Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 9973 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Für was gilt die Any-Regel?

plate
Hallo zusammen,

ich habe folgendes Verständnisproblem:
Wir haben hier eine ASG 220. Auf dieser sind 3 Netzwerke definiert (Intern und sozusagen 2 DMZs).

Mir ist jetzt nicht ganz klar wofür eine Any - Any Regel gilt. 

Zum Beispiel die Regeln:

Intern (Network) - Any - Any

Soll dafür sein das alles Host aus dem Internen Netz ins Internet kommen. Kommen diese Hosts dann auch in die DMZ 1 oder schließt er die definierten Netzwerke von Any aus?

Wenn er das nicht täte wäre die Firewall ja nur mit Löchern zu konfigurieren.

Vielen Dank im Voraus.

Gruß

plate


This thread was automatically locked due to age.
Parents
  • 0
    Ich verstehe das mit den Löchern nicht so ganz...
    Any ist any (also auf Deutsch "Alles"), da gibt's keine Ausnahmen.

    Firewall-Regeln werden von oben nach unten abgearbeitet, sobald eine greift, wird keine weitere mehr angewendet.
    Ganz unten steht dann noch ein (nicht sichtbare) Deny all-Regel.

    Wenn du keine Löcher willst, konfigurierst du ganz spezifisch, welche Clients/Gruppe/Netz was dürfen.

    Wenn du allen Clients im internen Netz alles ins Internet erlauben willst, machst du eine Allow-Regel "Internal - Any - Internet (IPv4)" und evtl. noch eine mit IPv6.

    Wenn die Clients auf keinen Fall in die DMZ kommen sollen, definierst du oberhalb eine Deny-Regel Internal - Any - DMZ.

    Allerdings empfehle ich eher, nur bestimmte Dienste freizugeben (Also z.B. Internal - Web Surfing (beinhaltet HTTP, HTTPS, etc.) - Internet).

    Je weniger Löcher, desto sicherer... [:)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Ich verstehe das mit den Löchern nicht so ganz...
    Any ist any (also auf Deutsch "Alles"), da gibt's keine Ausnahmen.

    Firewall-Regeln werden von oben nach unten abgearbeitet, sobald eine greift, wird keine weitere mehr angewendet.
    Ganz unten steht dann noch ein (nicht sichtbare) Deny all-Regel.

    Wenn du keine Löcher willst, konfigurierst du ganz spezifisch, welche Clients/Gruppe/Netz was dürfen.

    Wenn du allen Clients im internen Netz alles ins Internet erlauben willst, machst du eine Allow-Regel "Internal - Any - Internet (IPv4)" und evtl. noch eine mit IPv6.

    Wenn die Clients auf keinen Fall in die DMZ kommen sollen, definierst du oberhalb eine Deny-Regel Internal - Any - DMZ.

    Allerdings empfehle ich eher, nur bestimmte Dienste freizugeben (Also z.B. Internal - Web Surfing (beinhaltet HTTP, HTTPS, etc.) - Internet).

    Je weniger Löcher, desto sicherer... [:)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
No Data
Unfiltered HTML