Sie sind auf Seite 1von 246

Administratorhandbuch zur

Symantec™ Gateway Security


Appliance der 300er Serie

Unterstützte Modelle:
Modelle 320, 360 und 360R
Administratorhandbuch zur Symantec™ Gateway
Security Appliance der 300er Serie
Die in diesem Handbuch beschriebene Software wird mit einer Lizenzvereinba-
rung geliefert und darf nur gemäß den Bestimmungen dieser Vereinbarung ver-
wendet werden.
Dokumentation Version 1.0
26. März 2004

Copyright-Vermerk
Copyright  1998 – 2004 Symantec Corporation.
Alle Rechte vorbehalten.
Die gesamte von der Symantec Corporation bereitgestellte technische Dokumen-
tation ist durch die Symantec Corporation urheberrechtlich geschützt und
Eigentum der Symantec Corporation.
GEWÄHRLEISTUNGSAUSSCHLUSS: Die technische Dokumentation wird OHNE
MÄNGELGEWÄHR bereitgestellt und die Symantec Corporation übernimmt kei-
nerlei Gewähr für die Richtigkeit oder Verwendung der Dokumentation. Die Ver-
wendung der technischen Dokumentation bzw. der darin enthaltenen Informati-
onen erfolgt auf das Risiko des Benutzers. Die Dokumentation kann technische
oder andere Ungenauigkeiten oder typographische Fehler enthalten. Symantec
behält sich das Recht vor, ohne vorherige Ankündigung Änderungen vorzuneh-
men.
Kein Teil dieser Publikation darf ohne vorherige ausdrückliche schriftliche
Genehmigung durch die Symantec Corporation, 20330 Stevens Creek Blvd.,
Cupertino, CA 95014, USA kopiert werden.

Marken
Symantec, das Logo von Symantec und Norton AntiVirus sind in den USA
registrierte Marken der Symantec Corporation. LiveUpdate, LiveUpdate
Administrator, Symantec AntiVirus und Symantec Security Response sind
Marken der Symantec Corporation.
Andere in diesem Handbuch erwähnte Marken oder Produktnamen sind Marken
oder eingetragene Marken ihrer jeweiligen Inhaber und werden hiermit aner-
kannt.
Gedruckt in Irland.
10 9 8 7 6 5 4 3 2 1
Inhalt

Kapitel 1 Einführung in die Symantec Gateway Security Appliances


der 300er Serie
Zielgruppe ............................................................................................................. 10
Weitere Informationsquellen ............................................................................ 10

Kapitel 2 Verwaltung des Sicherheits-Gateways


Zugriff auf das Security Gateway Management Interface ............................ 11
SGMI verwenden .......................................................................................... 13
Verwaltung des Administratorzugriffs ............................................................ 14
Administrator-Kennwort festlegen .......................................................... 14
Remote-Verwaltung einrichten ................................................................. 15
Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole ....... 17

Kapitel 3 Konfiguration der Verbindung zu einem externen Netzwerk


Netzwerkbeispiele ............................................................................................... 22
Allgemeines zum Setup-Assistenten ................................................................ 25
Allgemeines zu Appliances mit Dual-WAN-Ports .......................................... 25
Wissenswertes über Verbindungstypen .......................................................... 27
Konfiguration der Verbindung .......................................................................... 28
DHCP .............................................................................................................. 28
PPPoE ............................................................................................................. 29
Statische IP und DNS .................................................................................. 33
PPTP ............................................................................................................... 35
Wählverbindungen ...................................................................................... 38
Konfiguration der erweiterten Verbindungseinstellungen .......................... 43
Erweiterte DHCP-Einstellungen ................................................................ 43
Erweiterte PPP-Einstellungen ................................................................... 44
MTU (Maximum Transmission Unit) ....................................................... 45
Konfiguration des dynamischen DNS .............................................................. 45
Update des dynamischen DNS erzwingen ............................................... 48
Dynamisches DNS deaktivieren ................................................................ 48
Konfiguration des Routings ............................................................................... 49
Dynamisches Routing aktivieren .............................................................. 49
Einträge für statische Routen konfigurieren .......................................... 49
Konfiguration der erweiterten WAN-/ISP-Einstellungen ............................. 51
4 Inhalt

Hochverfügbarkeit ...................................................................................... 51
Lastverteilung ............................................................................................. 52
SMTP-Bindung ............................................................................................. 52
Bindung an andere Protokolle ................................................................... 53
Failover .......................................................................................................... 53
DNS-Gateway ............................................................................................... 54
Optionale Netzwerkeinstellungen ............................................................ 55

Kapitel 4 Konfigurieren interner Verbindungen


Konfiguration der LAN-IP-Einstellungen ........................................................ 58
Konfiguration der Appliance als DHCP-Server ............................................... 58
DHCP-Verwendung überwachen ............................................................... 60
Konfiguration der Port-Zuweisungen ............................................................... 61
Standard-Port-Zuweisung .......................................................................... 61

Kapitel 5 Steuerung des Netzwerkverkehrs


Planung des Netzwerkzugriffs .......................................................................... 63
Wissenwertes über Computer und Computer-Gruppen ................................ 64
Mitgliedschaft für Computer-Gruppen festlegen ................................... 65
Computer-Gruppen definieren .................................................................. 67
Definition von Eingangsregeln .......................................................................... 68
Definition von Ausgangsregeln ......................................................................... 70
Konfiguration von Diensten .............................................................................. 73
Dienste umleiten .......................................................................................... 73
Konfiguration spezieller Anwendungen .......................................................... 75
Konfiguration der erweiterten Optionen ......................................................... 77
IDENT-Port aktivieren ................................................................................ 77
NAT-Modus deaktivieren ........................................................................... 78
IPsec-Durchgang aktivieren ....................................................................... 78
Exponierten Host konfigurieren ............................................................... 79
ICMP-Anforderungen verwalten ............................................................... 80

Kapitel 6 Einrichten sicherer VPN-Verbindungen


Allgemeines zu diesem Kapitel .......................................................................... 82
Erstellen von Sicherheitsrichtlinien ................................................................ 82
Wissenswertes über VPN-Richtlinien ...................................................... 83
Benutzerdefinierte VPN-Richtlinien der Phase-2 erstellen .................. 84
Liste der VPN-Richtlinien anzeigen .......................................................... 85
Identifizierung von Benutzern .......................................................................... 86
Wissenswertes über Benutzertypen ......................................................... 86
Benutzer definieren ..................................................................................... 87
Liste der Benutzer anzeigen ....................................................................... 89
Inhalt 5

Konfiguration von Gateway-to-Gateway-Tunnels ......................................... 89


Wissenswertes über Gateway-to-Gateway-Tunnels .............................. 89
Dynamische Gateway-to-Gateway-Tunnels konfigurieren .................. 93
Statische Gateway-to-Gateway-Tunnels konfigurieren ........................ 95
Informationen für den Administrator des Remote-Gateways .............. 98
Konfiguration von Client-to-Gateway-VPN-Tunnels ..................................... 98
Wissenswertes über Client-to-Gateway-VPN-Tunnels .......................... 99
Client-VPN-Tunnels definieren ...............................................................101
Globale Richtlinien für Client-to-Gateway-VPN-Tunnels festlegen ..103
Ihren Clients Informationen bereitstellen .............................................104
Überwachung des VPN-Tunnel-Status ...........................................................105

Kapitel 7 Erweiterte Steuerung des Netzwerkverkehrs


Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe) ............108
Vorbereitungen für die Konfiguration von AVpe .........................................110
Konfiguration von AVpe ...................................................................................111
AVpe aktivieren .........................................................................................112
AntiVirus-Clients konfigurieren .............................................................114
Überwachen des Antivirus-Status ..................................................................114
Protokollmeldungen ..................................................................................114
Testen von AVpe ................................................................................................115
Wissenswertes über Content Filtering ...........................................................116
Spezielle Überlegungen ............................................................................117
Content Filtering-Listen verwalten ................................................................117
Spezielle Überlegungen ............................................................................117
Content Filtering im LAN aktivieren ......................................................118
Content Filtering im WAN aktivieren ....................................................119
Überwachung des Content Filtering ...............................................................119

Kapitel 8 Verhindern von Angriffen


Erkennung von und Schutz vor Angriffsversuchen .....................................121
Schutz vor Trojanern ................................................................................122
Festlegen der Schutz-Einstellungen ...............................................................123
Aktivieren erweiterter Schutz-Einstellungen ...............................................123
IP-Spoof-Schutz .........................................................................................123
TCP-Flag-Validierung ...............................................................................124

Kapitel 9 Protokollierung, Überwachung und Updates


Verwaltung der Protokollierung .....................................................................125
Protokolleinstellungen konfigurieren ....................................................126
Protokollmeldungen verwalten ...............................................................130
Aktualisierung der Firmware ...........................................................................131
6 Inhalt

Firmware automatisch aktualisieren ..................................................... 132


Firmware manuell aktualisieren ............................................................. 136
Status des Firmware-Updates prüfen ..................................................... 140
Sicherung und Wiederherstellung der Konfigurationseinstellungen ....... 141
Appliance zurücksetzen ........................................................................... 142
LED-Zustände ..................................................................................................... 144
LED-Sequenzen bei LiveUpdate- und Firmware-Upgrades ................ 147

Anhang A Einhaltung von Standards


FCC Klasse A ....................................................................................................... 149
CISPR Klasse A ................................................................................................... 150
Japan (VCCI) Klasse A ........................................................................................ 150

Anhang B Fehlerbehebung
Infos zur Fehlerbehebung ................................................................................ 151
Zugriff auf Fehlerbehebungsinformationen ................................................. 154

Anhang C Lizenzierung
Sitzungslizenzen für Client-to-Gateway-VPN-Funktionen der Symantec
Gateway Security 300 Serie ..................................................................... 155
Zusätzliche Sitzungslizenzen .................................................................. 155
Symantec Gateway Security
Appliance - Lizenz- und Garantievereinbarung ................................... 156

Anhang D Feldbeschreibungen
Beschreibung der Felder für das Protokollieren/Überwachen ................... 161
Beschreibung der Felder im Register "Status" ...................................... 162
Beschreibung der Felder im Register "Protokoll anzeigen" ................ 164
Beschreibung der Felder im Register "Protokolleinstellungen" ......... 165
Beschreibung der Felder im Register "Fehlerbehebung" ..................... 167
Beschreibung der Felder für die Verwaltung ................................................ 167
Beschreibung der Felder im Register "Allgemeine Verwaltung" ....... 168
Beschreibung der Felder im Register "SNMP" ...................................... 168
Beschreibung der Felder im Register "LiveUpdate" ............................. 169
Beschreibung der LAN-Felder .......................................................................... 170
Beschreibung der Felder im Register "LAN-IP & DHCP" ..................... 171
Beschreibung der Felder im Register "Port-Zuweisungen" ................. 172
Beschreibungen der WAN/ISP-Felder ............................................................ 174
Beschreibung der Felder im Register "Setup - Allgemein" .................. 175
Beschreibung der Felder im Register
"Statische IP-Adresse und statisches DNS" ................................... 176
Inhalt 7

Beschreibung der Felder im Register "PPPoE" ......................................177


Beschreibung der Felder im Register
"Dial-Up-Backup und Analog/ISDN" ..............................................179
Beschreibung der Felder im Register "PPTP" ........................................183
Beschreibung der Felder im Register "Dynamisches DNS" .................184
Beschreibung der Felder im Register "Routing" ...................................187
Beschreibung der Felder im Register "Erweitert" .................................189
Beschreibung der Firewall-Felder ...................................................................190
Beschreibung der Felder im Register "Computer" ................................191
Beschreibung der Felder im Register "Computer-Gruppen" ...............193
Beschreibung der Felder für Eingangsregeln ........................................195
Beschreibung der Felder im Register "Ausgangsregeln" .....................196
Beschreibung der Felder im Register "Dienste" ....................................196
Beschreibung der Felder im Register "Spezielle Anwendungen" .......198
Beschreibung der Felder im Register "Erweitert" .................................201
Beschreibung der VPN-Felder ..........................................................................203
Beschreibung der Felder im Register "Dynamische Tunnels" ............204
Beschreibung der Felder im Register "Statische Tunnels" .................208
Beschreibung der Felder im Register "Client-Tunnels" .......................211
Beschreibung der Felder im Register "Client-Benutzer" .....................213
Beschreibung der Felder im Register "VPN-Richtlinien" ....................214
Beschreibung der Felder im Register "Status" ......................................216
Beschreibung der Felder im Register "Erweitert" .................................217
Beschreibung der IDS/IPS-Felder ...................................................................219
Beschreibung der Felder im Register "IDS-Schutz" .............................219
Beschreibung der Felder im Register "Erweitert" .................................221
Beschreibung der AVpe-Felder ........................................................................221
Beschreibung der Felder für Content Filtering .............................................225

Index
Lösungen für Service und Unterstützung
Kapitel 1
Einführung in die Symantec
Gateway Security Appliances
der 300er Serie
In diesem Kapitel werden folgende Themen behandelt:

■ Zielgruppe

■ Weitere Informationsquellen
Mit den Symantec Gateway Security Appliances der 300er Serie bietet Symantec
kleinen Unternehmen integrierte Sicherheitslösungen, mit denen auch WLANs
geschützt werden können.
Die Symantec Gateway Security Appliances der 300er Serie bieten in der Basis-
version sechs Sicherheitsfunktionen für die integrierte Sicherheit:
■ Firewall
■ IPsec Virtual Private Networks (VPNs) mit Hardware-basierender 3DES- und
AES-Verschlüsselung
■ Einhaltung von Virenschutz-Richtlinien (AVpe)
■ Erkennung von Angriffsversuchen
■ Schutz vor Angriffsversuchen
■ Statisches Content Filtering
Alle Funktionen wurden speziell für kleine Unternehmen konzipiert. Diese
Appliances sind bestens für Einzelplatzumgebungen oder als Erweiterung zu
Symantec Gateway Security Appliances der 5400er Serie in Umgebungen mit
einem Hub geeignet.
10 Einführung in die Symantec Gateway Security Appliances der 300er Serie
Zielgruppe

Alle Symantec Gateway Security 300er Modelle lassen sich in drahtlosen


Umgebungen verwenden. Dafür sorgt eine spezielle Wireless-Firmware und ein
CardBus-Steckplatz für ein optionales Add-on, das aus einem integrierten
802.11-Funkmodul samt Antenne besteht und die größtmögliche Sicherheit in
WLANs mit Clients gewährleistet, auf denen die Client VPN-Software von
Symantec installiert ist. Die LiveUpdate-Funktion für Firmware macht die
Symantec Gateway Security Appliances der 300er Serie zur perfekten Lösung für
kleine Unternehmen.

Zielgruppe
Dieses Handbuch richtet sich an System-Manager und Administratoren, die für
die Installation und die Pflege des Sicherheits-Gateways verantwortlich sind. Es
setzt umfassende Kenntnisse über Netzwerke und Internet-Browser voraus.

Weitere Informationsquellen
Die Funktionen der Symantec Gateway Security 300er Serie sind in den folgen-
den Handbüchern beschrieben:
■ Administratorhandbuch zur Symantec™ Gateway Security Appliance der
300er Serie
Das vorliegende Handbuch. Hier finden Sie Informationen zur Konfigura-
tion der Firewall, zu VPN, zur Einhaltung von Virenschutz-Richtlinien
(AVpe), zum Filtern von Web-Inhalten, IDS, IPS, zu LiveUpdate und allen
anderen Funktionen der Gateway-Appliance. Es ist im PDF-Format auf der
Software-CD-ROM der Symantec Gateway Security Appliance der 300er
Serie enthalten.
■ Installationshandbuch zur Symantec™ Gateway Security Appliance der 300er
Serie
In diesem Handbuch finden Sie detaillierte Anweisungen zur Installation
der Sicherheits-Gateway-Appliance und zur Verwendung des Setup-Assis-
tenten für die erstmalige Verbindungsherstellung.
■ Kurzanleitung zur Symantec™ Gateway Security Appliance der 300er Serie
Diese Kurzanleitung enthält die grundlegenden Schritte für die Installation
der Appliance.
Kapitel 2
Verwaltung des Sicherheits-
Gateways
In diesem Kapitel werden folgende Themen behandelt:

■ Zugriff auf das Security Gateway Management Interface

■ Verwaltung des Administratorzugriffs

■ Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole

Zugriff auf das Security Gateway Management


Interface
Das SGMI (Security Gateway Management Interface) ist die Management-
Schnittstelle der Symantec Gateway Security Appliance der 300er Serie. Das
SGMI ist eine eigenständige Verwaltungskonsole für die lokale Verwaltung und
das Anzeigen von Protokollen. In diesem Handbuch wird beschrieben, wie Sie die
Symantec Gateway Security Appliances der 300er Serie mithilfe des SGMI ver-
walten. Das SGMI ist eine Browser-gestützte Konsole, in der Sie Konfigurationen
vornehmen, den Status von Appliances abrufen und Protokolle anzeigen können.
Sie können für die einzelnen Register die Online-Hilfe aufrufen, indem Sie auf
den blauen Kreis mit dem Fragezeichen in der rechten oberen Ecke des Bild-
schirms klicken.
Das SGMI umfasst die folgenden Funktionen:
■ Hauptmenü im linken Teilfenster
■ Menüregister im rechten Teilfenster
■ Informationen im rechten Teilfenster
■ Befehlsschaltflächen im rechten Teilfenster (unten)
■ Hilfeschaltflächen
12 Verwaltung des Sicherheits-Gateways
Zugriff auf das Security Gateway Management Interface

Das Hauptmenü wird im linken Teilfenster ständig angezeigt.

Abbildung 2-1 Security Gateway Management-Konsole


Hauptmenü im linken Teilfenster Hauptmenüregister Online-Hilfe

Informationen im
Befehlsschaltflächen rechten Teilfenster

Hinweis: Die WLAN-Funktionen werden im SGMI erst angezeigt, wenn ein kom-
patibler Symantec Gateway Security WLAN-Zugangspunkt installiert ist. Wei-
tere Informationen hierzu finden Sie im Symantec Gateway Security 300 Wireless
Implementierungshandbuch.

Sie können die folgenden Web-Browser für die Verbindung mit dem Security
Gateway Management Interface verwenden:
■ Microsoft Internet Explorer 5.5 oder 6.0 SP1
■ Netscape 6.23 oder 7.0
Es ist ggf. erforderlich, die Proxy-Einstellungen im Browser zu löschen, bevor Sie
eine Verbindung zum SGMI herstellen.
Verwaltung des Sicherheits-Gateways 13
Zugriff auf das Security Gateway Management Interface

Sie müssen die Appliance gemäß den Anweisungen in der Kurzanleitung zur
Symantec Gateway Security Appliance der 300er Serie installieren, bevor Sie eine
Verbindung zum SGMI herstellen.
Die Benutzerschnittstelle des SGMI kann je nach verwaltetem Modell leicht vari-
ieren. In Tabelle 2-1 sind die Ports der einzelnen Modelle aufgeführt.

Tabelle 2-1 Schnittstellen nach Modell

Modell Anzahl der Anzahl der LAN- Anzahl der seriellen


WAN-Ports Ports Schnittstellen (Modem)

320 1 4 1

360/360R 2 8 1

So stellen Sie eine Verbindung zum SGMI her


1 Navigieren Sie zur IP-Adresse der Appliance.
Die Standard-IP-Adresse der Appliance ist "192.168.0.1".
2 Drücken Sie die Eingabetaste.
Das Security Gateway Management Interface wird angezeigt.

SGMI verwenden
Im Folgenden finden Sie Tipps zur Verwendung des SGMI:
■ Verwenden Sie zum Senden von Formularen die entsprechende Schaltfläche
der Benutzerschnittstelle und nicht die Eingabetaste.
■ Wenn beim Senden eines Formulars ein Fehler auftritt, wechseln Sie mithilfe
der entsprechenden Schaltfläche Ihres Browsers zur vorherigen Seite.
Dadurch bleiben die von Ihnen eingegebenen Daten erhalten.
■ Verwenden Sie die Tabulatortaste, um zwischen den Textfeldern für die IP-
Adresse zu wechseln.
■ Wenn die Appliance automatisch neu gestartet wird, nachdem Sie auf eine
Schaltfläche zum Senden eines Formulars geklickt haben, warten Sie ca. eine
Minute, bevor Sie erneut auf das SGMI zugreifen.
14 Verwaltung des Sicherheits-Gateways
Verwaltung des Administratorzugriffs

Verwaltung des Administratorzugriffs


Sie können den Administratorzugriff steuern, indem Sie ein Kennwort für den
Admin-Benutzer und die IP-Adressen der Rechner festlegen, die im WAN (Wide
Area Network) auf die Appliance zugreifen können.

Hinweis: Sie müssen zuerst das Administrator-Kennwort festlegen, um Fern-


zugriff auf das SGMI zu haben.

Administrator-Kennwort festlegen
Das Administrator-Kennwort gewährleistet den sicheren Zugriff auf das SGMI.
Der Zugriff auf das SGMI ist auf die Benutzer beschränkt, denen Sie ein Kennwort
zuweisen. Sie können dieses Kennwort ändern. Die Appliance muss installiert
und es muss eine Verbindung über einen Browser zum SGMI hergestellt sein,
damit Sie das Kennwort eingeben können. Weitere Informationen zum Einrich-
ten der Appliance finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
Das Administrator-Kennwort wird im Register "Administration > Allgemeine
Verwaltung" des Setup-Assistenten festgelegt. Außerdem können Sie IP-Adres-
sen von Rechnern für die Remote-Verwaltung der Appliance angeben. Der Benut-
zername des Administrators lautet immer "admin".

Hinweis: Sie sollten das Administrator-Kennwort regelmäßig ändern, um die


größtmögliche Sicherheit zu gewährleisten.

Administrator-Kennwort einrichten
Das Administrator-Kennwort wird anfänglich im Setup-Assistenten eingerich-
tet. Sie können es im SGMI ändern, es manuell zurücksetzen oder die Appliance
über die serielle Konsole zurücksetzen. Im letzteren Fall wird das Kennwort voll-
ständig zurückgesetzt.
Durch Reflashing der Appliance mit der app.bin-Version der Firmware wird das
Kennwort zurückgesetzt.
Siehe "Firmware manuell aktualisieren" auf Seite 136.

Warnung: Wenn Sie das Kennwort durch Drücken des Reset-Knopfs manuell
zurücksetzen, wird die LAN-IP-Adresse auf den Standardwert (192.168.0.1)
zurückgesetzt und der DHCP-Server wird aktiviert.

Siehe "Beschreibung der Felder im Register "Allgemeine Verwaltung"" auf


Seite 168.
Verwaltung des Sicherheits-Gateways 15
Verwaltung des Administratorzugriffs

So richten Sie ein Kennwort ein


1 Klicken Sie im SGMI im linken Teilfenster auf "Administration".
2 Klicken Sie im rechten Teilfenster auf "Allgemeine Verwaltung" und geben
Sie das Kennwort unter "Administrator-Kennwort" in das Textfeld ein.
3 Geben Sie das Kennwort erneut in das Feld "Kennwort bestätigen" ein.
4 Klicken Sie auf "Speichern".

So setzen Sie das Kennwort manuell zurück


1 Halten Sie den Reset-Knopf an der Rückseite der Appliance 10 Sekunden
lang gedrückt.
2 Richten Sie wie oben beschrieben ein Kennwort ein.

Remote-Verwaltung einrichten
Sie können remote über ein WAN auf das SGMI zugreifen. Dazu muss die IP-
Adresse des Computers im WAN innerhalb des von Ihnen festgelegten IP-Adress-
bereichs liegen. Dieser Bereich ist durch eine Anfangs- und eine End-IP-Adresse
definiert, die Sie im Register "Administration - Allgemeine Verwaltung" unter
"Remote-Verwaltung" angegeben haben. Sie sollten die IP-Adresse für die
Remote-Verwaltung einrichten, wenn Sie zum ersten Mal eine Verbindung zum
SGMI herstellen. Die Angaben für die Remote-Verwaltung werden unter Verwen-
dung des MD5-Algorithmus gesendet.

Hinweis: Aus Sicherheitsgründen sollten Sie bei der Remote-Verwaltung einen


Gateway-to-Gateway- oder Client-to-Gateway-VPN-Tunnel verwenden. Dadurch
ist sichergestellt, dass während einer Verwaltungssitzung ein angemessener
Vertraulichkeitsgrad besteht.
Siehe "Einrichten sicherer VPN-Verbindungen" auf Seite 81.
16 Verwaltung des Sicherheits-Gateways
Verwaltung des Administratorzugriffs

Abbildung 2-2 zeigt die Konfiguration für die Remote-Verwaltung.

Abbildung 2-2 Remote-Verwaltung

SGMI

Internet

Symantec Gateway Security


Appliance der 300er Serie

Geschützte Geräte

Geben Sie beim Konfigurieren der Remote-Verwaltung eine Anfangs- und eine
End-IP-Adresse an. Wenn Sie für die Remote-Verwaltung nur eine IP-Adresse
angeben möchten, geben Sie diese sowohl als Anfangs- als auch als End-IP-
Adresse an. Geben Sie als Anfangs-IP-Adresse die Adresse mit der niedrigeren
Zahl und als End-IP-Adresse die Adresse mit der höheren Zahl an. Wenn Sie in
diese Felder keine Adressen eintragen, kann das SGMI nicht remote verwaltet
werden.
Verwaltung des Sicherheits-Gateways 17
Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole

So richten Sie die Remote-Verwaltung ein


Siehe "Beschreibung der Felder im Register "Allgemeine Verwaltung"" auf
Seite 168.
1 Klicken Sie im linken Teilfenster des SGMI auf "Administration".
2 Klicken Sie auf das Register "Allgemeine Verwaltung" im rechten Teilfenster
und geben Sie unter "Remote-Verwaltung" die erste IP-Adresse (niedrigste
Zahl) in das Feld "Anfangs-IP-Adresse" ein.
3 Geben Sie in das Textfeld "End-IP-Adresse" die letzte IP-Adresse des Bereichs
(höchste Zahl) ein.
Um nur eine IP-Adresse zuzulassen, geben Sie dieselbe Adresse in beide Text-
felder ein.
4 Um TFTP-Upgrades (Trivial File Transfer Protocol) der Appliance-Firmware
von den im IP-Adressbereich konfigurierten Rechnern aus zu ermöglichen,
aktivieren Sie "Remote-Firmware-Upgrade zulassen".
Standardmäßig ist diese Option deaktiviert. Siehe "Firmware manuell aktu-
alisieren" auf Seite 136.
5 Klicken Sie auf "Speichern".
6 Um remote auf das SGMI zuzugreifen, navigieren Sie zu <Appliance-IP-
Adresse>:8088, wobei <Appliance-IP-Adresse> die WAN-IP-Adresse der
Appliance ist.
Beim Remote-Zugriff auf das SGMI müssen Sie sich unter Verwendung des
Administrator-Benutzernamens und -kennworts anmelden.

Verwaltung des Sicherheits-Gateways mithilfe der


seriellen Konsole
Sie können das Sicherheits-Gateway über den seriellen Port konfigurieren oder
zurücksetzen. Dazu müssen Sie das im Lieferumfang des Sicherheits-Gateways
enthaltene Null-Modem-Kabel verwenden. Diese Vorgehensweise ist für die
Installation in einem bestehenden Netzwerk sinnvoll, weil dadurch beim Verbin-
den des Sicherheits-Gateways Störungen im Netzwerk vermieden werden.
Über die serielle Konsole können Sie eine Reihe von Einstellungen festlegen.
Diese umfassen die folgenden Optionen:
■ LAN-IP-Adresse (IP-Adresse des Sicherheits-Gateways)
■ LAN-Netzwerkmaske
■ Aktivieren oder Deaktivieren des DHCP-Servers
■ IP-Adressbereich für den DHCP-Server
18 Verwaltung des Sicherheits-Gateways
Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole

So verwalten Sie das Sicherheits-Gateway über die serielle Konsole


1 Stecken Sie das Null-Modem-Kabel in den seriellen Port an der Rückseite der
Appliance ein.
2 Stecken Sie das andere Ende des Null-Modem-Kabels in den COM-Port des
Computers ein.
3 Stellen Sie den DIP-Schalter 3 an Rückseite der Appliance in die EIN-Position
(nach oben).
4 Stellen Sie sicher, dass die Rollen-Taste auf der Tastatur nicht aktiviert ist.
5 Starten Sie ein Terminal-Programm, z. B. HyperTerminal.
6 Legen Sie im Terminal-Programm fest, dass direkt eine Verbindung zum
COM-Port Ihres Computers hergestellt wird, an dem die Appliance ange-
schlossen ist.
7 Legen Sie die folgenden Kommunikationseinstellungen fest:

Baud (Bits per second) (Bit pro Sekunde) 9600

Data bits (Datenbits) 8

Parity (Parität) None (Keine)

Stop bits (Stoppbits) 1

Flow control (Flusssteuerung) None (Keine)

8 Stellen Sie eine Verbindung zur Appliance her.


Verwaltung des Sicherheits-Gateways 19
Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole

9 Drücken Sie den Reset-Knopf an der Rückseite der Appliance kurz, nachdem
das Terminal eine Verbindung zur Appliance hergestellt hat.
10 Führen Sie einen der folgenden Schritte an der Eingabeaufforderung aus:

Local IP Address Geben Sie "1" ein, um die IP-Adresse der Appliance zu
(Lokale IP-Adresse) ändern.

Local Network Mask Geben Sie "2" ein, um die Netzmaske der Appliance zu
(Lokale Netzwerkmaske) ändern.

DHCP Server Geben Sie "3" ein, um die DHCP-Server-Funktion der


(DHCP-Server) Appliance zu aktivieren oder zu deaktivieren.

Start IP Address Geben Sie "4" ein, um die Anfangs-IP-Adresse für den
(Anfangs-IP-Adresse) DHCP-Server anzugeben.

Finish IP Address Geben Sie "5" ein, um die End-IP-Adresse für den
(End-IP-Adresse) DHCP-Server anzugeben.

Restore to Defaults Geben Sie "6" ein, um die Standardeinstellungen der


(Standard wiederherstellen) Appliance für "Lokale IP-Adresse", "Lokale Netzwerk-
maske", "DHCP-Server" und den DHCP-Adressbereich
wiederherzustellen.

11 Führen Sie die folgenden Schritte aus, um die Werte für die oben aufgeführ-
ten Parameter zu ändern:
■ Geben Sie den neuen Wert für den zu ändernden Parameter ein.
■ Drücken Sie die Eingabetaste.
12 Wenn Sie die Standardwerte für die Appliance wiederherstellen möchten,
drücken Sie die Eingabetaste.
13 Geben Sie "7" ein.
Die Appliance wird neu gestartet.
14 Stellen Sie den DIP-Schalter 3 auf der Rückseite der Appliance in die AUS-
Position (nach unten).
15 Drücken Sie kurz den Reset-Knopf an der Rückseite der Appliance.
Kapitel 3
Konfiguration der Verbindung
zu einem externen Netzwerk
In diesem Kapitel werden folgende Themen behandelt:

■ Wissenswertes über Verbindungstypen

■ Konfiguration der Verbindung

■ Konfiguration der erweiterten Verbindungseinstellungen

■ Konfiguration des dynamischen DNS

■ Konfiguration des Routings

■ Konfiguration der erweiterten WAN-/ISP-Einstellungen


Die WAN/ISP-Funktionalität der Symantec Gateway Security Appliance der
300er Serie stellt die Verbindung zur Außenwelt bereit. Hierbei kann es sich um
das Internet, ein Unternehmensnetzwerk oder ein anderes externes privates
oder öffentliches Netzwerk handeln. Die WAN/ISP-Funktionalität kann zudem
für die Verbindung zu einem internen LAN konfiguriert werden, wenn die
Appliance ein internes Teilnetz schützt. Konfigurieren Sie die WAN-Verbindun-
gen, sobald Sie die Appliance installiert haben.
Sie können die Konnektivität der Appliance an den WAN-Ports in den WAN/ISP-
Registern oder im Setup-Assistenten konfigurieren oder ändern. Der Assistent
wird gestartet, wenn Sie nach der Installation zum ersten Mal auf die Appliance
zugreifen.
Ermitteln Sie vor der Konfiguration einer WAN-Verbindung die Art der Verbin-
dung zum externen Netzwerk und sammeln Sie basierend auf dem Verbin-
dungstyp die für die Konfiguration erforderlichen Informationen. Arbeitsblätter
zur Planung einer Konfiguration finden Sie im Installationshandbuch zur
Symantec Gateway Security Appliance der 300er Serie.
22 Konfiguration der Verbindung zu einem externen Netzwerk
Netzwerkbeispiele

Das Symantec Gateway Security-Modell 320 verfügt über einen konfigurierbaren


WAN-Port. Die Modelle 360 und 360R verfügen jeweils über zwei WAN-Ports, die
Sie gemäß Ihren Anforderungen separat und unterschiedlich konfigurieren kön-
nen. Einige Einstellungen betreffen beide WAN-Ports, andere nur den WAN 1-
oder WAN 2-Port.

Warnung: Wenn Sie die WAN-Verbindungen erneut konfigurieren und die


Appliance neu starten, wird der Netzwerkverkehr vorübergehend unterbrochen.
Die VPN-Verbindungen werden wieder hergestellt.

Nachdem Sie die Grundeinstellungen vorgenommen haben, können Sie die


erweiterten Einstellungen vornehmen, z. B. DNS, Routing und Hochverfügbar-
keit/Lastverteilung (HV/LV).

Netzwerkbeispiele
Abbildung 3-1 zeigt ein Netzwerkdiagramm einer Symantec Gateway Security
Appliance der 300er Serie, die mit dem Internet verbunden ist. Das Terminal
steht für jede Art von Netzwerk-Terminal. Dabei kann es sich um ein von Ihrem
ISP (Internet Service Provider) bereitgestelltes Gerät oder um einen Netzwerk-
Switch handeln. Der Computer, über den die Appliance verwaltet wird, ist über
einen LAN-Port direkt mit der Appliance verbunden. Für die Verbindung mit dem
Security Gateway Management Interface wird ein Browser verwendet. Die Kom-
munikation der geschützten Rechner mit dem Internet erfolgt über die Symantec
Gateway Security Appliance der 300er Serie.
Konfiguration der Verbindung zu einem externen Netzwerk 23
Netzwerkbeispiele

Abbildung 3-1 Verbindung mit dem Internet

Internet

Terminal

Symantec Gateway Security


300 Serie

SGMI
Geschütztes Netzwerk
24 Konfiguration der Verbindung zu einem externen Netzwerk
Netzwerkbeispiele

Abbildung 3-2 zeigt ein Netzwerkdiagramm für die Verbindung mit einem Intra-
net. In diesem Beispiel schützt die Appliance einen Teil des gesamten internen
Netzwerks vor dem Zugriff durch unbefugte interne Benutzer. Die Kommunika-
tion der innerhalb dieses Teils geschützten Rechner mit dem Netzwerk findet
über eine Symantec Gateway Security Appliance der 300er Serie und anschlie-
ßend über eine Symantec Gateway Security Appliance der 5400er Serie statt.

Abbildung 3-2 Verbindung mit einem internen Netzwerk

Internet

Symantec Gateway
Security 5400 Serie

Router

Symantec Gateway
Security 300 Serie

SGMI
Geschütztes Netzwerk

Geschütztes Teilnetzwerk
Konfiguration der Verbindung zu einem externen Netzwerk 25
Allgemeines zum Setup-Assistenten

Allgemeines zum Setup-Assistenten


Der Setup-Assistent wird gestartet, wenn Sie zum ersten Mal eine Verbindung zur
Appliance herstellen. Mithilfe des Setup-Assistenten können Sie die grundlegen-
den Einstellungen für die Verbindung mit dem Internet oder dem Intranet festle-
gen. Wenn Sie den Setup-Assistenten bereits erfolgreich ausgeführt und die
WAN-Verbindungen zum externen Netzwerk getestet haben, müssen Sie keine
zusätzlichen Einstellungen für den WAN 1-Port vornehmen. Verwenden Sie bei
den Modellen 360 und 360R das SGMI zum Konfigurieren des WAN 2-Ports. Wei-
tere Informationen zum Einrichten des Setup-Assistenten finden Sie im Installa-
tionshandbuch zur Symantec Gateway Security Appliance der 300er Serie.

Hinweis: Wenn Sie die Sprache des SGMI ändern möchten, führen Sie den Setup-
Assistenten neu aus und wählen Sie eine andere Sprache aus.

Der Setup-Assistent prüft den aktuellen Status der WAN 1-Verbindung, bevor er
fortfährt. Wenn am WAN-Port (WAN 1 bei den Modellen 360 und 360R) eine Ver-
bindung mit einem aktiven Netzwerk besteht, führt der Setup-Assistent Sie
durch die Konfiguration von LiveUpdate und dem Administrator-Kennwort.
Wenn am WAN-Port keine aktive Verbindung besteht, gibt der Setup-Assistent
Ihnen Anweisungen zum Einrichten der ISP-spezifischen Verbindungsparame-
ter. In den WAN/ISP-Registern können Sie erweiterte Einstellungen vornehmen
oder den WAN-Port 2 konfigurieren.
Sie können den Setup-Assistenten nach der Installation jederzeit erneut ausfüh-
ren. Um den Setup-Assistenten auszuführen, klicken Sie im Register "WAN/
ISP > Setup - Allgemein" auf die Option zum Ausführen des Setup-Assistenten.
Weitere Informationen hierzu finden Sie im Installationshandbuch zur Symantec
Gateway Security Appliance der 300er Serie.

Warnung: Eingaben in den Registern "WAN" und "ISP" überschreiben zuvor im


Setup-Assistenten vorgenommene Einstellungen. Dadurch kann die WAN-Ver-
bindung abgebrochen werden.

Allgemeines zu Appliances mit Dual-WAN-Ports


Die Symantec Gateway Security-Modelle 360 und 360R verfügen über zwei WAN-
Ports, WAN 1 und WAN 2. Sie unterstützen unterschiedliche Netzwerkeinstel-
lungen pro WAN-Port. Sie können beispielsweise eine statische IP-Adresse als
primäre WAN-Verbindung für den WAN 1-Port und eine sekundäre (und kosten-
günstigere), dynamische IP-Adresse als Backup-Verbindung für den WAN 2-Port
definieren. Die beiden WAN-Ports sind zwei vollkommen autarke Ports.
26 Konfiguration der Verbindung zu einem externen Netzwerk
Allgemeines zu Appliances mit Dual-WAN-Ports

Einige Einstellungen gelten für beide WAN-Ports, andere müssen pro WAN-Port
festgelegt werden. Tabelle 3-1 enthält Einstellungen und Angaben darüber, ob sie
für einen oder für beide WAN-Ports gelten.

Tabelle 3-1 WAN-Port-Einstellungen

Konfiguration Welcher WAN-Port?

Verbindungstypen Der Verbindungstyp muss pro WAN-Port festgelegt werden.


Siehe "Wissenswertes über Verbindungstypen" auf Seite 27.

Backup-Konto Sie können eine primäre Verbindung für den WAN 1-Port
konfigurieren und an der seriellen Schnittstelle an der Rück-
seite der Appliance ein Modem für die Backup-Verbindung
anschließen. Siehe "Wählverbindungen" auf Seite 38.

Optionale Netzwerk- Die optionalen Netzwerkeinstellungen können Sie pro WAN-


einstellungen Port definieren. Siehe "Optionale Netzwerkeinstellungen"
auf Seite 55.

Dynamischer DNS Gilt sowohl für WAN 1 als auch für WAN 2.
Siehe "Konfiguration des dynamischen DNS" auf Seite 45.

DNS-Gateway Gilt sowohl für WAN 1 als auch für WAN 2. Siehe "DNS-Gate-
way" auf Seite 54.

Server für Verbindungs- Konfigurieren Sie einen Server für den Verbindungs-Check
Check pro WAN-Port. Siehe "Wählverbindungen" auf Seite 38 oder
"Konfiguration der erweiterten WAN-/ISP-Einstellungen"
auf Seite 51.

Routing Definieren Sie diese Einstellung pro WAN-Port.


Siehe "Konfiguration des Routings" auf Seite 49.

Lastverteilung und Band- Geben Sie den prozentualen Anteil des Datenverkehrs an,
breitenbündelung am der über WAN 1 erfolgt. Der restliche Teil erfolgt über WAN
WAN-Port 2. Siehe "Lastverteilung" auf Seite 52.

SMTP an WAN-Port binden Sie können SMTP entweder an WAN 1 oder an WAN 2
binden. Siehe "SMTP-Bindung" auf Seite 52.

Hochverfügbarkeit Diese Einstellung müssen Sie pro Port vornehmen.


Siehe "Hochverfügbarkeit" auf Seite 51.
Konfiguration der Verbindung zu einem externen Netzwerk 27
Wissenswertes über Verbindungstypen

Wissenswertes über Verbindungstypen


Kenntnisse zu den Verbindungstypen sind erforderlich, wenn Sie Ihre Appliance
mit einem externen oder internen Netzwerk verbinden möchten.
Zunächst müssen Sie wissen, ob Sie mit einer Wähl- oder einer Breitbandverbin-
dung arbeiten. Wenn Sie eine Wählverbindung verwenden, fahren Sie unter
"Wählverbindung oder ISDN" fort. Wenn Sie über ein statisches Konto verfügen,
bestimmen Sie mithilfe der Tabelle unten den Verbindungstyp und fahren Sie
dann mit dem entsprechenden Konfigurationsabschnitt fort.
Wählverbindungen sind in der Regel analog (d. h. sie werden über eine gewöhn-
liche Telefonleitung und ein externes Modem hergestellt) oder digital (ISDN,
über eine spezielle Telefonleitung). Typische Breitbandverbindungen sind an
einen Terminaladapter angeschlossene Breitband-, DSL-, T1/E1- oder T3-Kabel.

Hinweis: Verwenden Sie nur RJ-45-Kabel für WAN-Ports.

In den folgenden Tabellen sind die unterstützten Verbindungstypen aufgeführt.


Der Eintrag in der Spalte "Verbindungstyp" entspricht der Option, die Sie im
Register "Setup - Allgemein" oder im Setup-Assistenten auswählen müssen. In
der Spalte "Dienste" finden Sie den Konto- oder Protokolltyp für den jeweiligen
Verbindungstyp. In der Spalte "Netzabschluss" finden Sie das Gerät, das vom
jeweiligen Verbindungstyp in der Regel für die Verbindung mit dem Internet
oder einem Netzwerk verwendet wird.
In Tabelle 3-2 sind die unterstützten Wählverbindungstypen und deren Erken-
nungsmerkmale aufgeführt.

Tabelle 3-2 Wählverbindungstypen

Verbindungstyp Dienste Netzabschluss

Wählverbindung oder Herkömmliche Analoges Einwählmodem


ISDN Telefonleitung

Integrated Services Digitales Einwählmodem


Digital Network (ISDN) ISDN-Modems werden auch als
Terminaladapter bezeichnet.
28 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

Wenn Sie über ein Breitbandkonto verfügen, können Sie anhand von Tabelle 3-3
den Verbindungstyp bestimmen.
Tabelle 3-3 Breitbandverbindungstypen

Verbindungstyp Dienste Netzabschluss

DHCP Breitbandkabel Kabelmodem

Digital Subscriber Line DSL-Modem mit Ethernet-Kabel


(DSL)

Direct-Ethernet- Ethernet-Kabel (i. d. R. bei geschützten


Verbindung Teilnetzwerken)

PPPoE PPPoE ADSL-Modem mit Ethernet-Kabel

Statische IP Breitbandkabel Kabelmodem


(Statische IP & DNS)
Digital Subscriber Line DSL-Modem
(DSL)

T1 Channel Service Unit/Digital Service


Unit (CSU/DSU)

Direct Ethernet- Ethernet-Kabel (i. d. R. bei geschützten


Verbindung Teilnetzwerken)

PPTP PPTP DSL-Modem mit Ethernet-Kabel

Ihr ISP oder Netzwerkadministrator sollte Ihnen auch Auskünfte über Ihren
Verbindungstyp geben können.

Konfiguration der Verbindung


Wenn Sie Ihren Verbindungstyp ermittelt haben, können Sie die Appliance so
konfigurieren, dass sie für die Verbindung mit dem Internet oder Intranet die
entsprechenden Einstellungen verwendet.

DHCP
Das DHCP (Dynamic Host Configuration Protocol) automatisiert die Netzwerk-
konfiguration von Computern. Es ermöglicht mehreren Clients in einem Netz-
werk, die Konfigurationsinformationen bei einem einzelnen Server (DHCP-Ser-
ver) abzurufen. Bei statischen Internetkonten sind die Benutzer die Clients, die
die Informationen vom DHCP-Server des Internet Service Providers (ISP) abru-
fen. In diesem Fall werden IP-Adressen nur verbundenen Konten zugewiesen.
Konfiguration der Verbindung zu einem externen Netzwerk 29
Konfiguration der Verbindung

Über Ihr Konto bei einem ISP werden Ihrem Rechner möglicherweise per DHCP
IP-Adressen zugewiesen. Breitband- und DSL-Konten arbeiten i. d. R. mit DHCP.
Ihr ISP kann Breitband-Kabelverbindungen authentifizieren, die die MAC- oder
die physische Adresse Ihres Computers oder Gateways verwenden.
Weitere Informationen dazu, wie Sie Ihre Appliance so konfigurieren, dass sie
beim Zuweisen von IP-Adressen zu Ihrem Computer DHCP verwendet, finden Sie
unter "Konfiguration der Verbindung" auf Seite 28.
Bevor Sie DHCP für Ihre WAN-Ports konfigurieren, müssen Sie im Fenster
"Setup - Allgemein" die Option "DHCP (Auto-IP)" als Verbindungstyp auswählen.

So wählen Sie DHCP als Verbindungstyp aus


Siehe "Beschreibung der Felder im Register "Setup - Allgemein"" auf Seite 175.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Falls Sie das Modell 320 verwenden, führen Sie folgende Schritte aus:
■ Klicken Sie im rechten Teilfenster im Register "Setup - Allgemein" unter
"Verbindungstyp" auf "DHCP".
■ Klicken Sie auf "Speichern".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Um einen Verbindungstyp für WAN 1 auszuwählen, klicken Sie unter
"WAN 1 (extern)" im Dropdown-Listenfeld "Verbindungstyp" auf "DHCP".
■ Um einen Verbindungstyp für WAN2 auszuwählen, klicken Sie unter
"WAN 2 (extern)" im Dropdown-Listenfeld "Verbindungstyp" auf "DHCP".
4 Klicken Sie auf "Speichern".

PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) wird von vielen ADSL-Anbietern
(Asymmetrical Digital Subscriber Line) verwendet. Mithilfe dieses Protokolls
können viele Benutzer eines Netzwerks über ein einzelnes dediziertes Medium,
z. B. ein DSL-Konto, mit dem Internet verbunden werden.
Sie können angeben, ob die Verbindung über Ihr PPPoE-Konto manuell oder
automatisch hergestellt werden soll. Diese Einstellung ist beim Prüfen einer Ver-
bindung hilfreich.
Sie können festlegen, dass die Appliance nur dann eine Verbindung herstellt,
wenn ein Benutzer im LAN eine Internetverbindung anfordert (z. B. eine Website
aufruft), und diese wieder beendet, wenn die Verbindung inaktiv ist. Diese Funk-
tion ist hilfreich, wenn Ihre Verbindungen pro Einwahl nach Verwendungsdauer
abgerechnet werden.
30 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

Durch mehrfache Anmeldungen (falls Ihr Konto mehrere PPPoE-Sitzungen


zulässt) können dem WAN weitere IP-Adressen zugewiesen werden. In diesem
Fall spricht man von PPPoE-Sitzungen. Dabei können je nach ISP der Benutzer-
name und das Kennwort pro Sitzung identisch sein oder sich jeweils unterschei-
den. Bei Verwendung des Modells 320 sind bis zu fünf Sitzungen oder IP-Adres-
sen zulässig. Bei den Modellen 360 und 360R sind bis zu drei Sitzungen pro WAN-
Port möglich. Sie können die LAN-Hosts im Register "Computer" an eine Sitzung
binden. Siehe "Konfiguration der LAN-IP-Einstellungen" auf Seite 58.

Hinweis: Mehrere IP-Adressen pro WAN-Port werden nur bei PPPoE-Verbindun-


gen unterstützt.

Standardmäßig gelten alle Einstellungen für Sitzung 1. Bei mehreren PPPoE-


Sitzungen müssen Sie die einzelnen Sitzungen separat konfigurieren. Wenn Sie
mehrere PPPoE-Konten haben, weisen Sie jedem Konto im SGMI eine separate
Sitzung zu.
Wenn Sie WAN-Ports so konfigurieren möchten, dass sie PPPoE-Konten verwen-
den, benötigen Sie die folgenden Informationen:
■ Benutzername und Kennwort
Für alle PPPoE-Konten sind ein Benutzername und ein Kennwort erforder-
lich. Fragen Sie Ihren Internet Service Provider nach diesen Informationen,
bevor Sie PPPoE konfigurieren.
■ Statische IP-Adresse
Ggf. ist Ihrem PPPoE-Konto eine statische IP-Adresse zugewiesen.

So konfigurieren Sie einen WAN-Port für PPPoE


Siehe "Beschreibung der Felder im Register "PPPoE"" auf Seite 177.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Falls Sie das Modell 320 verwenden, führen Sie folgende Schritte aus:
■ Klicken Sie im rechten Teilfenster im Register "Setup - Allgemein" unter
"Verbindungstyp" auf "PPPoE (xDSL)".
■ Klicken Sie auf "Speichern".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Wählen Sie im rechten Teilfenster das Register "Setup - Allgemein" und
klicken Sie unter "WAN1 (extern)" im Dropdown-Listenfeld "Verbin-
dungstyp" auf "PPPoE (xDSL)".
■ Wenn der WAN 2-Port verwendet werden soll, klicken Sie unter "WAN
2 (extern)" im Bereich "HA-Modus" auf "Normal".
Konfiguration der Verbindung zu einem externen Netzwerk 31
Konfiguration der Verbindung

■ Um WAN 2 zu verwenden, klicken Sie unter "WAN 2 (extern)" im


Dropdown-Listenfeld "Verbindungstyp" auf "PPPoE (xDSL)".
■ Klicken Sie auf "Speichern".
■ Wählen Sie im rechten Teilfenster das Register "PPPoE" und führen Sie
unter "WAN-Port und -Sitzungen" einen der folgenden Schritte aus:
■ Wählen Sie im Dropdown-Listenfeld "WAN-Port" den zu konfigurieren-
den WAN-Port aus.
4 Wenn Sie über ein PPPoE-Benutzerkonto für mehrere Sitzungen verfügen,
wählen Sie im Dropdown-Listenfeld "PPPoE-Sitzung" unter "WAN-Port und
-Sitzungen" eine Sitzung aus.
5 Wenn Sie über ein PPPoE-Benutzerkonto für eine einzelne Sitzung verfügen,
übernehmen Sie den Eintrag "Sitzung 1".
6 Aktivieren Sie unter "Verbindung" die Option "Bei Bedarf verbinden".
Wenn Sie die PPPoE-Verbindung manuell herstellen möchten, deaktivieren
Sie "Bei Bedarf verbinden" und klicken Sie dann unter "Manuelle Steuerung"
auf "Verbinden".
7 Geben Sie im Feld "Leerlaufzeitlimit" an, nach wie vielen Minuten der
Inaktivität die Appliance die PPPoE-Verbindung beenden soll.
8 Wenn Sie ein PPPoE-Konto mit einer statischen IP-Adresse verwenden, geben
Sie in das Textfeld "Statische IP-Adresse" die IP-Adresse ein.
Falls dies nicht der Fall ist, ändern Sie den vorgegebenen Wert "0" nicht.
9 Klicken Sie unter "Dienst wählen" auf "Dienste abfragen".
Voraussetzung für diese Funktion ist, dass keine Verbindung zum PPPoE-
Benutzerkonto besteht. Siehe "PPPoE-Verbindung manuell herstellen" auf
Seite 32.
10 Wählen Sie im Dropdown-Listenfeld "Dienst" einen PPPoE-Dienst aus.
Um einen Dienst auswählen zu können, müssen Sie auf "Dienste abfragen"
klicken.
11 Geben Sie in das Textfeld "Benutzername" Ihren Benutzernamen für das
PPPoE-Benutzerkonto ein.
12 Geben Sie in das Textfeld "Kennwort" Ihr Kennwort für das PPPoE-Benutzer-
konto ein.
13 Geben Sie in das Feld "Kennwort bestätigen" erneut Ihr Kennwort für das
PPPoE-Benutzerkonto ein.
14 Klicken Sie auf "Speichern".
32 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

PPPoE-Verbindung testen
Prüfen Sie, ob die PPPoE-Verbindung ordnungsgemäß hergestellt wird, nachdem
Sie ein PPPoE-Konto eingerichtet haben.

So testen Sie die Verbindung


Siehe "Beschreibung der Felder im Register "PPPoE"" auf Seite 177.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 162.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im rechten Teilfenster auf das PPPoE-Register, wählen Sie
"Manuelle Steuerung" und klicken Sie auf "Verbinden".
3 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
Unter "WAN 1 (externer Port)" im Register "Status" des rechten Teilfensters wird
der Verbindungsstatus angezeigt.
Wenn keine Verbindung hergestellt werden konnte, überprüfen Sie, dass:
■ Sie den Benutzernamen und das Kennwort richtig eingegeben haben. Einige
Internet Service Provider erwarten den Benutzernamen im E-Mail-Adress-
format, z. B. peterpan@meinisp.net.
■ alle Kabel ordnungsgemäß angeschlossen sind.
■ Sie die Kontoinformationen bei Ihrem ISP richtig angegeben haben und Ihr
Konto aktiviert ist.

PPPoE-Verbindung manuell herstellen


Sie können die Verbindung mit Ihrem PPPoE-Benutzerkonto manuell herstellen
bzw. beenden. Bei den Modellen 360 und 360R können Sie die Verbindung pro
WAN-Port manuell steuern. Dies ist hilfreich, wenn Fehler bei der Verbindung
zum ISP behoben werden müssen.

PPPoE-Verbindung manuell steuern


Sie können die PPPoE-Verbindung im SGMI manuell steuern.
Siehe "Beschreibung der Felder im Register "PPPoE"" auf Seite 177.

So stellen Sie manuell eine Verbindung zum PPPoE-Benutzerkonto her


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im rechten Teilfenster auf das
PPPoE-Register, wählen Sie "Manuelle Steuerung" und klicken Sie auf
"Verbinden".
Konfiguration der Verbindung zu einem externen Netzwerk 33
Konfiguration der Verbindung

3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPPoE-Register, wählen Sie
"WAN-Port und -Sitzungen" und anschließend im Dropdown-Listenfeld
"WAN-Port" den gewünschten WAN-Port.
■ Wählen Sie im Dropdown-Listenfeld "Sitzung" eine PPPoE-Sitzung aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbinden".

So beenden Sie die Verbindung mit dem PPPoE-Konto manuell


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im rechten Teilfenster auf das
PPPoE-Register, wählen Sie "Manuelle Steuerung" und klicken Sie auf
"Bei 320: Trennen".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPPoE-Register, wählen Sie
"WAN-Port und -Sitzungen" und anschließend im Dropdown-Listenfeld
"WAN-Port" den gewünschten WAN-Port.
■ Wählen Sie im Dropdown-Listenfeld "Sitzung" eine PPPoE-Sitzung aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbindung trennen".

