Manualshelf

User manual

ManualsBrandsLANCOM SYSTEMS ManualsSoftware ApplicationsFull version, 1 license Windows Security
51525354555657585960
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
57
DE
Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der
Firewall-Regel zugelassen, deren Ports in diesem Bereich definiert sind.
Dabei verhält sich die Firewall unterschiedlich je nach Einstellung der Ver-
bindungsrichtung:
Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle
Datenpakete nach außen durchgelassen, deren Ziel-Port im IP-Paket
mit den unter 'Remote IP-Ports' definierten Ports übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich einge-
hende Datenpakete dann durchgelassen, wenn die Quell-Ports im IP-
Paket mit den zulässigen Ports übereinstimmt und die Datenverbin-
dung vorher von einem lokalen Rechner her aufgebaut wurde.
Zulässig sind alle Ports, die unter 'Remote IP-Ports' definiert sind
sowie die von der Stateful Inspection ggf. automatisch geöffneten
Ports für bestimmte „Tocherverbindungen“. Versucht ein Angreifer ein
Datenpaket in den geschützten Netzbereich abzusetzen, dessen
Quell-Port im IP-Paket zwar mit den zulässigen Ports übereinstimmt,
für den aber kein gültiger Eintrag in der Verbindungsliste vorhanden
ist, so wird das Datenpaket verworfen.
Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Daten-
pakete in den geschützten Bereich hereingelassen, deren Quell-Port
im IP-Paket mit den unter 'Remote IP-Ports' definierten Ports überein-
stimmt.
Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpa-
kete durchgelassen, deren Ziel-Port im IP-Paket mit den unter
'Remote IP-Ports' definierten Ports übereinstimmt und alle einge-
henden Datenpakete, deren Quell-Port im IP-Paket mit den unter
'Remote IP-Ports' definierten Ports übereinstimmt.
Folgende Möglichkeiten zur Definition der lokalen IP-Ports können
genutzt werden:
Alle Ports: Erlaubt Kommunikation über alle Ziel-Ports bei ausgehen-
den und alle Quell-Ports bei eingehenden Paketen.
Eindeutiger Port: Läßt nur eine Kommunikation über den angegebe-
nen Port zu, wenn dieser als Ziel-Port bei ausgehenden bzw. als Quell-
Port bei eingehenenden IP-Paketen verwendet wird. Soll z.B. eine