gateprotect Handbuch Installation, Administration & Beispiele der Next Generation UTM Appliances & Virtual Appliances Stand März 2012 Einleitung

Einleitung 1 gateprotect Handbuch Installation, Administration & Beispiele der Next Generation UTM Appliances & Virtual Appliances Stand März 2012 Clarity Perfection Security

Einleitung 2 1 Einleitung... 9 1.1 An wen richtet sich dieses Handbuch?... 9 1.2 Allgemeine Hinweise zu diesem Handbuch... 9 1.3 Verwendete Symbole und Hinweise... 9 1.4 Datenschutz und Datensicherheit... 10 2 Installation... 11 2.1 Installation des Firewallservers... 11 2.1.1 Installation der Appliance... 11 2.1.2 Installation der Firewall mit VMware... 11 2.1.3 Serielles Interface... 13 2.2 Installation des Firewall Administrationsclients... 13 2.3 Erstkonfiguration des Firewallservers über den Administrationsclient... 13 2.3.1 Starten des Konfigurationsassistenten... 13 2.3.2 Erstkonfiguration im Schnellstartmodus... 14 2.3.3 Internet-Verbindungsassistent... 14 2.3.4 Failover (Backup-Leitung)... 17 2.3.5 Fortsetzung des Konfigurationsassistenten... 17 2.3.6 Erstkonfiguration im Standardmodus... 17 2.4 Konfigurationsänderungen... 18 2.5 Lizenzierung... 18 3 Bedienung des Administrationsclients... 19 3.1 Programmoberfläche und Bedienelemente... 19 3.2 Das Menü des Administrationsclients... 20 3.2.1 Menü: Datei... 20 3.2.2 Menü: Einstellungen... 21 3.2.3 Menü: Sicherheit... 22 3.2.4 Menü: VPN Einstellungen... 22 3.2.5 Menü: Werkzeuge... 23 3.2.6 Menü: Fenster... 23 3.2.7 Menü: Info... 23 3.3 Der Konfigurationsdesktop... 24 3.3.1 Zoom der Konfigurationsoberfläche... 25 3.3.2 Layer... 25 3.3.3 Die Symbolleiste... 26 3.3.4 Aktive Dienste... 28 3.3.5 Weitere Informationen... 28 3.3.6 Suchen... 28 3.3.7 Statuszeile... 28 3.4 Berichte... 29 3.5 Abgewiesene Zugriffe... 29 3.6 Statistiken... 30 3.6.1 Filtermöglichkeiten... 30 3.6.2 Top-Listen - Internetseiten... 31 3.6.3 Top-Listen - Gesperrte URL... 31 3.6.4 Top-Listen - Dienste... 31 3.6.5 Top-Listen IDS/IPS... 31 3.6.6 Mitarbeiter - Toplisten... 31 3.6.7 Mitarbeiter - Traffic... 31 Clarity Perfection Security

Einleitung 3 3.6.8 Abwehr - Übersicht... 32 3.6.9 Abwehr - Abwehr... 32 3.6.10 Traffic - Alle Daten... 32 3.6.11 Traffic - Internet... 32 3.6.12 Traffic - E-Mails... 32 3.7 Firewall... 33 3.7.1 Firewall - Sicherheit... 33 3.7.2 Firewall - Datum... 34 3.8 Interfaces... 34 3.8.1 Netzwerkkarten... 35 3.8.2 VLAN... 35 3.8.3 Bridge... 36 3.8.4 VPN-SSL-Interface... 37 3.9 Internet-Einstellungen... 37 3.9.1 Allgemeine Internet-Einstellungen... 37 3.9.2 Zeitraum für Internetverbindungen... 38 3.9.3 Globale DNS-Einstellungen in den Internet-Einstellungen... 38 3.9.4 Dynamische DNS Accounts... 39 3.10 DHCP Server... 40 3.10.1 Server... 40 3.10.2 DHCP-Relay... 41 3.11 Backup automatisch erstellen... 41 3.12 Routing Einstellungen... 42 3.12.1 Statische Routen... 42 3.12.2 Routing-Protokolle... 43 4 Proxies... 57 4.1 Einleitung... 57 4.2 HTTP-Proxy... 57 4.2.1 Transparenter Modus... 57 4.2.2 Intransparenter Modus ohne Authentifizierung... 57 4.2.3 Intransparenter Modus mit Authentifizierung... 58 4.2.4 Konfiguration des Caches... 58 4.3 HTTPS Proxy... 58 4.4 FTP-Proxy... 59 4.5 SMTP-Proxy... 59 4.6 POP3-Proxy... 59 4.7 VoIP-Proxy... 60 4.7.1 Allgemeine Einstellungen... 60 4.7.2 SIP-Proxy... 60 5 User Authentifizierung... 61 5.1 Einleitung... 61 5.1.1 Ziel der User Authentifizierung... 61 5.1.2 Technischer Hintergrund & Vorbereitungen... 61 5.2 Anmeldung... 63 5.2.1 Anmeldung über Browser... 63 5.2.2 Anmeldung über den Benutzerauthentifizierungs-Client (kurz: UA-Client)... 63 5.2.3 Anmeldung per Single Sign On... 63 Clarity Perfection Security

Einleitung 4 5.3 Benutzer... 66 5.4 Beispiele... 66 5.4.1 Windows-Domäne... 66 5.4.2 Terminalserver... 67 6 URL- und Content-Filter... 68 6.1 URL-Filter... 68 6.1.1 Ein- und Ausschalten des URL-Filters... 68 6.2 Content-Filter... 69 6.2.1 Content-Filter aktivieren... 69 6.3 URL- und Content-Filter konfigurieren... 70 6.3.1 Konfiguration über den Dialog URL-/Content-Filter... 70 6.3.2 Hinzufügen von URLs über den Administrations- oder Statistik-Client... 72 7 LAN Accounting... 73 7.1 Lan Accounting Einleitung/Erklärung/Möglichkeiten... 73 7.2 Konfiguration Lan Accounting... 73 7.2.1 Zeitprofil erstellen... 73 7.2.2 Volumenprofil erstellen... 74 7.3 Lan Accounting aktivieren... 75 8 Traffic Shaping & Quality of Service... 76 8.1 Einleitung... 76 8.1.1 Ziel... 76 8.1.2 Technischer Hintergrund... 76 8.2 Einstellungen Traffic Shaping... 77 8.3 Einstellungen Quality of Service... 78 9 Application Level... 79 10 Zertifikate... 80 10.1 Einleitung... 80 10.2 Zertifikate... 81 10.3 Templates... 84 10.4 OCSP / CRL... 85 10.5 Benachrichtigungen über Zertifikats-Ereignisse... 86 11 Virtual Private Networks (VPN)... 87 11.1 Einleitung... 87 11.2 PPTP-Verbindungen... 88 11.2.1 PPTP Client-to-Server Verbindung manuell einrichten... 88 11.3 IPSec-Verbindungen... 89 11.3.1 Eine IPSec-Verbindung manuell einrichten... 89 11.3.2 L2TP / XAUTH... 91 Clarity Perfection Security