Statische IP und DNS


Sie können bei Ihrem ISP eine statische (permanente) IP-Adresse für Ihr Konto
einrichten lassen. In diesem Fall können Sie einen Server betreiben, z. B. einen
Web- oder einen FTP-Server, weil die Adresse sich nicht ändert. Allen Konto-
typen (Wähl- und Breitbandverbindung) können statische IP-Adressen zugewie-
sen werden.
Die Appliance leitet jede DNS-Suchanforderung an den angegebenen DNS-Server
weiter, der die IP-Adresse auflöst. Die Appliance unterstützt bis zu drei DNS-
Server. Wenn Sie mehrere DNS-Server angeben, werden diese nacheinander
angewählt. Wenn beispielsweise eine Anforderung an den ersten Server weiter-
geleitet wurde, wird die nächste Anforderung an den zweiten Server weiterge-
leitet usw.
Wenn Sie bei Ihrem ISP eine statische IP-Adresse haben oder sich die Appliance
hinter einem weiteren Sicherheits-Gateway befindet, wählen Sie "Statische IP-
Adresse und statischer DNS" als Verbindungstyp. In diesem Fall können Sie Ihre
statische IP-Adresse und die IP-Adressen der DNS-Server angeben, die für die
Namensauflösung verwendet werden sollen.
34 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

Beim Konfigurieren der Appliance für die Verbindung mit Ihrem statischen IP-
Konto benötigen Sie die folgenden Informationen:
■ Statische IP, Netzmaske und Standard-Gateway-Adressen
Diese Informationen erhalten Sie bei Ihrem ISP oder von Ihrer IT-Abteilung.
■ DNS-Adressen
Sie müssen die IP-Adressen von mindestens einem und höchstens drei DNS-
Servern angeben. Diese Informationen erhalten Sie bei Ihrem ISP oder von
Ihrer IT-Abteilung. Die DNS-IP-Adressen sind bei dynamischen Internet-
konten oder Konten, bei denen ein DHCP-Server die IP-Adressen zuweist,
nicht erforderlich.
Wenn Sie über eine statische IP-Adresse mit PPPoE verfügen, konfigurieren
Sie die Appliance für PPPoE.

Statische IP-Adresse konfigurieren


Sie müssen die statische IP-Adresse und die IP-Adresse des DNS angeben. Sie
müssen mindestens einen DNS angeben, wenn Sie ein Konto mit einer statischen
IP-Adresse haben.
Siehe "Beschreibung der Felder im Register "Statische IP-Adresse und statisches
DNS"" auf Seite 176.

So konfigurieren Sie eine statische IP-Adresse


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im rechten Teilfenster im Register "Setup - Allgemein" unter
"Verbindungstyp" auf "Statische IP".
3 Klicken Sie auf "Speichern".
4 Falls Sie das Modell 320 verwenden, führen Sie folgende Schritte aus:
■ Klicken Sie im rechten Teilfenster auf "Statische IP-Adresse und stati-
scher DNS und geben Sie unter "WAN IP" in den entsprechenden Text-
feldern die WAN-IP-Adressen für die Symantec Gateway Security
Appliance der 300er Serie ein.
■ Geben Sie im Textfeld "Netzmaske" die Netzmaske an.
Ändern Sie diese Einstellung nur, wenn Ihr ISP dies erfordert.
■ Geben Sie in das Textfeld "Standard-Gateway" das Standard-Sicher-
heits-Gateway ein.
■ Geben Sie in die Textfelder für die DNS-Server mindestens eine und
höchstens drei IP-Adressen von DNS-Servern ein.
■ Klicken Sie auf "Speichern".
Konfiguration der Verbindung zu einem externen Netzwerk 35
Konfiguration der Verbindung

5 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie unter "WAN 1 (extern)" im Dropdown-Listenfeld "Verbin-
dungstyp" auf "Statische IP".
■ Wenn der WAN 2-Port verwendet werden soll, klicken Sie unter "WAN 2
(extern)" im Bereich "HA-Modus" auf "Normal".
■ Um WAN 2 zu verwenden, klicken Sie unter "WAN 2 (extern)" im
Dropdown-Listenfeld "Verbindungstyp" auf "Statische IP".
■ Klicken Sie auf "Speichern".
■ Klicken Sie im rechten Teilfenster auf "Statische IP-Adresse und stati-
scher DNS" und geben Sie unter "WAN-1-IP-Adresse" oder "WAN-2-IP-
Adresse" in den entsprechenden Textfeldern die WAN-IP-Adressen für
die Symantec Gateway Security Appliance der 300er Serie ein.
■ Geben Sie im Textfeld "Netzmaske" die Netzmaske an.
■ Geben Sie in das Textfeld "Standard-Gateway" das Standard-Sicher-
heits-Gateway ein.
Die Symantec Gateway Security Appliance der 300er Serie sendet alle
Pakete, die sie nicht weiterleiten kann, an das Standard-Gateway.
■ Geben Sie in die Textfelder für die DNS-Server mindestens eine und
höchstens drei IP-Adressen von DNS-Servern ein.
6 Klicken Sie auf "Speichern".

PPTP
Das PPTP-Protokoll (Point-to-Point-Tunneling Protocol) ermöglicht den siche-
ren Datentransfer zwischen einem Client und einem Server. Dabei wird über ein
TCP/IP-basiertes Netzwerk ein Tunnel erstellt. Wenn Sie eine Verbindung zu
einem PPTP-Netzwerk-Server herstellen (i. d. R. über einen ISP), fungieren die
Symantec Gateway Security Appliances der 300er Serie als PPTP-Clients (PAC).
Beim Konfigurieren einer Appliance für PPTP benötigen Sie die folgenden Infor-
mationen:
■ IP-Adresse des PPTP-Servers
IP-Adresse des PPTP-Servers beim ISP.
■ Statische IP-Adresse
Ihrem Konto zugewiesene IP-Adresse.
■ Kontoinformationen
Benutzername und Kennwort, das Sie zum Anmelden bei Ihrem Konto
verwenden.
36 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

So konfigurieren Sie eine Appliance für PPTP


Siehe "Beschreibung der Felder im Register "PPTP"" auf Seite 183.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Falls Sie das Modell 320 verwenden, führen Sie folgende Schritte aus:
■ Klicken Sie im rechten Teilfenster im Register "Setup - Allgemein" unter
"Verbindungstyp" auf "PPTP".
■ Klicken Sie auf "Speichern".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie unter "WAN 1 (extern)" im Dropdown-Listenfeld "Verbin-
dungstyp" auf "PPTP".
■ Wenn der WAN 2-Port verwendet werden soll, klicken Sie unter "WAN 2
(extern)" im Bereich "HA-Modus" auf "Normal".
■ Um WAN 2 zu verwenden, klicken Sie unter "WAN 2 (extern)" im
Dropdown-Listenfeld "Verbindungstyp" auf "PPTP".
■ Klicken Sie auf "Speichern".
4 Klicken Sie im rechten Teilfenster im PPTP-Register unter "Verbindung" auf
"Bei Bedarf verbinden".
5 Geben Sie im Feld "Leerlaufzeitlimit" an, nach wie vielen Minuten der Inak-
tivität die Appliance die PPTP-Verbindung beenden soll.
6 Geben Sie in das Textfeld "Server-IP-Adresse" die IP-Adresse des PPTP-
Servers ein.
7 Wenn Sie ein PPTP-Konto mit einer statischen IP-Adresse verwenden, geben
Sie in das Textfeld "Statische IP-Adresse" die IP-Adresse ein.
Falls dies nicht der Fall ist, ändern Sie den vorgegebenen Wert "0" nicht.
8 Geben Sie unter "Benutzerinformationen" in das Textfeld "Benutzername"
den Benutzernamen für das ISP-Benutzerkonto ein.
9 Geben Sie in das Textfeld "Kennwort" Ihr Kennwort für Ihr ISP-Konto ein.
10 Geben Sie in das Textfeld "Kennwort bestätigen" erneut Ihr Kennwort für Ihr
ISP-Konto ein.
11 Klicken Sie auf "Speichern".

PPTP-Verbindung testen
Prüfen Sie, ob die Verbindung ordnungsgemäß hergestellt wird, nachdem Sie ein
PPPTP-Konto eingerichtet haben.
Konfiguration der Verbindung zu einem externen Netzwerk 37
Konfiguration der Verbindung

So testen Sie die PPTP-Verbindung


Siehe "Beschreibung der Felder im Register "PPTP"" auf Seite 183.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 162.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im rechten Teilfenster auf das
PPTP-Register, wählen Sie "Manuelle Steuerung" und klicken Sie auf
"Verbinden".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPTP-Register und wählen
Sie unter "WAN-Port" im zugehörigen Dropdown-Listenfeld den
gewünschten WAN-Port aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbinden".
4 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
Unter "WAN 1 (externer Port)" im Register "Status" des rechten Teilfensters wird
der Verbindungsstatus angezeigt.
Wenn keine Verbindung hergestellt werden konnte, stellen Sie sicher, dass Sie den
Benutzernamen und das Kennwort richtig eingegeben haben. Wenn anschließend
nach wie vor keine Verbindung hergestellt wird, prüfen Sie bei Ihrem ISP, dass
Ihre Kontoinformationen stimmen und dass Ihr Konto aktiviert ist.

PPTP-Verbindung manuell herstellen


Sie können die Verbindung mit Ihrem PPTP-Benutzerkonto manuell herstellen
bzw. beenden. Bei den Modellen 360 und 360R können Sie die Verbindung pro
WAN-Port manuell steuern. Dies ist bei der Fehlerbehebung hilfreich.

Manuell eine Verbindung zu Ihrem PPTP-Konto herstellen


Bei Verwendung des Modells 320 können Sie die Verbindung mit Ihrem PPTP-
Benutzerkonto manuell herstellen bzw. beenden. Bei den Modellen 360 und 360R
müssen Sie den zu steuernden WAN-Port auswählen und anschließend die Ver-
bindung herstellen oder beenden.
Siehe "Beschreibung der Felder im Register "PPTP"" auf Seite 183.

So stellen Sie manuell eine Verbindung zu Ihrem PPTP-Konto her


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im rechten Teilfenster auf das
PPTP-Register, wählen Sie "Manuelle Steuerung" und klicken Sie auf
"Verbinden".
38 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPTP-Register und wählen
Sie unter "WAN-Port" im zugehörigen Dropdown-Listenfeld den
gewünschten WAN-Port aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbinden".

So beenden Sie manuell eine Verbindung zu Ihrem PPTP-Konto


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im rechten Teilfenster auf das
PPTP-Register, wählen Sie "Manuelle Steuerung" und klicken Sie auf
"Trennen".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPTP-Register und wählen Sie
unter "WAN-Port" im zugehörigen Dropdown-Listenfeld den gewünsch-
ten WAN-Port aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbindung trennen".

Wählverbindungen
Es gibt zwei grundlegende Arten von Wählverbindungen: analog und ISDN. Bei
analogen Wählverbindungen wird die Verbindung über ein Modem und die her-
kömmliche Telefonleitung (RJ-11-Kabel) hergestellt. Bei ISDN-Verbindungen
wird eine spezielle Telefonleitung verwendet.
Sie können eine Appliance so konfigurieren, dass eine Wählverbindung als
primärer Verbindungstyp für das Internet oder als Backup-Verbindung mit
Ihrem statischen Benutzerkonto verwendet wird. Im Backup-Modus wählt die
Appliance automatisch den ISP an, wenn die Verbindung mit dem statischen
Konto fehlschlägt. Die Appliance reaktiviert die Verbindung mit dem statischen
Konto, sobald diese Verbindung wieder stabil ist. Das Failover von der primären
Verbindung zum Modem oder vom Modem zur primären Verbindung kann 30 bis
60 Sekunden dauern.
Sie können eine primäre Wählverbindung und eine Backup-Wählverbindung ein-
richten. Letztere können Sie einrichten, wenn Ihr statisches Konto für die pri-
märe Verbindung eingerichtet ist, diese Verbindung aber fehlgeschlagen ist.
Zunächst müssen Sie das Modem an die Appliance anschließen. Dann konfigurie-
ren Sie die Wählverbindung im SGMI.
Sie können die Verbindung jederzeit auch manuell herstellen oder beenden.
Konfiguration der Verbindung zu einem externen Netzwerk 39
Konfiguration der Verbindung

Bei Wählverbindungen müssen Sie ein externes Modem verwenden. Modems,


auch ISDN-Modems, werden über die serielle Schnittstelle an der Rückseite der
Appliance an diese angeschlossen. Abbildung 3-3 zeigt die serielle Schnittstelle
an der Rückseite des Modells 320.

Abbildung 3-3 Rückseite der Symantec Gateway Security 320 Appliance

Serielle Schnittstelle

Abbildung 3-4 zeigt die serielle Schnittstelle an der Rückseite des Modells 360
bzw. 360R.

Abbildung 3-4 Rückseite der Symantec Gateway Security 360 und 360R
Appliances
Serielle Schnittstelle

Bevor Sie die Wählverbindung als primäre oder als Backup-Verbindung einrich-
ten, müssen Sie Folgendes griffbereit haben:

Kontoinformationen Der Benutzername, der sich ggf. vom Kontonamen unterscheidet,


und das Kennwort für die Wählverbindung.

Einwahlnummern Mindestens eine und höchstens drei Telefonnummern für die Wähl-
verbindung.

Statische IP-Adresse Die statische IP-Adresse Ihres ISP-Kontos.

Modem/Kabel Ein externes Modem und ein serielles Kabel zum Anschließen des
Modems an der seriellen Schnittstelle an der Rückseite der Appliance.

Dokumentation zum In der Dokumentation Ihres Modems finden Sie Angaben zum
Modem Modembefehl oder zum Modell, falls diese erforderlich sind.
40 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

Wählverbindungen konfigurieren
Zunächst müssen Sie das Modem an die Appliance anschließen. Dann konfigurie-
ren Sie die Wählverbindung im SGMI.

Hinweis: Wenn das Gateway Ihres ISP ICMP-Anforderungen wie PING-Signale


blockiert und Sie im Register "Setup - Allgemein" keine Angaben im Textfeld für
die IP-Adresse oder URL des Verbindungscheck-Servers machen, sendet die
Appliance zum Testen der Verbindung PING-Signale an das Standard-Gateway.

Siehe "Beschreibung der Felder im Register "Dial-Up-Backup und Analog/ISDN""


auf Seite 179.

So schließen Sie Ihr Modem an


1 Stecken Sie ein Ende des seriellen Kabels in den entsprechenden Modem-
Anschluss.
2 Stecken Sie das andere Ende des seriellen Kabels in die serielle Schnittstelle
an der Rückseite der Appliance.
3 Falls Ihr Modem über Netzspannung versorgt wird, schließen Sie es an eine
Steckdose an.
4 Schalten Sie das Modem ein.

So konfigurieren Sie eine primäre Wählverbindung


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im rechten Teilfenster im Register "Setup - Allgemein" unter
"Verbindungstyp" auf "Analog oder ISDN".
3 Klicken Sie auf "Speichern".
4 Führen Sie im Register "Dial-Up-Backup und Analog/ISDN" unter "Angaben
zum ISP-Benutzerkonto" folgende Schritte aus:

Benutzername Geben Sie den Benutzernamen für das Konto ein.

Kennwort Geben Sie das Kennwort für das Konto ein.

Kennwort bestätigen Geben Sie das Kennwort für das Konto erneut ein.

Telefonverbindung 1 Geben Sie die Einwahlnummer an.

Telefonverbindung 2 Geben Sie optional eine Ausweichtelefonnummer an.

Telefonverbindung 3 Geben Sie optional eine Ausweichtelefonnummer an.


Konfiguration der Verbindung zu einem externen Netzwerk 41
Konfiguration der Verbindung

5 Führen Sie unter "Modemeinstellungen" folgende Schritte aus:

Modell Wählen Sie Ihr Modemmodell aus.

Max. Übertragungs- Wählen Sie die Übertragungsgeschwindigkeit aus.


geschwindigkeit

Wahlverfahren Wählen Sie das Wahlverfahren aus.

Wahlwiederholungs- Geben Sie eine Wahlwiederholungszeichenfolge ein.


zeichenfolge

Initialisierungsbefehl Geben Sie einen Initialisierungsbefehl ein.


Wenn Sie einen anderen Modemtyp als "Andere" eingeben,
wird der Initialisierungsbefehl automatisch bereitgestellt.
Wenn Sie "Andere" wählen, müssen Sie einen Initialisierungs-
befehl angeben.

Leitungstyp Wählen Sie den Leitungstyp aus.

Wählzeichenfolge Geben Sie eine Wählzeichenfolge ein.

Leerlaufzeitlimit Geben Sie an, nach wie vielen Minuten der Inaktivität die Ver-
bindung beendet werden soll.

6 Klicken Sie auf "Speichern".


Nachdem Sie die Angaben gespeichert haben, wird die Appliance neu gestartet.
Die Netzwerkverbindung wird unterbrochen.

So aktivieren Sie die Backup-Wählverbindung


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Führen Sie im Register "Dial-Up-Backup und Analog/ISDN" unter "Backup-
Modus" folgende Schritte aus:
■ Aktivieren Sie "Backup-Modus aktivieren".
■ Geben Sie in das Textfeld "Verbindungs-CheckSite-IP oder URL" die IP-
Adresse oder den auflösbaren Namen der Site für den Verbindungs-
Check an.
3 Klicken Sie unter "Modemeinstellungen" auf "Speichern".
4 Befolgen Sie die unter "Wählverbindungen" auf Seite 38 beschriebenen
Schritte.
42 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung

Wählverbindung manuell steuern


Sie können Wählverbindungen manuell herstellen oder beenden. Dies ist hilf-
reich, wenn Sie die Verbindung testen möchten.

So steuern Sie die Wählverbindung manuell


Siehe "Beschreibung der Felder im Register "Dial-Up-Backup und Analog/ISDN""
auf Seite 179.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Um die Wählverbindung herzustellen, klicken Sie im Register "Dial-Up-
Backup und Analog/ISDN" unter "Manuelle Steuerung" auf "Einwahl".
3 Um die Wählverbindung zu beenden, klicken Sie im Register "Dial-Up-
Backup und Analog/ISDN" unter "Manuelle Steuerung" auf "Trennen".

Wählverbindung testen
Prüfen Sie, ob die Wählverbindung ordnungsgemäß hergestellt wird, nachdem
Sie diese eingerichtet haben.

So testen Sie die Verbindung


Siehe "Beschreibung der Felder im Register "Dial-Up-Backup und Analog/ISDN""
auf Seite 179.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 162.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im Register "Dial-Up-Backup und Analog/ISDN" des rechten
Teilfensters unter "Manuelle Steuerung" auf "Einwahl".
3 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
4 Unter "WAN 1 (externer Port)" im Register "Status" des rechten Teilfensters
wird neben "Verbindungsstatus" der Verbindungsstatus angezeigt.
Wenn keine Verbindung hergestellt werden konnte, stellen Sie Folgendes sicher:
■ Sie haben den Benutzernamen und das Kennwort richtig eingegeben.
■ Es ist der richtige Initialisierungsbefehl für Ihr Modemmodell angegeben.
Nähere Informationen hierzu finden Sie in der Dokumentation zum Modem.
■ Die Kabel sind ordnungsgemäß angeschlossen.
■ Die Telefonbuchse, über die die Modemverbindung hergestellt wird, ist in
Ordnung.
■ Überprüfen Sie Ihre Kontoinformationen nochmals bei Ihrem ISP und stellen
Sie sicher, dass Ihr Konto aktiviert ist.
Konfiguration der Verbindung zu einem externen Netzwerk 43
Konfiguration der erweiterten Verbindungseinstellungen

Status der Wählverbindung überwachen


Sie können den Status der Wählverbindung anzeigen und aktualisieren.

So überwachen Sie den Status der Wählverbindung


Siehe "Beschreibung der Felder im Register "Dial-Up-Backup und Analog/ISDN""
auf Seite 179.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Wechseln Sie im Register "Dial-Up-Backup und Analog/ISDN" zu "Analog-
Status".
3 Um den Wählverbindungsstatus zu aktualisieren, klicken Sie im Register
"Dial-Up-Backup und Analog/ISDN" unter "Modemeinstellungen" auf
"Aktualisieren".

Konfiguration der erweiterten Verbindungs-


einstellungen
Mithilfe der erweiterten Verbindungseinstellungen können Sie die Verbindungs-
parameter näher definieren. Bei DHCP-Verbindungen können Sie eine Leerlauf-
zeit festlegen, nach deren Ablauf die Verbindung erneuert wird. Für PPPoE-Ver-
bindungen können Sie Echo-Anforderungen festlegen. Für alle Verbindungstypen
können Sie mithilfe des MTU-Werts (Maximum Transfer Unit) die Datenpaket-
größe angeben.

Erweiterte DHCP-Einstellungen
Wenn Sie mit DHCP-Verbindungen arbeiten, können Sie festlegen, wann die
Appliance eine Erneuerungsanforderung sendet, damit der ISP der Appliance
eine neue IP-Adresse zuweist.
Sie können die Appliance jederzeit anweisen, eine neue IP-Adresse anzufordern,
indem Sie eine DHCP-Erneuerung erzwingen. Sie sollten dies jedoch nur auf
Anweisung durch die Technische Unterstützung von Symantec hin tun.

Erweiterte DHCP-Einstellungen festlegen


Sie können eine Leerlaufzeit festlegen, nach deren Ablauf die Verbindung erneu-
ert wird, und manuell eine Anforderung zur Erneuerung der DHCP-Verbindung
erzwingen.
Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
44 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten Verbindungseinstellungen

So konfigurieren Sie die Verbindungserneuerung nach einer Leerlaufzeit


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Wählen Sie das Register "Erweitert" und geben Sie unter "Optionale Verbin-
dungseinstellungen" in das Textfeld "DHCP erneuern nach Leerlaufzeit von"
an, nach wie vielen Minuten eine Erneuerungsanforderung gesendet wird.
3 Klicken Sie auf "Speichern".

So erzwingen Sie die Erneuerung einer DHCP-Verbindung


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie beim Modell 320 im Register "Erweitert" unter "Optionale Verbin-
dungseinstellungen" auf "Erneuerung erzwingen".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie einen der folgen-
den Schritte aus:
■ Um die Verbindung am WAN 1-Port zu erneuern, klicken Sie im Register
"Erweitert" unter "Optionale Verbindungseinstellungen" auf "WAN 1
erneuern".
■ Um die Verbindung am WAN 2-Port zu erneuern, klicken Sie im Register
"Erweitert" unter "Optionale Verbindungseinstellungen" auf "WAN 2
erneuern".

Erweiterte PPP-Einstellungen
Sie können die Echo-Anforderungen konfigurieren, die die Appliance zum Testen
der PPPoE-Verbindung sendet.

So konfigurieren Sie die PPP-Einstellungen


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Führen Sie im Register "Erweitert" unter "PPP-Einstellungen" folgende
Schritte aus:
■ Geben Sie im Feld "Zeitlimit" an, nach wie vielen Sekunden eine erneute
Echo-Anforderung gesendet werden soll.
■ Geben Sie im Feld "Wiederholungen" an, wie viele Wiederholungs-
versuche die Appliance durchführen soll, um die Verbindung erneut
herzustellen.
3 Klicken Sie auf "Speichern".
Konfiguration der Verbindung zu einem externen Netzwerk 45
Konfiguration des dynamischen DNS

Warnung: Um die Einstellungen für die Echo-Anforderung zurückzusetzen,


klicken Sie auf "Standard wiederherstellen". Dadurch werden auch die MTU und
die Einstellungen für die DHCP-Erneuerung bei Leerlauf auf die Standardwerte
zurückgesetzt.

MTU (Maximum Transmission Unit)


Sie können die maximale Größe der Pakete angeben, die über den WAN-Port an
die Appliance gesendet bzw. von dieser empfangen werden. Dies ist hilfreich,
wenn ein an der Übertragung beteiligter Computer oder eine andere Appliance
eine kleinere MTU erfordert. Bei den Modellen 360 und 360R können Sie für den
WAN 1- und den WAN 2-Port jeweils eine andere MTU (Maximum Transmission
Unit) angeben.

So geben Sie die MTU an


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Wählen Sie im rechten Teilfenster das Register "Erweitert" und geben Sie
unter "Optionale Verbindungseinstellungen" im Textfeld "WAN-Port" die
MTU ein.
3 Klicken Sie auf "Speichern".

Warnung: Um die MTU zurückzusetzen, klicken Sie auf "Standard wiederherstel-


len". Dadurch werden auch die Einstellungen für die Echo-Anforderungen und
die DHCP-Erneuerung bei Leerlauf auf die Standardwerte zurückgesetzt.

Konfiguration des dynamischen DNS


Für die Symantec Gateway Security Appliances der 300er Serie kann ein dynami-
scher DNS eingerichtet werden, der dynamische IP-Adressen einem Domänen-
namen zuordnet, über den die Clients eine Verbindung herstellen.
Wenn Sie eine dynamische IP-Adresse von Ihrem ISP erhalten, ermöglicht
Ihnen der dynamische DNS die Verwendung einer eigenen Domäne (z. B.
meinesite.com) bzw. die Verwendung der ISP-Domäne und Ihrer Sub-Domäne für
die Verbindung mit Diensten wie einem VPN-Gateway, einer Website oder einem
FTP-Server. Wenn Sie beispielsweise einen virtuellen Web-Server einrichten und
Ihr Internet Service Provider weist Ihnen bei jeder neuen Serververbindung eine
andere IP-Adresse zu, können Ihre Benutzer immer auf www.meinesite.com
zugreifen.
46 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration des dynamischen DNS

Die Appliances unterstützen zwei Typen von dynamischen DNS-Diensten:


Standard und TZO. Sie können diese Dienste einrichten, indem Sie Kontoinfor-
mationen angeben, oder Sie können den dynamischen DNS deaktivieren.
In den Versionshinweisen zur Symantec Gateway Security Appliance der 300er
Serie finden Sie eine Liste der unterstützten Dienste.
Wenn Sie über ein TZO-Konto verfügen, erhalten Sie die folgenden Informatio-
nen für die Anmeldung und Verwendung Ihres Kontos: Schlüssel (Kennwort),
E-Mail (Benutzername) und Domäne. Halten Sie diese Informationen bereit,
bevor Sie die Appliance für die TZO-Verbindung konfigurieren. Weitere Informa-
tionen zum dynamischen TZO DNS-Dienst finden Sie unter http://www.tzo.com.
Wenn Sie einen DNS- Standarddienst verwenden, halten Sie die folgenden
Informationen bereit:
■ Kontoinformationen
Der Benutzername, der sich ggf. vom Kontonamen unterscheidet, und das
Kennwort für das dynamische DNS-Konto.
■ Server
Die IP-Adresse oder der auflösbare Name des dynamischen DNS-Servers.
Beispiel: mitglieder.dyndns.org.

Dynamischen DNS einrichten


Beim Modell 320 können Sie den WAN-Port für den dynamischen DNS konfigu-
rieren. Bei den Modellen 360 und 360R können Sie entweder WAN 1 oder WAN 2
oder beide Ports für den dynamischen DNS konfigurieren.
Siehe "Beschreibung der Felder im Register "Dynamisches DNS"" auf Seite 184.
Siehe "Beschreibung der Felder im Register "Setup - Allgemein"" auf Seite 175.

So richten Sie den dynamischen TZO-DNS-Dienst ein


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im Register "Dynamisches DNS" unter "Diensttyp" auf "TZO".
3 Führen Sie einen der folgenden Schritte aus:
■ Fahren Sie beim Modell 320 mit Schritt 4 fort.
■ Wählen Sie bei den Modellen 360 und 360R im Dropdown-Listenfeld
"WAN-Port" den WAN-Port aus, für den Sie den TZO-Dienst einrichten.
Konfiguration der Verbindung zu einem externen Netzwerk 47
Konfiguration des dynamischen DNS

4 Führen Sie unter "Dynamischer TZO DNS-Dienst" folgende Schritte aus:


■ Geben Sie in das Textfeld "Schlüssel" den Schlüssel ein, den Sie von TZO
erhalten haben, nachdem Ihr Konto erstellt wurde.
■ Geben Sie in das Textfeld "E-Mail" die E-Mail-Adresse ein, die Sie beim
Erstellen Ihres TZO-Kontos erhalten haben.
■ Geben Sie in das Textfeld "Domäne" den Domänennamen ein, den TZO
verwendet. Beispiel: marketing.mysite.com.
5 Klicken Sie auf "Speichern".

So richten Sie einen DNS-Standarddienst ein


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie im Register "Dynamisches DNS" unter "Diensttyp" auf "Standard".
3 Führen Sie einen der folgenden Schritte aus:
■ Fahren Sie beim Modell 320 mit Schritt 4 fort.
■ Wählen Sie bei den Modellen 360 und 360R im Dropdown-Listenfeld
"WAN-Port" den WAN-Port aus, für den Sie den dynamischen DNS ein-
richten.
4 Führen Sie unter "Standarddienst" folgende Schritte aus:

Benutzername Geben Sie den Benutzernamen für das dynamische DNS-


Benutzerkonto ein.

Kennwort Geben Sie das Kennwort für das DNS-Konto ein.

Kennwort bestätigen Geben Sie das Kennwort für das DNS-Konto erneut ein.

Server Geben Sie die IP-Adresse oder den auflösbaren DNS-Namen


für den dynamischen DNS-Server ein.

Host-Name Geben Sie einen Host-Namen ein.

5 Führen Sie optional unter "Optionale Standardeinstellungen" folgende


Schritte aus:
■ Um für den Zugriff auf das Netzwerk Eingaben der Art
"*.ihr_host.ihre_domäne.com" verwenden zu können (wobei * ein
CNAME wie "FTP" oder "www", "ihr_host" der Host-Name und
"ihre_domäne.com" Ihre Domäne ist), aktivieren Sie die Option "Platz-
halter".
■ Um einen Backup-Mail-Server zu verwenden, aktivieren Sie "Zweiter
MX-Eintrag".
■ Geben Sie in das Textfeld "Mail-Server (MX)" den Domänennamen des
Mail-Servers ein.
6 Klicken Sie auf "Speichern".
48 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration des dynamischen DNS

Update des dynamischen DNS erzwingen


Wenn Sie ein Update des dynamischen DNS erzwingen, sendet die Appliance ihre
aktuelle IP-Adresse, den Host-Namen und die Domäne an den Dienst. Verwenden
Sie diese Option nur, wenn Sie von der Technischen Unterstützung von
Symantec dazu aufgefordert werden.
Beim Modell 320 können Sie für den WAN-Port ein Update des dynamischen DNS
erzwingen. Bei den Modellen 360 und 360R können Sie entweder für WAN 1 oder
WAN 2 oder für beide Ports ein Update des dynamischen DNS erzwingen.

So erzwingen Sie ein DNS-Update


Siehe "Beschreibung der Felder im Register "Dynamisches DNS"" auf Seite 184.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im Register "Dynamisches DNS"
unter "Diensttyp" auf "Update".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Wählen Sie im Register "Dynamisches DNS" unter "Diensttyp" im
Dropdown-Listenfeld "WAN-Port" den WAN-Port aus, für den Sie den
TZO-Dienst konfigurieren.
■ Klicken Sie auf "Aktualisieren".

Dynamisches DNS deaktivieren


Sie können das dynamische DNS deaktivieren, wenn Sie eine eigene Domäne
hosten. Bei den Modellen 360 und 360R können Sie das dynamische DNS für
beide WAN-Ports deaktivieren.

So deaktivieren Sie das dynamische DNS


Siehe "Beschreibung der Felder im Register "Dynamisches DNS"" auf Seite 184.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie bei Verwendung des Modells 320 im Register "Dynamisches DNS"
unter "Diensttyp" auf "Deaktivieren".
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Wählen Sie im Register "Dynamisches DNS" unter "Diensttyp" im Drop-
down-Listenfeld "WAN-Port" den zu deaktivierenden WAN-Port aus.
■ Klicken Sie auf "Deaktivieren".
4 Klicken Sie auf "Speichern".
Konfiguration der Verbindung zu einem externen Netzwerk 49
Konfiguration des Routings

Konfiguration des Routings


Wenn Sie die Symantec Gateway Security Appliances der 300er Serie in einem
Netzwerk mit mehreren direkt verbundenen Routern installieren, müssen Sie
angeben, an welchen Router die Daten gesendet werden sollen. Die Appliances
unterstützen zwei Arten des Routings: dynamisch und statisch. Beim dynami-
schen Routing wird der beste Übertragungsweg für Pakete ausgewählt und die
Pakete werden an den entsprechenden Router gesendet. Beim statischen Routing
werden die Datenpakete an den von Ihnen angegebenen Router gesendet. Die
Routing-Informationen werden in einer Routing-Tabelle verwaltet.
Zur Verwaltung des dynamischen Routings wird das RIP v2-Protokoll verwendet.
Wenn RIP v2 aktiviert ist, überwacht und sendet die Appliance RIP-Anforderun-
gen sowohl an die interne (LAN-) als auch an die externe (WAN-)Schnittstelle.
RIP v2 aktualisiert die Routing-Tabelle basierend auf den Informationen von
nicht vertrauenswürdigen Quellen. Daher sollten Sie das dynamische Routing
nur für Intranet- oder Abteilungs-Gateways verwenden, bei denen Sie von ver-
trauenswürdigen Routing-Updates ausgehen können.
Routing gestaltet den Datenverkehr fließender, wenn es in einem Netzwerk meh-
rere Router gibt. Richten Sie das dynamische oder statische Routing gemäß Ihren
Anforderungen ein.

Dynamisches Routing aktivieren


Zum Aktivieren des dynamischen Routings sind keine Routing-Informationen
erforderlich.

So aktivieren Sie das dynamische Routing


Siehe "Beschreibung der Felder im Register "Routing"" auf Seite 187.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Aktivieren Sie im Register "Routing" unter "Dynamisches Routing" die
Option "RIP v2 aktivieren".
3 Klicken Sie auf "Speichern".

Einträge für statische Routen konfigurieren


Halten Sie vor dem Hinzufügen statischer Routen in die Routing-Tabelle die Ziel-
IP, die Netzmaske und die Gateway-Adressen für den Router bereit, an den der
Datenverkehr weitergeleitet wird. Diese Informationen erhalten Sie von Ihrer IT-
Abteilung.
50 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration des Routings

Sie können neue Route-Einträge hinzufügen, bestehende Einträge bearbeiten,


Einträge löschen oder eine Tabelle mit Einträgen anzeigen.

Hinweis: Wenn NAT aktiviert ist, werden in der Routing-Liste nur sechs Routen
angezeigt. Wenn NAT deaktiviert ist, werden in der Liste alle konfigurierten
Routen angezeigt.

Einträge für statische Routen konfigurieren


Sie können die Einträge für statische Routen hinzufügen, bearbeiten oder
löschen und eine Liste der vorhandenen Einträge anzeigen.
Siehe "Beschreibung der Felder im Register "Routing"" auf Seite 187.

So fügen Sie einen Route-Eintrag hinzu


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Führen Sie im Register "Routing" unter "Statische Routen" folgende Schritte
aus:

Ziel-IP Geben Sie die IP-Adressen ein, an die Datenpakete gesendet werden
sollen.

Netzmaske Geben Sie die Netzmaske des Routers ein, an den Datenpakete
gesendet werden.

Gateway Geben Sie die IP-Adresse der Schnittstelle ein, an die Datenpakete
gesendet werden.

Schnittstelle Wählen Sie die Schnittstelle aus, von der Daten gesendet werden.

Maßzahl Geben Sie eine Zahl ein, die die Reihenfolge der Einträge darstellt.
Wenn ein Eintrag beispielsweise an dritter Stelle stehen soll, geben
Sie "3" ein.

3 Klicken Sie auf "Hinzufügen".

So bearbeiten Sie einen Route-Eintrag


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Wählen Sie im Register "Routing" unter "Statische Routen" im Dropdown-
Listenfeld "Route-Eintrag" einen Route-Eintrag aus.
3 Ändern Sie unter "Statische Routen" die Daten wie erforderlich.
4 Klicken Sie auf "Aktualisieren".
Konfiguration der Verbindung zu einem externen Netzwerk 51
Konfiguration der erweiterten WAN-/ISP-Einstellungen

So löschen Sie einen Route-Eintrag


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Wählen Sie im Register "Routing" unter "Statische Routen" im Dropdown-
Listenfeld "Route-Eintrag" einen Route-Eintrag aus.
3 Klicken Sie auf "Löschen".

So zeigen Sie die Routing-Tabelle an


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Führen Sie im Register "Routing" einen Bildlauf zum Ende der Seite durch.

Konfiguration der erweiterten WAN-/ISP-


Einstellungen
Sie können erweiterte Verbindungseinstellungen einrichten, z. B. ein DNS-Gate-
way, HV/LV, SMTP-Bindung und Failover. Außerdem können Sie optionale Netz-
werkeinstellungen zur Identifizierung der Appliance im Netzwerk einrichten.

Hinweis: Das Modell 320 verfügt über einen WAN-Port und unterstützt die Hoch-
verfügbarkeit, die Lastverteilung und die Bandbreitenbündelung nicht.

Hochverfügbarkeit
Sie können die Hochverfügbarkeit pro WAN-Port auf drei Arten festlegen:
Normal, Aus oder Backup. In Tabelle 3-4 sind die einzelnen Modi beschrieben.

Tabelle 3-4 Hochverfügbarkeitsmodi

Modus Beschreibung

Normal Die Einstellungen für die Lastverteilung wirken sich auf den Port
aus, wenn dieser aktiviert und betriebsbereit ist.

Aus Der WAN-Port wird nicht verwendet.

Backup Der WAN-Port leitet den Datenverkehr nur weiter, wenn der andere
WAN-Port nicht betriebsbereit ist.

Standardmäßig ist WAN 1 auf "Normal" und WAN 2 auf "Aus" gesetzt.
Durch Bündelung können Sie die über WAN 1 und WAN 2 gesendete Datenmenge
zusammenfassen, um Ihren Clients mehr Bandbreite zur Verfügung zu stellen. In
WAN-Verbindungen kann je nach Art des Datenverkehrs durch Datenbündelung
bis zur doppelten Datenmenge übertragen werden.
52 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten WAN-/ISP-Einstellungen

So richten Sie die Hochverfügbarkeit ein


Siehe "Beschreibung der Felder im Register "Setup - Allgemein"" auf Seite 175.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Führen Sie im Register "Setup - Allgemein" folgende Schritte aus:
■ Um den WAN 1-Port einzurichten, wählen Sie unter "WAN 1" einen
Hochverfügbarkeitsmodus aus.
■ Um den WAN 2-Port einzurichten, wählen Sie unter "WAN 2" einen
Hochverfügbarkeitsmodus aus.
3 Klicken Sie auf "Speichern".

Lastverteilung
Die Symantec Gateway Security-Modelle 360 und 360R verfügen jeweils über
zwei WAN-Ports. Bei diesen Appliances können Sie die Hochverfügbarkeit und
die Lastverteilung (HV/LV) zwischen den beiden WAN-Ports einrichten.
Sie können festlegen, welcher Prozentsatz der Datenpakete über WAN 1 und wel-
cher über WAN 2 gesendet wird. Dabei müssen Sie nur den Prozentwert für WAN
1 eingeben. Der verbleibende Prozentsatz an Daten wird dann über WAN 2 gesen-
det. Verfügt ein WAN-Port nur über eine langsame Verbindung, verwenden Sie
für diesen WAN-Port auch nur einen geringen Prozentsatz. So können Sie die
Gesamt-Performance verbessern.

So richten Sie die Lastverteilung ein


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Geben Sie im Register "Erweitert" unter "Lastverteilung" im Textfeld "Last -
WAN 1" an, welcher Prozentsatz des Datenverkehrs über WAN 1 erfolgen
soll.
3 Klicken Sie auf "Speichern".

SMTP-Bindung
Verwenden Sie die SMTP-Bindung, wenn zwei Internetverbindungen über unter-
schiedliche ISPs und unterschiedliche WAN-Ports bestehen. Dadurch ist sicher-
gestellt, dass von einem Client gesendete E-Mail über den WAN-Port weitergelei-
tet wird, der für den E-Mail-Server vorgesehen ist.
Wenn sich der SMTP-Server in demselben Teilnetz befindet wie einer der WAN-
Ports, bindet das Sicherheits-Gateway den SMTP-Server automatisch an diesen
WAN-Port, ohne dass Sie die Bindungsdaten angeben müssen.
Konfiguration der Verbindung zu einem externen Netzwerk 53
Konfiguration der erweiterten WAN-/ISP-Einstellungen

So richten Sie die SMTP-Bindung ein


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie auf das Register "Erweitert" und wählen Sie unter "Lastvertei-
lung" im Dropdown-Listenfeld "SMTP an WAN-Port binden" eine Option aus.
3 Klicken Sie unter "DNS-Gateway" auf "Speichern".

Bindung an andere Protokolle


Mithilfe der Routing-Funktionalität der Firewall können Sie andere Daten bin-
den. Zum Routen von Datenverkehr für die IP-Adresse des Ziel-Servers an einen
bestimmten WAN-Port richten Sie eine statische Route ein.
Siehe "Konfiguration des Routings" auf Seite 49.

Failover
Sie können festlegen, dass die Appliance regelmäßig überprüft, dass eine Verbin-
dung aktiv und somit für Ihre Clients verfügbar ist. Dabei sendet die Appliance
nach einem von Ihnen angegebenen Zeitraum (z. B. 10 Sekunden) ein PING-Sig-
nal an die URL, die Sie für den Server für den Verbindungscheck angegeben
haben. Wenn Sie keinen Server für den Verbindungscheck angeben, wird das
Standard-Gateway verwendet.

Hinweis: Geben Sie für den Test einen DNS-Namen oder eine IP-Adresse an, bei
denen sicher mit einer Reaktion auf eine Anforderung zu rechnen ist. Anderen-
falls kann es sein, dass der Test eine inaktive Verbindung ergibt, obwohl diese
tatsächlich aktiv ist.

Wenn die Verbindung über den WAN-Port des Modells 320 fehlschlägt, leitet das
Sicherheits-Gateway den Datenverkehr an das Modem weiter, das an der seriel-
len Schnittstelle angeschlossen ist. Wenn bei den Modellen 360 und 360R die
Verbindung über einen der WAN-Ports fehlschlägt, leitet das Sicherheits-Gate-
way den Datenverkehr an den jeweils anderen WAN-Port weiter. Wenn die Ver-
bindung über beide WAN-Ports fehlschlägt, leitet das Sicherheits-Gateway den
Datenverkehr über die serielle Schnittstelle weiter.
Wenn eine Leitung physisch unterbrochen ist, wird sie wie eine getrennte Lei-
tung behandelt und die Appliance versucht, den Datenverkehr an die serielle
Schnittstelle bzw. den zweiten WAN-Port weiterzuleiten.
54 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten WAN-/ISP-Einstellungen

Wenn ein Kabel angeschlossen ist, prüft die Appliance im Abstand von einigen
Sekunden, ob die Leitung aktiv ist. Wenn keine Verbindung über die Leitung her-
gestellt werden kann, wird im Register "Protokoll/Überwachen > Status" der
Status "Getrennt" angezeigt, und es wird versucht, die Daten über eine andere
Leitung zu senden.
Weitere Informationen zum Einrichten der Wählverbindung für das Failover fin-
den Sie unter "Wählverbindungen" auf Seite 38. Weitere Informationen zum Ein-
richten von Echo-Anforderungen bei PPP-Verbindungen finden Sie unter
"PPPoE-Verbindung manuell herstellen" auf Seite 32.

So richten Sie die Failover-Funktion ein


Siehe "Beschreibung der Felder im Register "Setup - Allgemein"" auf Seite 175.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Um einen Verbindungs-Check für den WAN 1-Port einzurichten, klicken Sie
auf das Register "Setup - Allgemein" und geben Sie unter "WAN 1 (extern)" in
das Textfeld "Server für Verbindungs-Check" die IP-Adresse oder den auflös-
baren DNS-Namen eines Servers ein, an die bzw. den Datenpakete gesendet
werden sollen.
3 Um einen Verbindungs-Check für den WAN 2-Port einzurichten, klicken Sie
auf das Register "Setup - Allgemein" und geben Sie unter "WAN 2 (extern)" in
das Textfeld "Server für Verbindungs-Check" die IP-Adresse oder den auflös-
baren DNS-Namen eines Servers ein, an die bzw. den Datenpakete gesendet
werden sollen.
4 Klicken Sie auf "Speichern".

DNS-Gateway
Sie können für die lokale und Remote-Namensauflösung über Ihr VPN ein DNS-
Gateway angeben.Die Appliances können für die lokale und Remote-Namens-
auflösung über das VPN (Gateway-to-Gateway oder Client-to-Gateway) ein DNS-
Gateway verwenden.
Sie können ein Backup-DNS-Gateway angeben. Dieses Backup-DNS-Gateway (in
der Regel ein von Ihrem ISP bereitgestelltes DNS-Gateway) übernimmt die
Namensauflösung, wenn zum ursprünglich angegebenen DNS-Gateway keine
Verbindung hergestellt werden kann.

So richten Sie ein DNS-Gateway ein


Sie können ein primäres und ein Backup-DNS-Gateway einrichten.
Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
Konfiguration der Verbindung zu einem externen Netzwerk 55
Konfiguration der erweiterten WAN-/ISP-Einstellungen

So richten Sie ein DNS-Gateway ein


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Kicken Sie auf das Register "Erweitert" und geben Sie unter "DNS-Gateway"
in das Textfeld "DNS-Gateway" die IP-Adresse des DNS-Gateways ein.
3 Klicken Sie auf "Speichern".

So richten Sie ein Backup-DNS-Gateway ein


1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Klicken Sie auf das Register "Erweitert" und aktivieren Sie unter "DNS-
Gateway" die Option "DNS-Gateway-Backup aktivieren".
3 Klicken Sie auf "Speichern".

Optionale Netzwerkeinstellungen
Mithilfe der optionalen Netzwerkeinstellungen wird Ihre Appliance in Ihrem
Netzwerk identifiziert. Wenn beim Verbinden mit oder Verweisen auf Ihre
Appliance ein Name verwendet werden soll, müssen Sie optionale Einstellungen
festlegen.
Bei einigen Internet Service Providern wird die Identifizierung anhand der
physischen Adresse (MAC-Adresse) des Ethernet-Ports durchgeführt. Dies ist in
der Regel bei Breitband-Diensten (DHCP) der Fall. Sie können die Adapteradresse
Ihrer Netzwerkkarte imitieren, um die Verbindung zu Ihrem ISP über die
Symantec Gateway Security Appliance der 300er Serie herzustellen. Diese Vor-
gehensweise wird als MAC-Adressen-Cloning oder -Maskierung bezeichnet.
Wenn die Appliance als drahtloser Zugangspunkt verwendet wird, müssen die
optionalen Netzwerkeinstellungen eingerichtet werden. Weitere Informationen
hierzu finden Sie im Symantec Gateway Security 300 Wireless Implementierungs-
handbuch.
Beim Modell 320 können Sie diese Einstellungen für den WAN-Port vornehmen.
Bei den Modellen 360 und 360R können Sie diese Einstellungen für einen oder
beide WAN-Ports festlegen.
Beim Festlegen der optionalen Netzwerkeinstellungen benötigen Sie die folgen-
den Informationen:

Host-Name Name der Appliance. Beispielsweise "Marketing".

Domänenname Name der Appliance im Internet. Beispiel: meine_site.com. Wenn


der Host-Name beispielsweise "marketing" ist, ist der Name der
Appliance "marketing.meine_site.com".
56 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten WAN-/ISP-Einstellungen

MAC-Adresse Physische Adresse des WANs, in dem sich die Appliance befindet.
Zum MAC-Cloning sollten Sie die MAC-Adresse verwenden, die der
ISP sehen wird, und nicht die Adresse der Appliance.

So richten Sie die optionalen Netzwerkeinstellungen ein


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 189.
1 Klicken Sie im SGMI im linken Teilfenster auf "WAN/ISP".
2 Falls Sie das Modell 320 verwenden, führen Sie folgende Schritte aus:
■ Wählen Sie im rechten Teilfenster das Register "Setup - Allgemein" und
geben Sie unter "Optionale Netzwerkeinstellungen" in das Textfeld
"Host-Name" einen Host-Namen ein.
Bei der Eingabe des Host- und des Domänennamens muss die Groß- und
Kleinschreibung beachtet werden.
■ Geben Sie in das Textfeld "Domänenname" den Domänennamen der
Appliance ein.
■ Geben Sie in die Textfelder für die MAC-Adresse die zu klonende WAN-
MAC-Adresse ein.
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Um den WAN 1- oder den WAN 2-Port zu konfigurieren, wählen Sie im
rechten Teilfenster das Register "Setup - Allgemein" und führen Sie
unter "Optionale Netzwerkeinstellungen" im Bereich "WAN 1 (extern)"
oder "WAN 2 (extern)" einen der folgenden Schritte aus:

Textfeld "Host-Name" Geben Sie einen Host-Namen ein.


Bei der Eingabe des Host- und des Domänennamens
muss die Groß- und Kleinschreibung beachtet werden.

Textfeld "Domänenname" Geben Sie einen Domänennamen für die Appliance


ein.

Textfeld "MAC-Adresse" Geben Sie die zu klonende WAN-MAC-Adresse ein.

4 Klicken Sie auf "Speichern".


Nachdem Sie die Angaben gespeichert haben, wird die Appliance neu gestartet.
Die Netzwerkverbindung wird unterbrochen.
Kapitel 4
Konfigurieren interner
Verbindungen
In diesem Kapitel werden folgende Themen behandelt:

■ Konfiguration der LAN-IP-Einstellungen

■ Konfiguration der Appliance als DHCP-Server

■ Konfiguration der Port-Zuweisungen


Mit den LAN-Einstellungen können Sie die Symantec Gateway Security Appliance
der 300er Serie für den Einsatz in einem neuen oder vorhandenen internen Netz-
werk konfigurieren.
Jeder Appliance ist standardmäßig eine IP-Adresse und eine Netzmaske zugeord-
net. Sie können die IP-Adresse und die Netzmaske ändern. Auf diese Weise kön-
nen Sie der Appliance eine IP-Adresse und eine Netzmaske zuordnen, die in Ihr
bestehendes Netzwerk eingepasst sind.
Sie können die Appliance auch als DHCP-Server für die Clients im LAN konfigu-
rieren. Dadurch werden den Clients IP-Adressen dynamisch zugewiesen, so dass
Sie nicht für jeden Client eine statische IP-Adresse einrichten müssen.

Hinweis: Das Modell 320 verfügt über vier LAN-Ports. Die Modelle 360 und 360R
verfügen über acht LAN-Ports. Sie müssen pro Port die Port-Einstellungen mit-
hilfe der Port-Zuweisungen einrichten. Mithilfe dieser Einstellungen können
drahtlose und kabelgebundene LANs konfiguriert werden.
58 Konfigurieren interner Verbindungen
Konfiguration der LAN-IP-Einstellungen

Konfiguration der LAN-IP-Einstellungen


Standardmäßig hat jede Appliance die IP-Adresse 192.168.0.1 und die Netzmaske
255.255.255.0. Sie können diese IP-Adresse und Netzmaske für ein LAN ändern.
Dies ist sinnvoll, wenn Sie ein LAN so einrichten möchten, dass es ein eindeutiges
Teilnetz in Ihrer Netzwerkumgebung darstellt. Wenn die IP-Adresse 192.168.0.x
in Ihrem Netzwerk beispielsweise bereits vergeben ist, können Sie der Appliance
die IP-Adresse 10.10.10.x zuweisen, um das bestehende Netzwerk nicht neu kon-
figurieren zu müssen.
Sie können die IP-Adresse und die Netzmaske der Appliance jederzeit ändern. Die
Standard-IP-Adresse ist 192.168.0.1 und die Standard-Netzmaske ist
255.255.255.0. Die von Ihnen für die Appliance verwendete IP-Adresse darf keine
Null (0) an letzter Stelle haben.
Sie können die IP-Adresse der Appliance nicht auf "192.168.1.0" setzen.

Warnung: Nachdem Sie die LAN-IP-Adresse der Appliance geändert haben, müs-
sen Sie zur neuen Appliance-IP-Adresse navigieren, um das SGMI verwenden zu
können. Wenn Sie auf die Browser-Schaltfläche zum Abrufen der vorherigen
Seite klicken, versucht dieser, auf die alte IP-Adresse zuzugreifen.

So ändern Sie die LAN-IP-Adresse einer Appliance


Siehe "Beschreibung der Felder im Register "LAN-IP & DHCP"" auf Seite 171.
1 Klicken Sie im linken Teilfenster des SGMI auf "LAN".
2 Klicken Sie im rechten Teilfenster auf das Register "LAN-IP & DHCP" und
geben Sie unter "LAN-IP" in das Textfeld "IP-Adresse" die neue IP-Adresse
ein.
3 Geben Sie in das Textfeld "Netzmaske" die neue Netzmaske ein.
4 Klicken Sie auf "Speichern".

Konfiguration der Appliance als DHCP-Server


Durch das DHCP (Dynamic Host Configuration Protocol) werden Computern in
einem LAN automatisch lokale IP-Adressen zugewiesen, ohne dass diesen Com-
putern manuell eine eigene IP-Adresse zugeordnet werden muss. Dadurch müs-
sen Sie für die einzelnen Computer in einem LAN keine statischen (permanenten)
IP-Adressen einrichten, was dann hilfreich ist, wenn Sie nur eine beschränkte
Anzahl an IP-Adressen zur Verfügung haben. Wenn ein Computer eines LANs
eingeschaltet wird, weist der DHCP-Server diesem eine IP-Adresse aus dem ver-
fügbaren Adressbereich zu.
Konfigurieren interner Verbindungen 59
Konfiguration der Appliance als DHCP-Server

Hinweis: Jeder Client-Computer, der DHCP verwenden soll, muss in den Netzwerk-
einstellungen so konfiguriert sein, dass er seine IP-Adresse automatisch abruft.

Standardmäßig kann die Appliance Adressen aus einem Bereich von 192.168.0.2
bis 192.168.0.XXX zuweisen, wobei XXX der Anzahl der Clients zuzüglich zwei
Adressen entspricht. Wenn Ihre Appliance beispielsweise 50 Clients unterstützt,
lautet die letzte IP-Adresse 192.168.0.52. Der DHCP-Server der Appliance unter-
stützt bis zu 253 IP-Adressen von mit ihm verbundenen Computern. Wenn Sie
die IP-Adresse der Appliance ändern, müssen Sie den IP-Adressbereich entspre-
chend anpassen. Siehe "So ändern Sie den DHCP-IP-Adressbereich" auf Seite 60.
Tabelle 4-1 enthält die vorgegebene Anfangs- und End-IP-Adresse für die einzel-
nen Appliance-Modelle. Der vorgegebene Adressbereich basiert jeweils auf der
empfohlenen Höchstzahl von gleichzeitig mit der Appliance verbundenen
Clients. Die Anzahl der Clients, die unterstützt werden, kann je nach Art des
Datenverkehrs variieren.
Tabelle 4-1 Vorgegebene IP-Adressbereiche

Modell Anzahl der Clients Anfangs-IP-Adresse End-IP-Adresse

320 50 192.168.0.2 192.168.0.76

360 75 192.168.0.2 192.168.0.76

Der DHCP-Server unterstützt nur Klasse-C-Netzwerke. Der Adressbereich von


Klasse-C-Netzwerken reicht von "192.0.0.0" bis "223.255.255.0". Die ersten drei
Oktette, also "192.0.0" bis "223.255.255", bilden die Netzwerknummer. Jede
Klasse-C-Adresse kann ein Host-Oktett enthalten.
Die Appliance kann in anderen Netzwerkklassen verwendet werden. Der DHCP-
Server unterstützt dies jedoch nicht.
Wenn sich in Ihrem Netzwerk Clients befinden, die sowohl dynamische als auch
statische IP-Adressen verwenden, müssen sich die statischen IP-Adressen außer-
halb des dynamischen Adressbereichs befinden. Bei Bedarf können Sie auch eini-
gen Diensten statische IP-Adressen zuweisen. Einem Web-Server an Ihrem
Standort würden Sie beispielsweise eine statische Adresse zuweisen.
Der DHCP-Server der Appliance ist standardmäßig aktiviert. Wenn Sie den
DHCP-Server deaktivieren, müssen Sie jedem Client, der mit dem LAN verbunden
wird, eine IP-Adresse zuweisen, die innerhalb des DHCP-Adressbereichs liegt.
Wenn Sie die Appliance als sekundären drahtlosen Zugangspunkt verwenden
und die Roaming-Funktion aktivieren, ist der DHCP-Server deaktiviert.
60 Konfigurieren interner Verbindungen
Konfiguration der Appliance als DHCP-Server

Appliance als DHCP-Server einrichten


Sie können die DHCP-Funktion aktivieren oder deaktivieren. Außerdem können
Sie den IP-Adressbereich festlegen, den die Appliance den Clients zuweisen kann.
Siehe "Beschreibung der Felder im Register "LAN-IP & DHCP"" auf Seite 171.

