Erweitertes Firewall-Regelwerk

Avatar-Bild
Jul 11 (5 Monaten)
Kevin Rohn schrieb
Ein erweitertes Firewall-Regelwerk, basierend auf unterschiedlichen Objekten wäre Wünschenswert.

Momentan sind Firewall-Regeln nur Anhand von IP-Adressen/IP-Ranges/IP-Netzwerken und Port basierend möglich.

Die Definition von Netzwerkteilnehmern, sollte jedoch nicht nur Anhand von "IP-Informationen" möglich sein, sondern auch zum Beispiel über eine "MAC-Adresse". Wenn man es dann wieder Objekt basierend auslegt, kann es natürlich auch eine "MAC-Adressen-Liste" sein, welche einzelne "MAC-Adressen" beinhalten. So muss beim hinzufügen einer "MAC-Adresse" nicht die Firewall Regel angepasst werden, sondern nur das Objekt "MAC-Adressen-Liste".

Außerdem kann man in der Praxis kaum mehr nur mit "IP-Informationen" arbeiten, da die meisten Web-Dienste "FQDN" Angaben machen.


Somit ist es leider nicht einfach möglich einfache Regelwerke umzusetzen wie folgende:

Beispiel Anforderung:
Akzeptiere bestimmte ausgehenden Verbindungen zu Microsoft Update Server Adressen.

Problem:
Microsoft gibt alle Update-Server Adressen als FQDN-Adressen an, welche dynamisch aufgelöst werden müssen.

Mögliche Firewall Rule:
Allow <"MAC-List-Devices"> from "LAN Zone" to WAN Zone Destination networks <"FQDN-List-Update-Servers"> Services <"Service-Groups">
Objekte:
<"MAC-List-Devices"> = 00:00:11:11 ... 00:00:22:22
<"FQDN-List-Update-Servers"> = windowsupdate.microsoft.com, download.microsoft.com ...
<"Service-Groups"> = 80 (TCP), 443 (TCP)
Wird geprüft
5 Stimmen
Abstimmung
Antwort