Einleitung 5 11.4 VPN over SSL... 95 11.5 VPN over SSL ohne Standardgateway... 97 11.6 Der gateprotect VPN-Client... 98 11.6.1 Automatisches Einrichten einer VPN-Verbindung aus einer Konfigurationsdatei... 98 11.6.2 Einrichten oder Bearbeiten einer VPN-Verbindung... 98 12 Hochverfügbarkeit... 100 12.1 Funktionsweise... 100 12.2 Ausfallzeiten durch den Failover... 100 12.3 Konfiguration... 101 12.3.1 IP-Adressen von Netzwerkkarten... 101 12.3.2 Verbinden der Firewalls über dedizierte Links... 101 12.3.3 Aktivieren der Hochverfügbarkeit... 101 12.4 Einstellungen der Hochverfügbarkeit verändern... 103 12.5 Hochverfügbarkeit deaktivieren... 103 12.6 Rollenwechsel... 103 12.7 Inbetriebnahme einer Firewall nach dem Ausfall... 103 12.8 Backup einspielen oder Software Update durchführen... 103 12.9 Meldungen im Bericht... 104 13 INTRUSION DETECTION UND PREVENTION SYSTEM... 105 13.1 Konfigurieren von IDS/IPS Profilen... 105 13.2 IDS/IPS-Konfiguration Internes/Externes Netz... 106 13.3 Konfiguration der IDS/IPS-Einschränkungen... 106 13.4 Aktivieren des Intrusion Detection und Prevention Systems... 107 13.5 Die IDS- und IPS-Regeln können durch individuelle Regeln erweitert werden... 107 13.6 IDS/IPS - Updates... 108 13.7 Ergebnisse... 108 14 Reporting... 109 14.1 Allgemein... 109 14.2 Partitionen... 109 14.3 Syslog-Export... 110 14.4 SNMP... 111 15 Monitoring... 112 15.1 Einleitung... 112 15.2 Im Monitoring angezeigte Komponenten... 113 16 Anti-Spam / Mailfilter... 114 16.1 Mailfilter... 114 16.2 Anti-Spam... 114 16.3 Spam-Kennzeichnung... 115 Clarity Perfection Security

Einleitung 6 17 Virenschutz... 116 17.1 Einleitung... 116 17.2 Lizenzierung... 116 17.3 Einstellungen... 116 17.3.1 Antivirus-Einstellungen: Allgemein... 116 17.3.2 Scanner... 117 17.3.3 Vertrauensliste... 117 17.3.4 Updates... 118 18 Updates... 119 18.1 Einleitung... 119 18.2 Updates... 120 18.3 Updates automatisch herunterladen... 121 18.4 Updates manuell herunterladen... 121 18.5 Updates installieren... 121 18.6 Updates vom lokalen Speichermedium installieren... 121 18.7 Firewall-Anfragen... 122 19 Fallbeispiele... 123 19.1 Einleitung... 123 19.2 Einrichtung des Internetzugangs mit fester IP-Adresse... 124 19.2.1 Einrichtung einer Standleitung mit festen IP-Adressen über einen Router.... 124 19.2.2 Einrichtung einer DSL-Verbindung mit fester IP-Adresse... 125 19.3 Demilitarisierte Zone (DMZ)... 125 19.3.1 Einfaches Portforwarding... 125 19.3.2 Portforwarding mit Portumleitung... 126 19.3.3 DMZ nach Quell-IP... 127 19.4 Beispiele zur User Authentifizierung... 129 19.4.1 Windows-Domäne... 129 19.4.2 Terminalserver... 129 20 Statistik... 130 20.1 Bedienung des Statistik-Client / Statistik... 130 20.1.1 Symbolleiste... 130 20.1.2 Filtermöglichkeiten... 130 2012 gateprotect Aktiengesellschaft Germany. Alle Rechte vorbehalten. gateprotect Aktiengesellschaft Germany Valentinskamp 24-20354 Hamburg /Germany http://www.gateprotect.com Clarity Perfection Security

Einleitung 7 Ohne ausdrückliche schriftliche Genehmigung der gateprotect AG Germany darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden. Dies gilt unabhängig davon auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht. Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Für die Richtigkeit des Inhalts dieses Handbuchs übernehmen wir keine Garantie. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden, soweit dies nicht anders angegeben ist. Alle aufgeführten Produkte, Marken und Namen sind Eigentum der jeweiligen Hersteller. Clarity Perfection Security

Einleitung 8 VORWORT Vielen Dank, dass Sie sich für ein Produkt aus dem Hause gateprotect entschieden haben. Wir sind bestrebt, unsere Produkte im Sinne unserer Kunden stets zu verbessern. Sollten Sie Fehler feststellen oder Verbesserungswünsche haben, teilen Sie uns diese bitte mit. Sollten Sie weitergehende Fragen zu gateprotect oder unseren Produkten haben, wenden Sie sich bitte direkt an Ihren zuständigen Reseller/Fachhändler oder direkt an: gateprotect Aktiengesellschaft Germany Valentinskamp 24 20354 Hamburg Germany Sie erreichen uns unter: Telefon: 01805 428 377 (12 Cent/min) Fax : 01805 428 332 (12 Cent/min) Aktuelles, Sicherheitsupdates sowie weitere Informationen finden Sie auf: http://www.gateprotect.de Dort finden Sie ebenfalls mygateprotect, welches Ihnen hilfreiche Antworten, wichtiges Hintergrundwissen sowie eine Vielzahl an Anleitungen für den täglichen Gebrauch bietet. Clarity Perfection Security

Einleitung 9 1 EINLEITUNG Mit der gateprotect Firewall haben Sie sich für ein Sicherheitssystem entschieden, das den modernsten Sicherheitsanforderungen gerecht wird und ausgesprochen einfach über eine grafische Bedieneroberfläche per Drag & Drop zu bedienen ist. 1.1 An wen richtet sich dieses Handbuch? Dieses Handbuch richtet sich an Systemadministratoren, die das gateprotect Firewallsystem installieren und konfigurieren. Für das Verständnis der Funktionen, Einstellungen und Verfahrensanweisungen sind Fachkenntnisse auf den folgenden Gebieten erforderlich: Allgemeine Kenntnisse in den Bereichen der Netzwerktechnologie und der Netzwerkprotokolle Administration und Konfiguration von Windows Betriebssystemen Benutzer- und Rechteverwaltung in Windows-Systemen 1.2 Allgemeine Hinweise zu diesem Handbuch Dieses Handbuch ist in folgende Themenbereiche gegliedert: Einleitendes Kapitel mit allgemeinen Hinweisen zum Produkt und zur Verwendung der Produktdokumentation. Systemvoraussetzungen, Installation des Firewallservers und des Firewall-Administrationsclient. Bedienung des Firewall-Administrationsclient und Konfiguration des Firewallservers Technische Beschreibung der Firewallkomponenten und ihre Einrichtung (Proxy, User Authentifizierung, URL- & Content- Filter, Traffic Shaping, Application Level, VPN, Hochverfügbarkeit, Intrusion Detection, Reporting, Antispam und Antivirus) Beschreibung des Statistik-Client als eigene Reporting-Software Typische Fallbeispiele und Frequently Asked Questions 1.3 Verwendete Symbole und Hinweise HINWEIS MIT DIESEM FORMAT WERDEN WICHTIGE UND HILFREICHE INFORMATIONEN HERVORGEHOBEN. ACHTUNG DIESES FORMAT ZEIGT AN, DASS SIE DIESEM PUNKT BESONDERE AUFMERKSAMKEIT SCHENKEN MÜSSEN. Beispiel Mit diesem Format werden erklärende Beispiel angezeigt. Beachten Sie bitte, dass angegebene Werte oder Eintragungen (soweit nicht anderweitig angegeben) nur als Beispiel verwendet werden und von den tatsächlichen Werten in Ihrer Installation abweichen können. Im Fließtext werden zusätzliche Formatierungen verwendet, um bestimmte Eigenschaften zu markieren oder auf Bedienungselemente hinzuweisen. Dialogtitel, Menüpunkte oder Schaltflächen werden durch eine rote Hervorhebung definiert. Skripte, Tastatur- oder Befehlseingaben werden durch eine andere Schrifttype im Text hervorgehoben. Clarity Perfection Security