So aktivieren oder deaktivieren Sie DHCP


1 Klicken Sie im SGMI im linken Teilfenster auf "LAN".
2 Führen Sie im rechten Teilfenster im Register "LAN-IP & DHCP" unter
"DHCP" einen der folgenden Schritte aus:
■ Um die Appliance als DHCP-Server zu aktivieren, wählen Sie die Option
"Aktivieren" aus.
■ Um die Appliance als DHCP-Server zu deaktivieren, wählen Sie die
Option "Deaktivieren" aus.
3 Geben Sie in das Textfeld "Beginn des IP-Adressbereichs" die erste IP-
Adresse ein.
4 Geben Sie in das Textfeld "Ende des IP-Adressbereichs" die letzte IP-Adresse
ein.
5 Klicken Sie auf "Speichern".

So ändern Sie den DHCP-IP-Adressbereich


1 Klicken Sie im linken Teilfenster des SGMI auf "LAN".
2 Führen Sie im rechten Teilfenster im Register "LAN-IP & DHCP" unter
"DHCP" folgende Schritte aus:
■ Geben Sie in das Textfeld "Beginn des IP-Adressbereichs" die erste IP-
Adresse ein.
■ Geben Sie in das Textfeld "Ende des IP-Adressbereichs" die letzte IP-
Adresse ein.
3 Klicken Sie auf "Speichern".

DHCP-Verwendung überwachen
In der DHCP-Tabelle sind die Adressen aufgeführt, die verbundenen Clients
zugewiesen sind. Der Host-Name, die IP-Adresse, die physische Adresse und der
Status werden pro Client angezeigt. Nach einem Neustart der Appliance dauert
es bis zu einer Stunde, bis diese Tabelle vollständig aktualisiert ist.

So zeigen Sie die DHCP-Tabelle an


Siehe "Beschreibung der LAN-Felder" auf Seite 170.
◆ Klicken Sie im linken Teilfenster des SGMI auf "LAN".
Konfigurieren interner Verbindungen 61
Konfiguration der Port-Zuweisungen

Konfiguration der Port-Zuweisungen


In den Port-Zuweisungen des Sicherheits-Gateways können Sie angeben, ob sich
der LAN-Port in einem vertrauenswürdigen oder einem nicht vertrauenswürdi-
gen Netzwerk befindet. Vertrauenswürdige Ports sollten für Netzwerke verwen-
det werden, in denen für die Verbindung zum LAN keine VPN-Authentifizierung
durchgeführt wird. Nicht vertrauenswürdige Ports sollten für drahtlose oder
kabelgebundene LAN-Verbindungen verwendet werden, die über VPN-Clients
erfolgen.
An den LAN-Ports lassen sich eine Reihe von Netzwerk-Geräten anschließen:
Router, Switches, Clients oder andere Symantec Gateway Security Appliances
der 300er Serie. Wählen Sie für diese Geräte die Port-Zuweisung "Standard".
Wenn Sie eine als drahtlosen Zugangspunkt konfigurierte Appliance der
Symantec Gateway Security 300 Serie mit einem LAN-Port verbinden, können
Sie die Verbindung mithilfe der VPN-Technologie sichern. Weitere Informatio-
nen hierzu finden Sie im Symantec Gateway Security 300 Wireless Implementie-
rungshandbuch.
Wenn Sie eine Port-Zuweisung festgelegt haben, wird an den nicht vertrauens-
würdigen Ports ein verschlüsselter VPN-Datenverkehr erzwungen. Dabei werden
für die Verbindung mit der Appliance globale Tunnels und für die Verbindung
mit WAN-seitigen Endpunkten der IPsec-Durchgang verwendet.

Standard-Port-Zuweisung
Wenn LAN-Ports als Standard eingerichtet sind, fungiert die Appliance als typi-
scher Switch, d. h. sie leitet Datenverkehr basierend auf der MAC-Adresse weiter
und der Datenverkehr kommt nur beim Sicherheits-Gateway an, wenn dieses
speziell dafür eingerichtet wurde.
Diese Option unterstützt keine Client-VPN-Tunnels, die im LAN enden. Wenn ein
LAN-Port als Standard definiert wurde, wird er nicht als Teil des VLANs betrachtet.
Wenn Sie "Standard" wählen, wird am Switch kein VPN-Datenverkehr erzwun-
gen, d. h. es wird von einem vertrauenswürdigen privaten Netzwerk ausgegangen.

Port-Zuweisungen konfigurieren
Sie können für einen LAN-Port eine bestimmte Zuweisung festlegen oder die
Standard-Port-Einstellungen wiederherstellen.
Siehe "Beschreibung der Felder im Register "Port-Zuweisungen"" auf Seite 172.
62 Konfigurieren interner Verbindungen
Konfiguration der Port-Zuweisungen

So konfigurieren Sie eine Port-Zuweisung


1 Klicken Sie im linken Teilfenster des SGMI auf "LAN".
2 Klicken Sie im rechten Teilfenster auf das Register "Port-Zuweisungen" und
wählen Sie unter "Physische LAN-Ports" im Dropdown-Listenfeld "Port-
Nummer" eine Port-Zuweisung aus.
3 Klicken Sie auf "Speichern".
Die Appliance wird nach dem Speichern der Port-Einstellungen neu gestartet.

So stellen Sie die Standardeinstellungen für die Port-Zuweisung wieder her


1 Klicken Sie im linken Teilfenster des SGMI auf "LAN".
2 Wählen Sie im rechten Teilfenster das Register "Port-Zuweisungen" und
klicken Sie unter "Physische LAN-Ports" auf "Standard wiederherstellen".
Die Appliance wird nach dem Speichern der Port-Einstellungen neu gestartet.
Kapitel 5
Steuerung des Netzwerkverkehrs
In diesem Kapitel werden folgende Themen behandelt:
■ Planung des Netzwerkzugriffs
■ Wissenwertes über Computer und Computer-Gruppen
■ Definition von Eingangsregeln
■ Definition von Ausgangsregeln
■ Konfiguration von Diensten
■ Konfiguration spezieller Anwendungen
■ Konfiguration der erweiterten Optionen
Die Symantec Gateway Security Appliance der 300er Serie ermöglicht durch ihre
Firewall-Technologie das Konfigurieren der Firewall-Komponente gemäß Ihren
Sicherheitsanforderungen. Beim Konfigurieren der Firewall müssen Sie alle Kno-
ten (Computer) angeben, die in Ihrem Netzwerk geschützt werden sollen.

Hinweis: In diesem Kapitel wird der Begriff "Computer" verwendet. Computer


sind alle Komponenten, die über eine eigene IP-Adresse verfügen, z. B. ein
Terminal-Server, ein Netzwerk-Kopiergerät, ein Desktop-PC, ein Laptop, ein
Server, ein Drucker-Server usw.

Planung des Netzwerkzugriffs


Durch Erstellen von Sicherheitsrichtlinien lässt sich leicht feststellen, welche
Konfigurationen vorgenommen werden müssen. Weitere Informationen hierzu
finden Sie im Installationshandbuch zur Symantec Gateway Security Appliance
der 300er Serie.
64 Steuerung des Netzwerkverkehrs
Wissenwertes über Computer und Computer-Gruppen

Stellen Sie vor dem Konfigurieren des Sicherheits-Gateways die folgenden Über-
legungen an:
■ Setzen Sie sich mit Computern und Computer-Gruppen auseinander.
Siehe "Wissenwertes über Computer und Computer-Gruppen" auf Seite 64.
■ Welche Art von Benutzern soll durch das Sicherheits-Gateway geschützt
werden? Sollen alle Benutzer dieselben Zugriffsrechte und Berechtigungen
haben?
■ Welche Dienste möchten Sie internen Benutzern bereitstellen?
■ Welche Standard-Anwendungsdienste möchten Sie externen Benutzern
bereitstellen?
■ Welche speziellen Anwendungsdienste sollen für externe Benutzer und
Hosts verfügbar sein?

Wissenwertes über Computer und Computer-Gruppen


Computer sind Knoten, die sich hinter der Appliance befinden. Dies umfasst
dauerhaft an das LAN angeschlossene Laptops, Anwendungs-Server und Hosts
oder Drucker. Sie konfigurieren die Appliance so, dass sie die Computer an ihrer
MAC-Adresse (physische Adresse) erkennt.
Mithilfe von Computer-Gruppen können Sie Ausgangsregeln für Computer
erstellen, für die dieselben Zugriffsmodalitäten gelten sollen. Anstatt für jeden
einzelnen Computer in Ihrem Netzwerk Regeln für den Datenverkehr zu definie-
ren, können Sie Computer-Gruppen festlegen, die Computer jeweils einer Gruppe
zuweisen und anschließend Regeln für die Gruppen erstellen.
Standardmäßig sind alle Computer der Gruppe "Alle" zugewiesen und unterlie-
gen keinen Beschränkungen hinsichtlich der Kommunikation mit dem Internet.
Dazu müssen sie einer anderen Computer-Gruppe zugeordnet werden, für die
Datenverkehrregeln eingerichtet wurden. Sie können Regeln für die Gruppe
"Alle" erstellen oder Sie können die Computer einer von vier Computer-Gruppen
zuordnen und jeder Gruppe andere Regeln zuweisen. Dies ermöglicht eine bes-
sere Kontrolle. Computer, die nicht in der Computer-Tabelle aufgeführt sind,
werden der Gruppe "Alle" zugeordnet.

Hinweis: Die Appliance unterstützt fünf Computer-Gruppen: Alle, Gruppe 1,


Gruppe 2, Gruppe 3 und Gruppe 4. Computer-Gruppen können nicht hinzuge-
fügt, gelöscht oder umbenannt werden.
Steuerung des Netzwerkverkehrs 65
Wissenwertes über Computer und Computer-Gruppen

Führen Sie die nachfolgend aufgeführten Schritte in der genannten Reihenfolge


aus, bevor Sie Eingangs- und Ausgangsregeln für den Datenverkehr festlegen:
■ Definieren Sie die Computer-Gruppen.
Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf Seite 65.
■ Definieren Sie die Computer, die sich hinter der Appliance befinden, und wei-
sen Sie sie den Computer-Gruppen zu.
Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf Seite 65.

Mitgliedschaft für Computer-Gruppen festlegen


Das Konfigurieren der Computer ist der erste Schritt beim Einrichten der
Firewall-Komponente der Appliance.
Weisen Sie beim Erstellen der Sicherheitsrichtlinien den größten Teil der Hosts
der Computer-Gruppe "Alle" zu, um den Eingabe- und Verwaltungsaufwand für
die MAC-Adressen gering zu halten. Standardmäßig sind alle Hosts der Gruppe
"Alle" zugeordnet. Dies ändert sich, wenn Sie sie einer der vier anderen Gruppen
zuordnen.
Bestimmen Sie anhand Ihrer Sicherheitsrichtlinien, wie viele Computer-Grup-
pen Sie benötigen und welche Benutzer Sie den einzelnen Gruppen zuordnen.
Im Register "Computer" können Sie die einzelnen Computer angeben, indem Sie
deren MAC-Adresse eingeben. Darüber hinaus können Sie den Computern eine
statische IP-Adresse zuweisen, sie einer Computer-Gruppe zuordnen und sie an
eine PPPoE-Sitzung binden (falls Ihr ISP mehrere PPPoE-Sitzungen anbietet).
Siehe "PPPoE" auf Seite 29.

Hinweis: Die MAC-Adresse eines Windows-basierten Computers ermitteln Sie,


indem Sie in der DOS-Eingabeaufforderung den Befehl "ipconfig /all" eingeben
und die physische Adresse suchen.

Die Modelle 360 und 360R ermöglichen es, einen Computer auf einen WAN-Port
zu beschränken. Dies ist sinnvoll, wenn Sie an den zwei WAN-Ports unterschied-
liche Breitbandverbindungen verwenden und ein Computer einen bestimmten
WAN-Port verwenden soll. Dies bietet sich bei Servern oder Anwendungen an, die
immer eine bestimmte WAN-IP-Adresse verwenden müssen, z. B. FTP. Standard-
mäßig ist diese Option deaktiviert.

Computer konfigurieren
Wenn Sie ein ISP-Konto für mehrere PPPoE-Sitzungen verwenden, binden Sie in
diesem Register einen Host an eine Sitzung (WAN-IP).
66 Steuerung des Netzwerkverkehrs
Wissenwertes über Computer und Computer-Gruppen

Sie können den Konfigurationsvorgang jederzeit durch Klicken auf "Abbrechen"


beenden. Sie können die Angaben im Register jederzeit durch Klicken auf "Anga-
ben löschen" entfernen.
Wenn Sie "Host reservieren" aktivieren, ist sichergestellt, dass der DHCP-Server
dem Computer, den Sie einrichten, immer die festgelegte IP-Adresse anbietet. Sie
können diese IP-Adresse auch als statische Adresse auf Ihrem Computer ein-
richten.
Siehe "Beschreibung der Felder im Register "Computer"" auf Seite 191.

So konfigurieren Sie einen neuen Computer


1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Geben Sie im Register "Computer" in das Textfeld "Host-Name" einen Host-
Namen ein.
3 Geben Sie in das Textfeld "MAC-Adresse der Netzwerkkarte" die Adresse der
Netzwerkkarte (NIC, Network Interface Card) des Hosts ein.
4 Wenn der Computer ein Anwendungs-Server ist, der Zugriff auf eine Ein-
gangsregel haben soll, oder wenn Sie eine IP-Adresse für einen Computer
reservieren möchten, der kein Anwendungs-Server ist, aktivieren Sie "Host
reservieren" unter "Anwendungs-Server".
Siehe "Definition von Eingangsregeln" auf Seite 68.
5 Geben Sie in das Textfeld "IP-Adresse" die IP-Adresse des Hosts ein.
6 Wählen Sie im Dropdown-Listenfeld "Computer-Gruppe" eine Gruppe für
den Host aus.
Die Eigenschaften von Computer-Gruppen sind im Register "Firewall >
Computer-Gruppen" festgelegt. Siehe "Definition von Eingangsregeln" auf
Seite 68.
7 Wählen Sie unter "Sitzungszuordnung" im Dropdown-Listenfeld "Bindung
an PPPoE-Sitzung" die Sitzung aus, an die der Host gebunden sein soll.
Sie müssen bei Ihrem ISP über ein PPPoE-Konto verfügen, das mehrere
Sitzungen unterstützt, um einen Host an eine PPPoE-Sitzung binden zu kön-
nen. Wenn Sie nicht über ein PPPoE-Konto bei Ihrem ISP verfügen, ändern
Sie die Option "Sitzung 1" im Dropdown-Listenfeld "Bindung an PPPoE-
Sitzung" nicht.
8 Klicken Sie auf "Hinzufügen".
Wenn Sie prüfen möchten, ob ein Host konfiguriert wurde, aktivieren Sie die
"Liste der Hosts" im unteren Teil des Fensters. Die Angaben in der Liste stimmen
mit den Angaben überein, die Sie beim Konfigurieren des Hosts gemacht haben.
Wenn Sie den Computer-Gruppen alle Computer zugeordnet haben, können Sie
die Eigenschaften für jede Gruppe festlegen.
Steuerung des Netzwerkverkehrs 67
Wissenwertes über Computer und Computer-Gruppen

So aktualisieren Sie einen vorhandenen Computer


1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Computer" und wählen Sie
unter "Host-Identität" im Dropdown-Listenfeld "Host" einen Host aus.
3 Nehmen Sie die Änderungen in den Computer-Feldern vor.
4 Klicken Sie auf "Aktualisieren".
Der aktualisierte Computer wird in der Liste der Hosts angezeigt.

So löschen Sie einen vorhandenen Computer


1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Computer" und wählen Sie
unter "Host-Identität" im Dropdown-Listenfeld "Host" einen Host aus.
3 Klicken Sie auf "Löschen".

Computer-Gruppen definieren
Computer-Gruppen sind logische Gruppen von Netzwerk-Entitäten, die für Aus-
gangsregeln verwendet werden. Sie müssen alle lokalen Hosts (Knoten) im Regis-
ter "Computer" konfigurieren und an die Computer-Gruppe binden, in der sie
sich befinden. Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf
Seite 65.
Sie können die folgenden Einstellungen für eine Computer-Gruppe vornehmen:
■ Einhaltung von Virenschutz-Richtlinien.
Siehe "Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe)" auf
Seite 108.
■ Content Filtering.
Siehe "Erweiterte Steuerung des Netzwerkverkehrs" auf Seite 107.
■ Zugriffssteuerung.
Siehe "Definition von Eingangsregeln" auf Seite 68.

So definieren Sie Eigenschaften von Computer-Gruppen


Siehe "Beschreibung der Felder im Register "Computer-Gruppen"" auf Seite 193.
1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Computer-Gruppen" und
wählen Sie unter "Sicherheitsrichtlinien" im Dropdown-Listenfeld "Compu-
ter-Gruppe" die zu konfigurierende Computer-Gruppe aus.
68 Steuerung des Netzwerkverkehrs
Definition von Eingangsregeln

3 Aktivieren Sie unter "Einhaltung von Virenschutz-Richtlinien" die Option


"Einhaltung von Virenschutz-Richtlinien aktivieren", um AVpe zu aktivieren.
4 Wenn Sie AVpe aktivieren, wählen Sie die folgenden Optionen:
■ Nur warnen
■ Verbindungen blockieren
5 Wenn Sie unter "Content Filtering" die Option "Content Filtering aktivieren"
auswählen, müssen Sie auch eine der folgenden Optionen aktivieren:
■ Liste vom Typ "Zulassen" verwenden
■ Liste vom Typ "Ablehnen" verwenden
6 Wählen Sie unter "Zugriffssteuerung (Ausgangsregeln)" eine der folgenden
Optionen aus:
■ Keine Einschränkungen
■ GESAMTEN ausgehenden Netzwerkverkehr blockieren
■ Regeln verwenden, die im Bildschirm "Ausgangsregeln" definiert
wurden.
Siehe "Definition von Ausgangsregeln" auf Seite 70.
7 Klicken Sie auf "Speichern".

Definition von Eingangsregeln


Eingangsregeln steuern den Datenverkehr, der an den Anwendungs-Servern in
Ihren durch Appliances geschützten Netzwerken eingeht. Standardmäßig wird
der eingehende Datenverkehr grundsätzlich abgelehnt (automatisch blockiert).
Sie müssen Eingangsregeln für den zulässigen Datenverkehr definieren. Wenn
der eingehende Datenverkehr ein Protokoll oder eine Anwendung umfasst, die
nicht Teil einer aktivierten Regel ist, wird die Verbindungsanforderung abge-
lehnt und protokolliert. Die Appliance unterstützt maximal 25 Eingangsregeln.
Beim Erstellen von Eingangsregeln müssen Sie angeben, welche Anwendungs-
Server, Dienste, Protokolle und Ports die Regel zulässt, und Quell- und Zielinfor-
mationen für jede Regel festlegen. Wenn Sie eine Eingangsregel erstellt haben,
werden von externen Hosts gesendete Daten zugelassen, die der Regel ent-
sprechen.
Durch Eingangsregeln werden an den WAN-Ports eingehende Daten an einen
anderen internen Server des geschützten LANs weitergeleitet. Wenn Sie bei-
spielsweise eine Eingangsregel für HTTP definieren, werden alle am WAN-Port
eingehenden Daten an den Server weitergeleitet, der als HTTP-Anwendungs-
Server festgelegt ist. Sie müssen den Server definieren, bevor Sie ihn in einer
Regel verwenden können.
Eingangsregeln sind nicht an eine Computer-Gruppe gebunden.
Steuerung des Netzwerkverkehrs 69
Definition von Eingangsregeln

Eingangsregeln definieren
Sie können den Konfigurationsvorgang jederzeit durch Klicken auf "Abbrechen"
beenden.
Sie können die Angaben im Register jederzeit durch Klicken auf "Angaben
löschen" entfernen.
Siehe "Beschreibung der Felder für Eingangsregeln" auf Seite 195.

So definieren Sie eine neue Eingangsregel


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Um eine neue Regel zu erstellen, wählen Sie im rechten Teilfenster das Regis-
ter "Eingangsregeln" und geben Sie unter "Regel definieren" in das Textfeld
"Name" einen eindeutigen Namen für die Eingangsregel ein.
3 Aktivieren Sie "Regel aktivieren".
4 Wählen Sie im Dropdown-Listenfeld "Anwendungs-Server" einen definierten
Computer aus.
Computer werden im Register "Computer" des Bereichs "Firewall" definiert.
5 Wählen Sie im Dropdown-Listenfeld "Dienst" einen Eingangsdienst aus.
6 Klicken Sie auf "Hinzufügen".
Die konfigurierte Regel wird in der Liste der Eingangsregeln angezeigt.

So aktualisieren Sie eine vorhandene Eingangsregel


1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Wählen Sie im Register "Eingangsregeln" des rechten Teilfensters im
Dropdown-Listenfeld "Regel" eine vorhandene Eingangsregel aus.
3 Klicken Sie auf "Auswählen".
4 Nehmen Sie die Änderungen in den Feldern für die Eingangsregel vor.
5 Klicken Sie auf "Aktualisieren".
Die konfigurierte Regel wird in der Liste der Eingangsregeln angezeigt.

So löschen Sie eine Eingangsregel


1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Wählen Sie im Register "Eingangsregeln" des rechten Teilfensters im
Dropdown-Listenfeld "Regel" eine vorhandene Eingangsregel aus.
3 Klicken Sie auf "Löschen".
70 Steuerung des Netzwerkverkehrs
Definition von Ausgangsregeln

Definition von Ausgangsregeln


Standardmäßig ist der ausgehende Datenverkehr für alle Computer-Gruppen
zugelassen. Außerdem werden alle geschützten Computer standardmäßig der
Gruppe "Alle" zugeordnet. Wenn Sie eine Ausgangsregel für eine vorhandene
Computer-Gruppe definieren und die Option "Regeln verwenden, die im Bild-
schirm "Ausgangsregeln" definiert wurden" aktivieren, wird der übrige Daten-
verkehr blockiert, bis er durch eine Ausgangsregel zugelassen wird. Sie müssen
Ausgangsregeln eindeutige Namen zuweisen.
Sie müssen auch angeben, welche Art von Datenverkehr eine Regel zulässt. Mit-
hilfe von Ausgangsregeln legen Sie in der Regel fest, welcher Datenverkehr zuläs-
sig ist, und nicht, welcher Datenverkehr abgelehnt oder blockiert werden soll.
Wenn Sie eine Ausgangsregel zu einer Computer-Gruppe hinzugefügen, wird der
übrige Datenverkehr blockiert, bis Sie eine spezielle Regel für ihn definieren.
Im Folgenden sind die vordefinieren Ausgangsdienste aufgeführt:
■ DNS
■ FTP
■ HTTP
■ HTTPS
■ Mail (SMTP)
■ Mail (POP3)
■ RADIUS Auth
■ Telnet
■ VPN IPsec
■ VPN-PPTP
■ LiveUpdate
■ SESA-Server
■ SESA-Agent
■ RealAudio1
■ RealAudio2
■ RealAudio 3
■ PCA TCP
■ PCA UDP
■ TFTP
■ SNMP
Steuerung des Netzwerkverkehrs 71
Definition von Ausgangsregeln

Wenn Sie einen Dienst verwenden, der nicht aufgeführt ist, oder einen Dienst,
der nicht den Standard-Port verwendet, können Sie eigene, benutzerdefinierte
Dienste erstellen. Benutzerdefinierte Dienste müssen vor Ausgangsregeln
erstellt werden.
Siehe "Konfiguration von Diensten" auf Seite 73.
Wenn Sie für Gruppe 2 eine Ausgangsregel für den FTP-Dienst erstellen, können
die Mitglieder dieser Gruppe den ausgehenden FTP-Dienst nutzen. Wenn Sie für
die Computer-Gruppe "Alle" eine Ausgangsregel für den SMTP-Dienst aktivieren,
können die Mitglieder dieser Gruppe ausgehende E-Mails senden. Wenn Sie für
Gruppe 2 eine Ausgangsregel für den FTP-Dienst erstellen, können die Mitglieder
dieser Gruppe den ausgehenden FTP-Dienst nutzen. Wenn für die Computer-
Gruppe 1 keine Regeln erstellt sind, wird standardmäßig der gesamte ausgehende
Datenverkehr zugelassen. Abbildung 5-1 stellt diese Beispiele grafisch dar.

Abbildung 5-1 Ausgangsregeln - Beispiel

Ausgangsregel Ausgangsregel
Name: E_Mail_1 Name: FTP_2
Computer-Gruppe: Computer-Gruppe:
Alle Computer-Gruppe 2
Dienst: Mail Dienst: FTP
(SMTP)

Computer-Gruppe "Alle" Computer-Gruppe 1 Computer-Gruppe 2

Ausgangsregeln definieren
Sie können den ausgehenden Datenverkehr steuern, indem Sie eine Regel defi-
nieren, diese bei Bedarf aktualisieren oder löschen. Sie können den ausgehenden
Datenverkehr auch vorübergehend blockieren, um Fehler zu beheben oder den
Netzwerkverkehr zu steuern.
Siehe "Beschreibung der Felder im Register "Ausgangsregeln"" auf Seite 196.
72 Steuerung des Netzwerkverkehrs
Definition von Ausgangsregeln

So definieren Sie eine Ausgangsregel


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Ausgangsregeln" und wählen
Sie unter "Computer-Gruppen" im Dropdown-Listenfeld "Computer-Gruppe"
die zu konfigurierende Computer-Gruppe aus.
Um eine Liste der Regeln für die ausgewählte Computer-Gruppe anzuzeigen,
klicken Sie auf "Ansicht".
3 Geben Sie in das Textfeld "Regelname" einen eindeutigen Namen für die Aus-
gangsregel ein.
4 Aktivieren Sie "Regel aktivieren".
5 Wählen Sie im Dropdown-Listenfeld "Dienst" einen Ausgangsdienst aus.
6 Klicken Sie auf "Hinzufügen".
Die konfigurierte Regel wird in der Liste der Ausgangsregeln angezeigt.

So aktualisieren Sie eine vorhandene Ausgangsregel


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Ausgangsregeln" und wählen
Sie unter "Computer-Gruppen" im Dropdown-Listenfeld "Computer-Gruppe"
die zu konfigurierende Computer-Gruppe aus.
Um eine Liste der Regeln für die ausgewählte Computer-Gruppe anzuzeigen,
klicken Sie auf "Ansicht".
3 Wählen Sie im Dropdown-Listenfeld "Regel" eine vorhandene Ausgangsregel
aus.
4 Nehmen Sie die Änderungen in den Feldern für die Ausgangsregel vor.
5 Klicken Sie auf "Aktualisieren".
Die konfigurierte Regel wird in der Liste der Ausgangsregeln angezeigt.

So löschen Sie eine Ausgangsregel


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Ausgangsregeln" und wählen
Sie unter "Computer-Gruppen" im Dropdown-Listenfeld "Computer-Gruppe"
die zu konfigurierende Computer-Gruppe aus.
Um eine Liste der Regeln für die ausgewählte Computer-Gruppe anzuzeigen,
klicken Sie auf "Ansicht".
3 Wählen Sie im Register "Ausgangsregeln" des rechten Teilfensters im
Dropdown-Listenfeld "Regel" eine vorhandene Ausgangsregel aus.
4 Klicken Sie auf "Löschen".
Steuerung des Netzwerkverkehrs 73
Konfiguration von Diensten

Konfiguration von Diensten


Im Register "Firewall > Dienste" können Sie zusätzliche Dienste-Anwendungen
einrichten, die in Eingangs- und Ausgangsregeln verwendet werden, damit Daten
übermittelt werden können, die durch die vordefinierten Dienste noch nicht abge-
deckt sind. Sie müssen diese Dienste konfigurieren, bevor Sie sie in Regeln ver-
wenden können. Der Name des Dienstes sollte so gewählt werden, dass er das
durch die Regel zugelassene Protokoll bzw. den Datenverkehrstyp erkennen lässt.
Sie müssen für den zugelassenen Datenverkehr den Typ und den Ziel-Server
angeben. Den Datenverkehrstyp können Sie in der Liste der vordefinierten und
der benutzerdefinierten Dienste auswählen.

Hinweis: Bei den Modellen 360 und 360R müssen FTP-Anwendungs-Server ent-
weder an den WAN 1-Port oder den WAN 2-Port gebunden werden. Alle anderen
Anwendungen, z. B. HTTP, müssen nicht an einen WAN-Port gebunden
werden.Siehe "Bindung an andere Protokolle" auf Seite 53.

Es gibt zwei Protokolltypen, die von Diensten verwendet werden: TCP und UDP.
Der Port-Bereich gibt an, welche Ports auf der Appliance kommunizieren kön-
nen. Wenn Protokolle einen Port-Bereich zulassen, müssen Sie den Anfangs- und
End-Port für die zu überwachenden Ports angeben. Wenn Protokolle keinen Port-
Bereich zulassen, sind der Anfangs- und End-Port für die zu überwachenden
Ports identisch.

Dienste umleiten
Sie können festlegen, dass Dienste von dem Port, den sie normalerweise ansteu-
ern würden (Überwachte Port[s]), zu einem anderen Port (Umleiten auf Port[s])
umgeleitet werden. Das Umleiten von Diensten ist nur bei Eingangsregeln mög-
lich. Ausgangsregeln ignorieren diese Einstellung.
Wenn Sie beispielsweise an Port 80 eingehenden TCP-Web-Datenverkehr zu
einem internen Web-Server umleiten möchten, der Port 8080 auf TCP über-
wacht, erstellen Sie einen neuen Dienst mit dem Namen "WEB_8080". Wählen Sie
"TCP" als Protokoll aus und geben Sie sowohl als Anfangs- als auch als End-Port
"80" an. Geben Sie unter "Umleiten auf Port(s)" sowohl als Anfangs- als auch als
End-Port "8080" an. Erstellen Sie dann eine Eingangsregel für den Web-Anwen-
dungs-Server, der den Dienst "WEB_8080" verwendet, und aktivieren Sie diese.

Hinweis: Die Anzahl der Ports, zu denen der Datenverkehr umgeleitet wird, muss
der Anzahl der überwachten Ports entsprechen. Wenn beispielsweise die Ports 21
bis 25 überwacht werden, müssen Sie auch fünf Ports für die Umleitung angeben.
74 Steuerung des Netzwerkverkehrs
Konfiguration von Diensten

Um eingehenden Datenverkehr an den ursprünglichen Ziel-Port umzuleiten,


machen Sie keine Angaben in den Textfeldern für die Umleitung.

Dienste konfigurieren
Sie müssen Dienste zunächst erstellen, bevor Sie sie zu einer Eingangsregel hin-
zufügen. Sie können erstellte Dienste aktualisieren oder löschen.
Siehe "Beschreibung der Felder im Register "Dienste"" auf Seite 196.

So konfigurieren Sie einen Dienst


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Geben Sie unter "Anwendungseinstellungen" in das Textfeld "Name" einen
Namen für den Dienst ein, der die Anwendung repräsentiert.
3 Wählen Sie im Dropdown-Listenfeld "Protokoll" die Option "TCP" oder "UDP"
aus.
4 Geben Sie in das Textfeld "Überwachte Port(s): Anfang" eine Port-Nummer
ein.
5 Geben Sie in das Textfeld "Überwachte Port(s): Ende" eine Port-Nummer ein.
6 Geben Sie in das Textfeld "Umleiten auf Port(s): Anfang" eine Port-Nummer
ein.
Das Umleiten ist nur bei Eingangsregeln möglich. Wenn Sie einen Dienst für
eine Ausgangsregel erstellen, machen Sie keine Angaben in den Textfeldern
für "Umleiten auf Port(s)".
Um eingehenden Datenverkehr an den ursprünglichen Ziel-Port umzuleiten,
machen Sie keine Angaben in den Textfeldern für die Umleitung.
7 Geben Sie in das Textfeld "Umleiten auf Port(s): Ende" eine Port-Nummer ein.
8 Klicken Sie auf "Hinzufügen".

So aktualisieren Sie einen vorhandenen Dienst


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im Register "Dienste" des rechten Teilfensters im Dropdown-
Listenfeld "Anwendung" einen vorhandenen Dienst aus.
3 Nehmen Sie die Änderungen in den Dienst-Textfeldern vor.
4 Klicken Sie auf "Aktualisieren".
Der konfigurierte Dienst wird in der Liste der Dienste angezeigt.
Steuerung des Netzwerkverkehrs 75
Konfiguration spezieller Anwendungen

So löschen Sie einen Dienst


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im Register "Dienste" des rechten Teilfensters im Dropdown-
Listenfeld "Anwendung" einen vorhandenen Dienst aus.
3 Klicken Sie auf "Löschen".

Konfiguration spezieller Anwendungen


Spezielle Anwendungen dienen der dynamischen Port-Weiterleitung. In der
Dokumentation der jeweiligen Anwendungen finden Sie in den Abschnitten zur
Verwendung von Firewalls oder NAT nähere Informationen dazu, welche Ports
und Protokolle für eine Anwendung erforderlich sind.
Bei einigen Anwendungen kann es erforderlich sein, mehr als einen Eintrag vor-
zunehmen und zu aktivieren, beispielsweise, wenn sie mehrere Ports verwenden.
Spezielle Anwendungen wirken sich global aus und überschreiben die für Com-
puter-Gruppen speziell definierten Ausgangs- oder Eingangsregeln. Wenn diese
Funktion aktiviert ist, kann der angegebene Datenverkehr zwischen den Clients
und beliebigen Hosts in beide Richtungen stattfinden.
Bei bestimmten Anwendungen (z. B. Spiele oder Videokonferenzen) ist eine Zwei-
Wege-Kommunikation und somit ein offener Port in der Firewall erforderlich. In
der Regel öffnen Sie Ports im Register "Eingangsregeln". Mithilfe von Eingangs-
regeln können aber nur Ports für den Anwendungs-Server geöffnet werden, des-
sen IP-Adresse in den Einstellungen der Regel definiert ist. Firewalls, die NAT
verwenden, können nur für einen einzelnen Computer im LAN einen definierten
Dienst öffnen (bei Verwendung einer einzelnen externen IP-Adresse).
Mithilfe des Registers "Spezielle Anwendungen" können Sie diese Einschrän-
kung umgehen, indem Sie Port-Trigger einrichten. Dabei überwacht die
Appliance bestimmte Ports auf von Computern im LAN gesendeten ausgehenden
Datenverkehr. Wenn sie für einen Computer eingehenden Datenverkehr
erkennt, öffnet sie einen Port-Bereich für diesen Computer. Sobald die Kommu-
nikation beendet ist, übernimmt die Appliance wieder die Überwachung, so dass
die Ports für einen anderen Computer geöffnet werden können.
Port-Trigger werden sehr kurz (Millisekunden) und immer nur für einen Compu-
ter verwendet. Durch die hohe Geschwindigkeit, mit der Port-Trigger verwendet
werden, entsteht der Eindruck, dass bestimmte Ports für mehrere Computer
gleichzeitig geöffnet werden können.
Bestimmte Optionen unter "Spezielle Anwendungen" sind am besten für Anwen-
dungen mit einem geringen Durchsatz geeignet. Wenn mehrere Computer
Streaming-Medien aktivieren oder ein starker Eingangs- bzw. Ausgangsdaten-
verkehr herrscht, kann es zu Leistungseinbußen kommen.
76 Steuerung des Netzwerkverkehrs
Konfiguration spezieller Anwendungen

Die Appliance überwacht Ports nur auf den LAN-Datenverkehr. Der Port-Trigger
wird also von einem Computer im LAN und nicht vom eingehenden Datenverkehr
aktiviert. Der Datenverkehr muss von einer LAN-Anwendung initiiert werden
und Sie müssen wissen, welche Ports oder Port-Bereiche von dieser Anwendung
verwendet werden, um eine Einstellung für spezielle Anwendungen vornehmen
zu können. Für Datenverkehr, der von externen Rechnern gesendet wird, muss
eine Eingangsregel erstellt werden.

Spezielle Anwendung konfigurieren


Spezielle Anwendungen sind zum dynamischen Weiterleiten von Datenpaketen
hilfreich. Sie sollten spezielle Anwendungen einrichten, falls eine Zwei-Wege-
Kommunikation erforderlich ist. Die Einstellungen für spezielle Anwendungen
können bei Bedarf bearbeitet und gelöscht werden.
Siehe "Beschreibung der Felder im Register "Spezielle Anwendungen"" auf
Seite 198.

So konfigurieren Sie eine spezielle Anwendung


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Spezielle Anwendungen"
und geben Sie unter "Einstellungen für spezielle Anwendungen" in das Text-
feld "Name" einen Namen für die Anwendung ein.
3 Aktivieren Sie die Option "Aktivieren".
4 Wählen Sie im Dropdown-Listenfeld "Protokoll ausgehend" die Option "TCP"
oder "UDP" aus.
5 Geben Sie in das Textfeld "Port(s) ausgehend: Anfang" die Nummer des
ersten zu überwachenden Ports ein.
6 Geben Sie in das Textfeld "Port(s) ausgehend: Ende" die Nummer des letzten
zu überwachenden Ports ein.
7 Geben Sie in das Textfeld "Port(s) eingehend: Anfang" die Nummer des ersten
zu öffnenden Ports ein.
8 Geben Sie in das Textfeld "Port(s) eingehend: Ende" die Nummer des letzten
zu öffnenden Ports ein.
9 Klicken Sie auf "Hinzufügen".

So aktualisieren Sie eine vorhandene spezielle Anwendung


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Anwendung" und wählen Sie
im Dropdown-Listenfeld "Spezielle Anwendungen" eine vorhandene Anwen-
dung aus.
Steuerung des Netzwerkverkehrs 77
Konfiguration der erweiterten Optionen

3 Nehmen Sie die Änderungen in den Feldern für die spezielle Anwendung vor.
4 Klicken Sie auf "Aktualisieren".
Die konfigurierte Regel wird in der Liste der speziellen Anwendungen angezeigt.

So löschen Sie eine spezielle Anwendung


1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie im rechten Teilfenster das Register "Spezielle Anwendungen"
und wählen Sie im Dropdown-Listenfeld "Anwendung" eine vorhandene
Anwendung aus.
3 Klicken Sie auf "Löschen".

Konfiguration der erweiterten Optionen


Die Symantec Gateway Security Appliances der 300er Serie bieten mehrere
erweiterte Firewall-Optionen für spezielle Zwecke.

IDENT-Port aktivieren
Bei Abfragen am IDENT-Port (113) werden in der Regel der Host- und der Firmen-
name zurückgegeben. Dieser Dienst stellt jedoch ein Sicherheitsrisiko dar, weil
andere mithilfe dieser Informationen die Angriffe auf Ihr System methodisch
verfeinern können. Standardmäßig setzt die Appliance alle Ports in den Modus
"Verborgen". Dadurch bleibt ein Computer außerhalb des Netzwerks unsichtbar.
Manche Server (beispielsweise bestimmte E-Mail- oder MIRC-Server) verwenden
den IDENT-Port des Systems, das auf sie zugreift.
Sie können festlegen, dass die Appliance den IDENT-Port aktiviert. Wenn Sie
diese Option aktivieren, wird Port 113 geschlossen, nicht verborgen. Sie sollten
diese Option nur aktivieren, wenn Probleme beim Zugriff auf einen Server auftre-
ten (Zeitüberschreitung beim Server-Zugriff).

Hinweis: Wenn es beim Zugriff auf Ihren Mail-Server (SMTP) zu Zeitüberschrei-


tungen kommt, kann das Problem durch Aktivieren des IDENT-Ports möglicher-
weise behoben werden.

So aktivieren Sie den IDENT-Port


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 201.
1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Aktivieren Sie im rechten Teilfenster im Register "Erweitert" unter "Optio-
nale Sicherheitseinstellungen" die Option "IDENT-Port aktivieren".
3 Klicken Sie auf "Speichern".
78 Steuerung des Netzwerkverkehrs
Konfiguration der erweiterten Optionen

NAT-Modus deaktivieren
Sie können das Sicherheits-Gateway als Standard-Netzwerk-Router einrichten,
um verschiedene Teilnetze eines internen Netzwerks voneinander zu trennen.
Wenn Sie den NAT-Modus deaktivieren, deaktivieren Sie die Sicherheitsfunktio-
nen für die Firewall. Diese Einstellung sollte nur für die Verteilung im Intranet
verwendet werden. In diesem Fall wird das Sicherheits-Gateway in einem
geschützten Netzwerk als Bridge verwendet. Wenn das Sicherheits-Gateway im
NAT-Modus verwendet wird, dient es als 802.1D-Gerät (MAC-Bridge).

So deaktivieren Sie den NAT-Modus


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 201.
1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Aktivieren Sie im rechten Teilfenster im Register "Erweitert" unter "Optio-
nale Sicherheitseinstellungen" die Option "NAT-Modus deaktivieren".
3 Klicken Sie auf "Speichern".

IPsec-Durchgang aktivieren
IPsec-Durchgang wird vom Sicherheits-Gateway unterstützt. Aktivieren Sie die
Einstellung "Keine", wenn der unter "Exponierter Host (DMZ)" verwendete VPN-
Client über das Sicherheits-Gateway hinweg keine Verbindungen herstellen kann.
Im Folgenden sind die unterstützten IPsec-Typen aufgeführt:
■ 1 SPI
ADI - Assured Digital
■ 2 SPI
Standard-Clients (Symantec, Cisco Pix und Nortel Contivity)
■ 2 SPI-C
Cisco Concentrator 30X0 Serie-Clients
■ Anderer
Redcreek Ravlin
■ Keiner

Hinweis: Ändern Sie die IPsec-Durchgangs-Option nur, wenn Sie von einem
Mitarbeiter der Technischen Unterstützung von Symantec dazu aufgefordert
werden.
Steuerung des Netzwerkverkehrs 79
Konfiguration der erweiterten Optionen

So konfigurieren Sie den IPsec-Durchgang


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 201.
1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Wählen Sie das Register "Erweitert" und anschließend "Einstellungen für
IPsec-Durchgang".
3 Klicken Sie auf "Speichern".

Exponierten Host konfigurieren


Ein exponierter Host öffnet alle Ports, so dass ein Computer im LAN eine unein-
geschränkte Zwei-Wege-Kommunikation mit Internet-Servern oder -Benutzern
führen kann. Dies kann zum Hosten von Spielen oder speziellen Server-Anwen-
dungen hilfreich sein.
Alle Daten, die nicht explizit durch Eingangsregeln zugelassen sind, werden an
den exponierten Host weitergeleitet.

Warnung: Aktivieren Sie aufgrund des Sicherheitsrisikos die Funktion für expo-
nierte Hosts nur, wenn dies unbedingt erforderlich ist.

So konfigurieren Sie einen exponierten Host


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 201.
1 Klicken Sie im linken Teilfenster auf "Firewall".
2 Klicken Sie im rechten Teilfenster auf das Register "Erweitert" und aktivieren
Sie unter "Exponierter Host" die Option "Exponierten Host aktivieren".
3 Geben Sie in das Textfeld "LAN-IP-Adresse" die IP-Adresse des exponierten
Hosts ein.
4 Klicken Sie auf "Speichern".
80 Steuerung des Netzwerkverkehrs
Konfiguration der erweiterten Optionen

ICMP-Anforderungen verwalten
Standardmäßig reagiert das Sicherheits-Gateway nicht auf externe ICMP-Anfor-
derungen, die an die WAN-Ports gesendet werden. Sie können das Sicherheits-
Gateway auch so einrichten, dass es ICMP-Anforderungen an den WAN-Ports
blockiert oder zulässt. Im LAN gesendete ICMP-Anforderungen erfordern immer
eine Reaktion.

So verwalten Sie ICMP-Anforderungen


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 201.
1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Führen Sie im Register "Erweitert" des rechten Teilfensters unter "Optionale
Sicherheitseinstellungen" einen der folgenden Schritte aus:
3 Um ICMP-Anforderungen zu blockieren, klicken Sie auf "Aktivieren".
4 Um ICMP-Anforderungen zuzulassen, klicken Sie auf "Deaktivieren".
5 Klicken Sie auf "Speichern".
Kapitel 6
Einrichten sicherer VPN-
Verbindungen
In diesem Kapitel werden folgende Themen behandelt:

■ Allgemeines zu diesem Kapitel

■ Erstellen von Sicherheitsrichtlinien

■ Identifizierung von Benutzern

■ Konfiguration von Gateway-to-Gateway-Tunnels

■ Konfiguration von Client-to-Gateway-VPN-Tunnels


■ Überwachung des VPN-Tunnel-Status
Mithilfe von VPNs (Virtual Private Networks) können Sie Ihr internes Netzwerk
erweitern und wichtige Daten über nicht gesicherte Kommunikationskanäle
(z. B. das Internet) sicher transportieren. VPNs werden verwendet, um einem
Einzelbenutzer oder einem Remote-Netzwerk den Zugriff auf geschützte Res-
sourcen eines anderen Netzwerks zu ermöglichen.
Die Symantec Gateway Security Appliances der 300er Serie unterstützen drei
Arten von VPN-Tunnels: Gateway-to-Gateway, Client-to-Gateway und Wireless-
Client-to-Gateway. Informationen zum Konfigurieren von Wireless-Client-to-
Gateway-Tunnels finden Sie im Symantec Gateway Security 300 Wireless Imple-
mentierungshandbuch.
Die Sicherung Ihrer Netzwerkverbindungen mithilfe der VPN-Technologie ist
entscheidend, um die Qualität und Integrität Ihrer Daten zu gewährleisten. In
diesem Kapitel werden einige grundlegende Konzepte und Komponenten
beschrieben, die für eine effiziente Konfiguration und Verwendung der VPN-
Funktion erforderlich sind.
82 Einrichten sicherer VPN-Verbindungen
Allgemeines zu diesem Kapitel

VPN-Tunnels können auch dynamische und statische Gateway-to-Gateway-


Konfigurationen unterstützen. Dabei müssen die Tunnel-Parameter auf jedem
Sicherheits-Gateway manuell eingerichtet werden. Die Parameter, wie Geheim-
schlüssel, Sicherheitsparameterindizes (SPIs), Authentifizierungsschemas und
Verschlüsselungsmethoden, müssen sich an beiden Enden entsprechen.

Allgemeines zu diesem Kapitel


Jeder Abschnitt beginnt mit allgemeinen Informationen über die Funktion, die
im weiteren Verlauf näher beschrieben wird (beispielsweise wird kurz erklärt,
was eine VPN-Richtlinie ist, wie sie funktioniert und wie sie verwendet wird).
Wenn Sie bereits über Erfahrungen als Netzwerk- oder IT-Administrator verfü-
gen, können Sie direkt mit den Konfigurationsanweisungen fortfahren.
Wenn Sie keine fundierten Erfahrungen in der Netzwerk- oder IT-Administra-
tion haben oder noch nie ein Sicherheits-Gateway (von Symantec oder einem
Fremdhersteller) konfiguriert haben, sollten Sie die jeweiligen einleitenden
Abschnitte unbedingt lesen, bevor Sie Funktionen konfigurieren.
Am Ende der Abschnitte "Konfiguration von Gateway-to-Gateway-Tunnels" auf
Seite 89 und "Konfiguration von Client-to-Gateway-VPN-Tunnels" auf Seite 98
finden Sie Arbeitsblätter, in die Sie die von Ihnen eingegebenen Informationen
eintragen können, so dass Sie sie einfach an Ihre Clients und Remote-Gateway-
Administratoren weitergeben können.

Erstellen von Sicherheitsrichtlinien


VPN-Tunnel-Aushandlungen umfassen zwei Phasen. In Phase 1 erstellt die IKE-
Aushandlung (Internet Key Exchange) eine IKE-Sicherheitszuordnung mit dem
Peer als Schutz für Phase 2 der Aushandlung, in der die Protokollsicherheitszu-
ordnung für den Tunnel festgelegt wird. Bei Gateway-to-Gateway-Verbindungen
können alle Sicherheits-Gateways jederzeit eine Phase-1- oder Phase-2-Neuaus-
handlung initiieren. Außerdem können alle Sicherheits-Gateways Intervalle für
die Neuaushandlung festlegen. Bei Client-to-Gateway-Verbindungen kann nur
der Client eine Phase-1- oder Phase-2-Neuaushandlung initiieren. Die Phase-2-
Neuaushandlung wird als Neuaushandlung im Schnellmodus bezeichnet.

Hinweis: Die Symantec Gateway Security Appliances der 300er Serie unterstüt-
zen keine VPN-Tunnel-Komprimierung. Wenn Sie einen Gateway-to-Gateway-
Tunnel zwischen einer Symantec Gateway Security Appliance der 300er Serie
und einer externen Symantec Gateway Security Appliance der 5400er Serie oder
einer Symantec Enterprise Firewall einrichten, legen Sie auf dem externen
Gateway für die Komprimierung den Wert "KEINE" fest.
Einrichten sicherer VPN-Verbindungen 83
Erstellen von Sicherheitsrichtlinien

Wissenswertes über VPN-Richtlinien


Die Appliances verwenden für jede Aushandlungsphase eine Richtlinie, die aus
vordefinierten Parametern besteht. Die Appliances unterstützen zwei Arten von
Sicherheitsrichtlinien: Global IKE und VPN.

Global IKE-Richtlinie (Phase 1, nicht konfigurierbar, außer


Parameter für die Gültigkeit der Sicherheitszuordnung)
Das Sicherheits-Gateway verfügt über eine vordefinierte Global IKE-Richtlinie,
die automatisch für Ihre Aushandlungen der IKE Phase-1 gilt. Die Global IKE-
Richtlinie arbeitet mit der VPN-Richtlinie zusammen, die Sie für Phase-2-Aus-
handlungen erstellen. Die Global IKE-Richtlinie liefert die Parameter, die die
Phase-1-Aushandlungen des IKE-Tunnels definieren. Die von Ihnen konfigu-
rierte und ausgewählte VPN-Richtlinie liefert die Parameter für die Phase-2-
Aushandlungen.
Der einzige Parameter der Global IKE-Richtlinie, der geändert werden kann, ist
der Parameter für die Gültigkeit der Sicherheitszuordnung (SA, Security
Association). Dieser legt den Zeitraum (in Minuten) für die Neuverschlüsselung
des Tunnels fest. Sie können diesen Parameter unter "VPN > Erweitert > Global
IKE-Einstellungen (Phase 1 - Neuverschlüsselung)" ändern.
Wenn zwei Sicherheits-Gateways die Phase 1 aushandeln, sendet das erste Sicher-
heits-Gateway eine Liste mit Vorschlägen, die so genannte Transformationsliste.
Das Sicherheits-Gateway, zu dem die Verbindung hergestellt wird, wählt aus der
Liste den besten Vorschlag aus, in der Regel die stärkste Option. Sie können die
Liste nicht auf der Appliance ändern. Diese Informationen sind ggf. aber dem
externen Gateway-Administrator nützlich.Tabelle 6-1 zeigt die Reihenfolge, in
der die Symantec Gateway Security 300 IKE-Vorschläge gesendet werden.
Tabelle 6-1 Reihenfolge der IKE-Vorschläge

Datenschutz Datenintegrität Diffie-Hellman


3DES SHA1 Gruppe 5

3DES MD5 Gruppe 5

3DES SHA1 Gruppe 2

3DES MD5 Gruppe 2

DES SHA1 Gruppe 1

DES MD5 Gruppe 1

Einige Einstellungen sind global für Client-to-Gateway-Tunnels konfigurierbar.


Siehe "Globale Richtlinien für Client-to-Gateway-VPN-Tunnels festlegen" auf
Seite 103.
84 Einrichten sicherer VPN-Verbindungen
Erstellen von Sicherheitsrichtlinien

VPN-Richtlinien (Phase 2, konfigurierbar)


Das Sicherheits-Gateway verfügt über eine Reihe vordefinierter, konfigurierba-
rer VPN-Richtlinien für Phase-2-Tunnelaushandlungen. Sie müssen die Einstel-
lungen für den Datenschutz, die Datenintegrität und die Algorithmen für die
Datenkomprimierung nicht für jeden Tunnel neu erstellen. Das Sicherheits-
Gateway ermöglicht es Ihnen, Standard-VPN-Richtlinien zu erstellen, die Sie
später immer wieder verwenden und mehreren sicheren Tunnels zuweisen kön-
nen. Sie haben die Möglichkeit, eine vordefinierte Richtlinie auszuwählen oder
im Register "VPN-Richtlinien" eine eigene Richtlinie zu erstellen.
In VPN-Richtlinien werden allgemeine Tunneleigenschaften in Gruppen zusam-
mengefasst. Sie ermöglichen das schnelle Einrichten weiterer Tunnels mit den-
selben Eigenschaften. Das Sicherheits-Gateway bietet außerdem einige verbrei-
tete VPN-Richtlinien für statische und dynamische Tunnels.
Sie können mehrere VPN-Richtlinien definieren und für jede unterschiedliche
Komponenten auswählen. Stellen Sie dabei sicher, dass Richtlinien, die densel-
ben Verkapselungsmodus verwenden, anhand ihres Namens unterscheidbar
sind. Klare Namenskonventionen erleichtern die Auswahl der richtigen VPN-
Richtlinie beim Erstellen sicherer Tunnels.

Hinweis: Vordefinierte VPN-Richtlinien können nicht gelöscht werden.

Benutzerdefinierte VPN-Richtlinien der Phase-2 erstellen


VPN-Richtlinien sind in der Regel vordefiniert. Sie können benutzerdefinierte
Phase-2-Richtlinien im Register "VPN-Richtlinien" erstellen, wenn Sie eigene
Einstellungen benötigen (z. B. für die Kompatibilität mit Geräten von Fremd-
herstellern).
VPN-Richtlinien fassen allgemeine Eigenschaften von VPN-Tunnels in Gruppen
zusammen. Sie müssen die Einstellungen für den Datenschutz, die Datenintegri-
tät und die Algorithmen für die Datenkomprimierung nicht für jeden neu erstell-
ten Tunnel konfigurieren. Stattdessen können Sie Standard-VPN-Richtlinien
erstellen, die Sie später immer wieder verwenden und mehreren sicheren Tun-
nels zuweisen können.

