Changes between Version 4 and Version 5 of help/scc/firewall/listfirewall


Ignore:
Timestamp:
10/09/08 14:36:42 (16 years ago)
Author:
Edwin Eefting
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • help/scc/firewall/listfirewall

    v4 v5  
    3535= Firewall door de machine =
    3636
    37 Hier kunt u verkeer tussen verschillende netwerken firewallen.
    38 
    39 Hieronder een schematisch overzicht van de firewall zones:
     37De internet server heeft t.o.v. de andere producten een uitgebreidere firewall. De internet server beschikt namelijk ook over een ingebouwde intelligente router. Hiermee kunt u precies aangeven hoe het verkeer tussen de verschillende netwerken onderling mag plaatsvinden. De verschillende zones zijn als volgt gedefinieerd:
    4038
    4139[[Image(zones.png)]]
    4240
     41Iedere netwerk kaart is een andere zone, en de netwerken aan de andere kant van de VPN tunnels zijn gedefinieerd als Zone VPN.
     42De koppeling tussen netwerk kaart en zone is gedefineerd bij het tabje ''Netwerk''. Hier vind u ook extra online help over zones.
    4343
     44
     45== Standaard instellingen firewall ==
     46Hieronder staat een schematische voorstelling van de standaard ingestelde toegang tussen de verschillende zones. Uiteraard kunt u de firewall routing naar believen geheel anders configureren.
     47
     48[[Image(defaultfw.png)]]
     49
     50 * Vanuit de LAN is verkeer naar alle adressen (en dus zones) volledig toegestaan. De internet server zelf valt niet onder het netwerkblok 'alle adressen'! Toegang tot de internet server is aangegeven met 'deze server'.
     51
     52 * Vanuit de DMZ is alleen volledig verkeer naar het internet toegestaan.
     53
     54 * Alle netwerken die via VPN aangekoppeld zijn hebben volledige toegang tot het LAN netwerk.
     55
     56We zien dus dat de richting van het verkeer bepalend is. Zo is het mogelijk om een nieuwe connectie vanuit de LAN naar de DMZ op te bouwen, maar andersom niet.
     57
     58Omdat u op het internet maar 1 adres hebt, is het niet zomaar mogelijk om verkeer vanaf internet naar 1 van de zones toe te staan. Hiervoor is het mogelijk om speciale doorstuur regels te maken, zie volgende paragraaf.
     59
     60== Werken met een DMZ ==
     61Het gebruik van een DMZ biedt u een extra laag van beveiliging voor servers die vanaf het internet bereikbaar moeten zijn. Zodra een server in de DMZ gehacked word, zal de hacker namelijk nog niet op uw LAN netwerk kunnen komen. Bovendien heeft u zo een centraal te beheren firewall.
     62
     63Hieronder een praktijk voorbeeld van een DMZ:
     64
     65[[Image(dmz.png)]]
     66
     67 * De webserver en mailserver zijn op deze manier volledig vanuit het LAN netwerk te bereiken door dat verkeer vanuit Zone LAN naar Zone DMZ reeds is toegestaan. (groen pijl)
     68 * Voor de webserver maken we een zogenaamde doorstuur-regel (pijl 1): '[Webpaginas (http)] vanaf [zone Internet ] naar [deze server ] [doorsturen naar: 192.168.1.2:80]'
     69 * Voor de mailserver geldt hetzelfde (pijl 2): '[Mail bezorgen via SMTP] vanaf [zone Internet ] naar [deze server ] [doorsturen naar: 192.168.1.3:25]'
     70 
     71Op deze manier worden connecties vanaf internet die binnenkomen op de web of mailpoort doorgestuurd naar de juiste servers in de DMZ.
     72
     73Het word afgeraden om inkomende connecties vanaf internet door te sturen naar servers uw LAN zone, i.v.m. beveiliging.
     74
     75Servers die alleen voor intern gebruik zijn horen in uw LAN en niet in uw DMZ. (bijvoorbeeld een fileserver)
     76
     77Wel kan het handig zijn om alleen connecties vanaf bepaalde internet adressen door te sturen naar LAN servers in verband met beheer-werkzaamheden. Bijvoorbeeld Windows remote desktop, of een SCC van eenfileserver in uw LAN.
     78
     79
     80
     81
     82
     83
     84
     85
     86
     87
     88
     89