Einleitung 10 1.4 Datenschutz und Datensicherheit Bei der Verwendung der gateprotect Firewall können unter Umständen personenbezogene Daten verarbeitet und genutzt werden. In Deutschland gelten für die Verarbeitung und Nutzung solcher personenbezogenen Daten unter anderem die Bestimmungen des Bundesdatenschutzgesetzes (BDSG).Für andere Länder beachten Sie bitte die jeweils entsprechenden Landesgesetze. Datenschutz hat die Aufgabe, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Ferner hat Datenschutz die Aufgabe, durch den Schutz der Daten vor Missbrauch in allen Verarbeitungsphasen der Beeinträchtigung fremder und eigener schutzwürdiger Belange zu begegnen. Clarity Perfection Security

Installation 11 2 INSTALLATION Die Firewall besteht aus zwei Teilen. Dem eigentlichen Firewallserver und dem Client zum Bedienen der Firewall. In diesem Kapitel beschreiben wir die nötigen Schritte zur Installation dieser Komponenten und der anschließenden Einrichtung der verschiedenen Systemkomponenten. 2.1 Installation des Firewallservers Da es sich bei der gateprotect Firewall in den meisten Fällen um eine Appliance handelt, wird diese beim Kauf mit installiertem Firewallserver ausgeliefert. Nur im Falle eine Neuinstallation z.b. wegen eines Upgrades oder eines Zurücksetzen auf den Auslieferungszustand, sollten Sie die Appliance neu installieren. Eine Installation mit einer CD wird nur beim Kauf einer Software- oder VMware-Lizenz durchgeführt. 2.1.1 Installation der Appliance Eine gateprotect Appliance wird mit einem gateprotect-firewall-usb-stick installiert. Um einen solchen zu erstellen, laden Sie sich bitte den USB-Installer der Firewall in Ihrer gewünschten Version von www.gateprotect.com/de runter. Sie benötigen weiterhin einen USB-Stick >1GB. Hier sollten die meisten im Handel erhältlichen USB-Sticks funktionieren. Eine Liste mit von uns getesteten USB-Sticks erhalten Sie ebenfalls auf www.gateprotect.com/de. Schließen Sie den USB-Stick an Ihren Windows-PC an und führen Sie den USB-Installer aus. ACHTUNG ALLE DATEN AUF DEM USB-STICK WERDEN GELÖSCHT. EIN WIZARD FÜHRT SIE DURCH DIE INSTALLATION DES USB-STICKS. Besonderheit Sie können auch einen Auto-Install-USB-Stick erstellen. Wenn Sie im USB-Stick-Installations-Wizard ein Backup der entsprechenden Firewall angeben, wird dieses in den USB-Stick integriert. ACHTUNG DIESER USB-STICK INSTALLIERT NUN AUTOMATISCH EINE FIREWALL, SOLLTE VON IHM GEBOOTET WERDEN. BITTE LASSEN SIE IHN NICHT IN ANDERN COMPUTERN STECKEN, WENN DIESE BOOTEN!!! Die Firewall-Installation mit dem USB-Stick läuft, wenn die Appliance von diesem bootet. (Schalten Sie dies ggf. im BIOS ein.) Bei einem gewöhnlichen USB-Install-Stick, werden Sie analog zur Installation mit CD auf der Konsole durch die Installation geführt. Siehe hierzu Beschreibung 2.1.2. Bei einem Auto-Install-USB-Stick wird die Installation automatisch durchgeführt. Die Appliance piept, wenn die Installation fertig ist. Ziehen Sie nun den USB-Stick ab und rebooten Sie die Appliance. 2.1.2 Installation der Firewall mit VMware Es ist möglich die ISO-Datei, aus der eine CD gebrannt werden kann, mit VMware (Workstation, ESX-Server) zu mounten. Sie können dann die Installation wie gewohnt durchführen. Hardwarevoraussetzungen an die virtuelle Maschine sind: HDD: 20 GB RAM: 512 MB Je nach Verwendungszweck und Useranzahl sollen Sie diese Werte skaliert werden. Clarity Perfection Security

Installation 12 Schritt 1 Legen Sie die Installations-CD in das Laufwerk des VMware-Rechners ein und starten Sie die virtuelle Maschine. HINWEIS SOLLTE DIE CD BEIM START NICHT AUTOMATISCH ERKANNT WERDEN, MÜSSEN SIE DIE BIOS-EINSTELLUNGEN VOR DER INSTALLATION ÄNDERN. Schritt 2 Zunächst wird ein Linux-Betriebssystem von der CD gestartet. Warten Sie, bis der Start-Bildschirm des Installationsprogramms geöffnet wird und folgen Sie im Weiteren den Anweisungen auf dem Bildschirm. HINWEIS DAS INSTALLATIONSPROGRAMM DES FIREWALLSERVERS UNTERSTÜTZT KEINE MAUSBEDIENUNG. ZUR NAVIGATION INNERHALB DER MENÜS VERWENDEN SIE DIE PFEIL-TASTEN UND FÜR DIE NAVIGATION ZWISCHEN DEN MENÜS DIE TAB-TASTE. AUSGEWÄHLTE ODER AKTIVE MENÜPUNKTE SIND ENTWEDER MIT EINER ROTEN FLÄCHE HINTERLEGT ODER DURCH ROTEN TEXT GEKENNZEICHNET. Schritt 3 Nachdem die Lizenzbedingungen akzeptiert wurden, startet die automatische Hardware-Erkennung. Schritt 4 Auswahl des Installationstyps A. Neue Installation B. Installation eines Backup Falls Sie statt einer Neuinstallation ein Backup einer vorhergehenden Firewallkonfiguration einspielen wollen, gehen Sie wie nachfolgend beschrieben vor: HINWEIS DAS BACKUP MUSS AUF EINER DISKETTE ODER EINEM USB-MEMORY-STICK VORLIEGEN, DIE VOM SERVER AUTOMATISCH ERKANNT WERDEN. SIE KÖNNEN DAS BACKUP AN DIESER STELLE AUCH ÜBERSPRINGEN UND ERST NACH DER INSTALLATION ÜBER DEN ADMINISTRATIONSCLIENT DURCHFÜHREN. WEITERE INFORMATIONEN DAZU FINDEN SIE IN KAP. 3.2.1 MENÜ: DATEI - BACKUP ERSTELLEN. Schritt 5 Festplattenauswahl Im Fenster Festplattenauswahl können Sie festlegen, ob die Installation auf einer Festplatte oder ob eine RAID- Installation auf zwei Festplatten durchgeführt werden soll. HINWEIS BEI DER INSTALLATION ALS VIRTUELLE MASCHINE SOLLTEN SIE NUR EINE VIRTUELLE PLATTE NUTZEN. Schritt 6 Einrichten der Netzwerkkarten Sie müssen jeder Netzwerkkarte eine eigenen IP-Adresse und eine dazugehörige Subnetzmaske zuweisen. Geben Sie dazu für jede Netzwerkkarte im ersten Feld die IP-Adresse und im zweiten Feld die entsprechende Subnetzmaske ein, also z.b. 192.168.1.1 / 255.255.255.0 für ein Klasse-C-Netz. DHCP ist während der Installation nicht möglich. HINWEIS WENN SIE KEINE IP EINTRAGEN, WIRD DIE KARTE AUTOMATISCH DEAKTIVIERT. DURCH DRÜCKEN VON F12 WERDEN DIE FELDER MIT STANDARD-WERTEN AUSGEFÜLLT. Schritt 7 Passworteingabe Geben Sie in die Felder Passwort und Bestätigen ein geeignetes Passwort ein. ACHTUNG DAS PASSWORT MUSS MINDESTENS AUS 6 ZEICHEN BESTEHEN UND KANN BUCHSTABEN, ZAHLEN UND SONDERZEICHEN ENTHALTEN. DIESES PASSWORT WIRD VERSCHLÜSSELT UND KANN OHNE DIE HILFE DES SUPPORTS VON GATEPROTECT NICHT ZUM DIREKTEN ANMELDEN AUF DEM FIREWALLSERVER VERWENDET WERDEN. DER ZUGRIFF AUF DEN FIREWALLSER- VER ERFOLGT ÜBER DEN ADMINISTRATIONSCLIENT UND EINE DIREKTE ANMELDUNG IST IM ALLGEMEINEN NICHT ERFORDERLICH. SO WIRD GEWÄHRLEISTET, DASS SICH KEINE UNBE- FUGTE PERSON DIREKT AUF IHREM FIREWALLSERVER EINLOGGEN KANN. Im nächsten Schritt startet die eigentliche Installation. Clarity Perfection Security