Hinweis: Das Einrichten von VPN-Richtlinien ist bei dynamischen Tunnels


optional.
Einrichten sicherer VPN-Verbindungen 85
Erstellen von Sicherheitsrichtlinien

So erstellen Sie eine benutzerdefinierte VPN-Richtlinie der Phase-2


Siehe "Beschreibung der Felder im Register "VPN-Richtlinien"" auf Seite 214.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Klicken Sie im rechten Teilfenster auf das Register "VPN-Richtlinie" und
geben Sie unter "IPsec-Sicherheitszuordnung (Phase 2) - Parameter" in das
Textfeld "Name" einen Namen für die VPN-Richtlinie ein.
3 Um eine vorhandene Richtlinie zu bearbeiten, wählen Sie im Dropdown-
Listenfeld "VPN-Richtlinie" eine VPN-Richtlinie aus.
4 Wählen Sie im Dropdown-Listenfeld "Datenintegrität (Authentifizierung)"
einen Authentifizierungstyp aus.
5 Wählen Sie im Dropdown-Listenfeld "Datenvertraulichkeit (Verschlüsse-
lung)" einen Verschlüsselungstyp aus.
6 Geben Sie im Textfeld "Gültigkeit der Sicherheitszuordnung" an, wie lange
(in Minuten) die Sicherheitszuordnung gültig sein soll, bevor eine erneute
Verschlüsselung erfolgt.
Der VPN-Tunnel wird bei Neuverschlüsselungen vorübergehend blockiert.
7 Geben Sie in das Textfeld "Max. Datenmenge" ein, wie viele Kilobyte an
Datenverkehr maximal zulässig sein sollen, bevor eine erneute Verschlüsse-
lung erfolgt.
8 Geben Sie im Textfeld "Zeitlimit bei Inaktivität" an, nach wie vielen Minuten
der Inaktivität eine Neuverschlüsselung stattfinden soll.
9 Um PFS (Perfect Forward Secrecy) zu verwenden, führen Sie folgende
Schritte aus:
■ Wählen Sie im Dropdown-Listenfeld "Perfect Forward Secrecy" eine
Diffie-Hellman-Gruppe aus.
■ Klicken Sie neben "Perfect Forward Secrecy" auf "Aktivieren".
10 Klicken Sie auf "Hinzufügen".

Liste der VPN-Richtlinien anzeigen


Die Liste der VPN-Richtlinien im Fenster "VPN-Richtlinien" enthält eine Zusam-
menfassung für jede VPN-Richtlinie, die auf der Appliance konfiguriert ist.
Tabelle 6-2 enthält Beschreibungen zu den einzelnen Feldern der Liste der VPN-
Richtlinien.
86 Einrichten sicherer VPN-Verbindungen
Identifizierung von Benutzern

Tabelle 6-2 Felder der Liste der VPN-Richtlinien

Feld Beschreibung

Name Name der VPN-Richtlinie

Verschlüsselungsmethode Verschlüsselungsmethode, die für die VPN-Richtlinie


ausgewählt ist

Gültigkeit der Sicherheits- Konfigurierte Einstellung für die Gültigkeit der Sicher-
zuordnung heitszuordnung

Maximale Datenmenge Konfigurierte Einstellung für die maximale Datenmenge

Zeitlimit bei Inaktivität Konfiguriertes Zeitlimit bei Inaktivität

PFS PFS-Einstellung

Identifizierung von Benutzern


Sie können auf der Appliance zwei Client-Typen einrichten, die VPN verwenden:
Benutzer und Benutzer mit einer erweiterten Authentifizierung.

Wissenswertes über Benutzertypen


Benutzer werden direkt am Sicherheits-Gateway authentifiziert, wenn sie eine
Verbindung über einen VPN-Tunnel herstellen. Benutzer werden im Register
"Client-Benutzer" des Sicherheits-Gateways definiert. Benutzer mit einer erwei-
terten Authentifizierung werden nicht auf dem Sicherheits-Gateway, sondern
auf einem RADIUS-Authentifizierungs-Server definiert. Sie müssen die
Appliance so konfigurieren, dass Benutzer mit einer erweiterten Authentifizie-
rung remote verwaltet werden können.

Dynamische Benutzer
Dynamische Benutzer werden nicht auf der Appliance definiert. Sie verwenden
zur Authentifizierung Ihrer Tunnel die erweiterte RADIUS-Authentifizierung.
Dynamische Benutzer werden auf dem RADIUS-Server definiert.
Wenn ein dynamischer Benutzer eine Authentifizierung durchführen möchte,
sucht die Appliance diesen Benutzernamen in der Liste der Benutzer. Wenn sie
den Namen dort nicht findet, verwendet sie den vorab installierten Geheimcode,
den der Benutzer in der Client-Software eingegeben hat. Dieser vorab installierte
Geheimcode muss mit dem im Fenster "Erweitert" festgelegten Geheimcode für
das Sicherheits-Gateway übereinstimmen, zu dem die Verbindung hergestellt
wird. Anschließend startet die Appliance die erweiterte Authentifizierung und
Einrichten sicherer VPN-Verbindungen 87
Identifizierung von Benutzern

fordert den Benutzer auf, die vom RADIUS-Server benötigten Informationen


anzugeben (z. B. einen Benutzernamen oder ein Kennwort). Der RADIUS-Server
authentifiziert den Benutzer und gibt die RADIUS-Gruppe des Benutzers an das
Sicherheits-Gateway zurück. Das Sicherheits-Gateway überprüft, ob die Gruppe
einem der Client-Tunnels zugeordnet werden kann und ob die Gruppe eine Ver-
bindung zum WAN, LAN oder WLAN herstellen darf. Wenn dies der Fall ist, wird
der Tunnel hergestellt.

Benutzer
Benutzer werden durch eine Client-ID (Benutzername) und einen vorab instal-
lierten Schlüssel authentifiziert, den Sie den Benutzern zuvor zuweisen. Diese
geben den Benutzernamen und das Kennwort in ihrer Client-Software ein. Diese
Angaben werden gesendet, wenn sie einen VPN-Tunnel zu einem Sicherheits-
Gateway herstellen möchten.
Benutzer werden in der Appliance definiert und können auch die erweiterte
Authentifizierung verwenden.

Benutzer definieren
Stellen Sie sicher, dass Sie von Ihrem RADIUS-Administrator alle erforderlichen
Authentifizierungsinformationen erhalten, die Sie an die Benutzer mit erweiter-
ter Authentifizierung weiterleiten müssen.

Benutzer definieren
Benutzer müssen in der Appliance definiert werden und können auch die erwei-
terte Authentifizierung verwenden. Dynamische Benutzer müssen die erweiterte
Authentifizierung verwenden und werden nicht in der Appliance definiert.

So konfigurieren Sie Benutzer


Siehe "Beschreibung der Felder im Register "Client-Benutzer"" auf Seite 213.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Klicken Sie im rechten Teilfenster auf das Register "Client-Benutzer" und
geben Sie unter "VPN-Benutzeridentität" in das Textfeld "Benutzer" den
Namen eines neuen Benutzers ein.
3 Um einen vorhandenen Benutzer zu bearbeiten, wählen Sie im Dropdown-
Listenfeld "Benutzer" einen Benutzer aus.
4 Aktivieren Sie die Option "Aktivieren".
5 Geben Sie in das Textfeld "Vorinstallierter Schlüssel" den vorab installierten
Schlüssel ein.
88 Einrichten sicherer VPN-Verbindungen
Identifizierung von Benutzern

6 Wählen Sie im Dropdown-Listenfeld "VPN-Gruppe" eine VPN-Gruppe für


den Benutzer aus.
7 Klicken Sie auf "Hinzufügen".

So aktivieren Sie Benutzer mit erweiterter Authentifizierung


Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 217.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Führen Sie im Register "Erweitert" im Bereich "Dynamische VPN-Client-Ein-
stellungen" folgende Schritte aus:
■ Aktivieren Sie "Dynamische VPN-Client-Tunnels aktivieren".
■ Geben Sie in das Textfeld "Vorab installierter Schlüssel" den Schlüssel
ein, den der dynamische Benutzer in der Client-Software angeben muss.
3 Führen Sie unter "RADIUS-Einstellungen" folgende Schritte aus:

Primärer RADIUS-Server Geben Sie die IP-Adresse oder den voll qualifizierten
Domänennamen des RADIUS-Servers an.

Sekundärer RADIUS-Server Geben Sie die IP-Adresse oder den voll qualifizierten
Domänennamen des RADIUS-Servers an, den das
Sicherheits-Gateway für die Authentifizierung ver-
wendet, falls der Primär-Server nicht verfügbar ist.

Authentifizierungs-Port Geben Sie den Port auf dem RADIUS-Server an, auf
(UDP) dem der RADIUS-Dienst ausgeführt wird.

Vorab installierter Geheim- Geben Sie den Schlüssel des RADIUS-Servers ein.
code oder Schlüssel

4 Klicken Sie auf "Speichern".


5 Wählen Sie im Register "Client-Tunnels" im Dropdown-Listenfeld "VPN-
Gruppe" die VPN-Gruppe aus, zu der die Benutzer, die die erweiterte Authen-
tifizierung verwenden, gehören.
6 Führen Sie unter "Erweiterte Benutzerauthentifizierung" folgende Schritte
aus:
■ Aktivieren Sie die Option "Erweiterte Benutzerauthentifizierung akti-
vieren".
■ Geben Sie in das Textfeld "RADIUS-Gruppenbindung" den Namen der
RADIUS-Gruppe ein, zu der der Benutzer gehört.
Die RADIUS-Gruppe ist dem Benutzer auf dem RADIUS-Server zuge-
wiesen. Der RADIUS-Server muss den Wert zurückgeben, den Sie in das
Textfeld "RADIUS-Gruppenbindung" für das filterID-Attribut eingeben.
7 Klicken Sie auf "Speichern".
Einrichten sicherer VPN-Verbindungen 89
Konfiguration von Gateway-to-Gateway-Tunnels

Liste der Benutzer anzeigen


Im Abschnitt "Liste der Benutzer" des Registers "Client-Benutzer" wird eine
Zusammenfassung für jeden statischen Benutzer angezeigt, der auf der
Appliance eingerichtet ist. Tabelle 6-3 enthält eine Beschreibung der einzelnen
Felder der Zusammenfassung.
Tabelle 6-3 Felder der Benutzerliste

Feld Beschreibung

Benutzername Benutzername, der für den statischen VPN-Benutzer


angegeben ist.

Aktivieren Zeigt an, ob ein Benutzer VPN-Tunnels zum Sicherheits-


Gateway herstellen kann.

Vorinstallierter Schlüssel Der vorab installierte Schlüssel für einen Benutzer.

VPN-Gruppe VPN-Gruppen, für die ein Benutzer eingerichtet ist.

Konfiguration von Gateway-to-Gateway-Tunnels


Gateway-to-Gateway-Tunnels tragen zum Schutz Ihres internen Netzwerks bei,
indem sie eine sichere Bridge zu einem externen LAN herstellen. Das Sichern
eines Netzwerks mit Gateway-to-Gateway-Tunnels umfasst mehrere Schritte. Im
Folgenden wird auf Gateway-to-Gateway-Tunnels und anschließend auf die Kon-
figuration der Tunnels eingegangen.

Wissenswertes über Gateway-to-Gateway-Tunnels


Es kann vorkommen, dass Sie Ihre Netzwerkressourcen externen Benutzern
bereitstellen möchten, z. B. einer anderen Niederlassung. Dazu ist es nicht erfor-
derlich, dass die einzelnen Benutzer des anderen Netzwerks eine eigene, sichere
Verbindung herstellen. Sie können einen Gateway-to-Gateway-Tunnel einrich-
ten, so dass die Ressourcen des einen Netzwerks für die Benutzer des jeweils
anderen Netzwerks verfügbar sind. Bei dieser Art von Tunnel handelt es sich um
LAN-to-LAN-Tunnels, nicht um Benutzer-to-LAN-Tunnels.
Die Appliance unterstützt Gateway-to-Gateway-Tunnelkonfigurationen. Eine
Gateway-to-Gateway-Konfiguration wird erstellt, wenn zwei Sicherheits-Gate-
ways über ihre WAN-Ports im internen Netzwerk oder dem Internet verbunden
werden.
90 Einrichten sicherer VPN-Verbindungen
Konfiguration von Gateway-to-Gateway-Tunnels

Abbildung 6-1 VPN-Tunnelkonfiguration für Gateway-to-Gateway-Verbindungen

Bei diesem Konfigurationstyp werden in der Regel zwei Teilnetze eines Netz-
werks oder, wie in Abbildung 6-1 dargestellt, zwei standortferne Niederlassun-
gen über das Internet verbunden. Wenn ein VPN-Tunnel hergestellt ist, können
die Benutzer, die am einen Ende durch ein Sicherheits-Gateway geschützt sind,
eine getunnelte Verbindung zum Sicherheits-Gateway herstellen, das das
externe Netzwerk schützt. Die externen Benutzer können eine Verbindung zum
privaten Netzwerk herstellen und auf dessen Ressourcen zugreifen, als ob die
externe Workstation sich innerhalb des geschützten Netzwerks befinden würde.
Die Symantec Gateway Security Appliances der 300er Serie können eine Verbin-
dung zu einer anderen 300er Appliance von Symantec oder zu einer der folgen-
den Appliances herstellen:
■ Symantec Gateway Security 5400 Serie
■ Symantec Firewall/VPN Appliance
Mithilfe der Appliances der Symantec Gateway Security 300 Serie können Sie
VPN-Tunnels zu bis zu fünf Remote-Teilnetzen herstellen, die durch Symantec
Enterprise Firewalls oder Appliances der Symantec Gateway Security 5400 Serie
geschützt sind. Tunnels zu Teilnetzen, die durch Appliances der Symantec Gate-
way Security 300 Serie oder durch Symantec Firewall/VPN Appliances geschützt
sind, werden nicht unterstützt. Tunnels zwischen zwei Appliances der Symantec
Gateway Security 300 Serie können nur zum LAN-seitigen Teilnetz hergestellt
werden. Sie unterstützen nur den ersten (Teilnetz/Maske) von fünf Sätzen, die Sie
in den Registern "VPN > Dynamische Tunnels" oder "VPN > Statische Tunnels"
angeben.
Einrichten sicherer VPN-Verbindungen 91
Konfiguration von Gateway-to-Gateway-Tunnels

Wenn es LAN-seitig der Appliance der Symantec Gateway Security 300 Serie ein
weiteres Teilnetz gibt, werden VPN-Client-Tunnels zu diesem Teilnetz nicht unter-
stützt. Für WAN-/LAN-seitige VPN-Tunnels werden nur die Computer unterstützt,
die sich im Appliance-Teilnetz befinden (im LAN-IP-Fenster festgelegt).

Hinweis: Gateway-to-Gateway-VPN-Tunnels werden an den WAN-Ports der


Appliances unterstützt. Sie können an den LAN- oder WLAN-Ports der
Appliances keine Gateway-to-Gateway-VPN-Tunnels definieren.

Unterstützte Gateway-to-Gateway-VPN-Tunnels
Die Symantec Gateway Security Appliances der 300er Serie ermöglichen die Kon-
figuration zweier Typen von Gateway-to-Gateway-VPN-Tunnels:

Dynamisch Das Sicherheits-Gateway verfügt über eine vordefinierte Global IKE-Richtli-


nie, die automatisch für Ihre Aushandlungen der IKE Phase-1 gilt. Sie können
die Einstellung für die Gültigkeit der Sicherheitszuordnung unter "Global
IKE-Einstellungen" ändern. Die Gültigkeit der Sicherheitszuordnung gibt den
Zeitraum (in Minuten) für die Neuverschlüsselung eines Tunnels an. Sie kön-
nen diesen Parameter unter "VPN > Erweitert > Global IKE-Einstellungen
(Phase 1 - Neuverschlüsselung)" ändern.

Statisch Statische Gateway-to-Gateway-Tunnels erfordern die manuelle Eingabe der


Tunnelparameter auf jedem Sicherheits-Gateway. Die Parameter, wie Geheim-
schlüssel, Sicherheitsparameterindizes (SPIs), Authentifizierungsschemas
und Verschlüsselungsmethoden, müssen sich an beiden Enden entsprechen.

Siehe "Konfiguration von Gateway-to-Gateway-Tunnels" auf Seite 89.


Siehe "Statische Gateway-to-Gateway-Tunnels konfigurieren" auf Seite 95.

Dauer und Hochverfügbarkeit von Gateway-to-Gateway-VPN-


Tunnels
Nach dem Neustarten des Sicherheits-Gateways werden dynamische Gateway-
to-Gateway-VPN-Tunnels neu hergestellt. Dynamische Gateway-to-Gateway-
VPN-Tunnels werden auch neu hergestellt, wenn der WAN-Port-Status von
"Getrennt" in "Verbunden" wechselt. Diese Funktion verringert den Verwal-
tungsaufwand, indem Tunnels automatisch neu verbunden werden.
Wenn ein VPN-Tunnel nicht innerhalb von drei Minuten hergestellt werden
kann, wartet das Sicherheits-Gateway ein bis fünf Minuten lang, bevor es erneut
versucht, eine Verbindung herzustellen. Dieser Vorgang wird wiederholt, bis der
VPN-Tunnel erneut hergestellt ist.
92 Einrichten sicherer VPN-Verbindungen
Konfiguration von Gateway-to-Gateway-Tunnels

Falls es ein Problem mit dem Netzwerk gibt, stellt das Sicherheits-Gateway den
VPN-Tunnel automatisch über einen Backup-Port (WAN-Port oder serielle
Schnittstelle) her. Wenn sich die IP-Adresse des Sicherheits-Gateways ändert,
werden Gateway-to-Gateway-VPN-Tunnels unter Verwendung der neuen IP-
Adresse über das Remote-Gateway neu hergestellt.

Interoperabilität von Gateway-to-Gateway-VPN-Tunnels


Wenn eine Symantec Gateway Security Appliance der 5400er Serie oder eine
Symantec Enterprise Firewall einen Gateway-to-Gateway-Tunnel zu einer Appli-
ance der Symantec Gateway Security 300 Serie initiiert, startet sie Aushandlun-
gen im Hauptmodus. Auf der Appliance der Symantec Gateway Security 300
Serie muss für die VPN-Tunneldefinition "Hauptmodus" angegeben sein, da
sonst der VPN-Tunnel nicht hergestellt werden kann.
Die Symantec Gateway Security Appliances der 5400er Serie und Symantec
Enterprise Firewall akzeptieren Phase 1-Aushandlungen im Hauptmodus oder
im aggressiven Modus von Remote-Gateways. Die Appliance der Symantec Gate-
way Security 300 Serie kann für den Haupt- oder den aggressiven Modus konfi-
guriert werden. Der Standardwert ist "Hauptmodus". Wenn Sie einen VPN-Tun-
nel zu einer Symantec Gateway Security 5400er Appliance oder einer Symantec
Enterprise Firewall herstellen, sollten Sie die Appliance der Symantec Gateway
Security 300 Serie für den Hauptmodus einrichten. Auf diese Weise ist sicherge-
stellt, dass keine Verbindung hergestellt wird, wenn das Remote-Ende den VPN-
Tunnel initiiert.
Wenn ein Gateway eines Fremdanbieters einen VPN-Tunnel zu einer Appliance
der Symantec Gateway Security 300 Serie herstellt, akzeptiert die Appliance der
Symantec Gateway Security 300 Serie den Modus, der vom Administrator in der
Tunneldefinition angegeben wurde.
Wenn eine Appliance der Symantec Gateway Security 300 Serie einen VPN-Tun-
nel zu einem Sicherheits-Gateway eines Fremdherstellers herstellt, sollte die
Appliance der Symantec Gateway Security 300 Serie den Modus verwenden, der
vom Administrator in den Tunneldefinitionen festgelegt wurde. Die Standard-
einstellung ist "Hauptmodus". Wenn der Hauptmodus nicht verwendet wird,
können Probleme bei der erneuten Verschlüsselung auftreten, wenn zuerst das
externe Sicherheits-Gateway versucht, eine Neuverschlüsselung durchzuführen.

VPN-Tunnel zu einem Symantec Gateway Security 5400er


Cluster herstellen
Wenn Sie einen VPN-Tunnel zu einem Symantec Gateway Security 5400er
Cluster mit Hochverfügbarkeit und Lastverteilung herstellen möchten, geben Sie
beim Definieren des VPN-Tunnels die virtuelle IP-Adresse des Clusters an.
Einrichten sicherer VPN-Verbindungen 93
Konfiguration von Gateway-to-Gateway-Tunnels

Tunnels zwischen Symantec Gateway Appliances der 300er Serie und Symantec
Gateway Security Appliances der 5400er Serie werden nur für die Hochverfüg-
barkeit unterstützt.

Dynamische Gateway-to-Gateway-Tunnels konfigurieren


Dynamische Tunnels, die auch als IKE-Tunnels (Internet Key Exchange) bezeich-
net werden, generieren automatisch Authentifizierungs- und Verschlüsselungs-
schlüssel. In der Regel wird ein langes Kennwort, ein so genannter vorab instal-
lierter Schlüssel (oder vorab installierter Geheimcode), eingegeben. Dieser
Schlüssel muss vom Ziel-Sicherheits-Gateway erkannt werden, damit Benutzer
authentifiziert werden können. Wenn der Schlüssel erkannt wird, werden auto-
matisch SPI- (Security Parameter Index), Authentifizierungs- und Verschlüsse-
lungsschlüssel generiert und der Tunnel erstellt. Das Sicherheits-Gateway gene-
riert in der Regel automatisch in festgelegten Intervallen einen neuen Schlüssel,
um die dauerhafte Integrität des Schlüssels zu gewährleisten.

Tasks für die Konfiguration dynamischer Gateway-to-


Gateway-Tunnels
In Tabelle 6-4 sind die Tasks aufgeführt, die für die Konfiguration dynamischer
Gateway-to-Gateway-VPN-Tunnels erforderlich sind.

Hinweis: Führen Sie die in Tabelle 6-4 beschriebenen Schritte zweimal aus: ein-
mal für das lokale Sicherheits-Gateway und ein weiteres Mal für das Remote-
Sicherheits-Gateway.

Tabelle 6-4 Tasks für die Konfiguration dynamischer Gateway-to-Gateway-


Tunnels

Task SGMI

VPN-Richtlinie (Phase 2 der IKE-Aushandlung) VPN > VPN-Richtlinien


erstellen
(Optional)

Dynamischen Tunnel erstellen VPN > Dynamische Tunnels

Parameter für die IPsec-Sicherheitszuordnung VPN > Dynamische Tunnels > IPsec-
definieren Sicherheitszuordnung
VPN-Richtlinie auswählen

Lokales Sicherheits-Gateway definieren VPN > Dynamische Tunnels > Lokales


Sicherheits-Gateway
94 Einrichten sicherer VPN-Verbindungen
Konfiguration von Gateway-to-Gateway-Tunnels

Tabelle 6-4 Tasks für die Konfiguration dynamischer Gateway-to-Gateway-


Tunnels (Fortsetzung)

Task SGMI

Remote-Sicherheits-Gateway definieren VPN > Dynamische Tunnels > Remote-


Sicherheits-Gateway

Wiederholen Sie die oben aufgeführten Schritte


für das Remote-Sicherheits-Gateway.

So erstellen Sie einen dynamischen Gateway-to-Gateway-Tunnel


Siehe "Beschreibung der Felder im Register "Dynamische Tunnels"" auf Seite 204.
1 Klicken Sie im linken Teilfenster auf "VPN".
2 Geben Sie im Register "Dynamische Tunnels" in das Textfeld "Name" einen
Namen für den Tunnel ein.
3 Um einen vorhandenen Tunnel zu bearbeiten, wählen Sie im Dropdown-
Listenfeld "VPN-Tunnel" einen VPN-Tunnel aus.
4 Aktivieren Sie "VPN-Tunnel aktivieren".
5 Wählen Sie im Dropdown-Listenfeld "VPN-Richtlinie" eine VPN-Richtlinie
aus, an die der Tunnel gebunden werden soll.
6 Wenn Sie über ein ISP-Konto für mehrere PPPoE-Sitzungen verfügen, wäh-
len Sie unter "Lokales Sicherheits-Gateway" im Dropdown-Listenfeld
"PPPoE-Sitzung" eine PPPoE-Sitzung aus, an die der Tunnel gebunden wer-
den soll.
Wenn Ihr Konto mehrere PPPoE-Sitzungen nicht unterstützt, fahren Sie mit
dem nächsten Schritt fort.
7 Wählen Sie bei den Modellen 360 oder 360R im Dropdown-Listenfeld "Loka-
ler Endpunkt" einen Endpunkt für den Tunnel aus.
8 Wählen Sie im Dropdown-Listenfeld "ID-Typ" eine Phase-1-ID aus.
9 Geben Sie in das Textfeld "Phase-1-ID" die Phase-1-ID ein.
10 Führen Sie unter "Remote-Sicherheits-Gateway" einen der folgenden
Schritte aus:
■ Geben Sie in das Textfeld "Gateway-Adresse" die Remote-Gateway-
Adresse ein.
■ Wählen Sie optional im Dropdown-Listenfeld "ID-Typ" eine Phase-1-ID
aus.
■ Geben Sie optional in das Textfeld "Phase-1-ID" die Phase-1-ID ein.
Einrichten sicherer VPN-Verbindungen 95
Konfiguration von Gateway-to-Gateway-Tunnels

■ Geben Sie in das Textfeld "Vorab installierter Schlüssel" einen Schlüssel


ein.
■ Geben Sie in die Textfelder für die Remote-Teilnetz-Adresse die IP-
Adresse des Zielnetzwerks ein.
Um einen globalen Tunnel zu erstellen, geben Sie "0.0.0.0" ein.
■ Geben Sie in die Textfelder für die Maske die Netzmaske des Zielnetz-
werks ein.
Um einen globalen Tunnel zu erstellen, geben Sie "255.0.0.0" ein.
11 Klicken Sie auf "Hinzufügen".

Statische Gateway-to-Gateway-Tunnels konfigurieren


Statische Tunnels verwenden die Informationen der Global IKE-Richtlinie
(Phase 1-Aushandlung) nicht. Sie müssen die für den Tunnel erforderlichen
Informationen manuell eingeben. Sie können aber eine VPN-Richtlinie für die
Phase 2-Aushandlung erstellen.
Wenn Sie einen statischen Tunnel definieren, müssen Sie einen Authentifizie-
rungsschlüssel und einen Verschlüsselungsschlüssel (falls die Verschlüsselung
eingesetzt wird) angeben. Die Schlüssel müssen an beiden Enden des VPNs pas-
sen. Darüber hinaus müssen Sie manuell einen SPI (Security Parameter Index)
eingeben, der in jedes zwischen Sicherheits-Gateways übertragene Datenpaket
eingefügt wird. Der SPI ist ein eindeutiger Gateway-Bezeichner, der die zu einem
Datenpaket gehörenden Schlüssel angibt.

Längen der Verschlüsselungs- und der Authentifizierungs-


schlüssel
Beim Definieren eines statischen Tunnels müssen Sie einen Verschlüsselungs-
schlüssel und einen Authentifizierungsschlüssel eingeben. Jeder Schlüssel hat
basierend auf der von Ihnen ausgewählten Methode eine bestimmte Länge. Die
Schlüssellänge wird pro Methode in ASCII-Zeichen und in hexadezimalen Zei-
chen aufgeführt. In Tabelle 6-5 sind die Längen von Verschlüsselungsschlüsseln
aufgeführt.

Tabelle 6-5 Länge der Verschlüsselungsschlüssel

Methode Schlüssellänge in Schlüssellänge in hexadezimalen Zeichen


ASCII-Zeichen

DES 8 18 (0x + 16 hexadezimale Zeichen)

3DES 24 50 (0x + 20 hexadezimale Zeichen)

AES-128 16 18 (0x + 20 hexadezimale Zeichen)


96 Einrichten sicherer VPN-Verbindungen
Konfiguration von Gateway-to-Gateway-Tunnels

Tabelle 6-5 Länge der Verschlüsselungsschlüssel (Fortsetzung)

Methode Schlüssellänge in Schlüssellänge in hexadezimalen Zeichen


ASCII-Zeichen

AES-192 24 50 (0x + 20 hexadezimale Zeichen)

AES-256 32 66 (0x + 20 hexadezimale Zeichen)

In Tabelle 6-6 sind die Längen von Authentifizierungsschlüsseln aufgeführt.

Tabelle 6-6 Längen der Authentifizierungsschlüssel

Methode Schlüssellänge in Schlüssellänge in hexadezimalen Zeichen


ASCII-Zeichen

MD5 16 34 (0x + 16 hexadezimale Zeichen)

SHA1 20 42 (0x + 20 hexadezimale Zeichen)

Tasks für die Konfiguration statischer Gateway-to-Gateway-


Tunnels
In Tabelle 6-7 sind die Tasks aufgeführt, die für die Konfiguration statischer
Gateway-to-Gateway-VPN-Tunnels erforderlich sind.

Hinweis: Führen Sie die in Tabelle 6-7 beschriebenen Schritte zweimal aus: ein-
mal für das lokale Sicherheits-Gateway und ein weiteres Mal für das Remote-
Sicherheits-Gateway.

Tabelle 6-7 Tasks für die Konfiguration statischer Gateway-to-Gateway-Tunnels

Task SGMI

VPN-Richtlinie (Phase 2 der IKE-Aushandlung) VPN > VPN-Richtlinien


erstellen
(Optional)

Statischen Tunnel erstellen VPN > Statische Tunnels

Parameter für die IPsec-Sicherheitszuordnung VPN > Statische Tunnels > IPsec-
definieren Sicherheitszuordnung

Remote-Sicherheits-Gateway definieren VPN > Statische Tunnels > Remote-


Sicherheits-Gateway

Wiederholen Sie die oben aufgeführten Schritte


für das Remote-Sicherheits-Gateway.
Einrichten sicherer VPN-Verbindungen 97
Konfiguration von Gateway-to-Gateway-Tunnels

So erstellen Sie einen statischen Gateway-to-Gateway-Tunnel


Siehe "Beschreibung der Felder im Register "Statische Tunnels"" auf Seite 208.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Klicken Sie im rechten Teilfenster auf das Register "Statische Tunnels" und
geben Sie unter "IPsec-Sicherheitszuordnung" in das Textfeld "Tunnelname"
einen Namen für den Tunnel ein.
Um einen vorhandenen statischen Tunnel zu bearbeiten, wählen Sie im
Dropdown-Listenfeld "VPN-Tunnel" einen VPN-Tunnel aus.
3 Aktivieren Sie "VPN-Tunnel aktivieren".
4 Wenn Sie über ein ISP-Konto für mehrere PPPoE-Sitzungen verfügen, wäh-
len Sie unter "Lokales Sicherheits-Gateway" im Dropdown-Listenfeld
"PPPoE-Sitzung" eine PPPoE-Sitzung aus, an die der Tunnel gebunden wer-
den soll. Wenn Ihr Konto mehrere PPPoE-Sitzungen nicht unterstützt, fahren
Sie mit dem nächsten Schritt fort.
5 Wählen Sie bei den Modellen 360 und 360R im Dropdown-Listenfeld "Lokaler
Endpunkt" einen Endpunkt für den Tunnel aus.
6 Geben Sie in das Textfeld "SPI eingehend" den eingehenden SPI ein, der dem
Remote-SPI entsprechen muss.
7 Geben Sie in das Textfeld "SPI ausgehend" den ausgehenden SPI ein, der dem
lokalen SPI des Remote-Gateways entsprechen muss.
8 Wählen Sie im Dropdown-Listenfeld "VPN-Richtlinie" eine VPN-Richtlinie
aus, an die der Tunnel gebunden werden soll.
Sie können eine vorhandene VPN-Richtlinie verwenden oder eine neue
Richtlinie erstellen.
Siehe "Wissenswertes über VPN-Richtlinien" auf Seite 83.
9 Geben Sie in das Textfeld "Verschlüsselungsschlüssel" den Verschlüsse-
lungsschlüssel ein, der zur ausgewählten VPN-Richtlinie passt.
Die Länge muss zur ausgewählten VPN-Richtlinie passen.
10 Geben Sie in das Textfeld "Authentifizierungsschlüssel" den Authentifizie-
rungsschlüssel ein, der zur ausgewählten VPN-Richtlinie passt.
11 Geben Sie unter "Remote-Sicherheits-Gateway" in das Textfeld "Gateway-
Adresse" die Gateway-Adresse für Symantec Enterprise VPN an.
12 Klicken Sie neben "NetBIOS-Broadcast" auf "Deaktivieren".
13 Klicken Sie neben "Globaler Tunnel" auf "Deaktivieren".
14 Geben Sie in die Textfelder für die Remote-Teilnetz-IPs die IP-Adressen der
Remote-Zielteilnetze ein.
Um einen globalen Tunnel zu erstellen, geben Sie "0.0.0.0" ein.
98 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels

15 Geben Sie in die Textfelder für die Netzmasken die Maske des Zielteilnetzes
ein.
Um einen globalen Tunnel zu erstellen, geben Sie "255.0.0.0" ein.
16 Klicken Sie auf "Hinzufügen".

Informationen für den Administrator des Remote-Gateways


In Tabelle 6-8 sind die Informationen aufgeführt, die Sie dem Administrator der
Appliance bereitstellen müssen, die sich am anderen Ende des Gateway-to-
Gateway-Tunnels befindet.
Tabelle 6-8 Informationen für den Administrator des Remote-Gateways

Informationen Wert

IP-Adresse

Authentifizierungsschlüssel
(Statischer Tunnel)

Verschlüsselungsschlüssel
(Statischer Tunnel)

SPI (Statischer Tunnel)

Vorinstallierter Schlüssel

Lokales Teilnetz/Maske

VPN-Richtlinien-Verschlüsselungsmethode

VPN-Richtlinien-Authentifizierungsmethode

(Optional) Lokale Phase-1-ID

Konfiguration von Client-to-Gateway-VPN-Tunnels


Client-to-Gateway-VPN-Tunnels ermöglichen es Remote-Benutzern, die
Symantec Client VPN (oder eine IPsec-fähige VPN-Client-Software eines
Fremdanbieters) verwenden, eine sichere Internet-Verbindung zu einem Netz-
werk herzustellen, das durch ein Symantec Sicherheits-Gateway geschützt ist.
Einrichten sicherer VPN-Verbindungen 99
Konfiguration von Client-to-Gateway-VPN-Tunnels

Wissenswertes über Client-to-Gateway-VPN-Tunnels


Die Appliance der Symantec Gateway Security 300 Serie unterstützt Client-to-
Gateway-VPN-Tunnels. Eine Client-to-Gateway-Konfiguration wird erstellt,
wenn eine Arbeitsstation, auf der Symantec Client VPN ausgeführt wird, aus dem
geschützten Netzwerk oder extern über das Internet eine Verbindung zu einem
Sicherheits-Gateway herstellt.

Hinweis: Mithilfe von Client-to-Gateway-Tunnels können Verbindungen von


drahtlosen Clients gesichert werden. Weitere Informationen hierzu finden Sie im
Symantec Gateway Security 300 Wireless Implementierungshandbuch.

Wenn ein VPN-Tunnel erstellt wurde, können Remote-Benutzer über das Inter-
net sicher auf die Ressourcen des privaten Netzwerks zugreifen, so als ob sich die
Remote-Arbeitsstation innerhalb des geschützten Netzwerks befinden würde
(siehe Abbildung 6-2).

Abbildung 6-2 VPN-Tunnelkonfiguration für Client-to-Gateway-Verbindungen

Symantec Client VPN (LAN)

Internet
Symantec Gateway Symantec Client VPN (LAN)
Symantec Client VPN (WAN) Security 300 Serie

Symantec Client VPN (LAN)

In dieser Abbildung gibt es einen Client, der einen Remote-Tunnel (WAN) her-
stellt und drei Clients, die einen internen Tunnel (LAN) herstellen.
Sie können für jede VPN-Gruppe festlegen, dass die Netzwerkeinstellungen wäh-
rend des Phase-1-Konfigurationsmodus automatisch auf den Client herunterge-
laden werden. Dies betrifft die Einstellungen für primäre und sekundäre DNS-
Server, WINS-Server und den primären Domänen-Controller. Wenn diese Infor-
mationen während der Konfiguration auf die Clients übertragen werden, müssen
diese Einstellungen auf den Clients nicht separat vorgenommen werden,
wodurch Zeit gespart und Fehlerquellen vermieden werden.
100 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels

Bei LAN-seitigen VPN-Client-Tunnels kann der Client nur auf das Teilnetz
zugreifen, das unter "LAN-IP" festgelegt ist.
Siehe "Konfiguration der LAN-IP-Einstellungen" auf Seite 58.
Symantec Client-to-Gateway-VPN-Tunnels erfordern eine Client-Kennung und
einen vorab installierten Schlüssel. Sie können auch die erweiterte Authentifizie-
rung anwenden. Dabei wird für die Client-to-Gateway-VPN-Tunnels ein RADIUS-
Server zur zusätzlichen Authentifizierung verwendet.
Siehe "Benutzer definieren" auf Seite 87.
Beim Konfigurieren von VPN-Tunnels können Sie zwei Arten von Client-to-Gate-
way-Benutzern einrichten: dynamisch und statisch.
Siehe "Identifizierung von Benutzern" auf Seite 86.

Wissenswertes über globale Tunnels


Wenn ein Client im LAN einen VPN-Tunnel herstellt, wird für den Client ein glo-
baler Tunnel (0.0.0.0) konfiguriert. Dies bewirkt, dass der gesamte Client-Daten-
verkehr durch den VPN-Tunnel gesendet wird, der an der Appliance endet. Diese
Methode ist zur Sicherung des Datenverkehrs in nicht vertrauenswürdigen Netz-
werken sinnvoll, z. B. WLANs.
Beim Initiieren eines Tunnels im WAN wird das Teilnetz der Appliance (stan-
dardmäßig 192.168.0.0) konfiguriert. Der Client unterstützt geteilte Tunnels, so
dass nur LAN-Datenverkehr durch den VPN-Tunnel gesendet wird und der Client
trotzdem direkt eine Verbindung zum Internet herstellen kann.

Tasks für die Konfiguration von Client-to-Gateway-VPN-


Tunnels
In Tabelle 6-9 sind die Tasks aufgeführt, die für die Konfiguration eines Client-
to-Gateway-VPN-Tunnels erforderlich sind.

Tabelle 6-9 Tasks für die Konfiguration von Client-to-Gateway-VPN-Tunnels

Task SGMI

VPN-Richtlinie (Phase 2 der IKE-Aushand- VPN > VPN-Richtlinien


lung) erstellen Diese Task ist optional.

Remote-Benutzer identifizieren VPN > Client-Benutzer > VPN-Benutzer-


identität

Client-Tunnel für die ausgewählte VPN- VPN > Client-Tunnels > Gruppen-Tunnel-
Gruppe aktivieren. Definition
Einrichten sicherer VPN-Verbindungen 101
Konfiguration von Client-to-Gateway-VPN-Tunnels

Tabelle 6-9 Tasks für die Konfiguration von Client-to-Gateway-VPN-Tunnels

Task SGMI

Optional: VPN-Netzwerkparameter konfigu- VPN > Client-Tunnels > VPN-Netzwerk-


rieren (die bei Aushandlungen auf den Client parameter
übertragen werden)

Optional: RADIUS-Authentifizierung konfi- VPN > Client-Tunnels > Erweiterte Benut-


gurieren zerauthentifizierung
VPN > Erweitert > RADIUS-Einstellungen

Optional: Einhaltung von Virenschutz-Richt- VPN > Client-Tunnels > Virenschutz-


linien einrichten Richtlinie

VPN-Richtlinie für den Tunnel auswählen VPN > Erweitert > Globale VPN-Client-Ein-
stellungen

Client-VPN-Tunnels definieren
In diesem Abschnitt wird beschrieben, wie Sie Client-VPN-Tunnels definieren.
Dieser Vorgang umfasst die folgenden Schritte:
■ Client-Tunnels für bestimmte VPN-Gruppen für WAN- und/oder LAN/
WLAN-Verbindungen aktivieren
■ VPN-Netzwerkparameter festlegen, die bei Tunnel-Aushandlungen auf das
Client-VPN übertragen werden (optional)
■ RADIUS-Authentifizierung konfigurieren (optional)
■ Einhaltung von Virenschutz-Richtlinien konfigurieren (optional)
■ Content Filtering konfigurieren (optional)
Wenn Sie das Content Filtering für WAN-seitige Remote-VPN-Clients akti-
vieren, müssen sich im lokalen LAN DNS-Server befinden. In Symantec Client
VPN 8.0 können Sie zwei Arten von Tunnels definieren: einen WAN-Tunnel,
der den Domänennamen verwendet, und einen LAN-Tunnel, der die IP-
Adresse verwendet. Diese Tunnels müssen dann einer Gateway-Gruppe zuge-
ordnet werden. Auf diese Weise kann die Verbindung über die IP-Adresse her-
gestellt werden, wenn Sie den Tunnel erzeugen und der erste Tunnel fehl-
schlägt (beispielsweise, weil der Name nicht aufgelöst werden kann).
Weitere Informationen finden Sie im Symantec Client VPN-Benutzerhand-
buch.
102 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels

So definieren Sie Client-Tunnels


Siehe "Beschreibung der Felder im Register "Client-Tunnels"" auf Seite 211.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Klicken Sie im rechten Teilfenster auf das Register "Client-Tunnels" und
wählen Sie unter "Gruppen-Tunnel-Definition" im Dropdown-Listenfeld
"VPN-Gruppe" eine VPN-Gruppe aus.
3 Um für die angegebene VPN-Gruppe Client-VPNs für WAN- oder WLAN/
LAN-Verbindungen zu aktivieren, wählen Sie eine oder beide der folgenden
Optionen aus:
■ WAN-seitige Client-VPNs aktivieren
■ WLAN/LAN-seitige Client-VPNs aktivieren
4 Geben Sie optional unter "VPN-Netzwerkparameter" in das Textfeld "Primä-
res DNS" den Namen des primären DNS-Servers ein.
5 Geben Sie optional in das Textfeld "Sekundäres DNS" den Namen des sekun-
dären DNS-Servers ein.
DNS (Domain Name System oder Service) ist ein Internet-Dienst, der Domä-
nennamen in IP-Adressen umwandelt.
6 Geben Sie optional in das Textfeld "Primäres WINS" den Namen des primä-
ren WINS-Servers ein.
Dieser Schritt ist optional. WINS (Windows Internet Naming Service) ist ein
System zum Ermitteln der IP-Adresse, die einem bestimmten Netzwerk-
Computer zugeordnet ist.
7 Geben Sie optional in das Textfeld "Sekundäres WINS" den Namen des
sekundären WINS-Servers ein.
8 Geben Sie optional in das Textfeld "Primärer Domänen-Controller" den
Namen des primären Domänen-Controllers ein.
9 (Optional) Aktivieren Sie unter "Erweiterte Benutzerauthentifizierung" die
Option "Erweiterte Benutzerauthentifizierung aktivieren".
10 (Optional) Geben Sie in das Textfeld "RADIUS-Gruppenbindung" den Namen
der RADIUS-Gruppenbindung ein.
Der Name der RADIUS-Gruppenbindung muss der vom RADIUS-Server
zurückgegebenen Filterkennung entsprechen.
Einrichten sicherer VPN-Verbindungen 103
Konfiguration von Client-to-Gateway-VPN-Tunnels

11 Führen Sie folgende Schritte aus, um AVpe im Bereich für die WAN-Client-
Richtlinie zu aktivieren:
■ Klicken Sie auf "Einhaltung von Virenschutz-Richtlinien aktivieren".
■ Wenn im Symantec Gateway Security-Protokoll eine Warnung gespei-
chert werden soll, wenn ein Client eine Verbindung herstellen möchte,
der nicht mit der AVpe-Richtlinie kompatibel ist, klicken Sie auf "Nur
warnen".
■ Um Datenverkehr, der nicht mit der AVpe-Richtlinie kompatibel ist, zu
blockieren, klicken Sie auf "Verbindungen blockieren".
12 Führen Sie folgende Schritte aus, um das Content Filtering im Bereich für die
WAN-Client-Richtlinie zu aktivieren:
■ Klicken Sie auf "Content Filtering aktivieren".
■ Um Datenverkehr zuzulassen und anderen Datenverkehr zu blockieren,
klicken Sie auf "Liste vom Typ 'Zulassen' verwenden".
■ Um Datenverkehr zu blockieren und anderen Datenverkehr zuzulassen,
klicken Sie auf "Liste vom Typ 'Ablehnen' verwenden".
13 Klicken Sie auf "Aktualisieren".

Globale Richtlinien für Client-to-Gateway-VPN-Tunnels festlegen


Einige Einstellungen sind global für Client-to-Gateway-VPN-Tunnels
konfigurierbar. Mithilfe dieser Einstellungen wird die Phase-1-ID für alle Client-
VPN-Tunnels konfiguriert, die eine Verbindung mit dem Sicherheits-Gateway
herstellen.
Diese Einstellungen gelten für alle drei VPN-Gruppen.

So legen Sie globale Richtlinieneinstellungen für Client-to-Gateway-VPN-


Tunnels fest
Siehe "Beschreibung der Felder im Register "Erweitert"" auf Seite 217.
1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Führen Sie im Register "Erweitert" des rechten Teilfensters unter "Globale
VPN-Client-Einstellungen" einen der folgenden Schritte aus:
■ Wählen Sie im Dropdown-Listenfeld "Lokales Gateway - Phase 1 - ID-
Typ" einen ID-Typ aus.
■ Geben Sie in das Textfeld "Lokales Gateway - Phase 1 - ID" den Wert ein,
der dem ausgewählten ID-Typ entspricht.
■ Wählen Sie im Dropdown-Listenfeld "VPN-Richtlinie" eine VPN-Richt-
linie für alle Client-Tunnels aus.
104 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels

3 Führen Sie unter "Dynamische VPN-Client-Einstellungen" folgende Schritte


aus:
■ Um für alle drei VPN-Gruppen dynamische Benutzer zu aktivieren,
klicken Sie auf "Dynamische VPN-Client-Tunnels aktivieren".
■ Geben Sie in das Textfeld "Vorab installierter Schlüssel" eine Zeichen-
folge für den Schlüssel ein.
4 Klicken Sie auf "Speichern".

Ihren Clients Informationen bereitstellen


Wenn Sie den Client-to-Gateway-VPN-Tunnel konfiguriert haben, müssen Sie
die Gateway-Informationen an Ihre Clients weiterleiten, damit diese Verbindun-
gen herstellen können. Tabelle 6-10 bietet einen Überblick über die Informatio-
nen, die Sie Ihren Clients bereitstellen müssen, damit diese eine Verbindung zum
Sicherheits-Gateway herstellen können.

Tabelle 6-10 Für Clients erforderliche Informationen

Informationen Wert

Gateway-IP-Adresse oder voll qualifi-


zierter Domänenname

Vorab installierter Schlüssel (Benutzer) Diese Information sollten Sie nur mündlich oder
auf eine andere sichere Weise weitergeben

Client-Kennung

RADIUS-Benutzername
(Optional)

Vorab installierter RADIUS-Geheim-


code (Benutzer mit erweiterter
Authentifizierung)
(Optional)

Phase-1-ID
(Optional)
Einrichten sicherer VPN-Verbindungen 105
Überwachung des VPN-Tunnel-Status

Überwachung des VPN-Tunnel-Status


Im Fenster für den VPN-Status werden die Statusinformationen der konfigurier-
ten dynamischen und statischen Gateway-to-Gateway-VPN-Tunnels angezeigt.
Statische Tunnels haben entweder den Status "Aktiviert" oder "Deaktiviert".
Dynamische Tunnels haben den Status "Verbunden", "Aktiviert" oder "Deakti-
viert". Statische Tunnels haben niemals den Status "Verbunden", weil es bei
statischen Tunnels keine Aushandlungen gibt.
Wenn Sie das Statusfenster aufrufen, werden die aktuellen Informationen ange-
zeigt. Der Status kann sich ändern, während Sie die Informationen lesen. Klicken
Sie auf "Aktualisieren", damit die neuesten Daten angezeigt werden.

VPN-Tunnel-Status überwachen
Sie können den Tunnel-Status überwachen, indem Sie beide Enden eines Tunnels
prüfen oder indem Sie das Statusfenster aufrufen.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 216.

So prüfen Sie, ob der Tunnel an beiden Enden aktiviert ist


◆ Senden Sie von einem lokalen Host ein Ping-Signal an einen Computer des
Remote-Netzwerks.

So aktualisieren Sie die Informationen im Statusfenster


1 Klicken Sie im linken Teilfenster des SGMI auf "VPN".
2 Wählen Sie im rechten Teilfenster das Register "Status" und klicken Sie im
unteren Teil des Statusfensters auf "Aktualisieren".
Kapitel 7
Erweiterte Steuerung des
Netzwerkverkehrs
In diesem Kapitel werden folgende Themen behandelt:

■ Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe)

■ Vorbereitungen für die Konfiguration von AVpe

■ Konfiguration von AVpe

■ Überwachen des Antivirus-Status

■ Testen von AVpe

■ Wissenswertes über Content Filtering

■ Content Filtering-Listen verwalten


■ Überwachung des Content Filtering
Die erweiterten Funktionen der Symantec Gateway Security Appliance der 300er
Serie zur Steuerung des Netzverkehrs umfassen die Einhaltung von Virenschutz-
Richtlinien (AVpe) und das Content Filtering.
Mithilfe von AVpe können Sie die Virenschutzeinstellungen von Clients überwa-
chen und ggf. Sicherheitsrichtlinien erzwingen, um nur den Clients Netzwerk-
zugriff zu gewähren, die durch eine Antivirus-Software geschützt sind und deren
Virendefinitionen auf einem Richtlinien-Master definiert sind.
Die Appliance unterstützt auch die Verwendung von Content Filtering für den
ausgehenden Netzwerkverkehr. Mithilfe von Content Filtering können Sie festle-
gen, auf welche URLs Clients Zugriff haben sollen. Wenn Sie Ihren Benutzern
beispielsweise den Zugriff auf Sites mit Glücksspielen verweigern möchten, kön-
nen Sie einen Inhaltsfilter definieren, der den Zugriff auf die von Ihnen angege-
benen URLs verhindert.
108 Erweiterte Steuerung des Netzwerkverkehrs
Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe)

Allgemeines zur Einhaltung von Virenschutz-


Richtlinien (AVpe)
Mithilfe von AVpe kann die AntiVirus-Konfiguration unterstützter, verbundener
Symantec Richtlinien-Master und Client-Arbeitsstationen überwacht werden,
die auf das Unternehmensnetzwerk zugreifen möchten. In den Versionshinwei-
sen zur Symantec Gateway Security Appliance der 300er Serie finden Sie Infor-
mationen zu den unterstützten AntiVirus-Produkten und darüber, wie sich deren
Konfiguration und Verwendung vom nachfolgend Beschriebenen unterscheidet.
AVpe ist in zwei Umgebungen einsetzbar: In einem Netzwerk mit einem internen
Symantec AntiVirus Corporate Edition Server, der Virenschutzinformationen
verwaltet, oder in einem Netzwerk mit nicht verwalteten Clients.
Wenn in Ihr Netzwerk ein Symantec AntiVirus Corporate Edition-Server inte-
griert ist und Sie AVpe konfigurieren, legen Sie einen primären und (optional)
einen sekundären Antivirus-Server fest, auf den die Rechner in Ihrem Netzwerk
über eine LAN- oder eine WAN-Verbindung zugreifen können. Wenn Ihr Netz-
werk nicht verwaltete Clients umfasst, legen Sie einen Client als Master fest. Die
anderen Clients gleichen dann ihre Versionen mit diesem Master ab.
Wenn ein interner Client eine DHCP-Verbindung erstmalig anfordert, eine
externe Verbindung herstellt, oder wenn ein Client einen VPN-Tunnel initiiert
(von Ihrem LAN oder remote über das Internet), ruft die Appliance die AV-Richt-
linieneinstellungen des Clients ab und gleicht diese mit den aktuellen AV-Richt-
linieneinstellungen ab. Wenn die Client-Einstellungen nicht der Richtlinie ent-
sprechen, wird eine Warnung ausgegeben oder der Datenverkehr wird blockiert
(je nachdem, was Sie beim Konfigurieren von AVpe angegeben haben) und die
Aktion wird protokolliert.
Sie können festlegen, dass die Appliance Client- oder Server-Konfigurationen in
bestimmten Intervallen (standardmäßig alle 10 Minuten) überwacht. Wenn ein
Client eine Verbindung hergestellt hat, prüft die Appliance die Kompatibilität des
Clients mit der Antivirus-Richtlinie in benutzerdefinierten Intervallen.Die Kom-
patibilität der Clients mit den Richtlinien wird in dem angegebenen Intervall
(standardmäßig acht Stunden) erneut geprüft. Wenn der AV-Richtlinien-Master
anzeigt, dass Updates vorhanden sind, müssen diese innerhalb von acht Stunden
(Standard-LiveUpdate-Intervall auf nicht verwalteten Clients) auf den Clients
installiert werden. Innerhalb dieser Frist gilt die letzte Version der AV-Richt-
liniendefinition als konform. Wenn die Updates nach Ablauf dieser Frist nicht
installiert wurden, erfüllen die Clients die Antivirus-Richtlinie nicht mehr.
Erweiterte Steuerung des Netzwerkverkehrs 109
Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe)

Tabelle 7-1 enthält Angaben zur Client-Kompatibilität und den entsprechend


durchgeführten Aktionen.

Tabelle 7-1 Aktionen nach Client-Kompatibilität

Status des Clients Aktion

Mit den aktuellen Virenschutz- Client darf auf Firewall zugreifen


Richtlinien kompatibel

Virenschutz ist nicht aktuell Die Verbindung wird zugelassen, die Appliance gibt aber
eine Warnung aus, oder der Zugriff wird vollständig ver-
weigert. Dies ist von der von Ihnen vorgenommenen Ein-
stellung abhängig.

Clients, denen der Zugriff verweigert wurde, können dennoch eine Verbindung
zu Symantec AntiVirus Corporate Edition oder Symantec LiveUpdate-Servern
herstellen, um ihre Virendefinitionen zu aktualisieren.
Sie können mithilfe von Computer-Gruppen die Kompatibilität mit den Richtli-
nien erzwingen. Alle lokalen Clients sind Computer-Gruppen zugeordnet. Sie
aktivieren oder deaktivieren für jede Computer-Gruppe die AVpe-Funktion.
AVpe ist standardmäßig auf allen Computern deaktiviert. Siehe "Wissenwertes
über Computer und Computer-Gruppen" auf Seite 64.
Wenn das Content Filtering und die Einhaltung von Virenschutz-Richtlinien
gleichzeitig aktiviert sind, hat das Content Filtering bei ausgehendem Datenver-
kehr Vorrang vor der Einhaltung von Virenschutz-Richtlinien. Wenn ein Content
Filtering-Verstoß stattfindet und ein Client blockiert wird, wird eine Meldung im
Protokoll angegeben und es werden keine Regeln für die Einhaltung von Viren-
schutz-Richtlinien angewendet.
AVpe wird nur für ausgehende Verbindungen und VPN-Client-Verbindungen
unterstützt.

Hinweis: UNIX-/Linux-Clients oder Clients mit einem nicht unterstützten AV-


Client müssen in einer Computer-Gruppe ohne AVpe zusammengefasst werden.
110 Erweiterte Steuerung des Netzwerkverkehrs
Vorbereitungen für die Konfiguration von AVpe

Vorbereitungen für die Konfiguration von AVpe


Führen Sie vor dem Konfigurieren der Symantec Gateway Security Appliance der
300er Serie die folgenden Schritte aus:
■ Bestimmen Sie Ihre AVpe-Anforderungen und berücksichtigen Sie sie bei
der Einteilung von Computer-Gruppen. AVpe wird nur für ausgehende Ver-
bindungen und VPN-Client-Verbindungen unterstützt. Bestimmen Sie die
Clients, deren Virendefinitionen geprüft werden sollen, und ggf. die Clients,
die bedingt oder uneingeschränkt Zugriff auf das Netzwerk haben sollen.
Ordnen Sie die Benutzer anschließend Zugriffs- oder VPN-Gruppen zu und
legen Sie fest, ob eine Warnmeldung ausgegeben oder der Netzwerkverkehr
blockiert werden soll, wenn ein Client auf das lokale Netzwerk zugreifen
möchte, dessen Einstellungen nicht den Richtlinien entsprechen.

