Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 3309 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnis Firewall / Webfilter => Routing

open
Hallo,

ich habe insgesamt 5 VLANs die wunderbar getrennt sind und per Firewall Regel für den Zugriff geroutet werden. Sobald ja der Webfilter im Transparent Modus aktiviert ist, werden diese ja wunderbar ausgehebelt und der Zugriff von und nach überall ist möglich. 

Wie zur Hölle verhindere ich genau das? Das für alle VLANs der Webfilter greift und der Zugriff nur nach meinen Regeln untereinander möglich ist?

Was ist eigentlich die Logik dahinter, dass der Webfilter die Firewall Regeln aushebelt?


This thread was automatically locked due to age.
  • 0
    Es kommt drauf an, was Du mit dem Webfilter für die VLANs erreichen möchtest.
    Und der Sinn dahinter? So ist eben die Reihenfolge bei der UTM. Musst ja nicht für alle VLANs auf transparent gehen. Spätestens, wenn Du ein sauberes Konzept hast, wird es wie gewünscht funktionieren.
  • 0
    Doch im Endeffekt sollen alle gefiltert werden, eben mit unterschiedlichen Filtern. Das funktioniert ja auch. 

    Komischerweise werden manche Routen ja blockiert, andere nicht. 

    Eigentlich kenne ich das so, dass die Webfilter pro VLAN eben greifen und über die Regeln eben das L3 Routing festgelegt wird.
  • 0 in reply to open
    @open: Du könntest bei Erweitert die ganzen VLANs bei den Ausnahmen (für den transp. Proxy) bei den Zielen angeben, somit greifen die Proxys für die VLANs als Quelle, nicht jedoch als Ziel. Hier kommen dann wieder die Paketfilter zum Einsatz...
  • 0
    Danke! Das klappt scheinbar prima. Gibt es irgendwelche Nachteile dadurch?
  • 0 in reply to open
    Dein einzigste Nachteil wäre, wenn du einen HTTP(S)-Server in einem anderen Subnet betreibst und haben willst, dass die jew. anderen VLANs via Proxy (AV-Scan, Kat-Filter usw.) darauf zugreifen. Das dürfte aber, wenn überhaupt, dann intern nicht so relevant sein. ;-)

    Zur Not könntest du hier ja noch eine WAF vorschalten.
Unfiltered HTML