Installation 13 Schritt 8 Installationsfortschritt Ist die Installation erfolgreich verlaufen, muss hinter jedem Installationsschritt die entsprechende Meldung OK stehen. Nach erfolgreicher Installation entfernen Sie die CD aus dem Laufwerk und drücken Sie zum Abschluss noch einmal die Return-Taste, um den Firewallserver neu zu starten. Bitte warten Sie, bis die virtuelle Maschine wieder vollständig hochgefahren ist. Der Firewallserver ist jetzt betriebsbereit. 2.1.3 Serielles Interface Mit dem seriellen Interface ist es möglich die gateprotect Appliances ohne Monitor und Tastatur zu installieren. Hierzu benötigen Sie ein Nullmodem-Kabel (RS232, RJ45)), um den seriellen Port der Appliance mit dem seriellen Port eines anderen Rechners zu verbinden. Starten Sie ein Terminal-Programm (z.b. Putty oder Hyperterm) mit den folgenden Parametern: Bits pro Sekunde: 9600 Datenbits: 8 Parität: keine Stoppbits: 1 Flussteuerung: keine Verbinden Sie die seriellen Interfaces, stecken Sie den Install-USB-Stick in die Appliance und rebooten Sie die Firewall. Nach ein paar Sekunden sollte der Installations-Dialog auf Ihrem Terminal-Programm auftauchen. Sie können nun mit der Tastatur die Einstellungen vornehmen und die Firewall wie gewohnt installieren. 2.2 Installation des Firewall Administrationsclients Den Administrationsclient finden Sie auf der CD / USB-Stick (Autostart-Menü) oder im Internet unter www.gateprotect.de. Die Installation erfolgt automatisch nach Starten der Datei. 2.3 Erstkonfiguration des Firewallservers über den Administrationsclient Führen Sie nach der Installation des Firewallservers und des Administrationsclient zunächst eine erste Basiskonfiguration durch. Der Administrationsclient bietet Ihnen dazu die Möglichkeit, den Firewallserver entweder im Schnellstartoder im Standard-Modus durchzuführen. 2.3.1 Starten des Konfigurationsassistenten Schritt 1 Starten Sie den Administrationsclient, indem Sie auf das Symbol auf dem Desktop doppelklicken oder indem Sie auf Start > Programme > gateprotect Administration Client > gateprotect Administration Client klicken. Schritt 2 Das Startfenster des Konfigurationsassistenten wird angezeigt. Verbinden Sie den Administrationsclient mit dem Firewall-Server. Aktivieren Sie dazu das Auswahlfeld Nach Firewall suchen und klicken Sie auf Weiter >>. Der Konfigurationsassistent sucht zunächst im Netzwerk des Rechners, auf dem der Administrationsclient installiert wurde, automatisch auf der ersten (xxx.xxx.xxx.1) und letzten IP-Adresse (xxx.xxx.xxx.254) nach dem Firewallserver. Findet der Konfigurationsassistent den Firewallserver auf einer der beiden Adressen, können Sie den nachfolgenden Punkt 3 überspringen und direkt mit der Erstkonfiguration im Schnellstart- (Kap. 2.3.2 Erstkonfiguration im Schnellstartmodus) oder Standardmodus (Kap. 2.3.6 Erstkonfiguration im Standardmodus) fortfahren. Clarity Perfection Security

Installation 14 Findet der Konfigurationsassistent auf keiner der beiden Adressen den Firewallserver, müssen Sie die Adresse des Firewallservers zuerst wie nachfolgend in Punkt 3 beschrieben manuell eingeben. Schritt 3 Der Dialog Anmelden wird geöffnet, in dem Sie eine manuelle Verbindung herstellen können. Klicken Sie auf Hinzufügen. a.) Der Dialog IP-Adresse des Firewallservers wird geöffnet. b.) Geben Sie Name und Adresse des Firewallservers in die entsprechenden Felder ein. Lassen Sie den Port unverändert (Port 3436) und klicken Sie auf Übernehmen. c.) Der Dialog Anmelden wird wieder angezeigt. Geben Sie in die Felder Benutzernamen und Kennwort die entsprechenden Werte für den Zugang zum Firewallserver ein. Klicken Sie anschließend auf Anmelden. HINWEIS BEI EINER NEU-KONFIGURATION DES FIREWALLSERVERS, SIND DER BENUTZERNAME UND DAS KENNWORT JEWEILS admin. WENN SIE DEN FIREWALLSERVER ALS BACKUP INSTAL- LIERT HABEN, VERWENDEN SIE DEN FÜR DIESES BACKUP FESTGELEGTEN BENUTZERNAMEN UND DAS DAZUGEHÖRIGE PASSWORT. Die Verbindung zum Firewall-Server wird jetzt hergestellt und der Konfigurationsassistent mit der Auswahl des Konfigurationsmodus fortgesetzt. 2.3.2 Erstkonfiguration im Schnellstartmodus Erweiterte Einstellungen können Sie im Anschluss an die Erstkonfiguration über den Administrationsclient vornehmen. Schritt 1 Wählen Sie die Option Schnellstart. Schritt 2 Der Dialog zur Auswahl der gewünschten Funktionen wird angezeigt. Wählen Sie die gewünschten Optionen aus (wie im Dialog beschrieben), indem Sie die jeweiligen Auswahlfelder aktivieren. Weiter geht die Konfiguration mit dem in 2.3.3 beschriebenen Internet-Verbindungsassistenten. 2.3.3 Internet-Verbindungsassistent Der Dialog zur Auswahl des Verbindungstyps wird geöffnet. Der gateprotect Firewallserver unterstützt die Einwahl ins Internet per ISDN, per DSL-Modem oder Router. Je nachdem, welche Internet-Verbindung Sie verwenden, folgen Sie bitte den entsprechenden Konfigurationsschritten in den nächsten Kapiteln. 2.3.3.1 ISDN-Verbindung einrichten Schritt 1 Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option ISDN-Wählverbindung. Schritt 2 Im folgenden Dialog wird eine Liste der verfügbaren Hardware angezeigt. Wählen Sie aus der Liste eine der vorgegebenen ISDN-Karten aus. Schritt 3 Geben Sie jetzt die Einwahlnummer für Ihren Internetzugang ein. Das Auswahlfeld Präfix muss nur dann aktiviert werden, wenn Sie den Internet-Zugang über eine TK-Anlage einrichten. Geben Sie im Eingabefeld Präfix die Nummer ein, die Sie für eine Amtsleitung benötigen. Geben Sie die Daten für die Vorwahl und Rufnummer in die entsprechenden Felder ein. Clarity Perfection Security