Hinweis: UNIX-/Linux-Clients oder Clients mit einem nicht unterstützten


AV-Client müssen in einer Computer-Gruppe ohne AVpe zusammengefasst
werden.

Weitere Informationen finden Sie unter "Computer-Gruppen definieren" auf


Seite 67 oder "Liste der Benutzer anzeigen" auf Seite 89.
■ Wenn Symantec AntiVirus Corporate Edition-Server verwendet werden
sollen, ermitteln Sie den Namen des primären und (optional) des sekundären
Servers im Netzwerk.
■ Wenn Ihr Netzwerk nicht verwaltete Clients umfasst, die Ihre AV-Updates
direkt von LiveUpdate erhalten, legen Sie einen Client als Master fest. Der
Master sollte immer eingeschaltet sein. Außerdem sollte Symantec
AntiVirus Client installiert und aktiv sein und es sollte eine Internetverbin-
dung bestehen, damit der Master Virendefinitionsaktualisierungen herun-
terladen kann.
■ Wenn sich in Ihrem Netzwerk Client-Arbeitsstationen in einem durch eine
Firewall geschützten Teilnetzwerk befinden und die Firewall Adressumset-
zungen durchführt, bei denen die IP-Adresse der Clients geändert wird, ist
das Sicherheits-Gateway nicht in der Lage, mit den Clients zu kommunizie-
ren (was zur Validierung von Virendefinitionen auf Clients erforderlich ist).
In dieser Konfiguration kommuniziert das Sicherheits-Gateway mit der
Firewall und nicht mit dem Client.
■ Stellen Sie sicher, dass der Netzwerkverkehr nicht durch eine persönliche
Firewall blockiert wird. Sie müssen auf allen persönlichen Firewalls UDP/
Port 2967 zulassen. Dies ist in Symantec Client VPN 8.0 standardmäßig ein-
gerichtet.
Erweiterte Steuerung des Netzwerkverkehrs 111
Konfiguration von AVpe

Konfiguration von AVpe


Bei der Konfiguration von AVpe für eine Symantec AntiVirus Corporate Edition-
Umgebung und für ein reines Client-Netzwerk müssen ähnliche Schritte ausge-
führt werden.
Bei der Konfiguration für Symantec AntiVirus Corporate Edition-Server müssen
Sie die folgenden Schritte ausführen:
■ Definieren Sie den Standort des primären und (optional) des sekundären
Symantec AntiVirus-Servers. Stellen Sie außerdem sicher, dass Symantec
AntiVirus Corporate Edition auf einem Client installiert ist und dass die
Virendefinitionen und die Prüf-Engine auf den Clients aktuell sind.
Siehe "Konfiguration von AVpe" auf Seite 111.
■ Aktivieren Sie AVpe für Computer oder VPN-Gruppen.
Siehe "AVpe aktivieren" auf Seite 112.
Bei der Konfiguration für Netzwerke mit nicht verwalteten AntiVirus-Clients
(ohne Symantec AntiVirus Corporate Edition) müssen Sie die folgenden Schritte
ausführen:
■ Definieren Sie den Standort des Richtlinien-Master-Clients und stellen Sie
sicher, dass eine unterstützte Symantec AntiVirus-Version installiert ist.
Außerdem müssen die Virendefinitionen und die Prüf-Engine auf den Clients
aktuell sein.
■ Aktivieren Sie AVpe für Computer oder VPN-Gruppen.
Siehe "AVpe aktivieren" auf Seite 112.
■ Konfigurieren Sie die AV-Clients.
Siehe "AntiVirus-Clients konfigurieren" auf Seite 114.

So konfigurieren Sie die Einhaltung von Virenschutz-Richtlinien


Siehe "Beschreibung der AVpe-Felder" auf Seite 221.
1 Klicken Sie im linken Teilfenster des SGMI auf "Virenschutz-Richtlinie".
2 Geben Sie im rechten Teilfenster unter "Server-Adresse" in das Textfeld
"Primärer AV-Master" die IP-Adresse oder den voll qualifizierten Domänen-
namen des primären Antivirus-Servers oder des Master-Clients ein.
3 Geben Sie optional in das Textfeld "Sekundärer AV-Master" die IP-Adresse
oder den voll qualifizierten Domänennamen eines Backup-Antivirus-Servers
ein, falls dieser in Ihrer Umgebung unterstützt wird.
4 Geben Sie in das Textfeld "AV-Master abfragen alle...Minuten" ein Intervall
(in Minuten) an, in dem die Appliance auf dem Antivirus-Server nach
Aktualisierungen der Virendefinitionen suchen soll.
112 Erweiterte Steuerung des Netzwerkverkehrs
Konfiguration von AVpe

5 Um eine manuelle Aktualisierung zu erzwingen, klicken Sie auf "Master


abfragen".
6 Wählen Sie unter "Richtlinienvalidierung" neben "Verifizieren, ob AV-Client
aktiv ist" eine der folgenden Optionen aus:
■ Neueste Produkt-Engine
Prüft die Virenschutzkonfiguration eines Clients dahingehend, dass er
ein unterstütztes Symantec-Virenschutzprodukt und die neueste Prüf-
Engine verwendet.
■ Beliebige Version
Prüft die Virenschutzkonfiguration eines Clients dahingehend, dass die
richtige Version eines unterstützten Symantec-Virenschutzprodukts
auf dem Client installiert ist.
7 Wenn die Appliance prüfen soll, ob ein Client die neusten Virendefinitionen
verwendet, aktivieren Sie die Option "Neueste Virendefinitionen verifizieren".
8 Geben Sie in das Textfeld "Clients abfragen alle" ein Intervall (in Minuten)
ein, in dem die Appliance prüfen soll, ob Clients aktuelle Virendefinitionen
verwenden.
9 Klicken Sie auf "Speichern".

AVpe aktivieren
AVpe wird auf der Computer-Gruppen- und der VPN-Gruppenebene erzwungen.
Um AVpe zu aktivieren, wählen Sie zunächst eine Gruppe aus und aktivieren Sie
dann AVpe einmal für alle Clients der Gruppe. Außerdem können Sie festlegen,
ob eine Warnmeldung ausgegeben oder ob Clients der Zugriff auf das WAN ver-
wehrt werden soll, wenn die Virenschutzeinstellungen von Clients nicht mit den
erwarteten Sicherheitsrichtlinien kompatibel sind.

AVpe aktivieren
Wenn Sie AVpe konfiguriert haben, müssen Sie AVpe für jeden Computer bzw.
jede VPN-Gruppe aktivieren.

Hinweis: AVpe für VPN-Gruppen kann nur bei WAN-Clients aktiviert werden. Für
LAN-VPN-Clients wird AVpe über Computer-Gruppen im Firewall-Abschnitt
aktiviert.
Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf Seite 65.
Siehe "Client-VPN-Tunnels definieren" auf Seite 101.

Siehe "Beschreibung der Felder im Register "Computer-Gruppen"" auf Seite 193.


Siehe "Beschreibung der Felder im Register "Client-Tunnels"" auf Seite 211.
Erweiterte Steuerung des Netzwerkverkehrs 113
Konfiguration von AVpe

So aktivieren Sie die Einhaltung von Virenschutz-Richtlinien für Computer-


Gruppen
1 Klicken Sie im linken Teilfenster des SGMI auf "Firewall".
2 Klicken Sie auf das Register "Computer-Gruppen" und wählen Sie unter
"Sicherheitsrichtlinien" im Dropdown-Listenfeld "Computer-Gruppe" die
Computer-Gruppe aus, für die AVpe aktiviert werden soll.
3 Aktivieren Sie unter "Einhaltung von Virenschutz-Richtlinien" die Option
"Einhaltung von Virenschutz-Richtlinien aktivieren" und führen Sie dann
einen der folgenden Schritte aus:
■ Um Warnmeldungen für Clients zu protokollieren, deren Virendefinitio-
nen veraltet sind, klicken Sie auf "Nur warnen".
■ Um Verbindungen von Clients vollständig zu blockieren, deren Viren-
definitionen veraltet sind, klicken Sie auf "Verbindungen blockieren".
4 Klicken Sie auf "Speichern".
5 Wiederholen Sie die Schritte 2 bis 5, um AVpe für jede Computer-Gruppe zu
aktivieren.

So aktivieren Sie die Einhaltung von Virenschutz-Richtlinien für VPN-Gruppen


1 Klicken Sie im linken Teilfenster des SGMI (Security Gateway Management
Interface) auf "VPN".
2 Klicken Sie auf das Register "Client-Tunnels" und wählen Sie unter "Grup-
pen-Tunnel-Definition" im Dropdown-Listenfeld "VPN-Gruppe" die VPN-
Gruppe aus, für die die AVpe aktiviert werden soll.
3 Aktivieren Sie unter "WAN-Client-Richtlinie" die Option "Einhaltung von
Virenschutz-Richtlinien aktivieren" und führen Sie dann einen der folgen-
den Schritte aus:
■ Um Warnmeldungen für Clients zu protokollieren, deren Virendefinitio-
nen veraltet sind, klicken Sie auf "Nur warnen".
■ Um Verbindungen von Clients vollständig zu blockieren, deren Viren-
definitionen veraltet sind, klicken Sie auf "Verbindungen blockieren".
4 Klicken Sie auf "Speichern".
5 Wiederholen Sie die Schritte 2 bis 5, um AVpe für jede VPN-Gruppe zu akti-
vieren.
114 Erweiterte Steuerung des Netzwerkverkehrs
Überwachen des Antivirus-Status

AntiVirus-Clients konfigurieren
Wenn die Clients in Ihrem Netzwerk nicht verwaltet sind und mithilfe von
LiveUpdate aktuelle Virendefinitionen und Engines installieren, müssen Sie
jeden Client konfigurieren, bevor er mit AVpe validiert werden kann. Auf jedem
Client, der mit AVpe validiert werden soll, muss ein unterstütztes Symantec
Antivirus-Produkt im nicht verwalteten Modus installiert sein.
Wenn Sie die Client-Software deinstallieren, werden die bei diesem Verfahren
erstellten Registrierungsschlüssel ebenfalls gelöscht.

Warnung: Clients, die von einem Symantec AntiVirus-Server verwaltet werden,


dürfen nicht konfiguriert werden.

So konfigurieren Sie AV-Clients


1 Installieren oder konfigurieren Sie auf jedem Client ein unterstütztes
Symantec Antivirus-Produkt im nicht verwalteten Modus.
2 Legen Sie die Symantec Gateway Security 300 Serie-CD-ROM in das CD-
ROM-Laufwerk eines Client-Computers ein.
3 Kopieren Sie die Datei "SGS300_AVpe_client_Activation.reg" im Tools-Ord-
ner auf den Client-Desktop.
4 Doppelklicken Sie auf die Datei.
5 Wiederholen Sie die Schritte 2 bis 4 für jeden Client, der mithilfe von AVpe
validiert werden soll.

Überwachen des Antivirus-Status


In den Abschnitten für den Status des Antivirus-Masters und -Clients des AVpe-
Registers werden Informationen zum Betriebsstatus des primären und sekundä-
ren Antivirus-Masters und -Clients in Ihrem Netzwerk angezeigt.
Alle Änderungen, die Sie an der Konfiguration des primären oder sekundären
Antivirus-Servers vornehmen und speichern, werden im Feld für den Status des
AV-Masters wiedergegeben.

Protokollmeldungen
Wenn Sie AVpe aktivieren und eine Client-Verbindung abgelehnt wird (also blo-
ckiert wird oder eine Warnmeldung angezeigt wird), wird eine Meldung im Pro-
tokoll gespeichert. Es empfiehlt sich, diese Protokollmeldungen regelmäßig zu
überprüfen, um den Netzwerkverkehr zu überwachen.
Erweiterte Steuerung des Netzwerkverkehrs 115
Testen von AVpe

So zeigen Sie AVpe-Protokollmeldungen an


Siehe "Beschreibung der Felder im Register "Protokoll anzeigen"" auf Seite 164.
1 Klicken Sie im linken Teilfenster des SGMI (Security Gateway Management
Interface) auf "Protokoll/Überwachen".
2 Klicken Sie im Register "Protokoll anzeigen" auf "Aktualisieren".

Testen von AVpe


Wenn Sie AVpe aktiviert haben, können Sie AVpe testen, indem Sie Symantec
AntiVirus Corporate Edition in einer Client-Arbeitsstation deaktivieren und
anschließend eine Verbindung zum lokalen Netzwerk herstellen. Wenn die Ein-
haltung von Virenschutz-Richtlinien richtig konfiguriert ist und die Symantec
Antivirus-Software nicht aktiviert ist, sollten alle Verbindungsversuche blo-
ckiert oder es sollte jeweils eine Warnmeldung angezeigt werden.
Der Status des sekundären Antivirus-Servers wird erst angezeigt, wenn der pri-
märe Server nicht erreichbar ist.

Hinweis: Auf der Client-Arbeitsstation wird keine Meldung angezeigt, dass der
Netzwerkzugriff blockiert ist und eine Meldung im Protokoll gespeichert wurde.

So testen Sie AVpe


Siehe "Beschreibung der Felder für das Protokollieren/Überwachen" auf
Seite 161.
1 Deinstallieren Sie Symantec AntiVirus Corporate Edition auf einer Client-
Arbeitsstation, die als Teil einer Computer-Gruppe konfiguriert wurde und
auf der AVpe aktiviert ist und Verbindungen blockiert werden.
2 Öffnen Sie einen Web-Browser und stellen Sie eine Verbindung zu
"www.symantec.com" her.
Die Verbindung sollte fehlschlagen und der durch die Firewall geleitete
Datenverkehr sollte blockiert werden.
3 Klicken Sie im linken Teilfenster des SGMI (Security Gateway Management
Interface) auf "Protokoll/Überwachen".
4 Klicken Sie auf "Protokoll anzeigen". Das Protokoll sollte die Warnmeldung
enthalten, dass alle Verbindungsversuche für den bestimmten Client auf-
grund eines Richtlinienverstoßes blockiert wurden.
Wenn diese Meldung vorliegt, ist die AVpe-Funktion richtig konfiguriert und
funktioniert ordnungsgemäß.
116 Erweiterte Steuerung des Netzwerkverkehrs
Wissenswertes über Content Filtering

5 Wenn die Verbindung zu "www.symantec.com" hergestellt werden kann, über-


prüfen Sie die AVpe-Konfigurationseinstellungen und die Gruppenzuweisun-
gen. Stellen Sie sicher, dass Sie Symantec AntiVirus Corporate Edition auf der
Client-Arbeitsstation deinstalliert haben und dass der Client Mitglied einer
Gruppe ist, für die AVpe deaktiviert ist, und dass die Option zum Blockieren
von Verbindungen ausgewählt ist. Wiederholen Sie die Schritte 1 bis 4.

Wissenswertes über Content Filtering


Die Symantec Gateway Security Appliances der 300er Serie unterstützen das
Content Filtering für ausgehenden Datenverkehr. Mithilfe von Content Filtering
können Sie festlegen, auf welche Inhalte Clients Zugriff haben sollen. Wenn Sie
Ihren Benutzern beispielsweise den Zugriff auf Sites mit Glücksspielen verwei-
gern möchten, können Sie einen Inhaltsfilter definieren, der den Zugriff auf die
von Ihnen angegebenen URLs verhindert.
Das Content Filtering wird über Computer-Gruppen und VPN-Gruppen verwal-
tet. Computer-Gruppen sind im Firewall-Abschnitt definierte Gruppen, für die
dieselben Regeln gelten. VPN-Gruppen sind entsprechend im VPN-Abschnitt
definierte Gruppen von VPN-Benutzern, für die dieselben Regeln gelten. Wenn
Sie eine Computer-Gruppe definieren, geben Sie an, ob die Gruppe für das Con-
tent Filtering Listen vom Typ "Ablehnen" oder Listen vom Typ "Zulassen" ver-
wendet. Der interne Zugriff auf die in den Listen vom Typ "Ablehnen" (Black
Lists) aufgeführten Sites wird blockiert. Der Zugriff auf nicht in der Liste enthal-
tene Sites wird zugelassen. Der interne Zugriff auf die in den Listen vom Typ
"Zulassen" (White Lists) aufgeführten Sites wird zugelassen. Der Zugriff auf alle
anderen Sites wird blockiert.

Hinweis: Standardmäßig ist die Content Filtering-Funktion für alle Computer-


Gruppen deaktiviert.

Die Liste vom Typ "Zulassen" lässt den Datenverkehr zu Sites zu, die den Einträ-
gen in der Liste entsprechen. Die Content Filtering-Engine blockiert Verbin-
dungsanforderungen an ein Ziel, das nicht in der Liste aufgeführt ist. Wenn die
Liste keine Einträge enthält, wird der gesamte Datenverkehr blockiert.
Wenn die Liste vom Typ "Ablehnen" leer ist, wird der Datenverkehr nicht gefil-
tert. Wenn die Liste Einträge enthält, blockiert die Content Filtering-Engine Ver-
bindungsanforderungen, die an ein Ziel gesendet werden, das einem Eintrag in
der Liste entspricht. Datenverkehr, der keinem Eintrag in der Liste zugeordnet
werden kann, wird zugelassen.
Erweiterte Steuerung des Netzwerkverkehrs 117
Content Filtering-Listen verwalten

Spezielle Überlegungen
Wenn sowohl das Content Filtering als auch AVpe aktiviert sind, hat das Content
Filtering Vorrang. Wenn das Content Filtering in einer blockierten Verbindung
resultiert, wird AVpe nicht angewendet. Es wird lediglich eine Content Filtering-
Meldung im Protokoll gespeichert.
Wenn Sie auf der Appliance Änderungen an der Content Filtering-Funktion vor-
nehmen, leeren Sie die DNS- und Browser-Caches auf den Clients. Wenn ein
Client eine Verbindung zu einer IP-Adresse herstellt, die Content Filtering-Ein-
stellungen anschließend aber dahingehend geändert werden, dass sie den Zugriff
auf diese Adresse verweigern, kann es sein, dass der Zugriff auf die Adresse den-
noch zugelassen wird, weil die Daten im Cache verwendet werden. Informationen
zum Leeren von DNS- und Browser-Caches finden Sie in der Dokumentation zum
Betriebssystem bzw. zum Browser.
Wenn Sie das Content Filtering für WAN-seitige Remote-VPN-Clients aktivieren,
müssen sich im lokalen LAN DNS-Server befinden.

Content Filtering-Listen verwalten


Beim Erstellen von Listen vom Typ "Ablehnen" bzw. "Zulassen" geben Sie die voll
qualifizierten Namen der Domänen an. Die Appliance filtert Datenverkehr durch
Prüfen von DNS-Suchanforderungen. Damit eine Aktion (Blockieren oder War-
nen) stattfindet, muss auf dem Ziel eine genaue Entsprechung vorhanden sein.
Geben Sie in die Liste vom Typ "Ablehnen" oder "Zulassen" nur den Domänenna-
men für bestimmte Sites ein, damit Platzhalter verwendet werden können. Wenn
Sie beispielsweise den Datenverkehr zu allen Symantec-Sites zulassen möchten,
geben Sie "symantec.com" in die Liste vom Typ "Zulassen" ein. Dadurch ist der
Datenverkehr mit den Sites "liveupdate.symantec.com", "www.symantec.com",
"fileshare.symantec.com" usw. zulässig.
Das Content Filtering gilt für den gesamten ausgehenden Datenverkehr, nicht
nur für den HTTP (Web)-Datenverkehr.

Spezielle Überlegungen
Wenn eine Site oder ein Sicherheits-Gateway Benutzer von einer URL zu einer
anderen umleitet, müssen Sie beide URLs in die Liste aufnehmen. Die Site
"www.disney.com" leitet Benutzer beispielsweise auf die Site
"www.disney.go.com" um. Damit Ihre Benutzer auf diese Website zugreifen
können, müssen Sie sowohl "www.disney.com" als auch "www.disney.go.com" in
die Liste vom Typ "Zulassen" aufnehmen.
118 Erweiterte Steuerung des Netzwerkverkehrs
Content Filtering-Listen verwalten

Wenn eine Site auf Inhalte anderer Sites zugreift, müssen Sie alle URLs in die
Liste eintragen. Die Site "www.cnn.com" verwendet beispielsweise Inhalte der
Site "www.cnn.net".

Listen vom Typ "Zulassen" oder "Ablehnen" verwalten


Standardmäßig sind die Listen vom Typ "Zulassen" und die Listen vom Typ
"Ablehnen" leer. Jede Filterliste kann bis zu 100 Einträge umfassen. Jeder Eintrag
kann bis zu 128 Zeichen lang sein.
Siehe "Beschreibung der Felder für Content Filtering" auf Seite 225.

So fügen Sie eine URL in eine Liste vom Typ "Zulassen" oder "Ablehnen" ein
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Wählen Sie unter "Liste wählen" neben "Listentyp" die Option "Zulassen"
oder "Ablehnen" aus.
3 Geben Sie in das Textfeld "URL eingeben" den Namen der hinzuzufügenden
Site ein. Geben Sie beispielsweise "ihresite.com" oder "meinesite.com/bilder/
ich.html" ein.
4 Klicken Sie auf "Hinzufügen".
Wiederholen Sie die letzten beiden Schritte für alle URLs, die Sie hinzufügen
möchten.
5 Klicken Sie auf "Liste speichern".

So löschen Sie eine URL in einer Liste vom Typ "Zulassen" oder "Ablehnen"
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Wählen Sie im Dropdown-Listenfeld "URL löschen" die zu löschende URL aus.
3 Klicken Sie auf "Eintrag löschen".
4 Klicken Sie auf "Liste speichern".

Content Filtering im LAN aktivieren


Wenn Sie die Liste vom Typ "Zulassen" oder "Ablehnen" eingerichtet haben, müs-
sen Sie das Content Filtering für jede Computer-Gruppe aktivieren, für die der
Datenverkehr gefiltert werden soll. Siehe "Definition von Eingangsregeln" auf
Seite 68.

So aktivieren Sie das Content Filtering für eine Computer-Gruppe


Siehe "Beschreibung der Felder im Register "Computer-Gruppen"" auf Seite 193.
1 Klicken Sie im linken Teilfenster auf "Firewall".
Erweiterte Steuerung des Netzwerkverkehrs 119
Überwachung des Content Filtering

2 Klicken Sie auf das Register "Computer-Gruppen" und wählen Sie unter
"Sicherheitsrichtlinien" im Dropdown-Listenfeld "Computer-Gruppe" die
Computer-Gruppe aus, für die das Content Filtering aktiviert werden soll.
3 Aktivieren Sie unter "Content Filtering" die Option "Content Filtering akti-
vieren".
4 Führen Sie einen der folgenden Schritte aus:
■ Um Inhalte gemäß den Einträgen in der Liste vom Typ "Ablehnen" zu
filtern, klicken Sie auf "Liste vom Typ 'Ablehnen' verwenden".
■ Um Inhalte gemäß den Einträgen in der Liste vom Typ "Zulassen" zu
filtern, klicken Sie auf "Liste vom Typ 'Zulassen' verwenden".
5 Klicken Sie auf "Speichern".

Content Filtering im WAN aktivieren


Das Aktivieren des Content Filtering im WAN erfolgt über VPN-Client-Tunnels.
Siehe "Client-VPN-Tunnels definieren" auf Seite 101.

Überwachung des Content Filtering


Beim Content Filtering wird eine Meldung in der Protokolldatei gespeichert,
wenn Datenpakete nicht angenommen werden, weil ein Benutzer auf eine URL
der Liste vom Typ "Ablehnen" bzw. auf eine URL zugreifen wollte, die nicht expli-
zit in der Liste vom Typ "Zulassen" aufgeführt ist. Siehe "Protokollierung, Über-
wachung und Updates" auf Seite 125.
Sie können die in der Liste vom Typ "Zulassen" oder "Ablehnen" aufgeführten
URLs und deren Status anzeigen.

So zeigen Sie die URLs in der Liste vom Typ "Zulassen" und "Ablehnen" an
Siehe "Beschreibung der Felder für Content Filtering" auf Seite 225.
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Führen Sie unter "Liste wählen" unter "Listentyp" einen der folgenden
Schritte aus:
■ Um die URLs der Liste vom Typ "Ablehnen" anzuzeigen, klicken Sie auf
"Ablehnen".
■ Um die URLs in der Liste vom Typ "Zulassen" anzuzeigen, klicken Sie auf
"Zulassen".
3 Klicken Sie auf "Anzeigen/bearbeiten".
Kapitel 8
Verhindern von Angriffen
In diesem Kapitel werden folgende Themen behandelt:

■ Erkennung von und Schutz vor Angriffsversuchen

■ Festlegen der Schutz-Einstellungen

■ Aktivieren erweiterter Schutz-Einstellungen


Die Symantec Gateway Security Appliance der 300er Serie bietet mit dem IDS
(Intrusion Detection System) die Erkennung von bzw. mit dem IPS (Intrusion
Protection System) den Schutz vor Angriffsversuchen. Die IDS- und IPS-Funk-
tionen sind standardmäßig aktiviert und bieten atomischen Paketschutz. Die
IDS- bzw. IPS-Funktionalität kann jederzeit deaktiviert werden.

Hinweis: Eine atomische IDS- bzw. IPS-Signatur ist eine auf einem einzelnen IP-
Paket basierende Signatur.

Erkennung von und Schutz vor Angriffsversuchen


Die Appliance schützt vor Fragmentierungsangriffen, IP-Optionsangriffen,
Pufferüberlaufangriffen, Port-Scans, Spoofs unter Verwendung übergroßer
Pakete und Flooding-Angriffen.
Innerhalb oder außerhalb der Einheit eingehende Datenpakete mit ungewöhnli-
chen IP-Optionen werden blockiert.
IDS/IPS protokolliert außergewöhnliche Ereignisse im Statusfenster. Die WAN-
seitige IDS/IPS-Protokollierung ist standardmäßig aktiviert. Wenn die IDS-Pro-
tokollierung deaktiviert ist, blockiert die Appliance eingehende Verbindungen zu
nicht autorisierten Diensten. Wenn der Suchdienst für Trojanische Pferde deak-
tiviert ist, wird nur eine Meldung im Protokoll gespeichert, dass der Zugang ver-
weigert wurde.
122 Verhindern von Angriffen
Erkennung von und Schutz vor Angriffsversuchen

Die Anzahl der aufgezeichneten Protokollmeldungen ist vom Angriffstyp abhän-


gig. Es werden unbegrenzte Verwaltungs-Anmeldeversuche protokolliert. Die
Angriffsprotokollierung ist auf einen Angriff in fünf Sekunden beschränkt.
Wenn ICMP aktiviert ist, ist die Anzahl der Protokollmeldungen nicht
beschränkt.
Die Appliance schützt vor den folgenden atomischen IDS/IPS-Signaturen:
■ Bonk
■ Back Orifice (Trojanisches Pferd)
■ Girlfriend (Trojanisches Pferd)
■ Fawx
■ Jolt
■ Land
■ Nestea
■ Newtear
■ Overdrop
■ Ping of Death
■ Portal of Doom (Trojanisches Pferd)
■ SubSeven (Trojanisches Pferd)
■ Syndrop
■ Teardrop
■ Winnuke
■ HTML-Pufferüberlauf
■ Schutz vor TCP-/UDP-Datenverlust

Schutz vor Trojanern


Verbindungsversuche an einem blockierten Port, der in der Regel von Trojani-
schen Pferden verwendet wird, werden protokolliert und als potentieller Angriff
klassifiziert. Die Protokollmeldung enthält die Warnung, dass ein unzulässiger
Verbindungsversuch unternommen wurde und dass der Benutzer seine internen
Systeme auf Infektionen überprüfen soll. Der Schutz vor Trojanischen Pferden
wird überschrieben, wenn Datenverkehr durch eine Eingangsregel explizit zuge-
lassen ist.
Verhindern von Angriffen 123
Festlegen der Schutz-Einstellungen

Festlegen der Schutz-Einstellungen


Sie können für jede atomische IDS/IPS-Signatur festlegen, welche Aktion bei
Erkennung der Signatur ausgeführt werden soll:
■ Blockieren und warnen
Pakete, die eine bestimmte Signatur enthalten, werden nicht angenommen
und der Vorgang wird protokolliert.
■ Blockieren/nicht warnen
Pakete werden nicht angenommen und der Vorgang wird protokolliert.
Für das Aktivieren und Deaktivieren der IDS/IPS-Signaturerkennung und
-protokollierung können Sie die folgenden Optionen festlegen:
■ "Alles auswählen", um die Erkennung ALLER Signaturen zu aktivieren oder
zu deaktivieren.
■ Sie können die Erkennung auch pro Signatur aktivieren oder deaktivieren.

So legen Sie die Schutz-Einstellungen fest


Siehe "Beschreibung der Felder im Register "IDS-Schutz"" auf Seite 219.
1 Klicken Sie im SGMI im linken Teilfenster auf "IDS/IPS".
2 Klicken Sie im rechten Teilfenster auf das Register "IDS-Schutz" und wählen
Sie unter "IDS-Signaturen" im Dropdown-Listenfeld "Name" eine IDS-Signa-
tur aus.
Um die Einstellungen für alle Signaturen zu übernehmen, klicken Sie auf
">>Alles auswählen<<".
3 Wählen Sie unter "Schutz-Einstellungen" neben "Aktion" eine Aktion aus.
4 Wählen Sie neben "Geltungsbereich" die zu schützende Schnittstelle aus.
5 Klicken Sie auf "Aktualisieren".

Aktivieren erweiterter Schutz-Einstellungen


Mithilfe der erweiterten Einstellungen können Sie Ihr Netzwerk auch vor Angrif-
fen schützen, die nicht durch atomische Signaturen identifiziert werden können.

IP-Spoof-Schutz
Alle Nicht-Broadcast- oder Multicast-Pakete, die an einem WAN-Port eingehen
und deren Quell-IP-Adresse einem internen Teilnetz entspricht, werden blo-
ckiert und als IP-Spoofing-Versuch markiert. Interne Teilnetze werden von der
LAN-seitigen Teilnetzadresse der Appliance und den Einträgen für statische
Routen auf der Appliance für die LAN-Schnittstelle abgeleitet.
124 Verhindern von Angriffen
Aktivieren erweiterter Schutz-Einstellungen

Entsprechend werden alle Nicht-Broadcast- oder Nicht-Multicast-Datenpakete,


die an der internen oder drahtlosen Schnittstelle eingehen und deren Quell-IP-
Adresse keinem vordefinierten internen Netzwerk entsprechen, blockiert und als
interner IP-Spoofing-Versuch protokolliert. Interne Netzwerke werden von sta-
tischen Routen der Appliance und der internen LAN-/WLAN-Adresse der
Appliance abgeleitet. Der Spoof-Schutz kann für interne LANs und das WAN
deaktiviert werden.

So richten Sie den IP-Spoof-Schutz ein


Siehe "Beschreibung der Felder im Register "IDS-Schutz"" auf Seite 219.
1 Klicken Sie im SGMI im linken Teilfenster auf "IDS/IPS".
2 Klicken Sie im rechten Teilfenster auf das Register "Erweitert" und aktivieren
Sie unter "IP-Spoof-Schutz" die Option "WAN" oder "WLAN/LAN".
3 Klicken Sie auf "Speichern".

TCP-Flag-Validierung
Bestimmte Port-Zuweisungs-Tools, z. B. NMAP, verwenden ungültige TCP-Flag-
Kombinationen, um eine Firewall in einem Netzwerk zu erkennen oder die in
einer Firewall eingerichtete Sicherheitsrichtlinie zuzuordnen. Die Symantec
Gateway Security Appliance der 300er Serie blockiert und protokolliert jeglichen
Datenverkehr mit unzulässigen Flag-Kombinationen, der nicht von der Sicher-
heitsrichtlinie abgelehnt wird. Von der Sicherheitsrichtlinie abgelehnter Daten-
verkehr, der eine oder mehrere unzulässige TCP-Flag-Kombinationen aufweist,
wird als einer von mehreren NMAP-Port-Scan-Techniken (NMAP Null Scan,
NMAP Christmas Scan usw.) klassifiziert.

So aktivieren Sie die TCP-Flag-Validierung


Siehe "Beschreibung der Felder im Register "IDS-Schutz"" auf Seite 219.
1 Klicken Sie im SGMI im linken Teilfenster auf "IDS/IPS".
2 Klicken Sie im rechten Teilfenster auf das Register "Erweitert" und aktivieren
Sie unter "TCP-Flag-Validierung" die Option "Aktivieren".
Kapitel 9
Protokollierung, Überwachung
und Updates
In diesem Kapitel werden folgende Themen behandelt:
■ Verwaltung der Protokollierung
■ Aktualisierung der Firmware
■ Sicherung und Wiederherstellung der Konfigurationseinstellungen
■ LED-Zustände
■ LED-Sequenzen bei LiveUpdate- und Firmware-Upgrades
Die Appliance bietet konfigurierbare Protokollierungsfunktionen für die Anzeige
von System-Protokollen und das Überwachen des Systemstatus.

Verwaltung der Protokollierung


Die Firewall-, IDS-, IPS-, VPN-, Content Filtering- und AVpe-Funktionen der
Appliance speichern bei bestimmten Ereignissen Meldungen in Protokollen. Sie
können festlegen, welche Ereignisse protokolliert werden, so dass Ihnen nur die
erforderlichen Protokollmeldungen angezeigt werden.
Sie können diese Protokollmeldungen im SGMI anzeigen oder sie an einen
externen Dienst weiterleiten. Protokollmeldungen werden verwaltet, bis die
Appliance neu gestartet wird. Auf allen Appliances können die letzten 100 Mel-
dungen angezeigt werden. Bei den Modellen 360 und 360R werden die aktuells-
ten 100 Protokolle unabhängig vom Neustart der Appliance gespeichert.
Wenn das Protokoll voll ist, werden ältere Einträge von neuen Einträgen über-
schrieben. Sie sollten entweder die Weiterleitung per E-Mail oder einen Syslog-
Server einrichten, wenn alte Protokollmeldungen beibehalten werden sollen.
Weitere Informationen finden Sie unter "Protokollmeldungen per E-Mail weiter-
leiten" auf Seite 126 oder "Syslog verwenden" auf Seite 127.
126 Protokollierung, Überwachung und Updates
Verwaltung der Protokollierung

Protokolleinstellungen konfigurieren
Mithilfe der Protokollierungseinstellungen können Sie festlegen, wie Protokoll-
meldungen angezeigt werden, wie viele Meldungen protokolliert werden und was
passiert, wenn das Protokoll voll ist. Mithilfe der folgenden Einstellungen kön-
nen Sie die Protokollierung an die Anforderungen Ihres Netzwerks anpassen:
■ Protokollmeldungen per E-Mail weiterleiten
■ Syslog verwenden
■ SNMP konfigurieren und überprüfen
■ Protokollierungsebenen festlegen
■ Protokollierungszeiten einrichten

Protokollmeldungen per E-Mail weiterleiten


Sie können die Appliance so konfigurieren, dass Protokolleinträge automatisch
per E-Mail weitergeleitet werden, wenn das Protokoll voll ist oder wenn ein
Angriff erkannt wird. Die Protokolldatei wird als Textnachricht gesendet.

So richten Sie die Weiterleitung per E-Mail ein


Siehe "Beschreibung der Felder im Register "Protokolleinstellungen"" auf
Seite 165.
1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Protokolleinstellungen"
und geben Sie in das Textfeld "SMTP-Server" die IP-Adresse oder den DNS-
Namen des SMTP-Servers ein, an den die Protokolldatei weitergeleitet wer-
den soll.
3 Geben Sie in das Textfeld "Absender der E-Mail" die E-Mail-Adresse des
Absenders der E-Mail ein.
4 Geben Sie in das Textfeld "Empfänger der E-Mail" die E-Mail-Adresse des
Empfängers der E-Mail ein.
5 Klicken Sie auf "Speichern".
6 Um die aktuellen Protokollmeldungen zu senden, bevor das Protokoll voll ist,
klicken Sie auf "Protokoll jetzt per E-Mail senden".
Protokollierung, Überwachung und Updates 127
Verwaltung der Protokollierung

Syslog verwenden
Durch Senden von Protokollmeldungen an einen Syslog-Server können Sie
Protokollmeldungen dauerhaft speichern. Ein Syslog-Server erkennt von der
Appliance weitergeleitete Protokolleinträge und speichert alle Protokollinforma-
tionen, so dass sie später analysiert werden können. Der Syslog-Server kann sich
in einem LAN, in einem WAN oder hinter einem VPN-Tunnel befinden.

Hinweis: Die Zeitangaben (Datum und Uhrzeit) der auf dem Syslog-Server gespei-
cherten Meldungen entsprechen der Zeit, zu der die Meldungen vom Syslog-
Server empfangen wurden, und nicht der Zeit, zu der die Appliance das Ereignis
protokolliert hat, das die jeweilige Meldung ausgelöst hat.

So verwenden Sie Syslog


Siehe "Beschreibung der Felder im Register "Protokolleinstellungen"" auf
Seite 165.
1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Protokolleinstellungen"
und geben Sie unter "Syslog" in das Textfeld "Syslog-Server" die IP-Adresse
eines Hosts ein, auf dem ein Standard-Syslog-Dienstprogramm ausgeführt
wird und an den die Protokolldatei weitergeleitet werden soll.
3 Klicken Sie auf "Speichern".

SNMP konfigurieren und überprüfen


Die Appliance unterstützt SNMP (Simple Network Management Protocol) Ver-
sion 1.0 und generiert Warnmeldungen bei Netzwerkereignissen, kopiert diese
einschließlich des zugehörigen Community-Namens in eine SNMP-TRAP- oder
GET-Anforderung und sendet diese an registrierte SNMP-Server. Mithilfe dieser
Funktion kann die Appliance Statusinformationen an netzwerkweite SNMP-
basierte Management-Anwendungen senden. Die Appliance generiert SNMP-
Meldungen für die folgenden Ereignisse:
■ Kaltstart der Appliance
■ SGMI-Authentifizierungsfehler
■ Ethernet-WAN-Ports aktiv/nicht aktiv
■ Kein Trap, wenn WAN-Port bei einem Systemstart aktiviert wird
■ Keine WAN-Verbindung
■ WAN-Verbindung wurde unterbrochen und wird wieder hergestellt
128 Protokollierung, Überwachung und Updates
Verwaltung der Protokollierung

■ Serieller WAN-Port (PPPoE oder analog)


■ WAN-Port ein (verbunden)
■ WAN-Port aus (verbunden)
Mithilfe einer GET-Anforderung fordert der SNMP-Server Statusinformationen
bei der Symantec Gateway Security Appliance der 300er Serie an. Die Appliance
unterstützt alle SNMP Version 1.0-MIBs (Informationsvariablen), die GET-Kom-
mandos verwenden. Mithilfe einer TRAP-Anforderung ruft der SNMP-Server
Statusinformationen ab, die von der Symantec Gateway Security Appliance der
300er Serie an ihn gesendet wurden.
Beim Konfigurieren des SNMP werden die IP-Adressen der SNMP-Server einge-
richtet, die Status-Warnmeldungen (TRAPS) vom SNMP-Agenten empfangen,
der auf der Appliance ausgeführt wird. Diese Funktion bietet in öffentlichen
Netzwerken ein Mindestmaß an Schutz. Die größtmögliche Sicherheit ist gege-
ben, wenn die Verwaltung remote über einen VPN-Tunnel erfolgt.
Um die LAN-seitige Appliance zu überwachen, navigieren Sie mithilfe eines
SNMP-v1-MIB-Browsers zur IP-Adresse der Appliance (standardmäßig
192.168.0.1). Wählen Sie die Option zum Aktivieren der Remote-Überwachung,
um auf der Appliance den externen Zugriff auf SNMP GET zuzulassen.

SNMP konfigurieren
Die Konfiguration des SNMP umfasst zwei grundlegende Schritte:
■ SNMP konfigurieren
■ Kommunikation zwischen dem SNMP-Server und der Symantec Gateway
Security Appliance der 300er Serie überprüfen.
Für die Konfiguration des SNMP benötigen Sie die folgenden Informationen:
■ Für Traps müssen in Ihrem Netzwerk SNMP v 1.0-Server oder -Anwendun-
gen installiert sein, damit Warnmeldungen bei Netzwerkereignissen emp-
fangen werden können. Um SNMP auf der Appliance konfigurieren zu kön-
nen, benötigen Sie die IP-Adressen der SNMP-Server.
■ Darüber hinaus benötigen Sie die Community-Zeichenfolge für den SNMP-
Server. Der Administrator des SNMP-Servers sollte Ihnen die IP-Adresse und
die Community-Zeichenfolge des SNMP-Servers bereitstellen können.
■ Sie können die SNMP-Einstellungen jederzeit einrichten, nachdem die Appli-
ance installiert wurde und die SNMP-Server ausgeführt werden.
Siehe "Beschreibung der Felder für die Verwaltung" auf Seite 167.
Protokollierung, Überwachung und Updates 129
Verwaltung der Protokollierung

So konfigurieren Sie SNMP


1 Klicken Sie im linken Teilfenster auf "Administration".
2 Klicken Sie im rechten Teilfenster auf das Register "SNMP" und geben Sie
unter "SNMP-Nur-Lesen-Manager (GETS und TRAPS)" in das Textfeld "Com-
munity-Zeichenfolge" den Namen der Community ein.
Standardmäßig ist "public" aktiviert.
3 Geben Sie in die Textfelder für die IP-Adressen die IP-Adressen der schreib-
geschützten SNMP-Manager ein (nur für TRAP-Sammlung).
4 Klicken Sie auf "Speichern".

SNMP-Kommunikation überprüfen
◆ Bitten Sie den SNMP-Server-Administrator, eine GET-Anforderung vom
SNMP-Server an Ihre Appliance zu senden.
Die Appliance reagiert, indem sie Statusinformationen an den SNMP-Server
sendet.
Wenn keine Reaktion erfolgt, stellen Sie sicher, dass die IP-Adresse und die Com-
munity-Zeichenfolge des SNMP-Servers richtig sind. Stellen Sie außerdem
sicher, dass von der Appliance auf den SNMP-Server zugegriffen werden kann.

Protokollierungsebenen festlegen
Die Protokolldatei enthält nur die von Ihnen festgelegten Informationen. Diese
sind zum Isolieren von Problemen oder Angriffen nützlich.
Wenn Sie "Debug-Informationen" wählen, kann es in Abhängigkeit von der
Anzahl der erstellten Meldungen zu Leistungsbeeinträchtigungen kommen. Sie
sollten diese Option nur bei der Fehlerbehebung aktivieren und sie nach der Feh-
lerbehebung wieder deaktivieren.

So legen Sie Protokollierungsebenen fest


Siehe "Beschreibung der Felder für das Protokollieren/Überwachen" auf
Seite 161.
1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Protokolleinstellungen"
und aktivieren Sie unter "Protokollierungsart" die Protokollinformationen.
3 Klicken Sie auf "Speichern".
130 Protokollierung, Überwachung und Updates
Verwaltung der Protokollierung

Protokollierungszeiten einrichten
NTP (Network Time Protocol) ist ein Internet-Standardprotokoll, das die exakte
Zeitsynchronisierung von Computern über das Internet ermöglicht.
Wenn Sie keinen NTP-Server einrichten, werden öffentliche Standard-NTP-Ser-
ver verwendet. Wenn ein Ereignis eintritt und der NTP-Server nicht verfügbar
ist, zeichnet die Appliance die Zeit (in Sekunden) seit dem letzten Neustart auf.

So richten Sie Protokollierungszeiten ein


Siehe "Beschreibung der Felder im Register "Protokolleinstellungen"" auf
Seite 165.
1 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Protokolleinstellungen"
und geben Sie unter "Zeit" in das Textfeld "NTP-Server" die IP-Adresse oder
den voll qualifizierten Domänennamen des nicht öffentlichen NTP-Servers
ein.
3 Klicken Sie auf "Speichern".

Protokollmeldungen verwalten
Im Register "Protokoll anzeigen" werden die aktuellen Bedingungen der
Appliance angezeigt. Bei den Modellen 360 und 360R gibt es einen Bereich für
den Status des WAN 2-Ports.
Wenn Sie auf das Register "Protokoll anzeigen" klicken, werden die aktuellen
Informationen angezeigt. Der Status kann sich ändern, während Sie die Informa-
tionen lesen. Klicken Sie auf "Aktualisieren", damit im Register "Protokoll anzei-
gen" die neuesten Daten angezeigt werden.
Sie können den Inhalt des Protokolls jederzeit manuell löschen.

Protokollmeldungen verwalten
Generierte Protokollmeldungen können angezeigt und bei Bedarf aktualisiert
oder gelöscht werden.
Siehe "Beschreibung der Felder im Register "Protokoll anzeigen"" auf Seite 164.

So zeigen Sie Protokollmeldungen an


1 Klicken Sie im linken Teilfenster des SGMI auf "Protokoll/Überwachen".
2 Führen Sie einen der folgenden Schritte aus:
■ Sehen Sie sich im Register "Protokoll anzeigen" die Protokollmeldungen
an.
■ Wenn Sie ältere Meldungen anzeigen möchten, klicken Sie auf "Nächste
Seite".
Protokollierung, Überwachung und Updates 131
Aktualisierung der Firmware

So aktualisieren Sie Protokollmeldungen


1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster im Register "Protokoll anzeigen" auf
"Aktualisieren".

So löschen Sie Protokollmeldungen


1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster im Register "Protokoll anzeigen" auf
"Protokoll löschen".

Aktualisierung der Firmware


Die Appliance verwendet Anweisungen, die in ihrem permanenten Speicher, der
Firmware, codiert sind. Die Firmware enthält die gesamte Funktionalität der
Appliance. Es gibt zwei Arten von Firmware-Updates: destruktive und nicht des-
truktive Firmware. Destruktive Firmware überschreibt die Firmware und alle
Konfigurationseinstellungen vollständig. Nicht destruktive Firmware aktuali-
siert die Firmware, aber nicht die Konfigurationseinstellungen.
Symantec veröffentlicht in regelmäßigen Abständen Updates der Firmware. Es
gibt drei Möglichkeiten, die Firmware Ihrer Appliance zu aktualisieren: automa-
tisch mithilfe des LiveUpdate-Planers, manuell mithilfe von LiveUpdate oder
manuell durch Installieren der von der Technischen Unterstützung von
Symantec gesendeten Firmware mithilfe des Tools "symcftpw". Standardmäßig
prüft LiveUpdate im letzten Schritt des Setup-Assistenten auf Updates. Sie kön-
nen diese Funktion deaktivieren. Weitere Informationen hierzu finden Sie im
Installationshandbuch zur Symantec Gateway Security Appliance der 300er Serie.

Warnung: Bei der manuellen Aktualisierung der Firmware mithilfe von app.bin
können Ihre Konfigurationseinstellungen überschrieben werden. Notieren Sie
sich daher die Einstellungen, bevor Sie die Aktualisierung durchführen. Verwen-
den Sie keine Konfigurations-Backup-Datei einer älteren Firmware-Version. Bei
der Aktualisierung mit LiveUpdate werden Ihre Konfigurationseinstellungen
niemals überschrieben.

Wenn Sie die Firmware manuell oder automatisch mit LiveUpdate aktualisieren,
blinken die LEDs in einer eindeutigen Folge.
Siehe "LED-Sequenzen bei LiveUpdate- und Firmware-Upgrades" auf Seite 147.
132 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware

Firmware automatisch aktualisieren


LiveUpdate ist eine Symantec-Technologie, die die automatische Aktualisierung
Ihrer Symantec-Produkte ermöglicht. Sie können LiveUpdate so konfigurieren,
dass automatisch nach Updates gesucht wird. Sie können LiveUpdate aber auch
jederzeit manuell ausführen.
Symantec veröffentlicht in regelmäßigen Abständen Firmware-Updates, um die
größtmögliche Sicherheit zu bieten. Führen Sie LiveUpdate aus, sobald Ihre
Symantec Gateway Security Appliance der 300er Serie mit dem Internet verbun-
den ist.
Siehe "LiveUpdate jetzt ausführen" auf Seite 138.
Wenn LiveUpdate neue Firmware-Updates findet, werden diese heruntergeladen
und installiert, ohne dass der Administrator dazu aufgefordert wird. Während
des Herunterladens und Installierens wird im SGMI die Meldung angezeigt, dass
ein Update installiert wird. Sie werden aufgefordert, einige Minuten zu warten,
bevor Sie sich beim SGMI anmelden. Nach der Installation wird die Appliance
ggf. neu gestartet. Wenn der Aktualisierungsvorgang abgeschlossen ist, wird ein
Protokoll erstellt.
Wenn LiveUpdate nach Firmware-Updates sucht, aber keine verfügbar sind (d. h.
die installierte Firmware aktuell ist), wird eine Meldung in das Protokoll aufge-
nommen.
Alle von Symantec gesendeten LiveUpdate-Pakete sind von Symantec getestet
und validiert. Diese Pakete überschreiben Ihre aktuellen Konfigurationseinstel-
lungen nicht. Die Appliance wird jedoch automatisch neu gestartet. Wenn Sie die
Ausfallzeit oder die Unterbrechung Ihrer Netzwerkverbindung so gering wie
möglich halten möchten, legen Sie mithilfe der Funktion "Bevorzugte Uhrzeit
(GMT)" fest, dass die Aktualisierung außerhalb der Arbeitszeit durchgeführt wer-
den soll.
Die LiveUpdate-Funktionalität umfasst einen Schutzmechanismus für
Firmware-Updates für Fälle, in denen die Appliance ausfällt (beispielsweise
durch einen Stromausfall während der LiveUpdate-Aktualisierung). Wenn nach
dem Herunterladen eines LiveUpdate-Pakets der Selbsttest der Appliance fehl-
schlägt, wird auf die werkseitige Firmware zurückgegriffen, die im geschützten
Speicher gespeichert ist. LiveUpdate lädt nur nicht destruktive Firmware herun-
ter und installiert diese.
Protokollierung, Überwachung und Updates 133
Aktualisierung der Firmware

Automatische Updates planen


LiveUpdate kann automatisch oder manuell ausgeführt werden. Im automati-
schen Modus sucht die Appliance nach neuen Updates. Wenn Sie automatische
Updates planen, sucht LiveUpdate bei jedem Neustart der Appliance nach
Updates. Wenn Sie die Appliance von der manuellen auf die automatische Aktu-
alisierung umstellen, sucht LiveUpdate nach Updates, wenn Sie das nächste Mal
eine Eingabe im UTC-Textfeld vornehmen.
Wenn LiveUpdate ein neues Firmware-Update herunterlädt und installiert, wird
die Appliance ggf. neu gestartet. Aus diesem Grund sollten Sie automatische
Updates zu einem Zeitpunkt planen, wo Ihr Netzwerk heruntergefahren wurde.

So planen Sie automatische LiveUpdate-Updates


Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.
1 Klicken Sie im linken Teilfenster des SGMI auf "Administration".
2 Aktivieren Sie im rechten Teilfenster im Register "LiveUpdate" unter "Auto-
matische Aktualisierungen" die Option "Planer aktivieren".
3 Wählen Sie im Dropdown-Listenfeld "Häufigkeit" die Häufigkeit, mit der die
Appliance nach Updates sucht.
4 Geben Sie in das Textfeld "Bevorzugte Uhrzeit (GMT)" die Uhrzeit (Stunden
und Minuten) an, zu der die Appliance nach Updates suchen soll.
5 Klicken Sie auf "Speichern".

Automatische Updates über einen HTTP-Proxy-Server zulassen


Mithilfe der optionalen LiveUpdate-Einstellungen können Sie eine Verbindung
über einen HTTP-Proxy-Server zu einem LiveUpdate-Server einrichten. Verwen-
den Sie diese Funktion nur in den folgenden Fällen:
■ Die Appliance befindet sich hinter einer Symantec Gateway Security-
Appliance, die einen HTTP-Proxy-Server verwendet.
■ Die Appliance befindet sich hinter einem Fremdherstellergerät, das einen
HTTP-Proxy-Server verwendet.
■ Ihr Internet Service Provider verwendet einen HTTP-Proxy-Server.
Weitere Informationen finden Sie in der Dokumentaton zu Symantec
LiveUpdate.
Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.
134 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware

So lassen Sie automatische Updates über einen HTTP-Proxy-Server zu


1 Klicken Sie im SGMI im linken Teilfenster auf "Administration".
2 Aktivieren Sie im Register "LiveUpdate" des rechten Teilfensters unter
"Optionale Einstellungen" die Option "HTTP-Proxy-Server".
3 Geben Sie in das Textfeld "Adresse des Proxy-Servers" die IP-Adresse oder
den voll qualifizierten Domänennamen des HTTP-Proxy-Servers ein.
4 Geben Sie in das Textfeld "Port" die Port-Nummer ein.
5 Geben Sie in das Textfeld "Benutzername" den Benutzernamen für den
Proxy-Server ein.
6 Geben Sie in das Textfeld "Kennwort" das Kennwort für den Proxy-Server ein.
7 Klicken Sie auf "Speichern".

LiveUpdate-Server-Adresse ändern
Standardmäßig verweisen die LiveUpdate-Einstellungen auf
"liveupdate.symantec.com". Sie können die Appliance so konfigurieren, dass sie
anstelle der Symantec LiveUpdate-Site Ihren eigenen LiveUpdate-Staging-
Server verwendet.
Die in Abbildung 9-1 dargestellten internen LiveUpdate-Server werden mithilfe
von Symantec LiveUpdate Administrator konfiguriert. Die Appliance kann
anstelle des Symantec-Servers den LiveUpdate-Server im lokalen Netzwerk
kontaktieren, um Produkt-Updates zu erhalten. Dadurch wird der Datenverkehr
erheblich reduziert und die Übertragungsgeschwindigkeit wird deutlich erhöht.
Auf diese Weise können Sie Updates vor dem Installieren verwalten und validie-
ren. LiveUpdate Administrator und die zugehörigen Installationsanweisungen
sind bei der Technischen Unterstützung von Symantec unter
"http://www.symantec.com/techsupp/" erhältlich.
Abbildung 9-1 zeigt mögliche LiveUpdate-Konfigurationen.
Protokollierung, Überwachung und Updates 135
Aktualisierung der Firmware

Abbildung 9-1 LiveUpdate-Konfigurationen

Symantec
LiveUpdate-
Server

Symantec Gateway Security


5400 Serie
Internet

VPN-Tunnel

Interner Symantec Gateway


LiveUpdate- Security 300 Serie
Server

Interner
SGMI LiveUpdate-
Server
Geschützte Geräte

Tabelle 9-1 enthält die in Abbildung 9-1 dargestellten LiveUpdate-Server-


Konfigurationen.
Tabelle 9-1 LiveUpdate-Server-Konfigurationen

Position Beschreibung

1 Symantec LiveUpdate-Server: http://liveupdate.symantec.com. Dies ist die


standardmäßige Symantec Corporate LiveUpdate-Site für Firmware-
Updates. Diese ist auf Ihrer Appliance standardmäßig eingerichtet.

2 Interner, durch einen VPN-Tunnel geschützter LiveUpdate-Server an einem


Remote-Standort.

3 Interner LiveUpdate-Server an einem lokalen Standort.


136 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware

LiveUpdate-Server können sich in einem WAN oder einem LAN befinden oder
über einen Gateway-to-Gateway-VPN-Tunnel erreichbar sein.
Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.

So ändern Sie die Adresse des LiveUpdate-Servers


1 Klicken Sie im linken Teilfenster auf "Administration".
2 Klicken Sie im rechten Teilfenster auf das Register "LiveUpdate" und geben
Sie unter "Allgemeine Einstellungen" in das Textfeld "LiveUpdate-Server" die
IP-Adresse oder den voll qualifizierten Domänennamen Ihres LiveUpdate-
Servers ein.
3 Klicken Sie auf "Speichern".

