss der transparente Proxy für dieses Interface
aktiviert werden.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Die weiteren Einstellungsmöglichkeiten des Proxys können dem allgemeinen Handbuch entnommen werden.
Eingabefelder
Transparenter Proxy: Aktivierung schaltet transparenten Modus des HTTP Proxy ein
eth1: Anklicken aktiviert den transparenten Proxy für Netzwerke hinter eth1
Seite 17
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.9 POP3-Proxy einrichten
Neben http-Anfragen sollen auch POP3 Verbindungen über einen transparenten Proxy laufen.
Wählen Sie dazu unter Applikationen den Folder POP3 Proxy.
Abb. POP3-Proxy einrichten
Im Verzeichnis General wird zuerst das Viren Scanning und der Spam Filter aktiviert.
Speichern Sie Ihre Einstellungen mit Einstellungen übernehmen.
Eingabefelder
Spam Filter: Aktivierung schaltet Spam Filter für POP3 Proxy ein
Viren Scanning: Aktivierung schaltet Virus Scanner für POP3 Proxy ein
Seite 18
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.9.1 Transparenten POP3-Proxy einrichten
Unter Transparent wird wie beim HTTP Proxy festgelegt, für welche Interfaces die Anfragen umgebogen werden sollen.
Klicken Sie Applikationen -> POP3 Proxy -> Transparent
Abb. Einrichtung transparenter POP3-Proxy
Tragen Sie die folgenden Daten im Folder POP3 Proxy ein.
Klicken Sie auf den Button Einstellungen übernehmen, um Ihre Daten zu speichern.
Eingabefelder
Transparenter Proxy: Aktivierung schaltet transparenten Modus des POP3 Proxy ein
eth1: Anklicken aktiviert den transparenten POP3 Proxy für Netzwerke hinter eth1
Seite 19
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.10 Rechner/Netzwerkobjekte anlegen
Damit die eben konfigurierten Dienste erreicht werden können und das interne Netzwerk ins Internet kommt, müssen
Netzwerkobjekte und Firewall-Regeln angelegt werden. Damit die Beziehungen zwischen den Netzwerkobjekten geregelt
werden können, müssen einzelne Objekte (Rechner und Netze) in Gruppen zusammengefasst werden. Es wird gesteuert, was
eine Gruppe von Rechnern darf oder nicht darf.
Wählen Sie unter Firewall den Folder Netzwerkobjekte aus.
Als erstes wird das interne Netz als Objekt erstellt.
Klicken Sie hierzu auf das Icon Rechner und wählen Sie Netz aus.
Abb. Netzwerkobjekt anlegen
Es öffnet sich das Dialog-Fenster Netz hinzufügen.
Abb. Dialog-Fenster Netz hinzufügen
Hinweis: Die Netzwerkadresse ist 10.1.2.0, die Netzwerkmaske 255.255.255.0, was 24 in der Bitcount Schreibweise entspricht.
Die Zone ist internal (= hinter dem internen Interface). Es wird eine neue Gruppe erstellt.
Seite 20
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
Eingabefelder
Name: Name des Netzwerkobjektes
IP-Adresse: IP Adresse des Rechners/Netzes
Maske: Netzwerkmaske des Netzwerkes
Zone: Auswahl der Zone, in dem sich das Objekt befindet
Gruppe: Auswahl der Gruppe, in die das Objekt eingestellt werden soll
Tragen Sie die vorstehenden Daten ein und klicken Sie auf OK.
Es öffnet sich das Dialog-Fenster Rechnergruppe hinzufügen (sofern eine neue Gruppe erstellt worden ist, d. h. bei Auswahl
einer existierenden Gruppe erscheint dieses Dialog-Fenster nicht).
Suchen Sie ein Symbol für Ihre Gruppe aus.
Bestätigen Sie Ihre Wahl durch OK, damit ist die Rechnergruppe angelegt.
Abb. Dialog-Fenster Rechnergruppe hinzufügen
Um dem internen Netz Zugriff auf die Firewall zu geben, muss diese selbst als Netzwerkobjekt existieren. D. h. Sie legen ein
weiteres Netzwerkobjekt an. Es wird daher ein Rechner mit der internen IP der Firewall angelegt.
Wählen Sie über das Icon Rechner im Verzeichnis Rechner aus.
Geben Sie die notwendigen Daten im Dialog-Fenster Rechner hinzufügen ein und bestätigen Ihre Eingabe mit OK.