Installation 15 Schritt 4 Geben Sie die von Ihrem Internet-Provider zur Verfügung gestellten Zugangsdaten für Ihre ISDN Internet- Verbindung ein. Schritt 5 Geben Sie die Einwahl-Einstellungen für Ihre ISDN-Verbindung ein. Falls Sie nicht sicher sind, welche Einstellungen Sie vornehmen müssen, lesen Sie bitte die Informationen zu Ihrem ISDN-Anschluss bzw. Ihrer TK-Anlage. Schritt 6 Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen eigenen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen. Schritt 7 Bei definierter Backupleitung für Failover (Internet) Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2externe Server (empf. 2) anzugeben. Sie sollten hier zwei IP-Adressen angeben, welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht. HINWEIS BEI ISDN-VERBINDUNGEN MIT DEFINIERTEM TIMEOUT SOLLTEN HIER KEINE TESTSERVER EINGETRAGEN WERDEN. ANDERNFALLS WÄREN DIE TIMEOUT-EINSTELLUNGEN HINFÄLLIG. Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder ein und klicken Sie auf Weiter>>. Schritt 8 Geben Sie einen eindeutigen und aussagekräftigen Namen für diese ISDN-Verbindung ein, z.b. Internet- Verbindung per ISDN. Ihre Internet-Verbindung ist jetzt eingerichtet. Wenn Sie nur diese Internet-Verbindung per ISDN verwenden, können Sie die nächsten Abschnitte überspringen und mit dem Konfigurationsassistenten fortfahren. 2.3.3.2 PPPoE-Verbindung einrichten Die nachfolgend beschriebenen Einstellungen müssen sie nur dann vornehmen, wenn sie die Netzwerkkarte direkt mit einem DSL-Modem verbinden. Wenn Sie für Ihre Internet-Verbindung einen DSL-Router verwenden, überspringen Sie diesen Abschnitt und fahren Sie mit dem nächsten Abschnitt Kap. 2.3.3.3 - Routerverbindung einrichten fort. Schritt 1 Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option PPPoE-Verbindung. Schritt 2 Im folgenden Dialog wird eine Liste der installierten Netzwerkkarten angezeigt. Wählen Sie hier die Netzwerkkarte aus, die mit dem DSL-Modem verbunden ist. Schritt 3 Geben Sie die von Ihrem Internet-Provider zur Verfügung gestellten Zugangsdaten für Ihre DSL Internet-Verbindung ein. Schritt 4 Geben Sie die Einwahl-Einstellungen für Ihre DSL-Verbindung ein. Falls Sie nicht sicher sind, welche Einstellungen Sie vornehmen müssen, lesen Sie bitte die Informationen zu Ihrem DSL-Modem bzw. Ihrem DSL-Internet-Anschluss. Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder. Clarity Perfection Security

Installation 16 Schritt 5 Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen eigenen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen. Bei definierter Backupleitung für Failover (Internet) Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2 externe Server anzugeben. Sie sollten hier zwei IP-Adressen angeben, welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht. Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder. Schritt 6 Geben Sie einen eindeutigen und aussagekräftigen Namen für diese DSL-Verbindung ein, z.b. Internet-Verbindung per DSL-Modem. Ihre Internet-Verbindung ist jetzt eingerichtet. Wenn Sie nur diese Internet-Verbindung per DSL verwenden, können Sie den nächsten Abschnitt überspringen und mit dem Konfigurationsassistenten fortfahren. 2.3.3.3 Router-Verbindung einrichten Die nachfolgend beschriebenen Einstellungen müssen sie nur dann vornehmen, wenn sie die externe Firewall- Verbindung über einem Router, z.b. einen DSL-Router mit dem Internet verbinden. Wenn Sie für Ihre Internet- Verbindung ein DSL-Modem verwenden, lesen Sie bitte den vorhergehenden Abschnitt. Schritt 1 Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option Router Verbindung. Schritt 2 Im folgenden Dialog wird eine Liste der installierten Netzwerkkarten angezeigt. Wählen sie die Netzwerkkarte aus, die mit dem Router verbunden ist. Schritt 3 Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen internen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen. Bei definierter Backupleitung für Failover (Internet) Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2 externe Server anzugeben. Sie sollten hier zwei IP-Adressen angeben, welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht. Schritt 4 Geben Sie einen eindeutigen und aussagekräftigen Namen für diese Router-Verbindung ein, z.b. Internet- Verbindung per Firmen-Router. Geben Sie den Namen in das entsprechende Feld ein und klicken Sie auf Fertig. Ihre Internet-Verbindung ist jetzt eingerichtet. Clarity Perfection Security

