Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 38 subscribers
  • Views 692 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User sollen eine bestimmte Regel ein und ausschalten können

rprengel
Hallo,
mal ein Gedankespiel:
Ein Videokonferenzsystem braucht reichlich Ports nach aussen was ich nicht wirklich gut finde.
Meine Idee:
Für das System wir eine passende Firewallregel eingerichtet aber nicht eingeschaltet.
Die Idee wäre jetzt das Nutzer der Videokonferenz die Regel über einen Trigger ein und ausschalten können.
Hat jemand so etwas schon mal irgendwie umgesetzt?

Gruss
Ralf


This thread was automatically locked due to age.
Parents
  • 0
    Hi Ralf,
    so in der Form nicht.
    Muss auch immer flexibel sein und wenn es genutzt wird, muss es eigentlich funktionieren. Daher ist diese Idee sehr anfällig für Fehler.

    Wir lösen es so:
    Eigenes VLAN für die Videokonferenz, wo dann z.B. separate Firewallregeln konfiguriert sind, Proxy aus und Application Control entsprechend eingestellt. In aktuellen Videokonferenzsystemen gibt es inzwischen auch einen eigenen Proxy, der hier noch vor sitzt und ähnlich wie die WAF den Zugriff schützt. Hier kann man dann alle benötigten Ports exakt freigegeben.
    Außerdem wird dafür noch eine separate WAN IP genommen (versuche auch immer die WAN IP für Websurfing und SMTP zu trennen) - wenn genügend WAN IPs zur Verfügung stehen.

    In diesen VLAN sitzt dann nur die VK und mehr nicht - fertig.

    Nice greetings
Reply
  • 0
    Hi Ralf,
    so in der Form nicht.
    Muss auch immer flexibel sein und wenn es genutzt wird, muss es eigentlich funktionieren. Daher ist diese Idee sehr anfällig für Fehler.

    Wir lösen es so:
    Eigenes VLAN für die Videokonferenz, wo dann z.B. separate Firewallregeln konfiguriert sind, Proxy aus und Application Control entsprechend eingestellt. In aktuellen Videokonferenzsystemen gibt es inzwischen auch einen eigenen Proxy, der hier noch vor sitzt und ähnlich wie die WAF den Zugriff schützt. Hier kann man dann alle benötigten Ports exakt freigegeben.
    Außerdem wird dafür noch eine separate WAN IP genommen (versuche auch immer die WAN IP für Websurfing und SMTP zu trennen) - wenn genügend WAN IPs zur Verfügung stehen.

    In diesen VLAN sitzt dann nur die VK und mehr nicht - fertig.

    Nice greetings
Children
No Data
Unfiltered HTML