Firmware manuell aktualisieren


Firmware-Upgrades sind auf der Website von Symantec verfügbar. Wenn Sie
LiveUpdate nicht so konfigurieren, dass Firmware-Upgrades automatisch herun-
tergeladen werden, oder wenn Sie von der Technischen Unterstützung von
Symantec angewiesen werden, eine manuelle Aktualisierung durchzuführen,
müssen Sie auf der Symantec-Website nach der neuesten Firmware-Version
suchen. Die Version Ihrer aktuellen Firmware ist im Statusfenster abrufbar.
Auf der Website der Technischen Unterstützung von Symantec finden Sie die
Firmware-Datei all.bin. Diese überschreibt Ihre Konfigurationseinstellungen.
Bevor Sie mit der manuellen Aktualisierung beginnen, sollten Sie sich also die
Einstellungen notieren. Die einzige Einstellung, die nicht überschrieben wird, ist
das Administrator-Kennwort.
Siehe "Administrator-Kennwort festlegen" auf Seite 14.

Warnung: Durch Reflashing der Firmware mit einer alten Firmware-Version wer-
den alle zuvor eingerichteten Konfigurationsdaten einschließlich des Kennworts
gelöscht.

Zur Installation der Firmware können Sie das FTP-Dienstprogramm von


Symantec (auf der Symantec Gateway Security 300 Serie-CD-ROM enthalten)
oder den DOS TFTP-Befehl mit der Option "-i" (binär) verwenden. Dadurch wird
die Firmware-Datei auf die Appliance übertragen und installiert. Anschließend
wird die Appliance neu gestartet.
Protokollierung, Überwachung und Updates 137
Aktualisierung der Firmware

Firmware flashen
Stellen Sie sicher, dass die folgenden Komponenten verfügbar sind, bevor Sie die
Firmware manuell aktualisieren:
■ symcftpw-Dienstprogramm
Dieses befindet sich im Tools-Ordner der CD-ROM, die im Lieferumfang der
Appliance enthalten ist. Sie können auch den TFTP-Befehl verwenden, um
die Firmware-Datei auf die Appliance zu übertragen.
■ Firmware-Datei
Laden Sie die neueste Firmware-Datei von der Symantec-Website herunter.

Hinweis: Wenn auf dem Computer, auf dem Sie symcftpw ausführen, Norton
Internet Security installiert ist, müssen Sie sowohl eine Eingangs- als auch eine
Ausgangsregel in Norton Internet Security einrichten, um den Datenverkehr
zwischen dem Computer und der Appliance zuzulassen.

Abbildung 9-2 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.

Abbildung 9-2 Rückseite des Modells 320

Abbildung 9-3 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
138 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware

Abbildung 9-3 Rückseite der Modelle 360 und 360R

So flashen Sie die Firmware


1 Schalten Sie die Appliance aus, indem Sie den Einschaltknopf an der Rück-
seite der Appliance drücken.
2 Stellen Sie die DIP-Schalter 1 und 2 (4) in die EIN-Position (nach oben).
3 Drücken Sie den Einschaltknopf (7), um die Appliance einzuschalten.
4 Kopieren Sie die Firmware-Datei und das symcftpw-Dienstprogramm in
einen temporären Ordner auf Ihrer Festplatte.
5 Doppelklicken Sie auf das symcftpw-Symbol.
6 Geben Sie in das Server-IP-Textfeld die IP-Adresse der Appliance ein.
Die Standard-IP-Adresse der Appliance ist "192.168.0.1".
7 Geben Sie in das Textfeld für die lokale Datei einen Namen für die Firmware-
Upgrade-Datei ein.
8 Klicken Sie auf "Put".
Warten Sie einige Minuten, bevor Sie die Appliance neu starten. Wenn der
Flash-Vorgang beendet ist, gibt symcftpw eine entsprechende Meldung aus,
die LEDs 2 und 3 blinken nicht mehr abwechselnd, die Appliance wird neu
gestartet und die LEDs 1 und 3 leuchten dauerhaft. Dies kann einige Minuten
dauern.
9 Stellen Sie die DIP-Schalter 1 und 2 (4) in die AUS-Position (nach unten).

LiveUpdate jetzt ausführen


"LiveUpdate jetzt ausführen" ist die manuelle LiveUpdate-Funktion. Wenn Sie
"LiveUpdate jetzt ausführen" wählen, werden umgehend die neuesten Firmware-
Updates für Ihre Appliance gesucht und installiert. Wenn sich auf Ihrer Appliance
bereits die neueste Version befindet, wird sie nicht aktualisiert. Bei LiveUpdate-
Updates werden Ihre Konfigurationseinstellungen nicht überschrieben.
Sie können auch die Adresse des zu überprüfenden LiveUpdate-Servers ändern.
Siehe "LiveUpdate-Server-Adresse ändern" auf Seite 134.
Protokollierung, Überwachung und Updates 139
Aktualisierung der Firmware

So führen Sie LiveUpdate sofort aus


Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.
1 Klicken Sie im linken Teilfenster auf "Administration".
2 Klicken Sie im rechten Teilfenster auf das Register "LiveUpdate" und wählen
Sie unter "Status" die Option "LiveUpdate jetzt ausführen".

Firmware-Update erzwingen
Wenn das manuelle Flashen der Firmware nicht funktioniert, können Sie ein
Firmware-Update auf der Appliance erzwingen. Diese Vorgehensweise wird nur
empfohlen, wenn das Flashen der Firmware gemäß den Anweisungen unter "Firm-
ware flashen" auf Seite 137 nicht funktioniert, oder wenn Sie entsprechende
Anweisungen von der Technischen Unterstützung von Symantec erhalten.
Orientieren Sie sich bei der Durchführung der folgenden Schritte an Abbildung
9-6 und Abbildung 9-7.

So erzwingen Sie ein Firmware-Update


1 Notieren Sie sich alle Konfigurationseinstellungen.
2 Schalten Sie die Appliance aus, indem Sie den Einschaltknopf an der Rück-
seite der Appliance drücken.
3 Stellen Sie die DIP-Schalter 2 und 4 (4) in die EIN-Position (nach oben).
4 Drücken Sie den Einschaltknopf (7), um die Appliance einzuschalten.
5 Ändern Sie auf dem LAN-Computer, von dem aus die Firmware per TFTP auf
die Appliance übertragen werden soll, die IP-Adresse in eine statische IP-
Adresse außerhalb des vorgegebenen IP-Adressbereichs (192.168.0.2 -
1.92.168.0.52).
Weisen Sie dem Computer außerdem nicht die statische IP-Adresse
"192.168.0.1" zu.
6 Kopieren Sie die Firmware-Datei und das symcftpw-Dienstprogramm in
einen temporären Ordner auf Ihrer Festplatte.
7 Doppelklicken Sie auf das symcftpw-Symbol.
8 Geben Sie in das Server-IP-Textfeld die IP-Adresse der Appliance ein.
Die Standard-IP-Adresse der Appliance ist "192.168.0.1".
9 Geben Sie in das Textfeld für die lokale Datei einen Namen für die Firmware-
Upgrade-Datei ein.
140 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware

10 Klicken Sie auf "Put".


Warten Sie einige Minuten, bevor Sie die Appliance neu starten. Wenn der
Flash-Vorgang beendet ist, gibt symcftpw eine entsprechende Meldung aus,
die LEDs 2 und 3 blinken nicht mehr abwechselnd, die Appliance wird neu
gestartet und die LEDs 1 und 3 leuchten dauerhaft. Dies kann einige Minuten
dauern.
11 Stellen Sie die DIP-Schalter 2 und 4 (4) in die AUS-Position (nach unten).

Status des Firmware-Updates prüfen


Im Statusabschnitt werden das Datum und die Version des letzten Firmware-
Updates angezeigt. Das zuletzt durchgeführte Update zeigt das Datum und die
Uhrzeit (falls ein NTP-Dienst verfügbar ist) der letzten LiveUpdate-Prüfung an.
Falls die Firmware der Appliance bei der letzten Prüfung bereits aktuell war, wird
keine Firmware heruntergeladen.
Bei automatischen Updates protokolliert LiveUpdate die folgenden Ereignisse:
■ Erfolgreiches Herunterladen des Firmware-Pakets
■ Fehlgeschlagenes Herunterladen des Firmware-Pakets
■ Kein neueres Firmware-Paket verfügbar; alle Komponenten sind aktuell
Wenn ein LiveUpdate aufgrund eines HTTP-Fehlers fehlschlägt, wird dieser Vor-
gang zusammen mit der Fehlermeldung des HTTP-Clients protokolliert.

Status des Firmware-Updates überprüfen


Die Firmware-Version der Appliance ist eine wichtige Information, wenn Sie die
Technische Unterstützung von Symantec kontaktieren möchten.
Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 162.

So zeigen Sie den Status der LiveUpdate-Firmware an


1 Klicken Sie im linken Teilfenster auf "Administration".
2 Klicken Sie im rechten Teilfenster auf das Register "LiveUpdate" und über-
prüfen Sie unter "Status" das Datum des letzten Updates und die Versions-
nummer.

So zeigen Sie die aktuelle Firmware-Version der Appliance an


1 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie auf das Register "Status" und überprüfen Sie unter "Gerät" die
Firmware-Version.
Protokollierung, Überwachung und Updates 141
Sicherung und Wiederherstellung der Konfigurationseinstellungen

Sicherung und Wiederherstellung der


Konfigurationseinstellungen
Sie können Ihre Appliance-Konfiguration jederzeit sichern. Sie sollten dies nach
dem ursprünglichen Konfigurieren der Appliance tun oder bevor Sie die Konfigu-
ration erheblich ändern.

Hinweis: Sie sollten zum Wiederherstellen der Einstellungen keine Backup-Datei


einer älteren Firmware-Version verwenden, es sei denn, Sie erhalten von der
Technischen Unterstützung von Symantec entsprechende Anweisungen.

Die Backup-Datei wird in demselben Ordner auf Ihrer Festplatte erstellt, in dem
sich auch die symcftpw-Anwendung befindet. Sie können in der symcftpw-
Anwendung angeben, wo die Backup-Datei gespeichert werden soll, z. B. auf einer
Diskette. Auf diese Weise können Sie die Konfigurationseinstellungen an einem
sicheren Ort, z. B. in einem feuerfesten Safe, aufbewahren.

Konfigurationseinstellungen sichern und wiederherstellen


Das Sichern Ihrer Konfigurationseinstellungen ist eine bewährte Methode zum
Wiederherstellen der Konfiguration nach einem Ausfall der Appliance.

So sichern Sie die Appliance-Konfiguration


1 Schalten Sie die Appliance aus, indem Sie den Einschaltknopf an der Rück-
seite der Appliance drücken.
2 Stellen Sie die DIP-Schalter 1 und 2 in die EIN-Position (nach oben).
3 Schalten Sie die Appliance ein, indem Sie den Einschaltknopf drücken.
4 Kopieren Sie das symcftpw-Dienstprogramm von der CD-ROM in einen
Ordner auf Ihrer Festplatte.
5 Doppelklicken Sie auf das symcftpw-Symbol.
6 Geben Sie in das Server-IP-Textfeld die IP-Adresse der Appliance ein.
Die Standard-IP-Adresse der Appliance ist "192.168.0.1".
7 Geben Sie in das Textfeld für die lokale Datei einen Namen für die Backup-
Datei ein.
8 Klicken Sie auf "Get".
9 Stellen Sie die DIP-Schalter 1 und 2 in die AUS-Position (nach unten).
10 Kopieren Sie die Backup-Datei von Ihrer Festplatte auf eine Diskette und
bewahren Sie diese an einem sicheren Ort auf.
142 Protokollierung, Überwachung und Updates
Sicherung und Wiederherstellung der Konfigurationseinstellungen

So stellen Sie die Appliance-Konfiguration wieder her


1 Schalten Sie die Appliance aus, indem Sie den Einschaltknopf an der Rück-
seite der Appliance drücken.
2 Stellen Sie die DIP-Schalter 1 und 2 in die EIN-Position (nach oben).
3 Schalten Sie die Appliance ein, indem Sie den Einschaltknopf drücken.
4 Kopieren Sie das symcftpw-Dienstprogramm von der CD in einen Ordner auf
Ihrer Festplatte.
5 Doppelklicken Sie auf das symcftpw-Symbol.
6 Geben Sie in das Server-IP-Textfeld die IP-Adresse der Appliance ein.
Die Standard-IP-Adresse der Appliance ist "192.168.0.1".
7 Geben Sie in das Textfeld für die lokale Datei einen Namen für die Backup-
Datei ein.
8 Klicken Sie auf "Get".
9 Stellen Sie die DIP-Schalter 1 und 2 in die AUS-Position (nach unten).

Appliance zurücksetzen
Sie haben drei Möglichkeiten, die Appliance zurückzusetzen:
■ Vollständiges Zurücksetzen
Startet die Appliance neu. Dieser Vorgang entspricht dem Aus- und wieder
Einschalten der Appliance. Alle aktuellen Verbindungen, einschließlich
Client-VPN-Tunnels, werden beendet. Frühere Gateway-to-Gateway-VPN-
Tunnels werden beim Neustart der Appliance wieder hergestellt. Darüber hin-
aus führt die Appliance beim Neustart einen Selbsttest der Hardware durch.
■ Auf die Standard-Konfigurationseinstellungen zurücksetzen
Hierbei wird die IP-Adresse des LAN-Teilnetzes auf "191.168.0.0" und die
LAN-IP-Adresse der Appliance auf "192.168.0.1" zurückgesetzt, die DHCP-
Server-Funktionalität wird aktiviert und für das Administrator-Kennwort
wird ein leeres Feld angegeben.
■ Auf die reservierte Anwendung zurücksetzen
Die Firmware wird auf die letzte all.bin-Firmware-Datei zurückgesetzt, die
zum Flashen der Appliance verwendet wurde. Dabei handelt es sich entwe-
der um die werkseitige Firmware oder um ein Firmware-Upgrade, das Sie
von der Symantec-Website heruntergeladen und auf der Appliance instal-
liert haben.

Hinweis: LiveUpdate lädt und installiert keine all.bin-Firmware-Upgrades.


Protokollierung, Überwachung und Updates 143
Sicherung und Wiederherstellung der Konfigurationseinstellungen

Appliance zurücksetzen
Beim Zurücksetzen auf die werkseitigen Einstellungen können Sie zwischen drei
Möglichkeiten wählen. Diese ergeben sich aus bestimmten DIP-Schalter- und
Reset-Knopf-Kombinationen. Zum Drücken des Reset-Knopfs müssen Sie eine
Büroklammer oder die Spitze eines Kugelschreibers verwenden. In der Abbildung
9-4 und der Abbildung 9-5 finden Sie die Positionen des Reset-Knopfs und der
DIP-Schalter.
Abbildung 9-4 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.

Abbildung 9-4 Rückseite des Modells 320

Abbildung 9-5 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.

Abbildung 9-5 Rückseite der Modelle 360 und 360R

So setzen Sie die Einstellungen vollständig zurück


◆ Drücken Sie kurz den Reset-Knopf (1) an der Rückseite der Appliance.
144 Protokollierung, Überwachung und Updates
LED-Zustände

So setzen Sie die Appliance auf die Standard-Einstellungen zurück


◆ Drücken Sie den Reset-Knopf (1) an der Rückseite der Appliance und halten
Sie ihn fünf Sekunden lang gedrückt.

So setzen Sie die Appliance auf die reservierte Anwendung zurück


1 Stellen Sie den DIP-Schalter 4 (4) an der Rückseite der Appliance in die EIN-
Position (nach oben).
2 Drücken Sie kurz den Reset-Knopf (1).

LED-Zustände
Die LEDs an der Vorderseite der Appliance zeigen den Status der Appliance an.
An der Vorderseite befinden sich sechs LEDs. Vier LEDs betreffen die Appliance,
zwei die drahtlose Kommunikation. Die LEDs für die drahtlose Kommunikation
leuchten in der Regel nur, wenn ein kompatibler Symantec Gateway Security-
WLAN-Zugangspunkt eingerichtet ist.
Abbildung 9-6 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.

Abbildung 9-6 Rückseite des Modells 320

Abbildung 9-7 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
Protokollierung, Überwachung und Updates 145
LED-Zustände

Abbildung 9-7 Rückseite der Modelle 360 und 360R

Tabelle 9-2 beschreibt die einzelnen LEDs.

Tabelle 9-2 LEDs

Position Symbol Funktion Beschreibung

1 Betriebs-LED Leuchtet, wenn die Appliance eingeschaltet ist.

2 Fehler-LED Leuchtet, wenn ein Problem mit der Appliance


aufgetreten ist.

3 Sende-LED Leuchtet oder blinkt, wenn an den LAN- oder


WAN-Ports Datenverkehr auftritt.

4 Backup Leuchtet oder blinkt, wenn an der seriellen


Schnittstelle Datenverkehr auftritt oder wenn
diese nicht ordnungsgemäß funktioniert.

5 Wireless- Leuchtet, wenn die Wireless-Karte eingesetzt


Bereit ist und ordnungsgemäß funktioniert.

6 Wireless- Leuchtet oder blinkt, wenn die Wireless-Karte


Aktiv Daten überträgt oder empfängt.
146 Protokollierung, Überwachung und Updates
LED-Zustände

Die LEDs an der Vorderseite der Appliance können drei Zustände annehmen:
dauerhaft an, blinken und dauerhaft aus. Aus der Kombination der Fehler- und
der Sende-LED-Sequenzen lässt sich der Status der Appliance ablesen. In
Tabelle 9-3 sind die LED-Sequenzen und deren Kombinationen sowie der zugehö-
rige Appliance-Status aufgeführt.

Tabelle 9-3 LED-Zustände und Appliance-Status

Zustand der Fehler- Zustand der Sende- Appliance-Status


LED (2) LED (3)

Dauerhaft aus Dauerhaft an Normaler Betrieb

Dauerhaft aus Blinkt Übertragen/Empfangen von Daten


im LAN.

Blinkt Blinkt ■ Keine MAC-Adresse zugewiesen


■ Firmware-Problem. Appliance
ist für ein erzwungenes Herun-
terladen bereit.
■ Appliance hat einen Fehler
erkannt und Wiederherstellung
ist nicht möglich.

Blinkt Dauerhaft an Konfigurationsmodus

Dauerhaft an Dauerhaft an Hardware-Problem

Blinkt einmal Dauerhaft aus RAM-Fehler

Blinkt zweimal Dauerhaft aus Zeitfehler

Blinkt dreimal Dauerhaft aus DMA-Fehler

Dauerhaft an Blinkt einmal LAN-Fehler

Dauerhaft an Blinkt zweimal WAN-Fehler

Dauerhaft an Blinkt dreimal Fehler an serieller Schnittstelle

Dauerhaft aus Dauerhaft aus Kein Strom

Beide LEDs blinken abwechselnd ■ Daten werden heruntergeladen


■ Appliance schreibt in den
Flash-Speicher
Protokollierung, Überwachung und Updates 147
LED-Zustände

LED-Sequenzen bei LiveUpdate- und Firmware-Upgrades


Beim Durchführen eines LiveUpdate-Upgrades mithilfe des symcftpw-Dienst-
programms oder von TFTP und beim Herunterladen und Installieren von
Firmware-Upgrades durch LiveUpdate blinken die LEDs in einer bestimmten
Folge. Tabelle 9-4 enthält Beschreibungen der Sequenzen.

Tabelle 9-4 LED-Sequenz bei LiveUpdate-Upgrades

Beschreibung Betriebs-LED Fehler-LED Sende-LED

Abrufen der Firmware mithilfe An An Blinkt, wenn


von LiveUpdate aus dem Inter- Datenverkehr
net oder Hochladen der Firm- stattfindet.
ware mithilfe des symcftpw-
oder des TFTP-Tools.

Firmware heruntergeladen und An Aus Aus


überprüft. Dies dauert ca. 10
Sekunden.

Installieren der Firmware. Die An Blinkt abwech- Blinkt abwech-


Dauer des Vorgangs hängt vom selnd mit der selnd mit der
Appliance-Modell ab. Sende-LED Fehler-LED

Update beendet. An An An

Appliance wird zurückgesetzt. An Aus Blinkt, wenn


Alle LEDs leuchten und wech- Datenverkehr
seln anschließend in den nor- stattfindet.
malen Betriebsmodus.
Anhang A
Einhaltung von Standards
In diesem Kapitel werden folgende Themen behandelt:

■ FCC Klasse A

■ CISPR Klasse A

■ Japan (VCCI) Klasse A

FCC Klasse A
Dieses Gerät hält die vorgeschriebenen Grenzwerte gemäß Teil 15 der FCC-
Bestimmungen ein. Der Betrieb unterliegt den folgenden zwei Bedingungen: (1)
Dieses Gerät darf keine schädlichen Störungen hervorrufen und (2) dieses Gerät
muss alle empfangenen Funkstörungen tolerieren, einschließlich solcher Sig-
nale, die zu unerwünschten Betriebsstörungen führen.
Dieses Gerät wurde getestet und liegt innerhalb der Grenzwerte für digitale
Geräte der Klasse A gemäß Teil 15 der FCC-Bestimmungen. Diese Grenzwerte
bieten einen angemessenen Schutz vor schädlichen Störungen, wenn das Gerät
in Geschäftsräumen eingesetzt wird. Dieses Gerät erzeugt und verwendet Hoch-
frequenzenergie und strahlt diese möglicherweise ab. Wenn das Gerät nicht
gemäß den Anweisungen des Installationshandbuchs installiert und verwendet
wird, kann es zu Funkstörungen kommen. Der Betrieb des Geräts in Wohnräu-
men führt wahrscheinlich zu schädlichen Störungen, die ggf. vom Benutzer auf
eigene Kosten zu beheben sind.
Änderungen oder Modifikationen, die nicht ausdrücklich von der Partei geneh-
migt wurden, die für die Einhaltung des Standards verantworlich ist, können
zum Erlöschen der Betriebserlaubnis für das Gerät führen.
150 Einhaltung von Standards
CISPR Klasse A

CISPR Klasse A
Warnung: Dieses Produkt entspricht der Klasse A. In Wohnräumen erzeugt dieses
Produkt möglicherweise Funkstörungen, die vom Benutzer ggf. in angemessener
Weise behoben werden müssen.

Japan (VCCI) Klasse A


Warnung: Dieses Produkt entspricht der Klasse A. In Wohnräumen erzeugt dieses
Produkt möglicherweise Funkstörungen, die vom Benutzer ggf. in angemessener
Weise behoben werden müssen. VCCI-A
Anhang B
Fehlerbehebung
In diesem Kapitel werden folgende Themen behandelt:

■ Infos zur Fehlerbehebung

■ Zugriff auf Fehlerbehebungsinformationen

Infos zur Fehlerbehebung


Die Funktion "Debug-Informationen" liefert detaillierte Informationen über die
Systemereignis-Informationen im Protokoll. Im Debug-Modus finden Sie weitere
detaillierte Informationen im Status-Protokoll, die für die Technische Unterstüt-
zung von Symantec oder für die Fehlerbehebung nützlich sind. Der Standard-
Benutzermodus bietet allgemeine Informationen zu durchgeführten Aktionen,
die in den Sicherheitsrichtlinien festgelegt sind.

Warnung: Wenn Sie den Debug-Modus aktivieren, erhöht sich die Anzahl der Pro-
tokollereignisse und es kommt zu einer Leistungsbeeinträchtigung. Alle Debug-
Meldungen sind in Englisch. Verwenden Sie den Debug-Modus nur temporär zur
Fehlerbehebung und deaktivieren Sie ihn nach dem Debuggen umgehend.

Die Funktion "WAN-Pakete an LAN weiterleiten" sendet alle WAN-seitigen


Datenpakete zwecks Abwehr von Sniffing-Angriffen (Abfangen von Datenpake-
ten) an das LAN. Dadurch kann eine Sicherheitslücke entstehen, so dass Sie diese
Funktion nach der Fehlerbehebung wieder deaktivieren müssen.
Das Sicherheits-Gateway bietet außerdem PING- und DNS-Test-Tools zum Über-
prüfen von Netzwerkverbindungen und zur DNS-Auflösung.

Hinweis: Mithilfe des PING-Test-Tools können nur PING-Signale an andere IP-


Adressen gesendet werden. Die Appliance selbst kann mit diesem Tool nicht
getestet werden.
152 Fehlerbehebung
Infos zur Fehlerbehebung

Im Ergebnisbereich des Fensters "Fehlerbehebung" werden die Ergebnisse von


PING- oder DNS-Suchtests angezeigt.

Fehlerbehebung bei Symantec Gateway Security Appliances der


300er Serie
■ Siehe "Beschreibung der Felder für das Protokollieren/Überwachen" auf
Seite 161.
■ Siehe "Beschreibung der Felder im Register "Fehlerbehebung"" auf
Seite 167.

So konfigurieren Sie Protokollierungsebenen


1 Klicken Sie im SGMI im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Protokolleinstellungen"
und aktivieren Sie unter "Protokollierungsart" die zu protokollierenden
Informationen.
Die Funktion "Debug-Informationen" zeichnet große Datenmengen auf.
Verwenden Sie diese Option nur zur Fehlerbehebung.
3 Klicken Sie auf "Speichern".

So aktivieren Sie das Weiterleiten von WAN-Paketen an LANs


1 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Fehlerbehebung" und
aktivieren Sie unter "Broadcast - Debug-Ebene" die Option "WAN-Pakete an
LAN weiterleiten".
Durch das Weiterleiten von an den WAN-Ports eingehenden Datenpaketen
an das LAN zu Fehlerbehebungszwecken wird Datenverkehr, der normaler-
weise vom Sicherheits-Gateway abgelehnt würde, in Ihrem internen Netz-
werk zugelassen. Sie sollten dieses Verfahren zum Abfangen von WAN-Pake-
ten nur verwenden, wenn in Ihrem Netzwerk WAN-seitig kein Sniffer
installiert werden kann. Aktivieren Sie diese Funktion nur, wenn dies unbe-
dingt erforderlich ist, und deaktivieren Sie sie unmittelbar nach Abschluss
der Fehlerbehebung.
3 Klicken Sie auf "Speichern".

So führen Sie einen Test aus


1 Klicken Sie im linken Teilfenster auf "Protokoll/Überwachen".
2 Klicken Sie im rechten Teilfenster auf das Register "Fehlerbehebung" und
geben Sie unter "Test-Tools" in das Textfeld "Ziel-Host" die IP-Adresse oder
den DNS-Namen des zu testenden Rechners ein.
Fehlerbehebung 153
Infos zur Fehlerbehebung

3 Wählen Sie im Dropdown-Listenfeld "Tool" die Option "PING" oder "DNS-


Suche".
4 Klicken Sie auf "Tool ausführen".
Unter "Ergebnis" wird das Testergebnis angezeigt.

So testen Sie die Standard-Gateway-Verbindung


1 Stellen Sie sicher, dass das Standard-Gateway verfügbar ist, indem Sie ein
PING-Signal an die entsprechende IP-Adresse senden.
2 Wenn das PING-Signal nicht an die IP-Adresse des Hosts gesendet werden
kann, liegt entweder ISP-seitig ein Verbindungsproblem vor oder das Rou-
ting ist fehlgeschlagen.
3 Wenn die Übermittlung des PING-Signals per IP-Adresse funktioniert, per
DNS-Name aber nicht, liegt entweder ein Fehler bei der DNS-Server-Konfigu-
ration vor oder der DNS-Server ist nicht verfügbar (Sie können die Verfüg-
barkeit testen, indem Sie über die IP-Adresse ein PING-Signal an den DNS-
Server senden).
4 Wenn einige DNS-Namen aufgelöst werden können, andere nicht, liegt das
Problem höchstwahrscheinlich nicht bei der Konfiguration. In diesem Fall
müssen Sie sich an die offizielle Stelle für die DNS-Domäne wenden, um das
Problem zu beheben.

So testen Sie WAN-Verbindungen


1 Senden Sie ein PING-Signal an das Standard-Gateway.
2 Senden Sie über die IP-Adresse ein PING-Signal an eine Internet-Site.
3 Senden Sie über die DNS-Adresse ein PING-Signal an eine Internet-Site.

Hinweis: Bei einigen Sites werden PING-Signale durch Firewalls blockiert. Stellen
Sie sicher, dass die Site verfügbar ist, bevor Sie sich an Ihren Internet Service
Provider oder die Technische Unterstützung von Symantec wenden.
154 Fehlerbehebung
Zugriff auf Fehlerbehebungsinformationen

Zugriff auf Fehlerbehebungsinformationen


Mithilfe des folgenden Verfahrens können Sie Fehlerbehebungsinformationen in
der Unterstützungsdatenbank von Symantec abrufen.

So greifen Sie auf Fehlerbehebungsinformationen zu


1 Rufen Sie die Site "www.symantec.com" auf.
2 Klicken Sie oben auf der Seite auf "support".
3 Klicken Sie unter "product support > enterprise" auf "Continue".
4 Klicken Sie auf der angezeigten Seite unter "Technical Support" auf
"knowledge base".
5 Blättern Sie unter "select a knowledge base" nach unten und klicken Sie auf
"Symantec Gateway Security 300 Series".
6 Klicken Sie auf den Namen und das Modell Ihres Produkts.
7 Führen Sie auf der Unterstützungsdatenbank-Seite für Ihr Appliance-Modell
einen der folgenden Schritte aus:
■ Klicken Sie im Register "Hot Topics" auf einen der Listenpunkte, um eine
detaillierte Liste mit Unterstützungsdatenbank-Artikeln zu diesem
Thema anzuzeigen.
■ Geben Sie im Register "Search" in das Textfeld eine Zeichenfolge für Ihre
Frage ein. Wählen Sie im Dropdown-Listenfeld aus, wie die Suche durch-
geführt werden soll, und klicken Sie auf "Search".
■ Erweitern Sie im Register "Browse" ein Thema, um die zugehörigen
Unterstützungsdatenbank-Artikel anzuzeigen.
Anhang C
Lizenzierung
In diesem Kapitel werden folgende Themen behandelt:

■ Sitzungslizenzen für Client-to-Gateway-VPN-Funktionen der Symantec


Gateway Security 300 Serie
■ Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

Sitzungslizenzen für Client-to-Gateway-VPN-Funk-


tionen der Symantec Gateway Security 300 Serie
Symantec Client VPN-Software kann für eine Appliance lizenziert werden. Die
Symantec Client VPN-Software-Version muss in den Versionshinweisen zur
Symantec Gateway Security 300 Serie als unterstützte Version aufgeführt sein.
Das Client-to-Gateway-VPN-Zusatzmodul kann für die maximale Anzahl an
VPN-Sitzungen lizenziert werden, die gleichzeitig zulässig sind. Sie können
zusätzliche Lizenzen für weitere gleichzeitige VPN-Sitzungen erwerben. Es ist
beispielsweise denkbar, dass Sie zwar insgesamt 15 Benutzer haben, die im Rah-
men ihrer Arbeit VPN-Zugriff benötigen, dass aber immer nur maximal 10 Benut-
zer gleichzeitig über das VPN verbunden sind.
In diesem Fall benötigen Sie eine Lizenz für 10 gleichzeitige VPN-Sitzungen. Bei
Bedarf müssen Sie zusätzliche Lizenzen erwerben, um die Anzahl zulässiger
gleichzeitiger Sitzungen zu erhöhen. Sie sind mit der Lizenz befugt, die Client-
Software auf beliebig vielen Knoten zu laden, allerdings gilt die Lizenz für diese
Clients nur in Verbindung mit der entsprechenden Symantec Gateway Security
Appliance.

Zusätzliche Sitzungslizenzen
Zusätzliche Sitzungslizenzen stehen für Client-to-Gateway-VPN-Funktionen zur
Verfügung. Client-to-Gateway-VPN-Sitzungslizenzen sind unabhängig von
Basisfunktionslizenzen und die maximale Anzahl an gleichzeitigen Sitzungen
kann durch die Hardware-Leistung, Ihre Netzwerk-Implementierung oder Eigen-
schaften des Netzwerkverkehrs eingeschränkt sein.
156 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

Symantec Gateway Security Appliance - Lizenz- und


Garantievereinbarung
SYMANTEC CORPORATION UND/ODER IHRE TOCHTERGESELLSCHAFTEN
("SYMANTEC") GEWÄHREN IHNEN ALS NATÜRLICHE PERSON, ALS UNTERNEHMEN
ODER ALS JURISTISCHE PERSON, DIE DIESE SOFTWARE UND DIE APPLIANCE VER-
WENDET (IM WEITEREN ALS "SIE" ODER "IHRE" BEZEICHNET), DIE LIZENZ FÜR DIE IM
LIEFERUMFANG DER APPLIANCE ENTHALTENE SOFTWARE SOWIE DIE GARANTIE FÜR
DIE APPLIANCE AUSSCHLIESSLICH UNTER DER VORAUSSETZUNG, DASS SIE DIE
BEDINGUNGEN DIESER LIZENZVEREINBARUNG ANNEHMEN. LESEN SIE DIE BESTIM-
MUNGEN UND BEDINGUNGEN DIESER LIZENZ- UND GARANTIEVEREINBARUNG SORG-
FÄLTIG DURCH, BEVOR SIE DIE APPLIANCE VERWENDEN. DIESES DOKUMENT IST EIN
RECHTMÄSSIGER UND DURCHSETZBARER VERTRAG ZWISCHEN IHNEN UND
SYMANTEC. DURCH ÖFFNEN DES PAKETS ODER DER VERSIEGELUNG, KLICKEN AUF
DIE SCHALTFLÄCHE "ICH AKZEPTIERE DIE LIZENZVEREINBARUNG" ODER "JA", LADEN
DER SOFTWARE ODER INDEM SIE AUF IRGENDEINE ANDERE ELEKTRONISCHE ART
IHR EINVERSTÄNDNIS GEBEN, DURCH ANFORDERUNG EINES LIZENZSCHLÜSSELS
ODER VERWENDUNG DER SOFTWARE UND DER APPLIANCE ERKLÄREN SIE SICH MIT
DEN BESTIMMUNGEN UND BEDINGUNGEN DIESER VEREINBARUNG EINVERSTANDEN.
WENN SIE NICHT MIT DEN BESTIMMUNGEN UND BEDINGUNGEN EINVERSTANDEN
SIND, KLICKEN SIE AUF DIE SCHALTFLÄCHE "ICH AKZEPTIERE DIE LIZENZVEREINBA-
RUNG NICHT" ODER "NEIN". VERWENDEN SIE IN DIESEM FALL DIE SOFTWARE UND
DIE APPLIANCE NICHT.

1. Software-Lizenz:
Die Software (die "Software"), die im Lieferumfang der von Ihnen erworbenen Appliance
(die "Appliance") enthalten ist, ist Eigentum der Firma Symantec oder ihrer Lizenzgeber
und ist durch nationale Gesetze und internationale Verträge urheberrechtlich geschützt.
Alle Eigentumsrechte bezüglich der Software verbleiben bei Symantec. Wenn Sie sich mit
den Bestimmungen dieser Lizenz einverstanden erklären, erhalten Sie lediglich Rechte
bezüglich der Verwendung dieser Software. Diese Lizenz schließt alle vom Lizenzgeber an
Sie gelieferten Versionen der Software sowie alle Überarbeitungen und an der Software
vorgenommenen Verbesserungen ein. Sofern nicht durch dieser Lizenz beigefügte, voraus-
gegangene oder nachfolgende gültige Lizenz-Zertifikate, Lizenz-Coupons oder Lizenz-
schlüssel von Symantec (zusammenfassend als "Lizenz-Modul" bezeichnet) geändert oder
zusätzlich in der der Appliance und/oder Software beigefügten Dokumentation beschrie-
ben, haben Sie im Zusammenhang mit dieser Software folgende Rechte und Pflichten:

Sie sind berechtigt:


A. die Software nur in Verbindung mit der Appliance zu verwenden.

B. bei Bedarf Kopien der gedruckten Dokumentation der Appliance anzufertigen, die im
Rahmen Ihrer Autorisierung zur Verwendung der Appliance genutzt wird; und

C. nach schriftlicher Mitteilung an Symantec und in Verbindung mit einer Übertragung der
Appliance die Software dauerhaft an eine andere Person oder juristische Person zu über-
tragen, vorausgesetzt, Sie behalten keine Kopien der Software, Symantec ist mit der Über-
tragung einverstanden und der Empfänger der Appliance und Software erklärt schriftlich,
dass er mit den Bestimmungen und Bedingungen dieser Vereinbarung einverstanden ist.
Lizenzierung 157
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

Sie sind nicht berechtigt:


A. einen beliebigen Teil der Software zu verleihen, zu vermieten oder Unterlizenzen zu ver-
geben, zurückzuentwickeln (reverse engineering), zu dekompilieren, zu disassemblieren,
zu ändern, zu übersetzen oder zu versuchen, den Quellcode der Software zugänglich zu
machen oder abgeleitete Produkte der Software zu erstellen.
B. Symantec-Software zu verwenden, für die Sie nicht in einem Lizenz-Modul das Recht zur
Verwendung erhalten haben, wenn die vorliegende Software auf einer Appliance geliefert
wird, auf der sich mehrere Symantec-Produkte befinden.

C. die Software auf irgendeine Art zu verwenden, zu der Sie gemäß vorliegender Lizenz
nicht berechtigt sind.

2. Content-Updates:
Bestimmte Symantec-Software-Produkte verwenden Inhalt, der von Zeit zu Zeit aktuali-
siert wird (Antiviren-Produkte verwenden beispielsweise aktualisierte Virendefinitionen,
Produkte zum Filtern von Inhalten verwenden aktualisierte URL-Listen, einige Firewall-
Produkte verwenden aktualisierte Firewall-Regeln, Produkte zur Schwachstellenanalyse
verwenden aktualisierte Daten zu Sicherheitslücken, usw.; zusammenfassend werden sol-
che Produkte als "Content-Updates" bezeichnet). Sie können für jede Software-Funktiona-
lität, die Sie für die Verwendung mit der Appliance gekauft und aktiviert haben, Content-
Updates für jeden Zeitraum erhalten, für den Sie (i) ein Abonnement für Content-Updates
für solche Software-Funktionalität erworben haben; (ii) einen Support-Vertrag haben, der
Content-Updates für solche Software-Funktionalität umfasst; (iii) für den Sie anderweitig
das Recht auf Content-Updates für solche Software-Funktionalität erworben haben. Diese
Lizenz berechtigt Sie nicht zu anderweitigem Erwerb und zu anderweitiger Verwendung
von Content-Updates.

3. Haftungsbeschränkung:
Symantec gewährleistet für den Zeitraum von dreißig (30) Tagen ab dem Tag des Kaufs der
Appliance, dass die Software auf der Appliance im Wesentlichen gemäß der Dokumenta-
tion funktionieren wird, die der Appliance beiliegt. Im Falle, dass das gelieferte Produkt
dieser Garantie nicht genügt, besteht Ihr alleiniger Anspruch im Ermessen von Symantec
entweder im Ersatz oder in der Reparatur der zusammen mit einem Kaufnachweis inner-
halb der Garantiezeit an Symantec zurückgegebenen fehlerhaften Software oder in der
Erstattung des für die Appliance bezahlten Kaufpreises.

Symantec gewährleistet für den Zeitraum von 365 Tagen ab dem Tag des Kaufs der
Appliance, dass die Hardware-Komponente der Appliance (die "Hardware") unter normalen
Nutzungsbedinungen frei von Fertigungs- und Materialfehlern ist und im Wesentlichen
der Dokumentation entspricht, die der Appliance beigefügt ist. Im Falle, dass das gelieferte
Produkt dieser Garantie nicht genügt, besteht Ihr alleiniger Anspruch im Ermessen von
Symantec entweder im Ersatz oder in der Reparatur der zusammen mit einem Kaufnach-
weis innerhalb der Garantiezeit an Symantec zurückgegebenen fehlerhaften Hardware
oder in der Erstattung des für die Appliance bezahlten Kaufpreises.

Die in dieser Vereinbarung genannten Garantien gelten nicht für Software oder Hardware,
die:

A. geändert, ergänzt, aktualisiert oder anderweitig verändert wurde;

B. nicht von Symantec oder einer von Symantec bestimmten Person repariert wurde.
158 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

Darüber hinaus gelten die in dieser Vereinbarung genannten Garantien nicht für Repara-
turen oder Ersatzleistungen, die durch folgende Gegebenheiten verursacht oder veranlasst
wurden: (i) Ereignisse, die eintreten, nachdem das Verlustrisiko auf Sie übergegangen ist,
z. B. Verlust oder Beschädigung während des Versands; (ii) höhere Gewalt einschließlich,
jedoch nicht beschränkt auf Naturereignisse wie Feuer, Überflutung, Orkan, Erdbeben,
Blitzeinschlag und ähnliche Naturkatastrophen; (iii) falsche Verwendung, falsche Umge-
bung, falsche Installation oder falsche Stromversorgung, fehlerhafte Wartung oder andere
Formen des falschen Gebrauchs, Missbrauchs oder der falschen Behandlung; (iv) behördli-
che Regelungen; (v) Streik oder Arbeitsunterbrechungen; (vi) Ihr Unvermögen, das Produkt
richtig zu verwenden oder den Bedienungsanweisungen in den Handbüchern zu folgen;
(vii) Ihr Unvermögen, von Symantec für Sie bereitgestellte Korrekturen oder Modifikatio-
nen der Appliance zu implementieren bzw. durch Symantec oder eine von Symantec
bestimmte Person implementieren zu lassen; (viii) andere Ereignisse, die außerhalb des
Einflussbereichs von Symantec liegen.

Bei Feststellung eines Fehlers in der Hardware oder in einer Komponente der Hardware
sind Sie verpflichtet, Symantec innerhalb von zehn (10) Tagen nach Auftreten dieses Feh-
lers zu kontaktieren und eine RMA-Nummer (Return Material Authorization) anzufordern,
um den Garantiebedingungen innerhalb der vereinbarten Garantiezeit zu entsprechen. Die
angeforderte RMA-Nummer wird ausgegeben, sobald Symantec festgestellt hat, dass Sie
die Bedingungen für die Garantieleistungen erfüllen. Die vermeintlich defekte Appliance
bzw. die defekte Appliance-Komponente, ist ordnungsgemäß und sicher verpackt an
Symantec einzusenden. Fracht- und Versicherungskosten sind im Voraus zu entrichten
und die RMA-Nummer ist deutlich sichtbar auf der Verpackung und an der Appliance anzu-
bringen. Symantec ist nicht verpflichtet, Appliances anzunehmen, die ohne RMA-Nummer
eingesandt werden.

Nach Abschluss der Reparatur oder im Falle des Beschlusses von Symantec, in Überein-
stimmung mit der Garantie die defekte Appliance zu ersetzen, sendet Symantec die repa-
rierte oder Ersatz-Appliance an Sie zurück, wobei Fracht- und Versicherungskosten bereits
entrichtet wurden. Für den Fall, dass Symantec sich in alleinigem Ermessen außerstande
sieht, die Hardware zu reparieren oder zu ersetzen, erstattet Ihnen Symantec den für die
Appliance bezahlten Kaufpreis zurück. An Symantec zurückgesandte defekte Appliances
werden Eigentum von Symantec.

Symantec gewährleistet nicht, dass die Appliance Ihren Anforderungen entspricht, die
Verwendung der Appliance unterbrechungsfrei und die Appliance fehlerfrei ist.

Um im Rahmen dieser Vereinbarung Garantieleistungen in Anspruch zu nehmen, benöti-


gen Sie einen Original-Kaufbeleg.

SOWEIT DIES DIE GELTENDEN GESETZE ZULASSEN, IST DIESE EINGESCHRÄNKTE


GARANTIE AUSSCHLIESSLICH UND GILT ANSTELLE ALLER ANDEREN AUSDRÜCKLI-
CHEN UND STILLSCHWEIGENDEN GARANTIEN, EINSCHLIEßLICH DER STILLSCHWEI-
GENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN
ZWECK UND DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGEN-
TUM. DIESE GARANTIE GIBT IHNEN BESTIMMTE GESETZLICHE RECHTE. JE NACH
LAND ODER STAAT KÖNNEN SIE WEITERE ODER ANDERE RECHTE HABEN.

4. Haftungsausschluss:
EINIGE LÄNDER EINSCHLIESSLICH DER MITGLIEDSSTAATEN DER EUROPÄISCHEN
UNION GESTATTEN WEDER DIE EINSCHRÄNKUNG NOCH DEN AUSSCHLUSS DER
HAFTUNG FÜR NEBEN- ODER FOLGESCHÄDEN. DAHER FINDET UNTEN GENANNTE
KLAUSEL FÜR SIE MÖGLICHERWEISE KEINE ANWENDUNG.
Lizenzierung 159
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

SOWEIT DIES DIE GELTENDEN GESETZE ZULASSEN UND UNABHÄNGIG DAVON, OB


EINES DER HIERIN DARGELEGTEN RECHTSMITTEL SEINEN WESENTLICHEN ZWECK
NICHT ERFÜLLT, SIND SYMANTEC ODER SEINE LIZENZGEBER IN KEINEM FALLE
ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN, FOLGE- ODER ÄHNLICHEN
SCHÄDEN (EINGESCHLOSSEN SIND SCHÄDEN AUS ENTGANGENEM GEWINN ODER
VERLUST VON DATEN), DIE DURCH DIE BENUTZUNG DER SOFTWARE ODER DIE
UNFÄHIGKEIT, DIE SOFTWARE ZU VERWENDEN, ENTSTEHEN, SELBST WENN
SYMANTEC VON DER MÖGLICHKEIT SOLCHER SCHÄDEN UNTERRICHTET WORDEN IST.

IN JEDEM FALLE IST DIE HAFTUNG VON SYMANTEC ODER SEINER LIZENZGEBER AUF
DEN FÜR DIE APPLIANCE BEZAHLTEN KAUFPREIS BESCHRÄNKT. Der oben dargelegte
Ausschluss und die Beschränkung sind unabhängig davon, ob Sie die Software oder die
Appliance akzeptieren.

5. Eingeschränkte Rechte der US-Regierung.


ERKLÄRUNG EINGESCHRÄNKTER RECHTE. Alle Symantec-Produkte und die dazugehö-
rige Dokumentation sind kommerzieller Natur. Die Software und die entsprechende Doku-
mentation sind "Commercial Items" (kommerzielle Waren), wie dieser Begriff in 48 C.F.R.
2.101 definiert ist. Sie besteht aus "Commercial Computer Software" (kommerzieller
Computersoftware) und "Commercial Computer Software Documentation" (kommerzieller
Softwaredokumentation), wie diese Begriffe in 48 C.F.R. 252.227-7014(a)(5) und 48 C.F.R.
252.227-7014(a)(1) definiert sind und in 48 C.F.R. 12.212 und 48 C.F.R. 227.7202 verwendet
werden, je nach anwendbarem Gesetz. In Übereinstimmung mit 48 C.F.R. 12.212, 48 C.F.R.
252.227-7015, 48 C.F.R. 227.7202 bis 227.7202-4, 48 C.F.R. 52.227-14 und anderen relevan-
ten Abschnitten des Code of Federal Regulations (Bundesgesetzsammlung), wie sie je nach
Gesetz angewendet werden, gewährt die Lizenz für die Symantec-Software und die
Softwaredokumentation Endbenutzern der amerikanischen Regierung dieselben Rechte
wie allen anderen Endbenutzern, entsprechend den Bestimmungen und Bedingungen der
vorliegenden Lizenzvereinbarung. Hersteller ist Symantec Corporation, 20330 Stevens
Creek Blvd., Cupertino, CA 95014, USA.

6. Exportbeschränkungen:
Bestimmte Symantec-Produkte unterliegen den Exportkontrollen des US-Handelsministe-
riums (U.S. Department of Commerce, DOC) gemäß den Export Administration Regulations
(US-Bestimmungen zur Verwaltung des Exports, EAR) (siehe www.bxa.doc.gov). Der Ver-
stoß gegen geltende US-Gesetze ist strengstens untersagt. Der Lizenznehmer erklärt sich
einverstanden, sämtliche Bestimmungen der EAR und alle geltenden internationalen,
nationalen, staatlichen, regionalen und lokalen Gesetze einzuhalten, einschließlich
Import- und Nutzungsbeschränkungen. Symantec-Produkte dürfen zurzeit nicht in die
Länder Kuba, Nordkorea, Iran, Irak, Libyen, Syrien oder Sudan oder in ein anderes Land,
das Handelssanktionen unterliegt, exportiert bzw. aus diesen wiedereingeführt ("re-expor-
tiert") werden. Der Lizenznehmer erklärt sich weiterhin einverstanden, weder direkt noch
indirekt irgendein Produkt in ein in den EAR genanntes Land oder an eine Person bzw.
Organisation, die in den nachfolgend aufgeführten Listen der US-Regierung genannt ist, zu
exportieren oder zu re-exportieren: Denied Persons, Entities and Unverified Lists des US-
Handelsministeriums, Debarred List des US-Verteidigungsministeriums oder die Listen für
Specially Designated Nationals, Specially Designated Narcotics Traffickers oder Specially
Designated Terrorists des US-Finanzministeriums. Darüber hinaus erklärt sich der Lizenz-
nehmer einverstanden, Symantec-Produkte weder an militärische Organisationen, die
unter den Bestimmungen der EAR nicht genehmigt sind, noch an irgendeine andere Orga-
nisation für militärische Zwecke zu exportieren oder re-exportieren, und auch keine
Symantec-Produkte für den Einsatz mit chemischen, biologischen oder nuklearen Waffen
bzw. mit Raketen, die als Träger solcher Waffen dienen können, zu verkaufen.
160 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung

7. Allgemein:
Wenn Sie sich in Nord- oder Südamerika befinden, unterliegt diese Vereinbarung der
Gesetzgebung des US-Bundesstaats Kalifornien in den Vereinigten Staaten von Amerika.
Andernfalls unterliegt diese Vereinbarung den Gesetzen von England. Diese Vereinbarung
und alle damit verbundenen Lizenz-Module bilden die gesamte Vereinbarung zwischen
Ihnen und Symantec in Bezug auf die Appliance. Ferner gilt: (i) Die Vereinbarung tritt an
die Stelle aller vorherigen oder gleichzeitigen mündlichen oder schriftlichen Vereinbarun-
gen, Vorschläge und Zusagen bezüglich des Gegenstands dieser Vereinbarung; und (ii) sie
hat Vorrang vor widersprüchlichen oder zusätzlichen Bestimmungen in allen anderen
Absprachen zwischen den Vertragsparteien. Diese Vereinbarung kann nur durch ein
Lizenz-Modul oder durch ein anderes, sowohl von Ihnen als auch von Symantec unter-
zeichnetes schriftliches Dokument geändert werden. Diese Vereinbarung endet, wenn Sie
gegen eine darin enthaltene Bestimmung verstoßen. In diesem Fall dürfen Sie die Software
nicht mehr verwenden und müssen alle Kopien der Software vernichten. Ferner müssen Sie
die Appliance an Symantec zurückgeben. Der Haftungsausschluss von Garantien und
Schäden sowie Einschränkungen der Haftung bleiben über die Beendigung dieser Verein-
barung hinaus bestehen. Sollten Sie Fragen zu dieser Vereinbarung haben oder sich aus
anderen Gründen mit Symantec in Verbindung setzen wollen, wenden Sie sich bitte an: (i)
Symantec Customer Service, 555 International Way, Springfield, OR 97477, USA, oder (ii)
Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irland.
Anhang D
Feldbeschreibungen
In diesem Kapitel werden folgende Themen behandelt:

■ Beschreibung der Felder für das Protokollieren/Überwachen

■ Beschreibung der Felder für die Verwaltung

■ Beschreibung der LAN-Felder

■ Beschreibungen der WAN/ISP-Felder

■ Beschreibung der Firewall-Felder

■ Beschreibung der VPN-Felder

■ Beschreibung der IDS/IPS-Felder

■ Beschreibung der AVpe-Felder

■ Beschreibung der Felder für Content Filtering

Beschreibung der Felder für das Protokollieren/


Überwachen
Die Symantec Gateway Security 300 Serie bietet konfigurierbare Systemproto-
kollfunktionen und Register zum Anzeigen der Systemprotokolle und Überwa-
chen des Systemstatus. Sie verfügt zudem über integrierte Test-Tools für die
Fehlerbehebung und Verbindungsverifizierung.
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "Status"
■ Beschreibung der Felder im Register "Protokoll anzeigen"
■ Beschreibung der Felder im Register "Protokolleinstellungen"
■ Beschreibung der Felder im Register "Fehlerbehebung"
162 Feldbeschreibungen
Beschreibung der Felder für das Protokollieren/Überwachen

Beschreibung der Felder im Register "Status"


Im Register "Status" werden die aktuellen Bedingungen und Einstellungen des
Sicherheits-Gateways angezeigt.

Tabelle D-1 Beschreibung der Felder im Register "Status"

Abschnitt Feld Beschreibung


Modell 320: Verbindungsstatus Zeigt an, ob der WAN-Port mit dem Internet
oder einem internen Netzwerk verbunden ist
WAN (externer Port)
oder nicht.
Modell 360/360R:
Netzmaske Abgeleitet von der DHCP- oder statischen IP-
WAN 1
Konfiguration.
(externer Port)
IP-Adresse Zeigt die IP-Adresse des WAN-Ports basierend
WAN 2
auf Ihrer lokalen Konfiguration an.
(externer Port)
Physische Adresse MAC-Adresse (Media Access Control) des
Sicherheits-Gateways.

Standard-Gateway Zeigt eine IP-Adresse basierend auf Ihrer loka-


len Konfiguration an. Wird vom Sicherheits-
Gateway verwendet, um Pakete, die für unbe-
kannte Netzwerke bestimmt sind, weiterzulei-
ten. In den meisten Konfigurationen ist dies
die IP-Adresse des Routers Ihres ISPs (Internet
Service Provider - Internet-Dienstanbieter).
DHCP-Client Das Feld ist entweder aktiviert oder deakti-
viert. Wenn das Feld aktiviert ist, verwendet
das Sicherheits-Gateway DHCP, um eine IP-
Adresse, einen DNS-Server und Routing-Infor-
mationen von Ihrem ISP oder vom Intranet
anzufordern, wenn Sie das Sicherheits-Gate-
way starten.

DNS-IP-Adresse(n) Zeigt eine von Ihrem ISP bereitgestellte IP-


Adresse an.

DHCP-Lease-Zeit Wenn "DHCP-Client" aktiviert ist, wird hier


angezeigt, wie lange das Sicherheits-Gateway
die IP-Adresse besitzt. Diese Informationen
werden beim Start des Sicherheits-Gateways
abgerufen.
Feldbeschreibungen 163
Beschreibung der Felder für das Protokollieren/Überwachen

Tabelle D-1 Beschreibung der Felder im Register "Status" (Fortsetzung)

Abschnitt Feld Beschreibung


LAN (externer Port) IP-Adresse Zeigt die IP-Adresse des Sicherheits-Gateways
an. Die Standardadresse ist "192.168.0.1".

Physische Adresse Zeigt die physische Adresse (MAC) des LAN-


Ports des Sicherheits-Gateways an. Standard-
mäßig ist die werkseitige Einstellung gesetzt.

Netzmaske Zeigt die Adresse der Netzwerkmaske an, die


im Register "LAN" gesetzt wird. Die Standard-
adresse ist 255.255.255.0.

DHCP-Server Zeigt an, ob der Server aktiviert oder deakti-


viert ist, abhängig davon, ob das Sicherheits-
Gateway als DHCP-Server für verbundene
Clients verwendet wird.