Installation 17 2.3.4 Failover (Backup-Leitung) Sollten Sie bereits eine Verbindung eingerichtet haben und wollen nun eine weitere erstellen, ist es möglich diese als Backup-Leitung zu verwenden. Die Backup-Leitung wird automatisch gewählt, falls ihre Hauptverbindung ausfallen sollte. Sobald die Hauptverbindung wieder arbeitet, schaltet die Firewall automatisch auf diese zurück. HINWEIS IN DIESEM FALL MUSS UNBEDINGT EINE IP (EXTERNER SERVER) BEI DER HAUPTVERBINDUNG ANGEGEBEN WERDEN. ANHAND DIESER ADRESSE WIRD ERMITTELT, OB DIE VERBINDUNG NOCH BESTEHT. (HINWEISE ZUR EINRICHTUNG EXTERNER SERVER FINDEN SIE IM WEITEREN BEI DER BESCHREIBUNG DER EINZELNEN VERBINDUNGSTYPEN - ISDN, DSL, ROUTER). 2.3.5 Fortsetzung des Konfigurationsassistenten Schritt 1 Geben Sie im folgenden Dialog des Konfigurationsassistenten ein Kennwort für den Administrationsclient ein. Das Kennwort muss mindestens aus sechs Zeichen bestehen und kann Buchstaben, Zahlen und Sonderzeichen beinhalten. Geben Sie das neue Kennwort im Feld Neues Kennwort ein. Bestätigen Sie dieses Kennwort durch erneute Eingabe im Feld Kennwortbestätigung. Schritt 2 Nehmen Sie Einstellungen für Datum und Uhrzeit des Firewallservers vor. Wählen Sie die aktuelle Zeitzone aus oder legen Sie fest, ob die Server-Zeit regelmäßig mit einem Zeitserver aus dem Internet abgeglichen werden soll. Schritt 3 Damit sind alle notwendigen Informationen eingegeben und der Konfigurationsassistent kann abgeschlossen werden. Schritt 4 Wenn Sie bereits im Besitz einer gültigen Lizenznummer für den gateprotect Firewall-Server, den gateprotect Content Filter oder gateprotect Antivirus sind, können Sie diese Lizenz(en) jetzt direkt aktivieren, falls dies nicht bereits schon erfolgt ist. Sie können die Aktivierung aber auch zu einem späteren Zeitpunkt vornehmen. Weitere Informationen über den Lizenzmanager und die Lizenzierung des gateprotect Firewallservers finden Sie in Kapitel 2.5 Lizenzierung. Damit ist die Konfiguration abgeschlossen. Die Konfigurationsdaten werden jetzt zur Firewall übertragen und der gateprotect Administrationsclient wechselt zur Konfigurationsoberfläche. 2.3.6 Erstkonfiguration im Standardmodus Wenn sie die Erstkonfiguration bereits im Schnellstart-Modus durchgeführt haben, können Sie dieses Kapitel überspringen. Schritt 1 Wählen Sie die Option Standard. Schritt 2 Geben Sie im folgenden Dialog des Konfigurationsassistenten ein Kennwort für den Administrationsclient ein. Das Kennwort muss mindestens aus sechs Zeichen bestehen und kann Buchstaben, Zahlen und Sonderzeichen beinhalten. Schritt 3 Nehmen Sie Einstellungen für Datum und Uhrzeit des Firewallservers vor. Wählen Sie die aktuelle Zeitzone aus und legen Sie fest, ob die Server-Zeit regelmäßig mit einem Zeitserver aus dem Internet abgeglichen werden soll. HINWEIS AN DIESER STELLE IST DAS ANKLICKEN DES AUSWAHLFELDES ZUM AKTIVIEREN DES NTP-DIENSTES NICHT MÖGLICH, DA IM STANDARDMODUS NOCH KEINE INTERNETVERBINDUNG EINGERICHTET WURDE. AKTIVIEREN SIE DIESE OPTION IM ADMINISTRATIONSCLIENT ZU EINEM SPÄTEREN ZEITPUNKT, NACHDEM SIE EINE INTERNETVERBINDUNG EINGERICHTET HABEN. Schritt 4 Damit sind alle notwendigen Informationen eingegeben und der Konfigurationsassistent kann abgeschlossen werden. Clarity Perfection Security

Installation 18 Schritt 5 Wenn Sie bereits im Besitz einer gültigen Lizenznummer für den gateprotect Firewall-Server, den gateprotect Content Filter oder gateprotect Antivirus sind, können Sie diese Lizenz(en) jetzt direkt aktivieren, falls dies nicht bereits schon erfolgt ist. Sie können die Aktivierung aber auch zu einem späteren Zeitpunkt vornehmen. Weitere Informationen über den Lizenzmanager und die Lizenzierung des gateprotect Firewallservers finden Sie in Kapitel 2.5 Lizenzierung. Damit ist die Konfiguration abgeschlossen. Die Konfigurationsdaten werden jetzt zur Firewall übertragen und der gateprotect Administrationsclient wechselt zur Konfigurationsoberfläche. 2.4 Konfigurationsänderungen Wenn Sie den Firewallserver individuell an Ihre Anforderungen anpassen wollen, finden Sie in den nachfolgenden Kapiteln weitere Informationen zu den entsprechenden Themen und Einstellungsmöglichkeiten. 2.5 Lizenzierung ACHTUNG AB DER INSTALLATION DES SERVERS, LÄUFT IHRE FIREWALL 45 TAGE ALS TESTVERSION. SIE ERKENNEN DIES AN DER MELDUNG BEIM STARTEN DES ADMINISTRATIONSCLIENT. NACH ABLAUF DIESER ZEIT BLEIBT DIE FIREWALL WEITERHIN MIT IHRER KONFIGURATION AKTIV, SIE KÖNNEN JEDOCH KEINE VERÄNDERUNGEN MEHR VORNEHMEN UND DAS HTTP- PROTOKOLL WIRD GESPERRT. Die Lizenzierung erfolgt über den Lizenz-Wizard, welchen Sie unter dem Menüpunkt Info aufrufen können. Die Lizenzierung erfolgt über eine Datei im gplf-format. Sie können diese Datei einfach laden und alle Lizenzen und Angaben über den Lizenznehmer sind automatisch in der Firewall eingetragen. Clarity Perfection Security

Bedienung des Administrationsclients 19 3 BEDIENUNG DES ADMINISTRATIONSCLIENTS Mit dem Administrationsclient verwalten Sie komfortabel sämtliche Einstellungen des gateprotect Firewallservers. In diesem Kapitel lesen Sie, wie Sie dieses Programm bedienen, welche Möglichkeiten der Administrationsclient bietet und wie Sie grundlegende Konfigurationseinstellungen vornehmen. 3.1 Programmoberfläche und Bedienelemente Nach dem ersten Start des Programms befinden Sie sich im Konfigurationsdesktop. Dies ist die zentrale Verwaltungsansicht, mit der Sie alle notwendigen Einstellungen an der Firewall vornehmen können. Clarity Perfection Security

Bedienung des Administrationsclients 20 3.2 Das Menü des Administrationsclients 3.2.1 Menü: Datei Im Menü Datei finden Sie die Windows-üblichen Menüpunkte für das Öffnen, Speichern, Drucken und Beenden des Programms. Zusätzlich sind hier die Funktionen für das Erstellen und Einspielen von Backups des Firewallservers untergebracht. Menüpunkt Funktion Neu Erstellt eine neue Firewallkonfiguration. Öffnen... Öffnet eine vorhandene Firewallkonfiguration entweder direkt von einer verbundenen Firewall oder aus einer gespeicherten Konfigurationsdatei. Speichern Speichert die aktuelle Firewallkonfiguration direkt auf einer verbundenen Firewall. Speichern unter... Speichert die aktuelle Firewallkonfiguration entweder auf einer verbundenen Firewall oder in einer Konfigurationsdatei auf dem Rechner oder im Netzwerk. Drucken... Druckt die aktuelle Konfiguration auf einem angeschlossenen Drucker Backup erstellen Erstellt ein Backup der aktuellen Firewallkonfiguration auf einem beliebigen Speichermedium. Verwenden Sie diese Funktion, um z.b. eine Konfiguration nach einer Neuinstallation wieder einzuspielen, oder eine Konfiguration für eine Hochverfügbarkeitslösung auf eine zweite (sekundäre) Firewall zu übertragen. Backup einspielen Lädt eine Firewallkonfiguration aus einer Backup-Datei und aktiviert diese anschließend. Backup automatisch Einstellen der automatischen Backup-Funktion Kap. 3.11 Backup automatisch erstellen Konfigurations- Assistent erneut aufrufen... Startet den Konfigurationsassistenten im Anfänger- oder Expertenmodus, um eine Basiskonfiguration zu erstellen Kap. 2.3 Erstkonfiguration des Firewallservers über den Administrationsclient Aktivieren Überträgt eine Konfiguration auf den Firewallserver, ohne den Administrationsclient vorher zu beenden. Sprache / Language Wechselt die Sprache für den Administrationsclient. Beenden... Beendet den gateprotect Administrationsclient, nachdem Sie in einem Dialog mehrere Optionen zur Beendigung des Programms angezeigt bekommen und Sie das Beenden des Administrationsclient bestätigt haben. Clarity Perfection Security

