Manualshelf

User manual

ManualsBrandsLANCOM SYSTEMS ManualsSoftware ApplicationsFull version, 1 license Windows Security
51525354555657585960
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
54
DE
Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle
Datenpakete nach außen durchgelassen, deren Quell-Port im IP-
Paket mit den unter 'Lokale IP-Ports' definierten Ports übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich einge-
hende Datenpakete dann durchgelassen, wenn die Ziel-Ports im IP-
Paket mit den zulässigen Ports übereinstimmt und die Datenverbin-
dung vorher von einem lokalen Rechner her aufgebaut wurde.
Zulässig sind alle Ports, die unter 'Lokale IP-Ports' definiert sind sowie
die von der Stateful Inspection ggf. automatisch geöffneten Ports für
bestimmte „Tocherverbindungen“. Versucht ein Angreifer ein Daten-
paket in den geschützten Netzbereich abzusetzen, dessen Ziel-Port
im IP-Paket zwar mit den zulässigen Ports übereinstimmt, für den
aber kein gültiger Eintrag in der Verbindungsliste vorhanden ist, so
wird das Datenpaket verworfen.
Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Daten-
pakete in den geschützten Bereich hereingelassen, deren Ziel-Port im
IP-Paket mit den unter 'Lokale IP-Ports' definierten Ports überein-
stimmt.
Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpa-
kete durchgelassen, deren Quell-Port im IP-Paket mit den unter
'Lokale IP-Ports' definierten Ports übereinstimmt und alle eingehen-
den Datenpakete, deren Ziel-Port im IP-Paket mit den unter 'Lokale
IP-Ports' definierten Ports übereinstimmt.
Folgende Möglichkeiten zur Definition der lokalen IP-Ports können
genutzt werden:
Alle Ports: Erlaubt Kommunikation über alle Quellports bei ausgehen-
den und alle Ziel-Ports bei eingehenden Paketen.
Eindeutiger Port: Diese Einstellung sollte nur dann verwendet werden,
wenn dieses System einen Server-Dienst zur Verfügung stellt (z.B.
Remote Desktop auf Port 3389).
Mehrere Ports: Diese Einstellung sollte nur dann verwendet werden,
wenn sich die lokalen Ports zu einem Bereich zusammenfassen lassen,
die von einem Dienst benötigt werden, der auf diesem System zur Ver-
fügung gestellt wird (z.B. FTP Ports 20/21).