Gerät Firmware-Version Zeigt die werkseitige Firmware-Version oder


die Firmware-Version des letzten LiveUpdate
oder manuellen Updates an.

Sprachversion Zeigt die werkseitige Version oder die letzte


Aktualisierung an.

Modell Zeigt die Modellnummer des Sicherheits-


Gateways an.

Exponierter Host Wenn Sie in Ihrem Netzwerk einen Computer


als exponierten Host verwenden, ist dieses
Feld aktiviert.

Spezielle Anwen- Das Feld ist entweder aktiviert oder deakti-


dungen viert. Wenn Sie spezielle Anwendungen konfi-
guriert haben, ist dieses Feld aktiviert.

Bridge-Modus Das Feld ist entweder aktiviert oder deakti-


viert.
Wenn Sie den NAT-Modus deaktivieren, wer-
den die Sicherheitsfunktionen der Firewall
deaktiviert und das Sicherheits-Gateway
verhält sich wie ein standardmäßiger Router.
Verwenden Sie diese Einstellung nur für Intra-
net-Implementierungen des Sicherheits-
Gateways, in denen das Sicherheits-Gateway
beispielsweise als Wireless-Bridge in einem
geschützten Netzwerk verwendet wird.
Wenn der NAT-Modus aktiviert ist, verhält
sich das Sicherheits-Gateway wie ein 802.1D
Netzwerk-Bridge-Gerät.
164 Feldbeschreibungen
Beschreibung der Felder für das Protokollieren/Überwachen

Beschreibung der Felder im Register "Protokoll anzeigen"


Im Register "Protokoll anzeigen" wird eine Liste der Systemereignisse angezeigt.

Tabelle D-2 Beschreibung der Felder im Register "Protokoll anzeigen"

Abschnitt Feld Beschreibung

Protokoll UTC-Zeit Die UTC-Zeit (Coordinated Universal Time) oder


anzeigen GMT (Greenwich Mean Time), zu der die Mel-
dung protokolliert wurde. Wenn das Sicherheits-
Gateway die aktuelle Zeit nicht von einem NTP-
Server (Network Time Protocol) abrufen kann,
zeigt es die Anzahl der Sekunden an, die seit dem
Neustart des Sicherheits-Gateways für jedes
Ereignis vergangen sind.

Meldung Zeigt den Text des protokollierten Ereignisses an.

Quelle Zeigt den Ursprung des Pakets an.

Ziel Zeigt das vorgesehene Ziel des Pakets an.

Bemerkung Zeigt den Protokollnamen oder die Protokoll-


nummer oder zusätzliche Informationen zur
Fehlerbehebung an.
Feldbeschreibungen 165
Beschreibung der Felder für das Protokollieren/Überwachen

Beschreibung der Felder im Register "Protokolleinstellungen"


Im Register "Protokolleinstellungen" können Sie Einstellungen konfigurieren,
die die E-Mail-Benachrichtigung, den Typ der protokollierten Meldungen und die
für jede protokollierte Meldung angegebene Zeit steuern.

Tabelle D-3 Beschreibung der Felder im Register "Protokolleinstellungen"

Abschnitt Feld Beschreibung

Weiterleitung per SMTP-Server IP-Adresse oder der vollständig qualifizierte


E-Mail Domänenname des SMTP-Servers, an den das
Protokoll gesendet wird.
Dieses Feld ist erforderlich, um Protokolle per
E-Mail zu versenden.

Absender der Der Absender der E-Mail-Adresse. Es sind maxi-


E-Mail mal 39 Zeichen zulässig.
Dieses Feld ist erforderlich, um Protokolle per
E-Mail zu versenden.

Empfänger der Die E-Mail-Adresse des Empfängers. Es sind


E-Mail maximal 39 Zeichen zulässig. Trennen Sie meh-
rere Adressen durch Kommas.
Dieses Feld ist erforderlich, um Protokolle per
E-Mail zu versenden.

Protokoll jetzt per Nachdem Sie den SMTP-Server sowie die E-Mail-
E-Mail senden Adressen von Absender und Empfänger eingege-
ben haben, können Sie auf "Protokoll jetzt per
E-Mail senden" klicken, um das aktuelle Proto-
koll per E-Mail zu versenden.

Syslog Syslog-Server IP-Adresse eines Hosts, der ein standardmäßiges


Syslog-Dienstprogramm ausführt, das die Proto-
kolldatei empfangen kann.
166 Feldbeschreibungen
Beschreibung der Felder für das Protokollieren/Überwachen

Tabelle D-3 Beschreibung der Felder im Register "Protokolleinstellungen"

Abschnitt Feld Beschreibung

Protokollierungs- Systemaktivität, Protokolliert die gesamte Systemaktivität und


art Verbindungs- den Verbindungsstatus. Diese Protokollierungs-
status art ist standardmäßig aktiviert.

Verbindungen, die Protokolliert alle Verbindungen, die auf der


gemäß den Aus- Grundlage der Ausgangsregeln zugelassen
gangsregeln werden.
ZUGELASSEN
werden

Verbindungen, die Protokolliert alle Verbindungsversuche, die auf


gemäß den Aus- der Grundlage der Ausgangsregeln, der Viren-
gangsregeln schutz-Richtlinien (AVpe) und des Content
ABGELEHNT Filtering abgelehnt werden.
werden

Verbindungen, die Protokolliert alle Verbindungen, die auf der


gemäß den Ein- Grundlage der Eingangsregeln zugelassen
gangsregeln werden.
ZUGELASSEN
werden

Verbindungen, die Protokolliert alle Verbindungsversuche, die auf


gemäß den Ein- der Grundlage der Eingangsregeln abgelehnt
gangsregeln werden.
ABGELEHNT
werden

Erkannter Angriff Protokolliert alle erkannten Angriffe, einschließ-


lich der Angriffe durch Port-Scanning, Fragmen-
tierung und Trojanische Pferde. Diese Protokol-
lierungsart ist standardmäßig aktiviert.

Debug- Zeigt zusätzliche Debug-Informationen an, die


Informationen für die Fehlerbehebung hilfreich sind. Verwen-
den Sie diese Option nur, wenn Sie ein Problem
beheben müssen und deaktivieren Sie sie
anschließend, wenn Sie das Problem gelöst
haben.

Zeit NTP-Server IP-Adresse des nicht öffentlichen NTP-Servers.


Feldbeschreibungen 167
Beschreibung der Felder für die Verwaltung

Beschreibung der Felder im Register "Fehlerbehebung"


Das Register "Fehlerbehebung" enthält Debug-Optionen und Test-Tools, mit
denen Sie Probleme mit dem Sicherheits-Gateway beheben können.

Tabelle D-4 Beschreibung der Felder im Register "Fehlerbehebung"

Abschnitt Feld Beschreibung

Broadcast - WAN-Pakete an Aktiviert das Weiterleiten von WAN-Paketen an


Debug-Ebene LAN weiterleiten das LAN. Diese Option ist hilfreich, um die WAN-
Pakete auf Fehler zu prüfen, ohne zusätzliche
Komponenten einrichten zu müssen.

Test-Tools Ziel-Host IP-Adresse oder vollständig qualifizierter Domä-


nenname des Hosts, den Sie mit einem der Tools
testen.
Die Adresse wird nicht validiert, stellen Sie daher
sicher, dass Sie die Adresse fehlerfrei eingeben.

Tool (Modell 320) Tools für die Fehlerbehebung. Folgende Optionen


sind verfügbar:
■ PING
■ DNS-Suche
Klicken Sie auf "Tool ausführen".

Tool (Modell 360/ Tools für die Fehlerbehebung. Folgende Optionen


360R) sind verfügbar:
■ PING
■ DNS-Suche
Klicken Sie "Durch WAN 1" oder "Durch WAN 2",
abhängig davon, welchen WAN-Port Sie auf
Fehler prüfen möchten.

Ergebnis Ergebnis Zeigt das Ergebnis des Tool-Tests an.

Beschreibung der Felder für die Verwaltung


Mithilfe der Verwaltungsfunktion des Sicherheits-Gateways können Sie den
Administrator-Zugriff auf das SGMI mit einem Kennwort und zulässigen IP-
Adressen verwalten. Sie können auch SNMP für die Systemüberwachung und für
LiveUpdate konfigurieren, um Firmware-Updates zu erhalten.
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "Allgemeine Verwaltung"
■ Beschreibung der Felder im Register "SNMP"
■ Beschreibung der Felder im Register "LiveUpdate"
168 Feldbeschreibungen
Beschreibung der Felder für die Verwaltung

Beschreibung der Felder im Register "Allgemeine Verwaltung"


Im Register "Allgemeine Verwaltung" können Sie den Zugriff auf das SGMI mit
dem Administrator-Kennwort und zulässigen IP-Adressen steuern.

Tabelle D-5 Beschreibung der Felder im Register "Allgemeine Verwaltung"

Abschnitt Feld Beschreibung

Administrator- Administrator- Das Kennwort für den Zugriff auf das SGMI.
Kennwort Kennwort
Der Benutzername ist immer "admin" und
bei der Anmeldung wird die Groß-/Klein-
schreibung berücksichtigt.

Kennwort bestätigen Geben Sie das Administrator-Kennwort


erneut ein.

Remote-Verwaltung Anfangs-IP-Adresse Die erste IP-Adresse im Bereich der Adres-


sen, die auf SGMI zugreifen dürfen.
Geben Sie zum Löschen einer IP-Adresse
"0" in alle Textfelder ein.

End-IP-Adresse Die letzte IP-Adresse im Bereich der Adres-


sen, die auf SGMI zugreifen dürfen.
Geben Sie zum Löschen einer IP-Adresse
"0" in alle Textfelder ein.

Remote-Firmware- Ermöglicht ein Firmware-Upgrade aus dem


Upgrade zulassen IP-Adressbereich.

Beschreibung der Felder im Register "SNMP"


Im Register "SNMP" können Sie das Sicherheits-Gateway für das Überwachen
mit SNMP-Servern konfigurieren.

Tabelle D-6 Beschreibung der Felder im Register "SNMP"

Abschnitt Feld Beschreibung

SNMP-Nur-Lesen- Community- Für den SNMP-Server ist möglicherweise


Manager (GETS und Zeichenfolge eine Community-Zeichenfolge erforderlich.
TRAPS)
IP-Adresse 1, Die IP-Adresse des SNMP-TRAP-Empfän-
IP-Adresse 2, gers. Traps werden an diese Adressen
IP-Adresse 3 weitergeleitet.

Remote-Überwa- Ermöglicht den externen Zugriff auf SNMP


chung aktivieren GET auf der Appliance.
Feldbeschreibungen 169
Beschreibung der Felder für die Verwaltung

Beschreibung der Felder im Register "LiveUpdate"


Im Register "LiveUpdate" können Sie die Verbindung zu einem LiveUpdate-
Server konfigurieren und einen Zeitplan für die Firmware-Updates des Sicher-
heits-Gateways festlegen.

Tabelle D-7 Beschreibung der Felder im Register "LiveUpdate"

Abschnitt Feld Beschreibung

Allgemeine LiveUpdate-Server Die IP-Adresse oder der voll qualifizierte


Einstellungen Domänenname des LiveUpdate-Servers,
von dem die Firmware-Updates abgerufen
werden. Die Standardadresse lautet
http://liveupdate.symantec.com.

Automatische Planer aktivieren Aktiviert den LiveUpdate-Planer. Dieser


Aktualisierungen ermöglicht das Festlegen von Terminen, an
denen das Sicherheits-Gateway automa-
tisch auf Firmware-Updates prüft und diese
anschließend übernimmt.

Häufigkeit Die Häufigkeit, mit der das Sicherheits-


Gateway auf Updates prüft. Die Anfangszeit
für die Häufigkeit basiert auf dem letzten
Neustart des Geräts.

Folgende Optionen sind verfügbar:


■ Täglich
■ Wöchentlich
■ 14-tägig
■ Monatlich

Bevorzugte Uhrzeit Die Zeit in Stunden und Minuten, zu der das


(GMT) Sicherheits-Gateway automatisch auf
Updates prüft. Das Format ist HH:MM,
wobei HH die Stunden zwischen 0 und 24
und MM die Minuten zwischen 0 und 59
darstellt. Um beispielsweise um 19:30 Uhr
auf Aktualisierungen zu prüfen, geben Sie
19:30 ein.
Die GMT-Einstellung ist abhängig vom
Zugriff auf einen NTP-Server. Verwenden
Sie in diesem Textfeld nur numerische
Zeichen und einen Doppelpunkt.
170 Feldbeschreibungen
Beschreibung der LAN-Felder

Tabelle D-7 Beschreibung der Felder im Register "LiveUpdate" (Fortsetzung)

Abschnitt Feld Beschreibung

Optionale HTTP-Proxy-Server Aktiviert das Sicherheits-Gateway für eine


Einstellungen Verbindung zum LiveUpdate-Server über
einen HTTP-Proxy-Server.

Adresse des Proxy- IP-Adresse des HTTP-Proxy-Servers, über


Servers den der LiveUpdate-Server die Firmware-
Updates abruft.

Port Die Port-Nummer des HTTP-Proxy-Servers,


über den der LiveUpdate-Server das
Firmware-Update abruft.
Der Höchstwert beträgt 65535. Der
Standard-Port ist 80.

Benutzername Der Benutzername des HTTP-Proxy-


Servers, über den LiveUpdate das
Firmware-Update abruft.

Kennwort Das Kennwort des HTTP-Servers.

Status Letztes Update Datum der letzten Aktualisierung.

Version des letzten Versionsnummer der letzten


Updates Aktualisierung.

Beschreibung der LAN-Felder


Mit den LAN-Einstellungen können Sie das Sicherheits-Gateway für den Einsatz
in einem neuen oder vorhandenen internen Netzwerk konfigurieren. Zu den
LAN-Einstellungen gehören die IP-Adresse des Sicherheits-Gateways, ob es
DHCP-Server-Funktionen für die von ihm geschützten Knoten übernimmt und
Einstellungen für den LAN-Port.
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "LAN-IP & DHCP"
■ Beschreibung der Felder im Register "Port-Zuweisungen"
Feldbeschreibungen 171
Beschreibung der LAN-Felder

Beschreibung der Felder im Register "LAN-IP & DHCP"


Im Register "LAN-IP & DHCP" können Sie die IP-Adresse des Sicherheits-Gate-
ways festlegen und das Sicherheits-Gateway als DHCP-Server konfigurieren.

Tabelle D-8 Beschreibung der Felder im Register "LAN-IP & DHCP"

Abschnitt Feld Beschreibung

LAN-IP IP-Adresse Die IP-Adresse der internen Schnittstelle des Sicher-


heits-Gateways. Die aktuelle IP-Adresse wird in den
Textfeldern angezeigt.
Die Standardadresse ist "192.168.0.1". Sie können die
IP-Adresse des Sicherheits-Gateways nicht auf
"192.168.1.0" setzen.

Netzmaske Die Netzmaske des Sicherheits-Gateways. Die aktuelle


Netzmaske wird in den Textfeldern angezeigt. Die
Standardadresse ist 255.255.255.0.

DHCP DHCP-Server Bewirkt, dass das Sicherheits-Gateway als DHCP-Ser-


ver fungiert. Klicken Sie auf "Deaktivieren", wenn Sie
einen anderen DHCP-Server verwenden möchten oder
wenn die Clients statische IP-Adressen verwenden.

Beginn des IP- Die erste IP-Adresse in dem Bereich der IP-Adressen,
Adressbereichs die das Sicherheits-Gateway den Clients zuweisen soll.
Wenn das Sicherheits-Gateway beispielsweise IP-
Adressen im Bereich 172.16.0.2 bis 172.16.0.75 zuwei-
sen soll, geben Sie 172.16.0.2 in das Textfeld "Beginn
des IP-Adressbereichs" ein.

Ende des IP- Die letzte IP-Adresse in dem Bereich der IP-Adressen,
Adressbereichs die das Sicherheits-Gateway den Clients zuweisen soll.
Geben Sie entsprechend des vorherigen Beispiels
172.16.0.75 in das Textfeld "Ende des IP-Adress-
bereichs" ein.
172 Feldbeschreibungen
Beschreibung der LAN-Felder

Tabelle D-8 Beschreibung der Felder im Register "LAN-IP & DHCP" (Fortsetzung)

Abschnitt Feld Beschreibung

DHCP-Tabelle Host-Name Name des Computers, dem das Sicherheits-Gateway


eine IP-Adresse zugewiesen hat.

IP-Adresse Die IP-Adresse aus dem angegebenen Bereich, die das


Sicherheits-Gateway dem Computer zugewiesen hat.

Physische Physische (MAC) Adresse der Netzwerkkarte des Com-


Adresse puters, dem eine IP-Adresse zugewiesen wurde.

Status Der DHCP-Lease-Status der IP-Adresse, die dem Com-


puter zugewiesen wurde.

Es stehen folgende Optionen zur Verfügung:


■ Standleitung
■ Reserviert

Beschreibung der Felder im Register "Port-Zuweisungen"


Mithilfe von Port-Zuweisungen können Sie festlegen, ob sich der LAN-Port in
einem vertrauenswürdigen oder einem nicht vertrauenswürdigen VLAN befin-
det. Das vertrauenswürdige VLAN ist für kabelgebundene Verbindungen und das
nicht vertrauenswürdige VLAN ist für Wireless-Verbindungen vorgesehen.
Feldbeschreibungen 173
Beschreibung der LAN-Felder

Tabelle D-9 Beschreibung der Felder im Register "Port-Zuweisungen"

Abschnitt Feld Beschreibung

Physische LAN- Port 1, Port 2, Port Stuft Ports auf dem Switch des Sicherheits-
Ports 3, Port 4 Gateways als vertrauenswürdig oder als nicht
(Modell 320) vertrauenswürdig ein.
Port 1, Port 2, Port Dadurch wird zusätzlich zur Unterstützung für
3, Port 4, Port 5, LAN-seitige globale Tunnels, die direkt zur Wire-
Port 6, Port 7, less-Schnittstelle führen, die VPN-Sicherheit für
Port 8 Wireless- und kabelgebundene LANs aktiviert.
(Modell 360/360R) Dies erfolgt über die Port-basierten Switch-Funk-
tionen des Sicherheits-Gateways im virtuellen
Netzwerk. Der Tunnel-Endpunkt befindet sich am
Haupt-Gateway des jeweiligen LAN-Subnetzes.

Folgende Optionen sind verfügbar:


■ Standard
Verwenden Sie diese Zuweisung für alle
kabelgebundenen LAN-Geräte. Dadurch gilt
der gesamte Netzwerkverkehr als vertrau-
enswürdig und kann zwischen den VLANs
stattfinden.
■ SGS-Zugriffspunkt geschützt
Aktiviert die VPN-Sicherheit für den
Roaming-Zugriffspunkt oder die Switch-
Ebene.
■ VPN-Tunnel erzwingen/IPsec-Durchgang
zulassen
Explizit nicht vertrauenswürdige Zuord-
nung. Erfordert einen obligatorischen Tun-
nel zwischen dem Wireless-VPN-Client und
dem Sicherheits-Gateway. IPsec-Datenver-
kehr darf über einen untergeordneten
Switch erfolgen, dessen Tunnel-Endpunkte
sich am primären Sicherheits-Gateway und
am Client befinden.
174 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Beschreibungen der WAN/ISP-Felder


Die WAN/ISP-Funktionalität der Symantec Gateway Security 300 Serie stellt die
Verbindung zur Außenwelt bereit. Hierbei kann es sich um das Internet, ein
Unternehmensnetzwerk oder ein anderes externes privates oder öffentliches
Netzwerk handeln. Die WAN/ISP-Funktionalität kann zudem für die Verbindung
zu einem internen LAN konfiguriert werden, wenn das Sicherheits-Gateway ein
internes Teilnetz schützt.
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "Setup - Allgemein"
■ Beschreibung der Felder im Register "Statische IP-Adresse und statisches
DNS"
■ Beschreibung der Felder im Register "PPPoE"
■ Beschreibung der Felder im Register "Dial-Up-Backup und Analog/ISDN"
■ Beschreibung der Felder im Register "PPTP"
■ Beschreibung der Felder im Register "Dynamisches DNS"
■ Beschreibung der Felder im Register "Routing"
■ Beschreibung der Felder im Register "Erweitert"
Feldbeschreibungen 175
Beschreibungen der WAN/ISP-Felder

Beschreibung der Felder im Register "Setup - Allgemein"


Im Register "Setup - Allgemein" können Sie den Verbindungstyp wählen und die
Identifikationseinstellungen für das Sicherheits-Gateway konfigurieren.
Tabelle D-10 Beschreibung der Felder im Register "Setup - Allgemein"

Abschnitt Felder Beschreibung


Modell 320: Verbindungstyp Die folgenden Verbindungstypen werden unter-
Verbindungstyp stützt:
Modell 360/ ■ DHCP (Auto-IP)
360R: WAN1 Ihr ISP weist Ihrem Computer jedes Mal, wenn
(extern) oder Sie eine Verbindung herstellen, automatisch
WAN2 (extern) eine IP-Adresse zu.
■ PPPoE
PPPoE (Point-to-Point Protocol over Ethernet)
ist eine Spezifikation für die Verbindung von
Benutzern in einem Ethernet-LAN zum
Internet.
■ Analog oder ISDN
Wählverbindung.
■ Statische IP
Ihr ISP weist Ihrem Computer eine perma-
nente statische IP-Adresse zu.
■ PPTP
Ihr ISP verwendet das Point-to-Point
Tunneling Protocol (PPTP).
HA-Modus Für die WAN-Ports stehen die folgenden Hochver-
(Modell 360/360R) fügbarkeitsmodi zur Verfügung:
■ Normal
Die Einstellungen für die Lastverteilung wir-
ken sich auf den Port aus, wenn dieser akti-
viert und betriebsbereit ist.
■ Aus
Der WAN-Port wird nicht verwendet.
■ Backup
Der WAN-Port leitet den Datenverkehr nur
weiter, wenn der andere WAN-Port nicht
betriebsbereit ist.
Server für URL für eine Site, an die das Sicherheits-Gateway
Verbindungs- ein Ping-Signal oder eine Echo-Anforderung zum
Check (Modell Testen der Verbindung sendet.
360/360R)
Wenn Sie keine URL angeben, verwendet das
Sicherheits-Gateway die Adresse des Standard-
Gateways.
176 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-10 Beschreibung der Felder im Register "Setup - Allgemein" (Fortsetzung)

Abschnitt Felder Beschreibung


Optionale Host-Name Name des Sicherheits-Gateways im Netzwerk. Im
Netzwerk- Setup-Assistenten wird ein Standardwert basierend
einstellungen auf der Modellnummer und der MAC-Adresse zur
Verfügung gestellt.
Domänenname Der Domänenname, über den externe Benutzer auf
das Sicherheits-Gateway zugreifen können.
Beispiel: meine_site.com.
MAC-Adresse Physische (MAC) Adresse des Sicherheits-Gate-
ways. Der Standardwert ist werkseitig festgelegt.
Sie können diesen Wert ändern, wenn Ihr ISP eine
bestimmte MAC-Adresse erwartet (MAC-Spoofing
oder -Cloning).

Beschreibung der Felder im Register "Statische IP-Adresse und


statisches DNS"
Im Register "Statische IP-Adresse und statisches DNS" konfigurieren Sie das
Sicherheits-Gateway für die Verbindung zum Internet mit einer statischen IP-
Adresse und DNS-Servern oder für die Verbindung zu Ihrem Intranet.
Tabelle D-11 Beschreibung der Felder im Register "Statische IP-Adresse und
statisches DNS"

Abschnitt Feld Beschreibung


Modell 320: IP-Adresse Die statische IP-Adresse für Ihr Konto.
WAN-IP Wenn Sie eine IP-Adresse eingeben, müssen Sie
auch eine Netzmaske und ein Standard-Gateway
Modell 360/360R:
angeben.
WAN 1-IP-
Adresse, WAN 2- Netzmaske Die Netzmaske für Ihr Konto. Sie legt fest, ob
IP-Adresse Pakete an das Standard-Gateway gesendet
werden.
Wenn Sie eine Netzmaske eingeben, müssen Sie
auch eine IP-Adresse und ein Standard-Gateway
angeben.

Standard- Die IP-Adresse des Standard-Gateways.


Gateway
Das Sicherheits-Gateway sendet alle Pakete, die
es nicht weiterleiten kann, an das Standard-
Gateway.
Wenn Sie ein Standard-Gateway eingeben, müs-
sen Sie auch eine Netzmaske und eine IP-Adresse
angeben.
Feldbeschreibungen 177
Beschreibungen der WAN/ISP-Felder

Tabelle D-11 Beschreibung der Felder im Register "Statische IP-Adresse und


statisches DNS" (Fortsetzung)

Abschnitt Feld Beschreibung


DNS-Server DNS 1, DNS 2, Sie müssen mindestens einen und können bis zu
DNS 3 drei DNS-Server angeben, die für das Auflösen
von Host- und IP-Adressen verwendet werden
sollen.

Beschreibung der Felder im Register "PPPoE"


Im Register "PPPoE" konfigurieren Sie das Sicherheits-Gateway für die Verbin-
dung zum Internet über ein Konto, das PPPoE für die Authentifizierung
verwendet.

Tabelle D-12 Beschreibung der Felder im Register "PPPoE"

Abschnitt Feld Beschreibung


Modell 320: WAN-Port (Modell Wählen Sie den WAN-Port, für den Sie PPPoE
Sitzungen 360/360R) konfigurieren.
Modell 360: Sitzung In diesem Feld können Sie festlegen, wie der
Sitzungen WAN-Port PPPoE verwendet.
Um ein PPPoE-Benutzerkonto für eine einzelne
Sitzung zu konfigurieren, klicken Sie auf
"Sitzung 1" und anschließend auf "Auswählen".
Um ein PPPoE-Benutzerkonto für mehrere
Sitzungen zu konfigurieren, wählen Sie die zu
konfigurierende Sitzung aus und klicken Sie
anschließend auf "Auswählen".
178 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-12 Beschreibung der Felder im Register "PPPoE" (Fortsetzung)

Abschnitt Feld Beschreibung


Verbindung Bei Bedarf Mithilfe dieser Option kann das Sicherheits-
verbinden Gateway eine Verbindung zum PPPoE-Konto nur
dann herstellen, wenn ein interner Benutzer
diese Verbindung anfordert, indem er beispiels-
weise eine Webseite aufzurufen versucht.
Dieses Feld ist in Kombination mit der Option
"Leerlaufzeitlimit" hilfreich, wenn Ihr Internet
Service Provider die Gebühren pauschal pro Ein-
wahl abrechnet.

Leerlaufzeitlimit Anzahl der Minuten, die eine Verbindung inaktiv


bleiben kann, bevor sie getrennt wird.
Geben Sie 0 ein, wenn die Verbindung immer
geöffnet bleiben und nicht durch das Sicher-
heits-Gateway getrennt werden soll. Wenn der
Wert größer als 0 ist, aktivieren Sie das Kontroll-
kästchen "Bei Bedarf verbinden", um die Verbin-
dung bei Bedarf wiederherzustellen.
In Kombination mit der Option "Bei Bedarf ver-
binden" wird die Verbindung zu Ihrem Internet
Service Provider nur hergestellt, wenn ein Client
sie anfordert.

Statische IP- Wenn Sie von Ihrem Internet Service Provider


Adresse eine statische IP-Adresse für Ihr PPPoE-Konto
erhalten haben, geben Sie sie hier ein.

Dienst wählen Dienste abfragen Wenn Sie auf "Dienste abfragen" klicken, stellt
das Sicherheits-Gateway eine Verbindung zu
Ihrem Internet Service Provider her und ermit-
telt, welche Dienste verfügbar sind.
Bevor Sie diese Funktion verwenden können,
müssen Sie die Verbindung zu Ihrem PPPoE-
Konto trennen.
Dienst Wählen Sie einen Dienst für Ihr PPPoE-Konto.
Klicken Sie auf "Dienste abfragen", um zu ermit-
teln, welche Dienste verfügbar sind.
Feldbeschreibungen 179
Beschreibungen der WAN/ISP-Felder

Tabelle D-12 Beschreibung der Felder im Register "PPPoE" (Fortsetzung)

Abschnitt Feld Beschreibung


Benutzerinforma- Benutzername Benutzername für das PPPoE-Konto. Dieser kann
tionen sich vom Kontonamen unterscheiden.
Einige Internet Service Provider erwarten den
Benutzernamen im E-Mail-Adressformat, z.B.
peterpan@meinisp.net.

Kennwort Kennwort für das PPPoE-Konto.

Kennwort Geben Sie das Kennwort für das PPPoE-Konto


bestätigen erneut ein.

Manuelle Verbinden Erstellt eine Verbindung zum PPPoE-Konto.


Steuerung
Trennen Schließt eine geöffnete Verbindung zum PPPoE-
Konto.

Beschreibung der Felder im Register "Dial-Up-Backup und


Analog/ISDN"
Im Register "Dial-Up-Backup und Analog/ISDN" können Sie das Sicherheits-
Gateway für die Verbindung zum Internet über eine primäre Wählverbindung,
ein primäres ISDN-Konto oder ein Backup-Dial-Up-Konto konfigurieren.

Tabelle D-13 Beschreibung der Felder im Register "Dial-Up-Backup und


Analog/ISDN"
Abschnitt Feld Beschreibung
Backup-Modus Backup-Modus Wenn Sie für Ihre Primärverbindung ein dedi-
aktivieren ziertes Konto verwenden, können Sie eine Wähl-
verbindung als Backup angeben, falls die Verbin-
dung zum Breitbandkonto fehlschlagen sollte.
180 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-13 Beschreibung der Felder im Register "Dial-Up-Backup und


Analog/ISDN" (Fortsetzung)

Abschnitt Feld Beschreibung


Angaben zum ISP- Benutzername Benutzername für das Dial-Up-Konto.
Benutzerkonto Kennwort Kennwort für das Dial-Up-Konto.
Kennwort Geben Sie das Kennwort für das Dial-Up-Konto
bestätigen erneut ein.
IP-Adresse Wenn Sie von Ihrem Internet Service Provider
eine statische IP-Adresse erhalten haben, geben
Sie diese hier ein. Anderenfalls weist der Internet
Service Provider Ihnen eine IP-Adresse dyna-
misch zu.
Telefonverbin- Die Telefonnummer für das Sicherheits-Gateway
dung 1, Telefon- für die Verbindung zum Dial-Up-Konto. Sie müs-
verbindung 2, sen mindestens eine Nummer und können maxi-
Telefonverbin- mal drei Nummern angeben. Wenn Telefonver-
dung 3 bindung 1 fehlschlägt, wählt das Sicherheits-
Gateway anschließend Telefonverbindung 2 usw.
Wenn das Sicherheits-Gateway für eine Amtslei-
tung eine 9 wählen muss, geben Sie 9 und
anschließend vor der Telefonnummer ein
Komma ein. Beispiel: 9,018005551212.
In dieses Textfeld können Zahlen, Kommas und
Leerzeichen eingegeben werden.
Feldbeschreibungen 181
Beschreibungen der WAN/ISP-Felder

Tabelle D-13 Beschreibung der Felder im Register "Dial-Up-Backup und


Analog/ISDN" (Fortsetzung)

Abschnitt Feld Beschreibung


Modemein- Modell Modelltyp des Modems. Wenn das Modell nicht
stellungen aufgeführt ist, klicken Sie auf "Anderes".
Initialisierungs- Modembefehl, mit dem das Sicherheits-Gateway
befehl das Modem anweist, die Verbindung zum Inter-
net Service Provider aufzubauen. Geben Sie die-
sen Wert nur an, wenn Sie "Anderes" als Modem-
modell gewählt haben.
Max. Übertra- Die Übertragungsrate, mit der das Modem die
gungsgeschwin- Verbindung zum Dial-Up-Konto herstellen soll.
digkeit
Wenn beim Verbindungsaufbau Probleme auftre-
ten, verringern Sie die Übertragungsgeschwin-
digkeit.
Leitungstyp Der Leitungstyp für Ihr Konto.
■ Wählleitung
Dieser Leitungstyp wird in der Regel ver-
wendet, wenn es sich bei der Verbindung
zum Internet nicht um eine Standleitung
handelt.
■ Standleitung
Dieser Leitungstyp bietet eine permanente
Verbindung zum Internet.
Wahlverfahren Der Signaltyp, den das Modem verwendet, um
die Telefonnummer zu wählen.
Folgende Optionen sind verfügbar:
■ Impuls
■ Ton
■ Anderes
Wählzeichenfolge Ein Modembefehl, mit dem das Wählen der Tele-
fonnummer beginnt.
Leerlaufzeitlimit Anzahl der Minuten, die eine Verbindung inaktiv
bleiben kann, bevor sie getrennt wird.
Wahlwiederho- Ein Modembefehl, der festlegt, dass die Anwahl
lungszeichenfolge wiederholt wird, falls der erste Verbindungsver-
such fehlschlägt.
Manuelle Wählen Öffnet eine Verbindung zum Dial-Up-Konto.
Steuerung Auflegen Schließt eine geöffnete Verbindung zum Dial-
Up-Konto.
182 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-13 Beschreibung der Felder im Register "Dial-Up-Backup und


Analog/ISDN" (Fortsetzung)

Abschnitt Feld Beschreibung


Analog-Status Port-Status Beschreibt den Status des seriellen Anschlusses
des Sicherheits-Gateways, mit dem das Modem
verbunden ist.
Zu den möglichen Werten für den Port-Status
gehören:
■ Leerlauf
■ Wählen
■ Internetzugang
■ Trennen
Physische Zeigt an, ob das Modem mit der Telefonnummer
Verbindung verbunden ist.
Zu den möglichen Werten für den Status der
physischen Verbindung gehören:
■ Aus
■ Ein
PPP-Verbindung Zu den möglichen Werten für den PPP-Verbin-
dungsstatus gehören:
■ Benutzerauthentifizierung per PPP
(Benutzername/Kennwort sind korrekt)
■ Aus
■ Ein
PPP-IP-Adresse Die IP-Adresse, die Ihrem Konto zugewiesen
wird, wenn Sie eine Verbindung herstellen. Wenn
Sie über eine statische IP-Adresse verfügen, wird
jedes Mal dieselbe Adresse zugewiesen. Wenn
der Internet Service Provider IP-Adressen dyna-
misch zuweist, kann sich die IP-Adresse bei jeder
neuen Verbindung ändern.
Zu den möglichen Werten für den PPP-IP-
Adressstatus gehören:
■ 0.0.0.0
■ IP von ISP
"IP von ISP" ist die beim Verbindungsauf-
bau dynamisch zugewiesene IP-Adresse.
Max. Übertra- Übertragungsrate, mit der das Modem mit dem
gungsgeschwin- ISP verbunden wird.
digkeit Zu den möglichen Werten für die Geschwindig-
keit gehören:
■ Unbekannt
■ #####
wobei die Zahl ##### die Übertragungsge-
schwindigkeit darstellt. Beispiel: 48800.
Feldbeschreibungen 183
Beschreibungen der WAN/ISP-Felder

Beschreibung der Felder im Register "PPTP"


Konfigurieren Sie das Sicherheits-Gateway für die Verbindung zum Internet
über ein Konto, das für die Authentifizierung PPTP verwendet.

Tabelle D-14 Beschreibung der Felder im Register "PPTP"

Abschnitt Feld Beschreibung

WAN-Port: Modell WAN-Port (Modell WAN-Port, für den Sie PPTP konfigurieren.
360/360R 360/360R)

Verbindung Bei Bedarf Mithilfe dieser Option kann das Sicherheits-


verbinden Gateway eine Verbindung nur bei einer Anforde-
rung herstellen, z.B. wenn ein Benutzer eine
Webseite aufruft.

Leerlaufzeitlimit Anzahl der Minuten, die eine Verbindung inaktiv


bleiben kann, bevor sie getrennt wird.
Geben Sie 0 ein, wenn die Verbindung immer
geöffnet bleiben und nicht durch das Sicher-
heits-Gateway getrennt werden soll. Wenn der
Wert größer als 0 ist, aktivieren Sie das Kontroll-
kästchen "Bei Bedarf verbinden", um die Verbin-
dung bei Bedarf wiederherzustellen.

Server-IP-Adresse IP-Adresse des PPTP-Servers.


Der Standardwert für das erste Oktet ist 10. Der
Standardwert für das letzte Oktet ist 138.

Statische IP- Nur bei statischen PPTP-Benutzerkonten. Die


Adresse statische IP-Adresse für Ihr Konto, sofern Ihr
Internet Service Provider Ihnen ein Konto einge-
richtet hat.

Benutzerinforma- Benutzername Der Benutzername für Ihr PPTP-Konto.


tionen
Kennwort Das Kennwort für Ihr PPTP-Konto.

Kennwort Geben Sie das Kennwort für das PPTP-Konto


bestätigen erneut ein.

Manuelle Verbinden Stellt eine Verbindung zu Ihrem PPTP-Konto her.


Steuerung
Trennen Schließt eine geöffnete Verbindung zum PPTP-
Konto.
184 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Beschreibung der Felder im Register "Dynamisches DNS"


Mit dem dynamischen DNS-Dienst können Sie Ihren eigenen Domänennamen
(z.B. meinesite.com) oder den Domänennamen des ISPs und Ihre Subdomäne
zum Herstellen einer Verbindung zu Ihren Diensten, z.B. einem VPN-Gateway,
einer Website oder FTP, verwenden. Wenn Sie beispielsweise einen virtuellen
Web-Server einrichten und Ihr Internet Service Provider Ihnen bei jeder neuen
Verbindung eine andere IP-Adresse zuweist, können Ihre Benutzer immer auf
www.meinesite.com zugreifen.

Tabelle D-15 Beschreibung der Felder im Register "Dynamisches DNS"

Abschnitt Feld Beschreibung

Diensttyp Dynamisches Dienst, über den Sie eine dynamische IP-Adresse


DNS erhalten.
Folgende Optionen sind verfügbar:
■ TZO
Ein dynamischer DNS-Dienst
■ Standard
Es gibt zahlreiche standardmäßige dynami-
sche DNS-Dienste. In den Versionshinweisen
zur Symantec Gateway Security 300 Serie fin-
den Sie eine Liste der unterstützten Dienste.
■ Deaktivieren
Das Sicherheits-Gateway verwendet das
dynamische DNS nicht.

WAN-Port WAN-Port, für den Sie das dynamische DNS


(Modell 360/ konfigurieren.
360R)

DNS-Aktualisie- Sendet aktualisierte IP-Informationen an den


rung erzwingen dynamischen DNS-Dienst.
Verwenden Sie diese Option nur, wenn Sie von der
Technischen Unterstützung von Symantec dazu
aufgefordert werden.
Feldbeschreibungen 185
Beschreibungen der WAN/ISP-Felder

Tabelle D-15 Beschreibung der Felder im Register "Dynamisches DNS" (Fortsetzung)

Abschnitt Feld Beschreibung

Dynamischer TZO Schlüssel Alphanumerische Zeichenfolge von Zeichen, die


DNS-Dienst als Kennwort für das TZO-Konto verwendet wird.
TZO sendet den Schlüssel beim Erstellen des
Kontos.
Der TZO-Schlüssel darf maximal 16 Zeichen
enthalten.

E-Mail Die E-Mail-Adresse, die vom TZO-Dienst als


Benutzername verwendet wird.

Domäne Der Domänenname, den Sie mit dem TZO-Dienst


verwalten möchten.
Beispiel: marketing.mysite.com.

Standarddienst Benutzername Der Benutzername für das Konto, das Sie mit
einem dynamischen DNS-Dienst erstellen.

Kennwort Das Kennwort für das Konto, das Sie mit einem
dynamischen DNS-Dienst erstellen.

Kennwort Geben Sie das Kennwort für das DNS-Konto


bestätigen erneut ein.

Server Die IP-Adresse oder der mit DNS auflösbare Name


des Servers, der den dynamischen DNS-Dienst zur
Verfügung stellt. Beispiel: mitglieder.dyndns.org.

Host-Name Name, der dem Sicherheits-Gateway zugewiesen


wird. Wenn Sie beispielsweise "marketing" als
Host-Namen verwenden möchten und der Domä-
nenname "meinesite.com" lautet, erfolgt der
Zugriff auf das Sicherheits-Gateway über
"marketing.meinesite.com".
186 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-15 Beschreibung der Felder im Register "Dynamisches DNS" (Fortsetzung)

Abschnitt Feld Beschreibung

Optionale Stan- Platzhalter Aktiviert den externen Zugriff auf


dardeinstellungen *.yoursite.yourdomain.com, wobei:
■ "*" ein CNAME wie www, mail, irc oder ftp ist
■ "yoursite" der Host-Name ist
■ "yourdomain.com" Ihr Domänenname ist.

Zweiter MX- Aktiviert einen Backup-Mail-Server (MX). Wenn


Eintrag Sie dieses Kontrollkästchen aktivieren, wird der
im Textfeld "Mail-Server (MX)" angegebene Mail-
Server zuerst verwendet. Falls dies fehlschlägt,
wird der Backup-Mail-Server (wird vom dynami-
schen DNS-Dienst zur Verfügung gestellt) ver-
wendet.

Mail-Server (MX) Mit dieser Option legen Sie fest, welcher Server
die E-Mails verarbeiten soll, die an einen
bestimmten Domänennamen gesendet werden.
Sie verfügen beispielsweise über die Adressen
"www.mysite.com" und "mail.mysite.com". Ihr
Web-Server ist so konfiguriert, dass er das Wech-
seln zu "www.mysite.com" und "mysite.com"
zulässt. E-Mail, die an "@mysite.com" gesendet
wird, soll vom Mail-Server und nicht vom Web-
Server verarbeitet werden. Sie richten daher
einen Mail-Server (MX) ein, um die an
"@mysite.com" adressierte E-Mail an
"mail.mysite.com" umzuleiten.
Host-Namen in Mail-Servern (MX) dürfen keine
CNAMEs sein. Der Mail-Server (MX) kann nicht
mit einer IP-Adresse angegeben werden. Weitere
Informationen hierzu finden Sie in der Dokumen-
tation zum dynamischen DNS-Dienst.
Feldbeschreibungen 187
Beschreibungen der WAN/ISP-Felder

Beschreibung der Felder im Register "Routing"


Verwenden Sie die Routing-Tabelle, um das statische oder dynamische Routing
für Ihr Sicherheits-Gateway zu konfigurieren.

Tabelle D-16 Beschreibung der Felder im Register "Routing"

Abschnitt Feld Beschreibung

Dynamisches RIP v2 aktivieren Aktiviert das dynamische Routing. Verwenden


Routing Sie diese Option nur für Intranet- oder Abtei-
lungs-Gateways.

Statische Routen Route-Eintrag Wählen Sie den zu löschenden oder zu bearbei-


tenden Eintrag in der Liste aus.

Ziel-IP IP-Adresse/Teilnetz für Datenverkehr, der Rou-


ting erfordert.

Netzmaske Maske (in Verbindung mit der Ziel-IP-Adresse),


um den Bereich der IP-Adressen für den Daten-
verkehr festzulegen, der Routing erfordert.

Gateway Die IP-Adresse des Routers, an den der Datenver-


kehr gesendet wird, die der IP-Adress- und Mas-
kenkombination der Ziel-IP-Adresse und Netz-
maske entspricht.

Schnittstelle Geräteschnittstelle, über die der definierte


Datenverkehr geleitet wird.

Folgende Optionen sind verfügbar:


■ Internes LAN
■ Externes WAN 1
■ Externes WAN 2

Maßzahl Eine Ganzzahl, die die Reihenfolge darstellt, in


der die Routing-Anweisungen ausgeführt werden
sollen. 1 wird beispielsweise zuerst ausgeführt.
188 Feldbeschreibungen
Beschreibungen der WAN/ISP-Felder

Tabelle D-16 Beschreibung der Felder im Register "Routing" (Fortsetzung)

Abschnitt Feld Beschreibung

Liste der Routing- Ziel IP-Adresse/Teilnetz für Datenverkehr, der Rou-


Tabellen ting erfordert.

Maske Maske (in Verbindung mit der Ziel-IP-Adresse),


um den Bereich der IP-Adressen für den Daten-
verkehr festzulegen, der Routing erfordert.

Gateway Die IP-Adresse des Routers, an den der Datenver-


kehr gesendet wird, die der IP-Adress- und Mas-
kenkombination der Ziel-IP-Adresse und Netz-
maske entspricht.

Schnittstelle Geräteschnittstelle, über die der definierte


Datenverkehr geleitet wird.

Maßzahl Eine Ganzzahl, die die Reihenfolge darstellt, in


der die Routing-Anweisungen ausgeführt werden
sollen. 1 wird beispielsweise zuerst ausgeführt.
Feldbeschreibungen 189
Beschreibungen der WAN/ISP-Felder

Beschreibung der Felder im Register "Erweitert"


In diesem Register konfigurieren Sie optionale Verbindungseinstellungen und
das DNS-Gateway.

Tabelle D-17 Beschreibung der Felder im Register "Erweitert"

Abschnitt Feld Beschreibung


Lastverteilung Last - WAN 1 Der prozentuale Datenverkehr über WAN 1. Der
(Modell 360/360R) verbleibende Datenverkehr erfolgt über WAN 2.
Wenn Sie beispielsweise 80 % eingeben, erfolgt
80 % des Datenverkehrs über WAN 1 und 20 %
über WAN 2.
Der Standardprozentsatz ist 50 %.

SMTP an WAN- Legt den WAN-Port (und damit den ISP) fest, über
Port binden den E-Mail gesendet wird. Dies ist hilfreich, wenn
(Modell 360/360R) Sie zwei verschiedene ISPs konfiguriert haben,
einen für jeden WAN-Port. In diesem Fall wird die
E-Mail an den WAN-Port gesendet, an den SMTP
gebunden ist.
Die von einem Client gesendete, ausgehende
E-Mail wird an den von diesem Client verwende-
ten WAN-Port gesendet. D.h. die E-Mail wird über
den Internet Service Provider (Verbindungstyp)
gesendet, der für diesen Port konfiguriert ist.

Folgende Optionen sind verfügbar:


■ kein Port
Sendet E-Mail über einen der verfügbaren
WAN-Ports.
■ WAN 1
Bindet SMTP an WAN1.
■ WAN 2
Bindet SMTP an WAN2.
190 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-17 Beschreibung der Felder im Register "Erweitert" (Fortsetzung)

Abschnitt Feld Beschreibung


Optionale DHCP erneuern Anzahl der Minuten, nach der, sofern kein LAN-
Verbindungs- nach Leerlaufzeit zu-WAN- oder WAN-zu-LAN-Verkehr stattfindet,
einstellungen von ... Minuten das Sicherheits-Gateway eine Anforderung sen-
det, um das DHCP-Lease erneuern zu lassen.
Um diese Funktion zu deaktivieren, geben Sie 0
ein.

Erneuerung Sendet eine Anforderung an den Internet Service


erzwingen Provider, um das DHCP-Lease erneuern zu lassen.
(Modell 320)

WAN 1 erneuern, Sendet eine Anforderung an den Internet Service


WAN 2 erneuern Provider, um das DHCP-Lease für WAN 1 oder
(Modell 360/360R) WAN 2 erneuern zu lassen.

WAN 1-Port Maximal zulässige Größe (in Byte) von Paketen,


die über den zu konfigurierenden WAN-Port
WAN 2-Port
gesendet werden können.
(Modell 360/360R)
Der Standardwert ist 1500 Byte. Der Standard-
wert für PPPoE ist 1472 Byte.
PPP-Einstel- Zeitlimit Anzahl der Sekunden zwischen Echo-Anforde-
lungen rungen.

Wiederholungen Legt fest, wie oft das Sicherheits-Gateway Echo-


Anforderungen sendet.
DNS-Gateway DNS-Gateway Die IP-Adresse eines privaten oder internen DNS-
Gateways (also nicht von einem ISP), die zur
Namensauflösung verwendet wird.

DNS-Gateway- Wenn Sie ein DNS-Gateway angeben und dies


Backup aktivieren nicht verfügbar ist, kann das Gerät bei Aktivie-
rung dieser Option die DNS-Server Ihres ISPs als
Backup verwenden.

Beschreibung der Firewall-Felder


Das Sicherheits-Gateway der Symantec Gateway Security 300 Serie verwendet
eine Firewall-Technologie, mit der Sie Ein- und Ausgangsregeln definieren kön-
nen, die den über das Sicherheits-Gateway laufenden Datenverkehr regeln. Beim
Konfigurieren der Firewall müssen Sie alle Knoten (Computer) angeben, die in
Ihrem Netzwerk geschützt werden sollen.
Feldbeschreibungen 191
Beschreibung der Firewall-Felder

Dieser Abschnitt enthält folgende Themen:


■ Beschreibung der Felder im Register "Computer"
■ Beschreibung der Felder im Register "Computer-Gruppen"
■ Beschreibung der Felder für Eingangsregeln
■ Beschreibung der Felder im Register "Ausgangsregeln"
■ Beschreibung der Felder im Register "Dienste"
■ Beschreibung der Felder im Register "Spezielle Anwendungen"
■ Beschreibung der Felder im Register "Erweitert"

Beschreibung der Felder im Register "Computer"


Vor dem Konfigurieren der Ein- und Ausgangsregeln müssen Sie im Register
"Computer" die entsprechenden Knoten angeben.

Tabelle D-18 Beschreibung der Felder im Register "Computer"

Abschnitt Feld Beschreibung

Host-Identität Host Wählen Sie den zu bearbeitenden oder zu löschen-


den Host-Namen (Netzwerknamen) in der Liste
aus.

Host-Name Gibt den Namen des Hosts an (ein Computer in


Ihrem internen Netzwerk). Verwenden Sie einen
kurzen beschreibenden Namen. Sie sollten den
Host- oder den DNS-Namen verwenden, der in den
Netzwerkeigenschaften des Computers angege-
ben ist.

MAC-Adresse der Physische Adresse der Netzwerkkarte des Hosts,


Netzwerkkarte in der Regel eine Ethernet- oder Wireless-Karte.

Computer- Zeigt alle Computer-Gruppen an, an die Sie Hosts


Gruppe binden können. In Computer-Gruppen werden
Computer zusammengefasst, auf die Sie dieselben
Regeln anwenden möchten.
Folgende Optionen sind verfügbar:
■ Alle
■ Gruppe 1
■ Computer-Gruppe 2
■ Computer-Gruppe 3
■ Computer-Gruppe 4
192 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-18 Beschreibung der Felder im Register "Computer" (Fortsetzung)

Abschnitt Feld Beschreibung

Anwendungs- Host reservieren Fügt die MAC-Adresse (die Sie im Textfeld "MAC-
Server Adresse der Netzwerkkarte" angegeben haben)
zum DHCP-Server des Geräts hinzu, so dass sie
immer der IP-Adresse zugewiesen wird, die Sie im
Textfeld "IP-Adresse" angegeben haben. Dies ist
für Anwendungs-Server erforderlich.
Wenn Sie diese Option aktivieren, ist sicherge-
stellt, dass der DHCP-Server dem Computer, den
Sie einrichten, immer die festgelegte IP-Adresse
anbietet. Sie können diese IP-Adresse auch als sta-
tische Adresse auf Ihrem Computer einrichten.

IP-Adresse Definiert die IP-Adresse des Anwendungs-Servers.

Sitzungszuord- Bindung an WAN- Bindet diesen Computer an einen bestimmten


nung - Optional Port (Modell 360/ WAN-Port, so dass der Datenverkehr des Compu-
360R) ters ausschließlich über diesen WAN-Port läuft.
Dies ist besonders hilfreich, wenn Sie für jeden
WAN-Port ein Breitbandkonto konfiguriert haben
und der Datenverkehr des Computers nur über
einen der WAN-Ports des Internet Service Provi-
ders erfolgen soll.

Bindung an Zeigt alle PPPoE-Sitzungen an, die Sie an Zugriffs-


PPPoE-Sitzung gruppen und -regeln binden können:
■ Sitzung 1
■ Sitzung 2
■ Sitzung 3
■ Sitzung 4
■ Sitzung 5
Wählen Sie nur eine Sitzung, wenn Ihr ISP-Dienst
mehrere PPPoE-Sitzungen umfasst.

Liste der Hosts Host-Name Name des Hosts (Computer im internen Netzwerk).

MAC-Adresse der Physische Adresse der Netzwerkkarte des Hosts,


Netzwerkkarte in der Regel eine Ethernet- oder Wireless-Karte.

Anwendungs- IP-Adresse des Anwendungs-Servers.


Server

Computer- Computer-Gruppe, der der Host angehört.


Gruppe

PPPoE-Sitzung PPPoE-Sitzung, an die der Host gebunden ist.


Feldbeschreibungen 193
Beschreibung der Firewall-Felder

Beschreibung der Felder im Register "Computer-Gruppen"


Mit Computer-Gruppen können Sie die im Register "Computer" angegebenen
Computer gruppieren, so dass Sie für diese Ein- und Ausgangsregeln definieren
können.
Tabelle D-19 Beschreibung der Felder im Register "Computer-Gruppen"

Abschnitt Feld Beschreibung


Sicherheits- Computer- Wählen Sie die zu bearbeitende oder zu löschende
richtlinien Gruppe Computer-Gruppe aus.

Einhaltung von Einhaltung Wenn Sie AVpe für die ausgewählte Computer-
Virenschutz- von Viren- Gruppe aktivieren, überwacht das Sicherheits-
Richtlinien schutz- Gateway die Client-Arbeitsstationen, um zu ermit-
Richtlinien teln, ob diese die aktuellen Sicherheitsrichtlinien der
aktivieren Antivirus-Software einhalten.

Für jede Gruppe stehen die folgenden Optionen zur


Verfügung:
■ Nur warnen (Standard)
Einem Client mit nicht kompatibler Virus-Soft-
ware oder nicht aktuellen Virendefinitionen ist
der Zugriff weiterhin erlaubt. Der Administra-
tor wird durch eine Protokollmeldung darauf
hingewiesen, dass der Client die Richtlinien
nicht einhält.
■ Verbindungen blockieren
Einem Client mit nicht kompatibler Virus-Soft-
ware oder nicht aktuellen Virendefinitionen ist
der Zugriff auf das externe Netzwerk untersagt.
Der Client hat Zugriff auf den Symantec Antivi-
rus CE Server oder LiveUpdate-Server, um seine
Virendefinitionen zu aktualisieren.
Content Filtering Content Wenn Sie das Content Filtering für die ausgewählte
Filtering Computer-Gruppe aktivieren, erlaubt bzw. blockiert
aktivieren das Sicherheits-Gateway den Zugriff auf die URLs,
die in den Listen vom Typ "Zulassen" bzw. "Ablehnen"
angegeben sind.

Für jede Gruppe stehen die folgenden Optionen zur


Verfügung:
■ Liste vom Typ "Ablehnen" verwenden
Eine Liste der blockierten URLs. Alle anderen
URLs sind zugelassen.
■ Liste vom Typ "Zulassen" verwenden
■ Eine Liste der URLs, die den Zugriff auf die Sites
zulassen. Alle anderen Sites sind blockiert.
194 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-19 Beschreibung der Felder im Register "Computer-Gruppen" (Fortsetzung)

Abschnitt Feld Beschreibung


Zugriffssteuerung Keine Ein- Ein dieser Gruppe zugewiesener Host kann den
(Ausgangsregeln) schränkungen Datenverkehr an das externe Netzwerk weiterleiten.
Für Zugriffsgruppen in dieser Kategorie ist das Defi-
nieren von Regeln nicht erforderlich. Die Einstellung
"Keine Einschränkungen" hebt alle Ausgangsregeln
auf. Dies ist die Standardeinstellung.