Bedienung des Administrationsclients 21 3.2.2 Menü: Einstellungen Über das Menü Einstellungen konfigurieren Sie die Einstellungen des Servers und des Administrationsclient. Menüpunkt Funktion Firewall Passt die allgemeinen Server-Einstellungen, wie z.b. Netzwerk- oder Host-Namen, Sicherheitseinstellungen für die Administration oder Datums- und Uhrzeiteinstellungen an Ihre Bedürfnisse an. Command Center Zugriffsregelung und Erstellung der Command Center Zertifikate Interfaces Verwaltung der Netzwerkkarten, V-LANs, Bridges und VPN-SSL Interfaces Routing Verwaltung von Routen und Routing-Protokollen. Benutzerverwaltung Verwaltet die auf der Firewall konfigurierten Benutzer und die ihnen zugewiesenen Benutzerrechte. Internet Verwaltet die Internet-Verbindungen und ändert globale DNS-Einstellungen oder Einstellungen für dynamisches DNS. Proxy Aktiviert und konfiguriert die Einstellungen für den HTTP- und VoIP-Proxy des FirewallserversKap. 4 Proxies. Traffic-Shaping Konfiguriert die Einstellungen für Traffic Shaping und Quality of Service Kap. 7 Traffic Shaping & Quality of Service. Hochverfügbarkeit Definiert Einstellungen für mehrere Firewallserver, die als Hochverfügbarkeitslösung laufen Kap. 11 Hochverfügbarkeit. DHCP Einstellungen für DHCP Server und Relay werden hier vorgenommen. Reporting Verwaltet die Reporting-Einstellungen wie z.b. die Empfängeroptionen für die E- Mailbenachrichtigung und die Einstellungen für die Partitionen Kap. 13 Reporting Benutzerauthentifizierung Konfiguriert die Optionen für die User Authentifizierung und die Anmeldung am HTTP-Proxy Kap. 5 User Authentifizierung. Updates Verwaltung aller Updates der Firewall. Clarity Perfection Security

Bedienung des Administrationsclients 22 3.2.3 Menü: Sicherheit Über dieses Menü verwalten Sie unterschiedliche Sicherheitseinstellungen des Firewallservers Menüpunkt URL-/Contentfilter... Funktion Aktiviert und konfiguriert die Einstellungen für den URL- und Content-Filter Kap. 6 URL- und Content-Filter. Anti-Spam / Mailfilter Erstellt Black- und Whitelisten für den Spamfilter und stellt die Empfindlichkeit ein. Kap. 15 Anti-Spam/Mailfilter Anti-Virus Aktiviert und verwaltet die Einstellungen des Anti Virus Scanners Kap. 16 Virenschutz IDS/IPS Verwalten Sie die Einstellungen für das Intrusion Detection und Prevention System Kap. 12 Intrusion Detection und Prevention System Zertifikate DMZ-Liste Abgewiesene Zugriffe... Zentrale Steuerung aller in der Firewall genutzter Zertifikate. Anzeige der DMZ Objekte Zeigt eine Liste der abgewiesenen Zugriffe und ermöglicht diese Verbindungen freizugeben oder abzuweisen. 3.2.4 Menü: VPN Einstellungen Über dieses Menü verwalten Sie die Einstellungen für VPN-Verbindungen zum Firewallserver. Menüpunkt Funktion PPTP Aktiviert die PPTP-Einstellungen der FirewallserversKap. 10.2 PPTP-Verbindungen. IPSec Aktiviert die IPSec-Einstellungen und verwaltet IPSec-Verbindungen Kap. 10.3 IPSec-Verbindungen. VPN-SSL Aktiviert VPN-SSL-Verbindungen und verwaltet die VPN-SSL-Eigenschaften und - Clients Kap. 10.4 VPN over SSL. VPN Wizard Erstellt eine neue VPN-Verbindung und richtet alle notwendigen Konfigurationseinstellungen für die VPN-Verbindung ein. Clarity Perfection Security

Bedienung des Administrationsclients 23 3.2.5 Menü: Werkzeuge In diesem Menü finden Sie einige Werkzeuge, die Sie zur Konfiguration, für Netzwerktests oder bei der Problemlösung und Fehlersuche unterstützen. Menüpunkt Funktion Ping Traceroute Führt einen PING-Befehl auf einen Rechner/Server im Netzwerk oder im Internet aus. Wählen Sie als Option aus, ob der PING-Befehl vom lokalen Rechner oder vom Firewallserver ausgeführt werden soll Führt einen TRACEROUTE-Befehl auf einen Rechner/Server im Netzwerk oder im Internet aus. Nameserver abfragen Web-Blocking Analyse Fragt beim Nameserver Informationen über eine Adresse ab. Führt eine Überprüfung einer URL oder Webseite mit Hilfe des URL- und Content- Filters durch Kap. 6 URL- und Content-Filter. 3.2.6 Menü: Fenster Schaltet zwischen den verschiedenen Ansichten des Administrationsclients um. Menüpunkt Funktion Desktop Wechselt in den Konfigurationsdesktop, um Netzwerk- und Firewalleinstellungen zu verwalten. Berichte Wechselt in die Berichtsansicht mit aktuellen System- und Sicherheitsmeldungen. Statistiken Zeigt allgemeine und sicherheitsrelevante Statistiken über Benutzer, Netzwerkobjekte und den Firewallserver. Monitoring Liefert aktuelle Informationen über Hardware und Systemprozesse des Firewallservers. 3.2.7 Menü: Info Bietet die Windows-üblichen Hilfs- und Unterstützungsfunktionen für Benutzer. Menüpunkt Funktion Handbuch Neue Lizenz erwerben / eingeben Lizenzbedingungen anzeigen Über Öffnet das Handbuch Lizenzierung der Firewall und der UTM-Produkte. Zeigt die aktuellen Lizenzbedingungen als PDF-Dokument an. Liefert Versionsinformationen über den Administrationsclient. Clarity Perfection Security

Bedienung des Administrationsclients 24 3.3 Der Konfigurationsdesktop Die Bedieneroberfläche bildet den Hauptarbeitsbereich der gateprotect Firewall. Über den Konfigurationsdesktop haben Sie immer einen Gesamtüberblick über Ihr komplettes Netzwerk. Alle im Netz angelegten Objekte (Rechner, Server, Rechnergruppen, VPN-User, usw.) werden mit ihren jeweiligen Verbindungen dargestellt. Neue Objekte können jederzeit per Drag & Drop hinzugefügt werden. Mit einem einfachen Klick auf die Knotenpunkte der Verbindungslinien, können Regeln für diese Verbindung erstellt werden. Einzelne Objekte können per Drag & Drop in Gruppen zusammengefasst und gemeinsam konfiguriert werden. Wenn Sie ein Objekt auf eine anderes ziehen, werden Sie gefragt ob Sie aus den beiden Einzelobjekten eine Gruppe erstellen wollen Es können mehrere Objekte und Punkte gleichzeitig selektiert werden, indem man an einer leeren Stelle auf dem Desktop klickt und mit der Maus den gewünschten Bereich definiert. Mit Strg + linker Maustaste können einzelne Objekte und Punkte hinzugefügt bzw. entfernt werden. Strg + A selektiert alle Objekte und Punkte auf dem Desktop. Verbindungslinien können zur besseren Übersicht bei Bedarf mehrfach umgebrochen werden. Doppelklick auf der Linie erstellt an dieser Stelle einen neuen Umbruchpunkt. Der Regelpunkt und alle Umbruchpunkte können auf dem Desktop frei bewegt werden. Die Endpunkte einer Linie kleben am jeweiligen Objekt, können aber an dessen Seiten frei bewegt werden. Doppelklick auf einem Umbruchpunkt (mit Ausnahme der Endpunkte) löscht diesen. Clarity Perfection Security

