Arten von Firewall-Regeln
Gilt für: Cloud-verwaltete Fireboxen
Geben Sie den Regeltyp an, wenn Sie eine Regel zu einer Cloud-verwalteten Firebox hinzufügen. Der Regeltyp bestimmt, welche Einstellungen Sie in der Regel konfigurieren können und welche Dienste die Regel unterstützt.
Dies sind die verschiedenen Arten von Regeln:
Die Art der Regeln bestimmt auch die allgemeine Priorität der Regeln. Bei Regeln desselben Typs hängt die Priorität von der Quelle, dem Ziel und dem Datenverkehrstyp der Regel ab. Weitere Informationen finden Sie unter Firewall-Regeln Priorität.
Core-Regeln
Die Core-Regeln erlauben oder verweigern den Datenverkehr auf der Grundlage von Paketkopfdaten und Inhalt. Der Regeltyp steuert, welche Security Services und Sicherheitseinstellungen verfügbar sind. Core-Regeln haben normale Priorität und sind für den meisten Datenverkehr geeignet.
Typen von Core-Regeln:
Outbound — Für Verbindungen von einem internen Netzwerk zu einem externen Netzwerk
Outbound-Regeln unterstützen Einstellungen, die für Verbindungen von internen Netzwerken zu externen Netzwerken geeignet sind. Outbound-Regeln unterstützen alle Security Services. Optional können Sie eine Outbound-Regel zur Entschlüsselung des HTTPS-Datenverkehrs konfigurieren, um die Inhaltsscanning-Dienste für HTTPS-Verbindungen zu aktivieren.
Inbound — Für Verbindungen von einem externen Netzwerk zu einem internen Netzwerk
Inbound-Regeln unterstützen Einstellungen und Dienste, die für Verbindungen von externen Netzwerken zu internen Netzwerken geeignet sind. Inbound-Regeln unterstützen keine HTTPS-Entschlüsselung oder Inhaltsscanning für HTTPS. Sie unterstützen auch keine Inhaltsfilter-Dienste.
Benutzerdefiniert — Für Verbindungen zwischen privaten Netzwerken
Benutzerdefinierte Regeln enthalten Einstellungen, die für Verbindungen zwischen privaten Netzwerken geeignet sind. Im Gegensatz zu anderen Regeln können Sie eine Custom-Regel so konfigurieren, dass sie auf Verbindungen angewendet wird, die entweder von einer Quelle oder einer Zieladresse der Regel ausgehen.
First Run-Regeln und Last Run-Regeln
First Run- und Last Run-Regeln erlauben oder lehnen Datenverkehr nur auf der Grundlage von Paketkopfdaten ab, z. B.:
- Quelle
- Ziel
- Port
- Protokoll
Diese Regeln untersuchen nicht den Inhalt des Datenverkehrs und unterstützen keine Inhaltsscanning-Dienste oder den WebBlocker Inhaltsfilter-Dienst.
Fügen Sie eine First Run- oder Last Run-Regel als Ausnahme hinzu, wenn die Regel vor oder nach den Core-Regeln gelten soll und Sie keine Inhaltsscanning- oder WebBlocker-Dienste verwenden möchten.
First Run
First Run-Regeln haben eine höhere Priorität als alle Core- und Last Run-Regeln. Konfigurieren Sie eine First Run-Regel, wenn Sie bestimmte Arten von Datenverkehr als Ausnahme von den Core-Regeln immer zulassen oder ablehnen möchten.
Sie könnten zum Beispiel eine First Run-Regel hinzufügen:
- Ablehnen von ausgehenden Verbindungen von Sicherheitskameras in Ihrem Netzwerk
- Zulassen von Outbound VPN-Verbindungen von Netzwerk-Clients zu einem externen VPN Endpoint.
Last Run
Last Run-Regeln haben eine niedrigere Priorität als alle First Run-Regeln und Core-Regeln. Eine Last Run-Regel gilt nur für Datenverkehr, der nicht den konfigurierten Core- oder First Run-Regeln entspricht.
An Firebox werden Verbindungen abgelehnt, die nicht mit einer Regel übereinstimmen. Es ist nicht erforderlich, eine Last Run-Regel hinzuzufügen, um Verbindungen abzulehnen, die nicht mit einer konfigurierten Regel übereinstimmen.
Systemregeln
An Firebox-Konfiguration gehören auch Systemregeln, die nicht bearbeitet werden können. Systemregeln sind standardmäßig ausgeblendet. Weitere Informationen finden Sie unter Firewall-Regeln für das System.