Abb. Dialog-Fenster Rechner hinzufügen
Hinweis: Die Zone ist in diesem Fall firewall-internal (= das physikalische Interface).
Seite 21
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
Weitere Netzwerkobjekte sind nicht erforderlich, da das Objekt Internet bereits vorgegeben ist. Falls dieses Objekt fehlt, muss
ein Netz mit der Adresse 0.0.0.0/0 in der Zone external angelegt werden.
Nachfolgend erhalten Sie eine Übersicht über die von Ihnen angelegten Netzwerkobjekte.
Abb. Übersicht Netzwerkobjekte
Seite 22
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
2.11 Hide-NAT
Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete die externe IP der Firewall
bekommen. Dieses so genannte Hide-NAT wird unter Firewall -> Hide-NAT konfiguriert. Das NAT Objekt ist das interne
Netzwerk, also internal-net. Die NAT-Beziehung (NAT Relationship) bestimmt, welche IP die Pakete aus dem internen Netz
bekommen. Es kann entweder eine IP oder ein Interface angegeben werden. Bei einer dynamischen IP wird das entsprechende
DSL-Interface angeben. In diesem Fall ppp0. Das Hide-NAT soll für alle Ziele gelten.
Wählen Sie unter Firewall den Folder Hide-NAT aus.
Klicken Sie auf das Icon Neu.
Abb. Hide-NAT anlegen
Es öffnet sich das Dialog-Fenster Hide-NAT.
Tragen Sie folgende Daten in das Dialog-Fenster ein.
Bestätigen Sie Ihre Eingabe mit OK.
Eingabefelder
NAT Objekt: Netzwerkobjekt, auf das das Hide-NAT zutreffen soll
NAT Relationship: Netzwerkobjekt, welches die IP vorgibt
Destination: Ziel, auf das das NAT Objekt zugreift
Einfügen an Position: Positionierung in der Liste
Ausnehmen: Aktivierung, wenn für angegebene Hide-NAT Regel nicht angewendet werden soll
Seite 23
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
3 Regelwerk
3.1 Anlegen von Regeln
Zum Schluss werden die notwendigen Firewallregeln erstellt.
Wählen Sie über Firewall den Folder Portfilter und klicken Sie auf das Icon Neu.
Abb. Regel hinzufügen
Es wird zuerst eine Regel erzeugt, die dem internen Netzwerk direkten Zugriff auf das Internet für die Dienstgruppe „default
internet“ gestattet.
Abb. Firewall Regel hinzufügen (Intern -> Internet: default-internet)
Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus.
Bestätigen Sie Ihre Eingabe mit OK.
Seite 24
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
Damit das interne Netzwerk die Firewall als DNS Server verwenden kann, muss eine Regel erstellt werden, die Zugriff für die
DNS Dienste auf das interne Firewall Interface zulässt.
Abb. Firewall Regel hinzufügen (Intern -> Fireall: dns)
Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus.
Bestätigen Sie Ihre Eingabe mit OK.
Für die Verwendung des transparenten Proxy muss eine ähnliche Regel erzeugt werden. Wie auf der nächsten Abbildung zu
erkennen, ist in der Dienstgruppe nur der Dienst webcache (tcp/8080). Da jedoch auch der POP3 Proxy verwendet werden soll,
muss entweder eine weitere Regel erstellt werden oder der entsprechende Dienst wird in die Dienstgruppe Proxy geschoben.
Abb. Firewall Regel hinzufügen (Intern -> Firewall: proxy)
Wählen Sie die entsprechenden Netzwerkobjekte und Dienstgruppen wie in der Abbildung aus.
Bestätigen Sie Ihre Eingabe mit OK.
Seite 25
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
3.2 Dienst einer Dienstgruppe hinzufügen
Die Dienste werden unter Firewall -> Dienste konfiguriert
Wählen Sie über Firewall den Folder Dienst.
Markieren Sie Ihren gewünschten Dienst und ziehen ihn per „Drag & Drop“ mit der Maus in die entsprechende
Dienstgruppe.
Abb. Pop3Proxy in Dienstgruppe Proxy
Seite 26
How-to: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Version 2007nx
4 Speichern der Konfiguration
Wurden die einzelnen Konfigurationen übernommen, muss die Firewallkonfiguration noch gespeichert werden.
Um die Konfiguration dauerhaft auf dem System zu speichern, klicken Sie auf Speichern.
Führen Sie anschließend ein Regel-Update durch.
Abb. Speichern der Konfiguration
Seite 27