Bedienung des Administrationsclients 25 3.3.1 Zoom der Konfigurationsoberfläche Der Desktop verfügt über eine Zoom-Funktion. Diese wird durch eine Kleinansicht unterstützt (rechts unten im Ansichts-Frame). Der Desktop kann in einem Bereich zwischen 30% und 100% verkleinert werden. Wenn nicht der komplette Desktop sichtbar ist, wird der sichtbare Bereich mit einem blauen Rechteck in der Kleinansicht dargestellt. Die Kleinansicht kann zum Navigieren benutzt werden (wenn Teile des Desktops nicht sichtbar sind). 3.3.2 Layer Der Desktop verfügt über einen Standard- und mehrere benutzerdefinierte Layer. Der Standardlayer, genannt Grundlayer, kann umbenannt, aber nicht gelöscht werden. Er ist immer erster in der Liste. Die benutzerdefinierte Layer können ausgeblendet werden. Dadurch werden die Objekte auf dem jeweiligen Layer, und alle damit verbundenen Linien ebenfalls ausgeblendet. Die Reihenfolge der benutzerdefinierten Layer kann beliebig geändert werden. Die benutzerdefinierten Layer können gelöscht werden. Dessen Objekte wandern zum Grundlayer. Objekte können frei auf allen Layern verschoben werden. Die Ausnahme sind die Internet-Objekte. Sie sind immer auf dem Grundlayer. Objekte auf einem unteren Layer werden als letzte auf dem Desktop dargestellt, und überblenden Objekte aus einem oberen Layer. Clarity Perfection Security

Bedienung des Administrationsclients 26 3.3.3 Die Symbolleiste Um ein Objekt auf dem Konfigurationsdesktop anzulegen, klicken Sie in der Symbolleiste auf das gewünschte Objekt, halten Sie die linke Maustaste gedrückt und ziehen Sie das Objekt auf den Konfigurationsdesktop. Es öffnet sich je nach Objekttyp automatisch ein Fenster, in dem Sie Daten zum Objekt eingeben können. Um ein Objekt wieder vom Konfigurationsdesktop zu entfernen, klicken Sie mit der rechten Maustaste auf das Objekt und wählen im Kontextmenü den Menüpunkt Löschen aus oder drücken Sie Entf. Symbol Funktion Auswahlwerkzeug Mit dem Auswahl-Werkzeug führen Sie alle Aktionen auf dem Konfigurationsdesktop durch. Sie legen damit Symbole an, verschieben Objekte oder wählen bestimmte Funktionen aus. Verbindungswerkzeug Mit dem Verbindungswerkzeug verbinden Sie Symbole auf dem Konfigurationsdesktop miteinander. Klicken Sie zunächst auf das Symbol des Verbindungswerkzeuges, dann auf das erste Symbol und danach auf das zweite Symbol. Die beiden Symbole werden nun miteinander verbunden und der Regeleditor zur Festlegung von Verbindungsregeln öffnet sich automatisch. Internet Wenn Sie auf dieses Objekt doppelklicken, konfigurieren Sie ihre Internetverbindungen. Geräte Ziehen Sie eines der Geräte (Rechner, Server, Netzwerkdrucker, Laptop oder IP-Telefon) auf den Konfigurationsdesktop und geben Sie in dem sich öffnenden Dialog weitere Objekteigenschaften für den Rechner ein. Sie können jedes Gerät nachträglich ändern, indem Sie im Dialog Eigenschaften des Objekts die Art des Objekts über eine der Schaltflächen auswählen. Gruppe Eine Rechnergruppe dient der Übersichtlichkeit und einfachen Konfiguration. Mehrere Rechner einer Abteilung können gemeinsam konfiguriert werden. Jeder Rechner erhält alle Rechte, die seine Gruppe besitzt. Ziehen Sie eine Gruppe auf den Konfigurationsdesktop, geben Sie in dem sich öffnenden Dialog weitere Objekteigenschaften für die Gruppe ein und erstellen Sie neue Objekte innerhalb dieser Gruppe. Ziehen Sie einzelne, bereits vorhandene Objekte auf dem Konfigurationsdesktop mit der Maus auf ein Gruppensymbol, um dieses Einzelobjekt dieser Gruppe zuzuordnen. Eine Rechnersammlung beinhaltet einzelne Rechner, die manuell hinzugefügt oder direkt vom Konfigurationsdesktop in diese Gruppe aufgenommen wird. Bei einer Netzwerkgruppe wählen Sie eine Netzwerkkarte des Firewallservers aus und alle da- Clarity Perfection Security

Bedienung des Administrationsclients 27 Symbol Funktion ran angeschlossenen Rechner gehören damit zu dieser Gruppe. Der Modus IP-Range ermöglicht die Gruppierung von Rechnern über Angabe einer Start- und End-Adresse. Sofern für dieses Interface ein DHCP-Server konfiguriert ist, ist es auch möglich, dessen Adressbereich zu übernehmen. VPN-Rechner und VPN-Server Ziehen Sie einen VPN-Rechner auf den Desktop, legen Sie in dem sich öffnenden Dialog allgemeine Einstellungen für den VPN-Rechner fest und erstellen Sie eine neue VPN-Verbindung. Weitergehenden Informationen zu VPN-Objekten und deren Einrichtung finden Sie in Kap. 10 Virtual Private Networks (VPN) VPN-Gruppe Ziehen Sie eine VPN-Gruppe auf den Desktop, legen Sie in dem sich öffnenden Dialog allgemeine Einstellungen für diese VPN-Gruppe fest und fügen Sie bereits vorhandene VPN-Benutzer dieser VPN-Gruppe hinzu. Weitergehenden Informationen zu VPN-Gruppen und deren Einrichtung finden Sie in Kap. 10 Virtual Private Networks (VPN) VPN-Benutzer / VPN-Benutzer-Gruppe VPN-Benutzer können sich per L2TP oder XAUTH anmelden. DMZ-Objekt. Nachdem Sie ein DMZ-Objekt auf den Desktop gezogen haben, startet der DMZ-Wizard automatisch und führt Sie durch alle nötigen Einstellungen Benutzer Ziehen sie einen Benutzer auf den Desktop und geben sie in dem sich öffnenden Dialog weitere Benutzereigenschaften an. Weitergehenden Informationen zu Benutzern und deren Einrichtung finden Sie in Kap. 5 User Authentifizierung. Benutzergruppe Ziehen sie eine Benutzergruppe auf den Desktop, geben Sie in dem sich öffnenden Dialog weitere Einstellungen für die Gruppe an und fügen Sie bereits vorhandene Benutzer dieser Benutzergruppe hinzu. Weitergehende Informationen zu Benutzern und deren Einrichtung finden Sie in Kap. 5 User Authentifizierung. Das Notiz-Objekt kann einfach auf den Desktop gezogen werden und für beliebige Notizen auf dem Desktop genutzt werden. Es wird wie jedes andere Objekt mit der Konfiguration gespeichert. Das Regions-Objekt ist ein Hilfsmittel, um Gruppen und Bereiche farblich zu hinterlegen. Ziehen Sie das Objekt einfach auf den Desktop, wählen Sie Farbe und Grad der Transparenz und vergeben Sie einen Namen. Nun können Sie das Objekt beliebig verschieben und seine Größe anpassen. Clarity Perfection Security