GESAMTEN Wenn eine Zugriffsgruppe so konfiguriert ist, dass


ausgehenden sie den gesamten Internetzugang blockiert, ist der
Netzwerk- gesamte ausgehende Datenverkehr blockiert. Ein
verkehr dieser Gruppe zugewiesener Host kann keinen
blockieren Datenverkehr über das Sicherheits-Gateway weiter-
leiten. Für Zugriffsgruppen in dieser Kategorie ist
das Definieren von Regeln nicht erforderlich. Dies ist
hilfreich für Knoten, die lediglich Zugriff auf das LAN
und keinen Zugriff auf das externe Netzwerk, z.B.
Netzwerkdrucker, benötigen.

Regeln Wenn eine Zugriffsgruppe für die Verwendung der


verwenden, die im Register "Ausgangsregeln" angegebenen Regeln
im Bildschirm konfiguriert ist, müssen Sie den Typ des Datenver-
"Ausgangs- kehrs angeben, den der Host als Mitglied dieser logi-
regeln" schen Gruppe weiterleiten darf. Erstellen Sie hierzu
definiert eine Ausgangsregel. Wenn Sie diese Option verwen-
wurden den, dürfen Hosts nur den Datenverkehr weiterlei-
ten, der der Liste der Ausgangsregeln für diese
Zugriffsgruppe entspricht.
Der standardmäßige Ausgangsstatus für das Sicher-
heits-Gateway legt fest, dass der gesamte ausge-
hende Datenverkehr blockiert ist, bis mithilfe von
Ausgangsregeln bestimmte Formen des ausgehenden
Datenverkehrs zugelassen werden.
Feldbeschreibungen 195
Beschreibung der Firewall-Felder

Beschreibung der Felder für Eingangsregeln


Im Register "Eingangsregeln" können Sie den Datenverkehr definieren, der auf
Ihr internes Netzwerk zugreifen darf.

Tabelle D-20 Beschreibung der Felder für Eingangsregeln

Abschnitt Feld Beschreibung

Eingangsregeln Regel Wählen Sie die zu bearbeitende oder zu


löschende Eingangsregel aus.

Regel definieren Name Geben Sie beim Hinzufügen einer Regel einen
neuen Namen an.

Regel aktivieren Wählen Sie dieses Feld, um die Eingangsregel zu


aktivieren.

Anwendungs- Zeigt die konfigurierten Anwendungs-Server an,


Server die für die Eingangsregeln verfügbar sind. Diese
Anwendungs-Server werden im Register
"Computer" konfiguriert.

Dienst Typ des Datenverkehrs, auf den die Regel ange-


wendet wird. Hier wird sowohl die Liste der vor-
definierten Dienste als auch alle benutzerdefi-
nierten Dienste angezeigt, die Sie erstellt haben.

Liste der Ein- Aktiviert? Zeigt an, ob die Eingangsregel aktiviert ist.
gangsregeln
Name Name der Eingangsregel.

Dienst Dienst, der von dieser Eingangsregel gesteuert


wird, z.B. HTTP oder FTP.
196 Feldbeschreibungen
Beschreibung der Firewall-Felder

Beschreibung der Felder im Register "Ausgangsregeln"


Im Register "Ausgangsregeln" definieren Sie den Datenverkehr, der Ihr Netz-
werk verlassen und auf andere Netzwerke oder das Internet zugreifen kann.

Tabelle D-21 Beschreibung der Felder im Register "Ausgangsregeln"

Abschnitt Feld Beschreibung

Computer- Computer-Gruppe Wählen Sie die Gruppe aus, die Sie bearbeiten
Gruppen oder zu der Sie Regeln hinzufügen möchten.

Ausgangsregeln Regel Wählen Sie die zu aktualisierende oder zu


löschende Ausgangsregel aus.

Regelname Name der Ausgangsregel.

Regel aktivieren Wählen Sie dieses Feld, um die Ausgangsregel zu


aktivieren.

Dienst Der die Ausgangsregel verwaltende Dienst.

Liste der Aktiviert? Zeigt an, ob die Ausgangsregel aktiviert ist.


Ausgangsregeln
Name Name der Ausgangsregel.

Dienst Der die Ausgangsregel verwaltende Dienst.

Beschreibung der Felder im Register "Dienste"


Im Register "Dienste" definieren Sie die für die Firewall gültigen Ausgangs- und
Eingangsregeln.

Tabelle D-22 Beschreibung der Felder im Register "Dienste"

Abschnitt Feld Beschreibung

Dienste Anwendung Wählen Sie die zu bearbeitende oder zu löschende


Anwendung aus, die für Dienste verfügbar ist.
Feldbeschreibungen 197
Beschreibung der Firewall-Felder

Tabelle D-22 Beschreibung der Felder im Register "Dienste" (Fortsetzung)

Abschnitt Feld Beschreibung

Anwendungs- Name Der Name des von Ihnen erstellten Dienstes.


einstellungen
Protokoll Wählen Sie das Protokoll für den Dienst aus.

Folgende Optionen sind verfügbar:


■ TCP
■ UDP

Überwachte Definiert den Port-Bereich, der auf Pakete über-


Port(s) wacht wird.
■ Anfang
Geben Sie den ersten zu überwachenden
Port des Port-Bereichs ein.
■ End-Port
Geben Sie den letzten zu überwachenden
Port des Port-Bereichs ein.
Die Anzahl der Ports im Port-Bereich muss mit
der Anzahl der Ports unter "Umleiten auf Port(s)"
übereinstimmen. Wenn Sie beispielsweise die
Ports im Bereich 20 bis 27 als zu überwachende
Ports auswählen, muss auch der Bereich für die
Umleitung 7 Ports umfassen.

Umleiten auf Definiert den Port-Bereich, auf den die Pakete


Port(s) umgeleitet werden.
■ Anfang
Geben Sie den ersten Port im Port-Bereich
ein, auf den die Umleitung erfolgen soll.
■ End-Port
Geben Sie den letzten Port im Port-Bereich
ein, auf den die Umleitung erfolgen soll.
Die Anzahl der in diesem Bereich ausgewählten
Ports muss mit der Anzahl der Ports unter
"Überwachte Ports" übereinstimmen. Wenn Sie
beispielsweise die Ports im Bereich 20 bis 27 für
die Umleitung auswählen, müssen Sie auch 7 zu
überwachende Ports angeben.
198 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-22 Beschreibung der Felder im Register "Dienste" (Fortsetzung)

Abschnitt Feld Beschreibung

Liste der Dienste Name Name des Dienstes.

Protokoll Protokoll des Dienstes.

Überwachen Erster Port des zu überwachenden Port-Bereichs.


Anfangs-Port

Überwachen Letzter Port des zu überwachenden Port-


End-Port Bereichs.

Umleitung auf Erster Port im Bereich, an den umgeleitet werden


Anfangs-Port soll.

Umleitung auf Letzter Port im Bereich, an den umgeleitet


End-Port werden soll.

Beschreibung der Felder im Register "Spezielle Anwendungen"


Bestimmte Anwendungen, die mit bidirektionaler Kommunikation (Spiele,
Videos oder Telekonferenzen) arbeiten, erfordern den Einsatz dynamischer
Ports am Sicherheits-Gateway. Verwenden Sie das Register "Spezielle Anwen-
dungen", um diese Anwendungen zu definieren.

Tabelle D-23 Beschreibung der Felder im Register "Spezielle Anwendungen"

Abschnitt Feld Beschreibung

Spezielle Anwen- Anwendung Wählen Sie die zu aktualisierende oder zu


dungen löschende spezielle Anwendung aus.
Feldbeschreibungen 199
Beschreibung der Firewall-Felder

Tabelle D-23 Beschreibung der Felder im Register "Spezielle Anwendungen"

Abschnitt Feld Beschreibung

Einstellungen für Name Name der Anwendung.


spezielle Anwen-
Aktivieren Aktiviert die Anwendung für alle Computer-
dungen
Gruppen.

Protokoll ausge- Protokoll für ausgehende Pakete.


hend
Folgende Optionen sind verfügbar:
■ TCP
■ UDP

Port(s) ausgehend Port-Bereich, an den die Pakete gesendet werden.


■ Anfang
Der erste Port im Bereich der Ports für aus-
gehende Verbindungen.
■ End-Port
Der letzte Port im Bereich der Ports für aus-
gehende Verbindungen.

Protokoll Protokoll für eingehende Pakete.


eingehend
Folgende Optionen sind verfügbar:
■ TCP
■ UDP

Port(s) eingehend Port-Bereich, von dem die Pakete empfangen


werden.
■ Anfang
Der erste Port im Bereich der Ports für
eingehende Verbindungen.
■ End-Port
Der letzte Port im Bereich der Ports für
eingehende Verbindungen.
200 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-23 Beschreibung der Felder im Register "Spezielle Anwendungen"

Abschnitt Feld Beschreibung

Liste der speziel- Name Name der Anwendung.


len Anwendungen
Aktiviert Zeigt an, ob die spezielle Anwendung für alle
Computer-Gruppen aktiviert ist.

Protokoll Protokoll für ausgehende Pakete.


ausgehend

Ausgehende Ver- Der erste Port im Bereich der Ports für


bindung gestartet ausgehende Verbindungen.
Port

Ausgehend Der letzte Port im Bereich der Ports für


End-Port ausgehende Verbindungen.

Protokoll Protokoll für eingehende Pakete.


eingehend

Eingehend Der erste Port im Bereich der Ports für


Anfangs-Port eingehende Verbindungen.

Eingehend Der letzte Port im Bereich der Ports für


End-Port eingehende Verbindungen.
Feldbeschreibungen 201
Beschreibung der Firewall-Felder

Beschreibung der Felder im Register "Erweitert"


Erweiterte Firewall-Einstellungen, z. B. für den IPsec-Durchgang, können im
Register "Erweitert" festgelegt werden.

Tabelle D-24 Beschreibung der Felder im Register "Erweitert"

Abschnitt Feld Beschreibung


Optionale IDENT-Port Wenn Sie den IDENT-Port deaktivieren, wird Port
Sicherheits- aktivieren 113 geschlossen, nicht verborgen. Sie sollten diese
einstellungen Einstellung nur dann aktivieren, wenn es beim
Zugriff auf einen Server Probleme gibt.
Der IDENT-Port enthält in der Regel Informationen
zum Host- oder Unternehmensnamen. Standard-
mäßig setzt das Sicherheits-Gateway alle Ports in
den Modus "Verborgen". Dadurch bleibt ein Compu-
ter außerhalb des Netzwerks unsichtbar. Manche
Server, beispielsweise einige E-Mail- oder MIRC-
Server, sehen den IDENT-Port des Systems, das auf
sie zugreift.
NAT-Modus Wenn Sie den NAT-Modus deaktivieren, deaktivie-
deaktivieren ren Sie die Sicherheitsfunktionen für die Firewall.
Sie sollten diese Einstellung daher nur auf Intranet-
Sicherheits-Gateways benutzen, auf denen das
Sicherheits-Gateway als Brücke in einem geschütz-
ten Netzwerk verwendet wird.
Wenn das Sicherheits-Gateway im NAT-Modus ver-
wendet wird, dient es als 802.1D-Bridge.

ICMP-Anforde- Blockiert ICMP-Anforderungen wie PING und


rungen Traceroute an WAN-Ports.
blockieren
202 Feldbeschreibungen
Beschreibung der Firewall-Felder

Tabelle D-24 Beschreibung der Felder im Register "Erweitert" (Fortsetzung)

Abschnitt Feld Beschreibung


Einstellungen für IPsec-Typ Diese Werte werden von einigen Herstellern in ESP-
IPsec-Durchgang IPsec-VPNs verwendet, um Software-Clients für
den IPsec-Durchgang kompatibel zu machen. Diese
Einstellungen beziehen sich nicht auf das VPN-
Gateway des Sicherheits-Gateways.
Ändern Sie die Einstellung "2 SPI" nur, wenn Sie
von der Technischen Unterstützung von Symantec
entsprechende Anweisungen erhalten.
Mit der Einstellung "Keiner" können VPN-Clients
im Modus "Exponierter Host" verwendet werden,
wenn Probleme beim Herstellen einer Verbindung
über das Sicherheits-Gateway auftreten.

Folgende Optionen sind verfügbar:


■ 1 SPI
ADI (Assured Digital)
■ 2 SPI
Normal (Cisco Client, Symantec Client VPN,
Nortel Extranet, Checkpoint SecureRemote)
■ 2 SPI-C
(Cisco VPN Concentrator 30x0 Serie - früher
Altiga)
■ Andere
Redcreek Ravlin Client
■ Keiner
Verwenden Sie diese Einstellung nur zum
Debuggen von Clients.
Exponierter Host Exponierten Wählen Sie dieses Feld, um einen exponierten Host
Host aktivieren zu aktivieren.
Aktivieren Sie die Funktion nur, wenn dies erforder-
lich ist. Sie ermöglicht Computern in einem LAN die
uneingeschränkte bidirektionale Kommunikation
mit Internet-Servern oder -benutzern. Diese Funk-
tion kann zum Hosten von Spielen, bestimmten
Servern oder Anwendungen hilfreich sein.

LAN-IP-Adresse Die IP-Adresse des exponierten Hosts.


Wenn ein Host als exponierter Host definiert ist,
wird der gesamte Netzwerkverkehr, der durch eine
Eingangsregel nicht ausdrücklich zugelassen ist,
automatisch auf den exponierten Host umgeleitet.
Feldbeschreibungen 203
Beschreibung der VPN-Felder

Beschreibung der VPN-Felder


Mithilfe von VPNs (Virtual Private Networks) können Sie Ihr internes Netzwerk
so erweitern, dass wichtige Daten über nicht gesicherte Kommunikationskanäle
(z.B. das Internet) sicher transportiert werden. VPNs werden verwendet, um
einem Einzelbenutzer oder einem Remote-Netzwerk den Zugriff auf geschützte
Ressourcen eines anderen Netzwerks zu ermöglichen.
Das Sicherheits-Gateway der Symantec Gateway Security 300 Serie unterstützt
zwei Arten von VPN-Tunnels: Gateway-to-Gateway und Client-to-Gateway.
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "Dynamische Tunnels"
■ Beschreibung der Felder im Register "Statische Tunnels"
■ Beschreibung der Felder im Register "Client-Tunnels"
■ Beschreibung der Felder im Register "Client-Benutzer"
■ Beschreibung der Felder im Register "VPN-Richtlinien"
■ Beschreibung der Felder im Register "Status"
■ Beschreibung der Felder im Register "Erweitert"
204 Feldbeschreibungen
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Dynamische Tunnels"


Die folgende Tabelle beschreibt die Felder im Register "Dynamische Tunnels",
die zum Konfigurieren dynamischer Gateway-to-Gateway-VPN-Tunnel verwen-
det werden.

Tabelle D-25 Beschreibung der Felder im Register "Dynamische Tunnels"

Abschnitt Feld Beschreibung

IPsec-Sicherheits- VPN-Tunnel Wählen Sie den zu aktualisierenden oder zu


zuordnung löschenden Tunnel aus.

Name Name des Tunnels.


Der Tunnel-Name kann bis zu 25 alphanumeri-
sche Zeichen, Binde- und Unterstriche enthalten.
Er wird nur zu Referenzzwecken innerhalb des
SGMI verwendet.
Es können bis zu 50 Tunnels erstellt werden.

VPN-Tunnel Ermöglicht VPN-Benutzern, den von Ihnen


aktivieren definierten Tunnel zu verwenden.
Um den Tunnel vorübergehend zu deaktivieren,
deaktivieren Sie dieses Feld und klicken Sie auf
"Aktualisieren". Um den Tunnel dauerhaft zu
deaktivieren, klicken Sie auf "Löschen".

Phase-1-Typ Verhandlungstyp der Phase 1.


Folgende Optionen sind verfügbar:
■ Hauptmodus
Verhandelt die IP-Qualladresse.
■ Aggressiver Modus
Handelt einen Bezeichner, z.B. einen
Namen, aus. Die Client-VPN-Software
verwendet dazu in der Regel den
aggressiven Modus.
Der Standardwert ist "Hauptmodus".

VPN-Richtlinie Die Richtlinie, die die Einstellungen für die


Authentifizierung, die Verschlüsselung und für
das Zeitlimit festlegt.
Die Liste enthält die von Symantec vordefinier-
ten sowie die von Ihnen im Register "VPN-Richt-
linien" erstellten Richtlinien.
Feldbeschreibungen 205
Beschreibung der VPN-Felder

Tabelle D-25 Beschreibung der Felder im Register "Dynamische Tunnels"

Abschnitt Feld Beschreibung

Lokales Sicher- PPPoE-Sitzung Die Standard-PPPoE-Sitzung ist "Sitzung 1".


heits-Gateway Für diese Option ist ein PPPoE-Konto eines ISPs
erforderlich. Wenn Sie über ein PPPoE-Benutzer-
konto für eine einzelne Sitzung verfügen, über-
nehmen Sie den Eintrag "Sitzung 1".

Lokaler Endpunkt Der Port des Sicherheits-Gateways, an dem der


(Modell 360/360R) Tunnel enden soll.

Folgende Optionen sind verfügbar:


■ WAN 1
■ WAN 2

ID-Typ ID-Typ zum Aushandeln eines ISAKMP (Internet


Security Association Key Management Protocol).

Folgende Optionen sind verfügbar:


■ IP-Adresse
■ Eindeutiger Name
Der Standardwert ist "IP-Adresse".

Phase-1-ID Der Wert, der dem ID-Typ entspricht. Er wird


zum Identifizieren des Sicherheits-Gateways
während der Phase-1-Verhandlung verwendet.
Wenn Sie die Option "IP-Adresse" ausgewählt
haben, geben Sie eine IP-Adresse ein. Wenn Sie die
Option "Eindeutiger Name" ausgewählt haben,
geben Sie den vollständigen Domänennamen ein.
Wenn Sie die Option "IP-Adresse" auswählen und
dieses Feld leer lassen, wird als Standardwert die
IP-Adresse der internen Schnittstelle des Sicher-
heits-Gateways verwendet.
Es sind maximal 31 alphanumerische Zeichen
zulässig.

NetBIOS- Ermöglicht das Durchsuchen des VPN-Netzwerks


Broadcast in der Netzwerkumgebung und das gemeinsame
Verwenden von Dateien auf einem Microsoft
Windows-Computer. Für den Netzwerkverkehr
ist ein WINS-Host erforderlich.
NetBIOS-Broadcast ist standardmäßig
deaktiviert.
206 Feldbeschreibungen
Beschreibung der VPN-Felder

Tabelle D-25 Beschreibung der Felder im Register "Dynamische Tunnels"

Abschnitt Feld Beschreibung

Globaler Tunnel Normalerweise werden nur Anforderungen an


das Netzwerk, das durch das Remote-VPN-
Gateway geschützt wird, über den VPN-Tunnel
weitergeleitet. Andere Arten von Datenverkehr,
z.B. Suchvorgänge im Web, werden direkt an das
Internet weitergeleitet. Wenn Sie die Option
"Globaler Tunnel" aktivieren, wird der externe
Datenverkehr vollständig über das weiter oben
festgelegte VPN-Gateway abgewickelt. Dadurch
kann die Firewall der Zentrale den Netzwerk-
verkehr filtern, bevor die Anforderung an das
Internet weitergeleitet wird. So erhält Ihr
Remote-Standort den Schutz der Firewall der
Zentrale. Wenn die Option "Globaler Tunnel"
aktiviert ist, sollte kein Zielnetzwerk eingegeben
werden. Durch diese Funktion werden außerdem
alle anderen Sicherheitszuordnungen deakti-
viert, weil der gesamte Verkehr durch das Gate-
way des globalen Tunnels geroutet werden muss.
Der globale Tunnel ist standardmäßig
deaktiviert.
Feldbeschreibungen 207
Beschreibung der VPN-Felder

Tabelle D-25 Beschreibung der Felder im Register "Dynamische Tunnels"

Abschnitt Feld Beschreibung

Remote-Sicher- Gateway-Adresse Die IP-Adresse oder der vollständig qualifizierte


heits-Gateway Domänenname des Remote-Gateways (das
Gateway, zu dem der Tunnel eine Verbindung
herstellt).
Dieses Textfeld darf maximal 128 alpha-
numerische Zeichen enthalten.

ID-Typ ID-Typ zum Aushandeln eines ISAKMP (Internet


Security Association Key Management Protocol).

Folgende Optionen sind verfügbar:


■ IP-Adresse
■ Eindeutiger Name
Der Standardwert ist "IP-Adresse".

Phase-1-ID Der Wert, der dem ID-Typ entspricht.


Wenn Sie die Option "IP-Adresse" ausgewählt
haben, geben Sie eine IP-Adresse ein. Wenn Sie
die Option "Eindeutiger Name" ausgewählt
haben, geben Sie den vollständigen Domänen-
namen ein.
Dieses Textfeld darf maximal 31 alphanumeri-
sche Zeichen enthalten.

Vorinstallierter Der Schlüssel zum Authentifizieren des ISAKMP


Schlüssel (IKE). Er authentifiziert das Remote-Ende des
Tunnels.
Der vorab installierte Schlüssel ist zwischen 20
und 64 alphanumerische Zeichen lang. Der vorab
installierte Schlüssel am Remote-Ende dieses
Tunnels muss diesem Wert entsprechen.

Remote- Die IP-Adresse des Remote-Teilnetzes.


Teilnetz-IP

Maske Die Maske des Remote-Teilnetzes.


208 Feldbeschreibungen
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Statische Tunnels"


Die folgende Tabelle beschreibt die Felder im Register "Statische Tunnels", die
zum Konfigurieren statischer Gateway-to-Gateway-VPN-Tunnels für das Sicher-
heits-Gateway verwendet werden.

Tabelle D-26 Beschreibung der Felder im Register "Statische Tunnels"


Abschnitt Feld Beschreibung
IPsec- VPN-Tunnel Wählen Sie den zu aktualisierenden oder zu löschenden
Sicherheits- Tunnel aus.
zuordnung Tunnel-Name Der Name des statischen Tunnels.
Er wird nur zu Referenzzwecken innerhalb des SGMI
verwendet.
Es können bis zu 50 statische Tunnels erstellt werden. Der
Tunnel-Name darf maximal 50 Zeichen enthalten.
VPN-Tunnel Ermöglicht VPN-Benutzern, den von Ihnen definierten
aktivieren Tunnel zu verwenden.
Um den Tunnel vorübergehend zu deaktivieren, deakti-
vieren Sie dieses Feld und klicken Sie dann auf "Aktuali-
sieren". Um den Tunnel dauerhaft zu deaktivieren, klicken
Sie auf "Löschen".
PPPoE-Sitzung Für diese Option ist ein PPPoE-Konto eines ISPs erforder-
lich.
Die Standard-PPPoE-Sitzung ist "Sitzung 1". Wenn Sie
über ein PPPoE-Benutzerkonto für eine einzelne Sitzung
verfügen, übernehmen Sie den Eintrag "Sitzung 1".
Lokaler End- Der Port des Sicherheits-Gateways, an dem der Tunnel
punkt (Modell enden soll.
360)
SPI eingehend Der Index der eingehenden Sicherheitsparameter des
IPsec-Pakets.
Standardmäßig werden Dezimalzahlen verwendet. Wenn
Sie Hexadezimalzahlen verwenden, stellen Sie dem Wert
0x voran. Der SPI (Security Parameter Index) ist eine Zahl
zwischen 257 und 8192, die den Tunnel identifiziert.
Dieser Wert muss dem ausgehenden SPI am Remote-Ende
des Tunnels entsprechen.
Feldbeschreibungen 209
Beschreibung der VPN-Felder

Tabelle D-26 Beschreibung der Felder im Register "Statische Tunnels" (Fortsetzung)


Abschnitt Feld Beschreibung
SPI ausgehend Der Index der ausgehenden Sicherheitsparameter des
IPsec-Pakets.
Standardmäßig werden Dezimalzahlen verwendet. Wenn
Sie Hexadezimalzahlen verwenden, stellen Sie dem Wert
0x voran. Der SPI (Security Parameter Index) ist eine Zahl
zwischen 257 und 8192, die den Tunnel identifiziert. Mit
diesem SPI werden die Pakete gesendet.
Dieser Wert muss dem eingehenden SPI am Remote-Ende
des Tunnels entsprechen.
VPN-Richtlinie Die Richtlinie, die die Einstellungen für die Authentifizie-
rung, die Verschlüsselung und für das Zeitlimit festlegt.
Die Liste enthält die von Symantec vordefinierten sowie
die von Ihnen im Register "VPN-Richtlinien" erstellten
Richtlinien.
Verschlüsse- Der Schlüssel, der den Datenabschnitt des IPsec-Pakets
lungsschlüssel verschlüsselt. Der Schlüssel ver- und entschlüsselt die
gesendeten Daten.
Standardmäßig werden Dezimalzahlen verwendet. Stel-
len Sie Hexadezimalzahlen 0x voran. Die Schlüssellänge
hängt von dem in der VPN-Richtlinie festgelegten Ver-
schlüsselungsgrad ab.
Am Remote-Ende des Tunnels muss ein entsprechender
Verschlüsselungsschlüssel eingegeben werden.
Authentifizie- Der Schlüssel zum Authentifizieren des IPsec-Pakets.
rungsschlüssel Standardmäßig werden Dezimalzahlen verwendet. Stel-
len Sie Hexadezimalzahlen 0x voran. Die Schlüssellänge
hängt vom Authentifizierungstyp (MD5, SHA1 usw.) ab,
der in der VPN-Richtlinie ausgewählt wurde.
210 Feldbeschreibungen
Beschreibung der VPN-Felder

Tabelle D-26 Beschreibung der Felder im Register "Statische Tunnels" (Fortsetzung)


Abschnitt Feld Beschreibung
Remote- Gateway- Die IP-Adresse oder der vollständig qualifizierte Domä-
Sicherheits- Adresse nenname des Sicherheits-Gateways, zu dem Sie einen
Gateway Tunnel erstellen.
Dieses Feld darf maximal 128 alphanumerische Zeichen
enthalten.
NetBIOS- Ermöglicht das Durchsuchen des VPN-Netzwerks in der
Broadcast Netzwerkumgebung und das gemeinsame Verwenden von
Dateien auf einem Microsoft Windows-Computer. Für den
Netzwerkverkehr ist ein WINS-Host erforderlich.
NetBIOS ist standardmäßig deaktiviert.
Globaler Tunnel Normalerweise werden nur Anforderungen an das Netz-
werk, das durch das Remote-VPN-Gateway geschützt
wird, über den VPN-Tunnel weitergeleitet. Andere Arten
von Datenverkehr, z.B. Suchvorgänge im Web, werden
direkt an das Internet weitergeleitet. Wenn Sie die Option
"Globaler Tunnel" aktivieren, wird der externe Datenver-
kehr vollständig über das weiter oben festgelegte VPN-
Gateway abgewickelt. Dadurch kann die Firewall der Zen-
trale den Netzwerkverkehr filtern, bevor die Anforderung
an das Internet weitergeleitet wird. So erhält Ihr Remote-
Standort den Schutz der Firewall der Zentrale. Wenn die
Option "Globaler Tunnel" aktiviert ist, sollte kein Ziel-
netzwerk eingegeben werden. Durch diese Funktion wer-
den außerdem alle anderen Sicherheitszuordnungen
deaktiviert, weil der gesamte Verkehr durch das Gateway
des globalen Tunnels geroutet werden muss.
Der globale Tunnel ist standardmäßig deaktiviert.
Remote- Die IP-Adresse des Remote-Teilnetzes.
Teilnetz-IP
Maske Die Maske des Remote-Teilnetzes.
Feldbeschreibungen 211
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Client-Tunnels"


Im Register "Client-Tunnels" legen Sie die Client-to-Gateway-Tunnels fest. Stel-
len Sie sicher, dass Sie Ihre Benutzer im Register "Client-Benutzer" definiert
haben, bevor Sie den Tunnel definieren.

Tabelle D-27 Beschreibung der Felder im Register "Client-Tunnels"

Abschnitt Feld Beschreibung


Gruppen-Tunnel- VPN-Gruppe Wählen Sie die zu aktualisierende oder zu
Definition löschende VPN-Gruppe aus.
Sie können die Mitgliedschaft in diesen drei
Gruppen ändern. Es können keine VPN-Gruppen
hinzugefügt werden.

WAN-seitige Ermöglicht VPN-Benutzern, die Verbindung zur


Client-VPNs akti- WAN-Schnittstelle herzustellen.
vieren

WLAN/LAN-sei- Ermöglicht VPN-Benutzern, die Verbindung zur


tige Client-VPNs LAN- bzw. WLAN-Schnittstelle herzustellen.
aktivieren

VPN-Netzwerk- Primäres DNS Die IP-Adresse des primären DNS-Servers, die


parameter der VPN-Benutzer für die Namensauflösung
verwendet.

Sekundäres DNS Die IP-Adresse des sekundären DNS-Servers, die


der VPN-Benutzer für die Namensauflösung
verwendet.
Primäres WINS Die IP-Adresse des primären WINS-Servers.
WINS (Windows Internet Naming Service) ist ein
System zum Ermitteln der IP-Adresse, die einem
bestimmten Netzwerk-Computer zugeordnet ist.

Sekundäres WINS Die IP-Adresse des sekundären WINS-Servers.

Primärer Domä- Die IP-Adresse des PDC.


nen-Controller
(PDC)
212 Feldbeschreibungen
Beschreibung der VPN-Felder

Tabelle D-27 Beschreibung der Felder im Register "Client-Tunnels" (Fortsetzung)

Abschnitt Feld Beschreibung


Erweiterte Erweiterte Benut- Diese Option setzt voraus, dass alle Benutzer der
Benutzer- zerauthentifizie- ausgewählten VPN-Gruppe nach Phase 1 und vor
authentifizierung rung aktivieren Phase 2 RADIUS zur erweiterten Authentifizie-
rung verwenden.

RADIUS- Wenn eine RADIUS-Gruppenbindung angegeben


Gruppenbindung ist, muss der Remote-Benutzer Mitglied einer
Gruppe des RADIUS-Servers sein. Die von
RADIUS zurückgegebene Filter-ID muss mit
diesem Wert übereinstimmen, damit der Benut-
zer authentifiziert werden kann.
Achten Sie beim Einrichten der RADIUS-Grup-
penbindung darauf, dass zwei Client-Tunnels
niemals dieselbe Einstellung für die Gruppen-
bindung verwenden dürfen.
Der Wert darf maximal 25 Zeichen enthalten.

WAN-Client- Content Filtering Auf den Datenverkehr aller Clients in der ausge-
Richtlinie aktivieren wählten VPN-Gruppe werden die Content-Filte-
ring-Regeln angewendet, die in den Listen vom
Typ "Zulassen" und "Ablehnen" definiert sind.

Liste vom Typ Beim Content Filtering wird die Liste vom Typ
"Ablehnen" "Ablehnen" verwendet. Dies ist eine Liste mit
verwenden URLs, auf die die Clients nicht zugreifen dürfen.
Sonstiger Datenverkehr ist zugelassen.

Liste vom Typ Beim Content Filtering wird die Liste vom Typ
"Zulassen" "Zulassen" verwendet. Dies ist eine Liste mit
verwenden URLs, auf die die Clients zugreifen dürfen. Sons-
tiger Datenverkehr ist nicht zugelassen.

Einhaltung von Diese Option setzt voraus, dass alle Benutzer der
Virenschutz- ausgewählten VPN-Gruppe eine Antivirus-
Richtlinien Software mit den aktuellsten Virendefinitionen
aktivieren verwenden.

Nur warnen Wenn der Benutzer keine Antivirus-Software mit


den aktuellsten Virendefinitionen verwendet,
wird eine Textnachricht gespeichert.

Verbindungen Wenn der Benutzer keine Antivirus-Software mit


blockieren den aktuellsten Virendefinitionen verwendet, ist
der Datenaustausch nicht zulässig.
Feldbeschreibungen 213
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Client-Benutzer"


Im Register "Client-Benutzer" definieren Sie die Remote-Benutzer, die auf Ihr
Netzwerk über einen VPN-Tunnel zugreifen können.

Tabelle D-28 Beschreibung der Felder im Register "Client-Benutzer"

Abschnitt Feld Beschreibung

VPN-Benutzer- Benutzer Wählen Sie den zu aktualisierenden oder zu


identität löschenden Benutzer aus.

Aktivieren Ermöglicht einem Benutzer die Verwendung


eines VPN-Tunnels.
Um einen Benutzer vorübergehend zu deaktivie-
ren, deaktivieren Sie die Option "Aktivieren" und
klicken Sie dann auf "Aktualisieren". Um einen
Benutzer dauerhaft zu entfernen, klicken Sie auf
"Löschen".

Benutzername Der Name des Client-Benutzers.


Das Feld darf maximal 31 alphanumerische Zei-
chen enthalten. Die eingegebenen Zeichen müs-
sen mit der ID des Remote-Clients in der
Symantec Client VPN-Software übereinstimmen.
Es können bis zu 50 Client-Benutzer hinzugefügt
werden.

Vorinstallierter Der ISAKMP-Authentifizierungsschlüssel (IKE).


Schlüssel Jeder Benutzer hat einen eindeutigen Schlüssel.
Sie müssen einen vorinstallierten Schlüssel ein-
geben. Dieses Feld darf maximal 64 alphanume-
rische Zeichen enthalten. Der vorinstallierte
Schlüssel muss dem vorinstallierten Schlüssel
des Remote-VPN-Clients entsprechen.

VPN-Gruppe Definiert die VPN-Gruppe (Tunnel-Definition)


für diesen Benutzer.
214 Feldbeschreibungen
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "VPN-Richtlinien"


Wählen Sie für jeden Tunnel eine VPN-Richtlinie aus. Im Register "VPN-Richt-
linien" können Sie die jeweilige Richtlinie definieren oder eine Standardricht-
linie bearbeiten.

Tabelle D-29 Beschreibung der Felder im Register "VPN-Richtlinien"

Abschnitt Feld Beschreibung

IPsec-Sicher- VPN-Richtlinie Wählen Sie die zu aktualisierende oder zu löschende


heitszuord- Richtlinie aus.
nung (Phase 2)
Hinweis: Von Symantec vordefinierte Richtlinien
- Parameter
können Sie nicht löschen.

Folgende Optionen sind verfügbar:


■ Ike_default_crypto
■ Ike_default_crypto_strong
■ Static_default_crypto
■ Static_default_crypto_strong
■ Die von Ihnen erstellten VPN-Richtlinien

Name Der Name, der der Richtlinie zugewiesen werden


soll.
Dieser Name wird nur zu SGMI-Referenzzwecken
verwendet. Es sind maximal 28 alphanumerische
Zeichen zulässig.

Datenintegrität Folgende Optionen sind verfügbar:


(Authentifizie- ■ ESP MD5 (Standard)
rung)
■ ESP SHA1
■ AH MD5
■ AH SHA1
Die hier ausgewählten Optionen müssen denen des
Remote-Sicherheits-Gateways entsprechen.
Feldbeschreibungen 215
Beschreibung der VPN-Felder

Tabelle D-29 Beschreibung der Felder im Register "VPN-Richtlinien" (Fortsetzung)

Abschnitt Feld Beschreibung

Datenvertraulich- Folgende Optionen sind verfügbar:


keit (Verschlüsse- ■ DES
lung)
■ 3DES
■ AES_VERY_STRONG
■ AES_STRONG
■ AES
■ NULL (Keine)
Wenn Sie unter "Datenintegrität (Authentifizie-
rung)" eine AH-Authentifizierung ausgewählt
haben, müssen Sie keinen Verschlüsselungstyp
angeben.

Gültigkeit der Die in Minuten angegebene Zeit, bevor die erneute


Sicherheits- Aushandlung (Phase 2) von Verschlüsselungs- und
zuordnung Authentifizierungsschlüsseln für den Tunnel in
Kraft tritt.
Der Standardwert ist 480 Minuten. Der maximale
Wert beträgt 2.147.483.647 Minuten.

Maximale Höchstanzahl KB, die durch einen Tunnel geleitet


Datenmenge werden können, bevor eine Neuverschlüsselung
erforderlich ist.
Der Standardwert ist 2.100.000 KB (2.050 MB). Der
Höchstwert liegt bei 4.200.000 KB (4.101 MB).

Zeitlimit bei Anzahl der Minuten, in denen ein Tunnel inaktiv


Inaktivität bleiben kann, bevor der Verbindung ein neuer
Schlüssel zugewiesen wird.
Geben Sie 0 ein, wenn kein Zeitlimit definiert
werden soll.

Perfect Forward PFS (Perfect Forward Secrecy) bietet zusätzlichen


Secrecy Schutz vor unberechtigten Benutzern, die versu-
chen, den aktuellen ISKAMP-Schlüssel auszuspio-
nieren. Nicht alle Clients und Sicherheits-Gateway
sind mit PFS kompatibel.
Folgende Optionen sind verfügbar:
■ DH-Gruppe 1
■ DH-Gruppe 2
■ DH-Gruppe 5
216 Feldbeschreibungen
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Status"


Im Register "Status" wird der Status Ihrer VPN-Tunnels und Client-Benutzer
angezeigt.

Tabelle D-30 Beschreibung der Felder im Register "Status"

Abschnitt Feld Beschreibung

Dynamische VPN- Status Status des ausgewählten Tunnels.


Tunnels
Name Name des ausgewählten Tunnels.

Verhandlungstyp Der konfigurierte Verhandlungstyp.


Dieses Feld bezieht sich ausschließlich auf dyna-
mische VPN-Tunnels.

Sicherheits- Name des ausgewählten Sicherheits-Gateways.


Gateway

Remote-Teilnetz Adresse des Remote-Teilnetzes.

Verschlüsselungs- Die konfigurierte Verschlüsselungsmethode.


methode

Statische VPN- Status Zeigt an, ob eine Verbindung besteht.


Tunnels
Name Name des ausgewählten statischen Tunnels.

Sicherheits- IP-Adresse des Remote-Gateways, mit dem der


Gateway Tunnel verbunden ist.

Remote-Teilnetz Teilnetz des Remote-Gateways, mit dem der


Tunnel verbunden ist.

Verschlüsselungs- Authentifizierungsmethode für diesen Tunnel.


methode
Feldbeschreibungen 217
Beschreibung der VPN-Felder

Beschreibung der Felder im Register "Erweitert"


Im Register "Erweitert" können Sie die erweiterten VPN-Einstellungen der Aus-
handlungsphase 1 konfigurieren, die für alle Clients gültig sind.

Tabelle D-31 Beschreibung der Felder im Register "Erweitert"

Abschnitt Feld Beschreibung

Globale VPN- Lokales Gateway - ID-Typ der Phase-1 (ISAKMP), der von lokalen
Client-Einstel- Phase 1 - ID-Typ Gateways für VPN-Clients verwendet wird.
lungen
Folgende Optionen sind verfügbar:
■ IP-Adresse
Wenn Sie "IP-Adresse" auswählen, lassen
Sie das Textfeld "Lokales Gateway -
Phase 1 - ID" leer.
■ Eindeutiger Name
Wenn Sie "Eindeutiger Name" auswählen,
geben Sie im Textfeld "Lokales Gateway -
Phase 1 - ID" eine ID ein, die von allen
Clients verwendet werden soll.

Lokales Gateway - Der Wert, der dem ID-Typ entspricht.


Phase 1 - ID
Wenn Sie die Option "IP-Adresse" ausgewählt
haben, lassen Sie dieses Textfeld leer. Wenn Sie
die Option "Eindeutiger Name" ausgewählt
haben, geben Sie den vollständigen Domänen-
namen ein. Jeder mit dem Sicherheits-Gateway
verbundene Client muss diese Phase-1-ID ver-
wenden, wenn der Remote-Gateway-Endpunkt
des Clients definiert wird.
Es sind maximal 31 alphanumerische Zeichen
zulässig.

VPN-Richtlinie VPN-Richtlinie für VPN-Client-Tunnels für die


Aushandlung von Tunnels in Phase 2.
Die Liste enthält die von Symantec vordefinier-
ten sowie die von Ihnen im Register "VPN-Richt-
linien" erstellten Richtlinien.
218 Feldbeschreibungen
Beschreibung der VPN-Felder

Tabelle D-31 Beschreibung der Felder im Register "Erweitert" (Fortsetzung)

Abschnitt Feld Beschreibung

Dynamische VPN- Dynamische VPN- Ermöglicht nicht definierten VPN-Clients die


Client-Einstel- Client-Tunnels Verbindung zu Sicherheits-Gateways für die
lungen aktivieren erweiterte Authentifizierung.

Vorab installierter Der Schlüssel zum Authentifizieren des ISAKMP


Schlüssel (IKE). Er authentifiziert das Remote-Ende des
Tunnels.
Der vorab installierte Schlüssel ist zwischen 20
und 64 alphanumerische Zeichen lang. Der vorab
installierte Schlüssel am Remote-Ende dieses
Tunnels muss diesem Wert entsprechen.

Global IKE-Ein- Gültigkeit der Die in Minuten angegebene Zeit, bevor die
stellungen Sicherheitszuord- erneute Aushandlung (Phase 1) von Verschlüsse-
(Phase 1 - Neuver- nung lungs- und Authentifizierungsschlüsseln für den
schlüsselung) Tunnel in Kraft tritt.
Der Standardwert ist 1080 Minuten. Der maxi-
male Wert beträgt 2.147.483.647 Minuten.

RADIUS-Einstel- Primärer IP-Adresse oder der vollständig qualifizierte


lungen RADIUS-Server Domänenname des Servers, der für den erweiter-
ten Authentifizierungsaustausch mit den VPN-
Clients zuständig ist.
Es sind maximal 128 alphanumerische Zeichen
zulässig.

Sekundärer IP-Adresse oder der vollständig qualifizierte


RADIUS-Server Domänenname des alternativen Servers, der für
den erweiterten Authentifizierungsaustausch
mit den VPN-Clients zuständig ist.
Es sind maximal 128 alphanumerische Zeichen
zulässig.

Authentifizie- Port des RADIUS-Servers für die Authentifizie-


rungs-Port (UDP) rung.
Der Standardwert ist 1812. Der Höchstwert
beträgt 65535.

Vorab installierter Der vom RADIUS-Server verwendete Authentifi-


Geheimcode oder zierungsschlüssel.
Schlüssel
Es sind maximal 50 alphanumerische Zeichen
zulässig.
Feldbeschreibungen 219
Beschreibung der IDS/IPS-Felder

Beschreibung der IDS/IPS-Felder


Das Sicherheits-Gateway der Symantec Gateway Security 300 Serie bietet die
Erkennung von und den Schutz vor Angriffsversuchen (IDS/IPS). Die IDS/IPS-
Funktionen sind standardmäßig aktiviert und bieten atomischen Paketschutz in
Form von Spoof- und IP-Schutz. Die IDS/IPS-Funktionalität kann jederzeit deak-
tiviert werden.
Die folgenden IDS/IPS-Schutzfunktionen sind verfügbar:
■ IP-Spoof-Schutz
■ Überprüfung der IP-Optionen
■ TCP-Flag-Validierung
■ Schutz vor Trojanern
■ Port-Scan-Erkennung
Dieser Abschnitt enthält folgende Themen:
■ Beschreibung der Felder im Register "IDS-Schutz"
■ Beschreibung der Felder im Register "Erweitert"

Beschreibung der Felder im Register "IDS-Schutz"


Im Register "IDS-Schutz" können Sie die grundlegenden IDS-Schutzfunktionen
konfigurieren.

Tabelle D-32 Beschreibung der Felder im Register "IDS-Schutz"

Abschnitt Feld Beschreibung

IDS-Signaturen Name Wählen Sie die zu aktualisierende Signatur


aus.
* Ein Sternchen zeigt an, dass die Trojaner-
Port-Erkennung aktiviert ist. Die Warn- und
Blockierfunktionen sind deaktiviert, wenn
der Netzwerkverkehr in den Eingangsregeln
ausdrücklich als zulässig definiert ist.
220 Feldbeschreibungen
Beschreibung der IDS/IPS-Felder

Tabelle D-32 Beschreibung der Felder im Register "IDS-Schutz" (Fortsetzung)

Abschnitt Feld Beschreibung

Schutz- Blockieren und Wenn ein Angriff erkannt wird, wird der
Einstellungen warnen Netzwerkverkehr blockiert und eine Nach-
richt gespeichert.

Blockieren/nicht Wenn ein Angriff erkannt wird, wird der


warnen Netzwerkverkehr blockiert, aber keine
Nachricht gespeichert.

WAN Aktiviert den WAN-Schutz.

WLAN/LAN Aktiviert den Schutz für das Wireless-LAN


und das LAN.

Schutzliste Angriffsname Namen der IDS-Signaturen.

Blockieren und Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
warnen an, ob die Einstellung zum Blockieren und
Warnen für diese Signatur aktiviert ist.

Blockieren/nicht Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
warnen an, ob die Einstellung "Blockieren/nicht
warnen" für diese Signatur aktiviert ist.

WAN Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
an, ob das WAN geschützt ist.

WLAN/LAN Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
an, ob WLAN und LAN geschützt sind.
Feldbeschreibungen 221
Beschreibung der AVpe-Felder

Beschreibung der Felder im Register "Erweitert"


Im Register "Erweitert" können Sie den Spoof-Schutz konfigurieren.
Tabelle D-33 Beschreibung der Felder im Register "Erweitert"

Abschnitt Feld Beschreibung

IP-Spoof-Schutz WAN Aktiviert den Spoof-Schutz für das LAN.

WLAN/LAN Aktiviert den Spoof-Schutz für das


Wireless-LAN und das LAN.

TCP-Flag- TCP-Flag- Blockiert und protokolliert jeglichen Daten-


Validierung Validierung verkehr mit unzulässigen Flag-Kombinatio-
nen, der nicht von der Sicherheitsrichtlinie
abgelehnt wird. Von der Sicherheitsricht-
linie abgelehnter Datenverkehr, der eine
oder mehrere unzulässige TCP-Flag-Kombi-
nationen aufweist, wird als einer von meh-
reren NMAP-Port-Scan-Techniken (NMAP
Null Scan, NMAP Christmas Scan usw.)
klassifiziert.

Beschreibung der AVpe-Felder


Mithilfe der Funktion zur AVpekönnen Sie die AVpe-Konfigurationen der Clients
überwachen und ggf. Sicherheitsrichtlinien durchsetzen, die nur den Clients den
Netzwerkzugriff ermöglichen, die durch eine Antivirus-Software mit den neues-
ten Virendefinitionen geschützt sind.

Tabelle D-34 Beschreibung der Felder im Register "AVpe"

Abschnitt Feld Beschreibung

Server-Adresse Primärer AV- Definiert den primären AV-Server (Antivirus-


Server Server) in Ihrem Netzwerk. Dies ist der Server, zu
dem das Sicherheits-Gateway eine Verbindung
herstellen soll, um die Virendefinitionen des
Clients zu überprüfen.

Sekundärer AV- Definiert einen sekundären AV-Server. Das


Server Sicherheits-Gateway stellt zu diesem Server eine
Verbindung her, um Virendefinitionen des
Clients zu überprüfen, wenn es auf den primären
AV-Server nicht zugreifen kann.
222 Feldbeschreibungen
Beschreibung der AVpe-Felder

Tabelle D-34 Beschreibung der Felder im Register "AVpe" (Fortsetzung)

Abschnitt Feld Beschreibung

AV-Master abfra- Geben Sie ein Intervall (in Minuten) für die
gen alle...Minuten Abfrage des AV-Servers durch das Sicherheits-
Gateway ein.
Wenn Sie beispielsweise 10 Minuten wählen, ruft
das Sicherheits-Gateway im Abstand von 10
Minuten die Liste der Virendefinitionen vom AV-
Server ab.
Die Standardeinstellung ist 10 Minuten. Sie müs-
sen einen Wert größer als 0 eingeben.

Master abfragen Mit dieser Schaltfläche können Sie das Zeitinter-


vall umgehen, das Sie im Feld "AV-Server abfra-
gen alle... Minuten" angegeben haben. Wenn Sie
auf diese Option klicken, ruft das Sicherheits-
Gateway die aktuellen Virendefinitionen vom
AV-Server ab.
Bevor Sie auf diese Schaltfläche klicken, geben
Sie die IP-Adressen des primären und des sekun-
dären AV-Servers ein und klicken Sie anschlie-
ßend auf "Speichern".
Verwenden Sie diese Schaltfläche bei der ersten
Aktivierung von AVpe, damit das Sicherheits-
Gateway eine Verbindung zum primären oder
sekundären AV-Server zum Abrufen der aktuel-
len Virendefinitionen herstellen kann.
Feldbeschreibungen 223
Beschreibung der AVpe-Felder

Tabelle D-34 Beschreibung der Felder im Register "AVpe" (Fortsetzung)

Abschnitt Feld Beschreibung

Richtlinienvali- Verifizieren, ob Wenn diese Option aktiviert ist, können Sie über-
dierung AV-Client aktiv ist prüfen, ob die Antivirus-Software von Symantec
auf der Arbeitsstation eines Clients installiert
und aktiv ist.
Folgende Optionen sind verfügbar:
■ Neueste Produkt-Engine (Standard)
Überprüft, ob die Antivirus-Software von
Symantec aktiv ist und die neueste Produkt-
Prüf-Engine verwendet wird.
■ Beliebige Version
Überprüft, ob die Antivirus-Software von
Symantec aktiv ist und eine beliebige Pro-
dukt-Prüf-Engine verwendet wird.

Hinweis: Stellen Sie sicher, dass für persönliche


Firewalls UDP/Port 2967 zulässig ist.

Neueste Viren- Ermöglicht das Überprüfen der Client-Arbeits-


definitionen station auf die neuesten Virendefinitionen, bevor
verifizieren der Netzwerkzugriff zugelassen wird.
Das Feld ist standardmäßig aktiviert.

Clients abfragen Geben Sie ein Intervall (in Minuten) für die Über-
alle...Minuten prüfung der Client-Arbeitsstationen auf Viren-
definitionen durch das Sicherheits-Gateway ein.
Wenn Sie beispielsweise 10 Minuten wählen,
überprüft das Sicherheits-Gateway im Abstand
von 10 Minuten, ob die entsprechenden Arbeits-
stationen die aktuellen Virendefinitionen ver-
wenden.
Die Standardeinstellung ist 480 Minuten
(8 Stunden).
224 Feldbeschreibungen
Beschreibung der AVpe-Felder

Tabelle D-34 Beschreibung der Felder im Register "AVpe" (Fortsetzung)

Abschnitt Feld Beschreibung

Status des AV- AV-Master Gibt den primären oder sekundären AV-Server
Servers an, für den Informationen zusammengefasst
werden sollen.

Status Zeigt den Betriebsstatus des AV-Servers als


online und betriebsbereit oder als offline an.

Letztes Update Zeigt das Datum der letzten Serverabfrage auf


Virendefinitionen durch das Sicherheits-Gate-
way in numerischer Form an, z.B.: 14/05/2003.

Host Zeigt die IP-Adresse (oder den qualifizierten


Domänennamen) des primären oder sekundären
AV-Servers an.

Produkt Zeigt die aktuelle Produktversion der Symantec


AntiVirus Corporate Edition an, die auf dem AV-
Server ausgeführt wird, z.B.: 7.61.928.

Engine Zeigt die aktuelle Version der Prüf-Engine der


Symantec AntiVirus Corporate Edition an, die
auf dem AV-Server ausgeführt wird, z.B.:
NAV 4.1.0.15.

Muster Zeigt die neueste Version der Virendefinitions-


datei auf dem AV-Server an, z.B.: 155c08 r6
(14/05/2003).
Feldbeschreibungen 225
Beschreibung der Felder für Content Filtering

Tabelle D-34 Beschreibung der Felder im Register "AVpe" (Fortsetzung)

Abschnitt Feld Beschreibung

Status des AV- AV-Client IP-Adresse der DHCP-Clients.


Clients
Richtlinie Zeigt "Ein" oder "Aus" an. Gibt an, ob der Client
Virenschutz-Richtlinien befolgt.

Status Gibt an, ob der Client die Richtlinien einhält.

Gruppe Computer-Gruppe, der der Client zugewiesen


wurde.

Letztes Update Datum und Uhrzeit, zu der die Virenschutz-


Richtlinieneinhaltung des Clients zuletzt über-
prüft wurde.

Produkt Name des Symantec-Virenschutzprodukts, das


der Client verwendet.

Engine Version der Prüf-Engine des Symantec-Viren-


schutzprodukts, das der Client verwendet.

Muster Version der neuesten Virendefinitionen des


Clients.

Beschreibung der Felder für Content Filtering


Das Sicherheits-Gateway unterstützt die Verwendung von Content Filtering für
den ausgehenden Netzwerkverkehr. Mithilfe von Content Filtering können Sie
festlegen, auf welche Inhalte Clients Zugriff haben sollen. Wenn Sie Ihren Benut-
zern beispielsweise den Zugriff auf Sites mit Glücksspielen verweigern möchten,
können Sie einen Inhaltsfilter definieren, der den Zugriff auf die von Ihnen ange-
gebenen URLs verhindert.
226 Feldbeschreibungen
Beschreibung der Felder für Content Filtering

Tabelle D-35 Konfigurationsfelder für Content Filtering

Abschnitt Feld Beschreibung

Liste wählen Listentyp Die folgenden Listenarten sind verfügbar:


■ Ablehnen
■ Zulassen
Eine Liste vom Typ "Ablehnen" gibt die Inhalte
an, die Ihre Clients nicht sehen sollen. Eine Liste
vom Typ "Zulassen" gibt die Inhalte an, die Ihre
Clients sehen dürfen.
Wählen Sie eine Liste aus und klicken Sie dann
auf "Anzeigen/Bearbeiten".

Liste bearbeiten URL eingeben Geben Sie eine URL an, die einer der beiden Lis-
ten hinzugefügt werden soll. Geben Sie unter
"Zulassen" z.B. die Adresse "www.symantec.com"
ein und unter "Ablehnen" "myadultsite.com/
mypics/me.html"
Die URL darf maximal 128 Zeichen enthalten.
Jede Filterliste kann bis zu 100 Einträge umfas-
sen. Es kann immer nur eine URL hinzugefügt
werden.
Sie müssen einen vollständig qualifizierten
Domänennamen verwenden. Die Verwendung
von IP-Adressen ist für das Filtern von Inhalten
nicht ausreichend.

URL löschen Wählen Sie im Dropdown-Listenfeld eine zu


löschende URL aus und klicken Sie anschließend
auf "Eintrag löschen".

Aktuelle Liste URL Zeigt alle URLs an, die in der von Ihnen ausge-
wählten Liste enthalten sind.
Index

Zahlen C
3DES 95 Client-to-Gateway-Tunnels 98
globale Richtlinien 103
Cluster
A Tunnel zu einem Symantec Gateway 5400er
Administrator-Kennwort 14 Cluster herstellen 92
Administratorzugriff 14 Computer und Computer-Gruppen 64
ADSL (Asymmetrical Digital Subscriber Line) 29 Computer-Gruppen definieren 67
AES-128 95 Computer-Gruppen-Mitgliedschaft 65
AES-192 95 Content Filtering 116
AES-256 95 LAN 118
Aktivieren Liste vom Typ "Zulassen" 116
IDENT-Port 77 Listen verwalten 117
IPsec-Durchgang 78 Listen vom Typ "Ablehnen" 116
Aktualisierung der Firmware 131 WAN 103, 119
all.bin 136
Analog 27
Analoge Verbindungen 27 D
Ändern Datenfluss
DHCP-IP-Adressbereich 60 Ausgangsregel 70
LAN-IP-Adresse der Appliance 58 Eingangsregel, Zugriff 68
Angriffe 121 Deaktivieren
AntiVirus-Clients 114 Bridge-Modus 78
Antivirus-Server-Status 114 dynamischer DNS 48
app.bin-Firmware 131 Definieren
Appliance zurücksetzen 142 Ausgangsregel 70
Appliance, Vorderseiten-LEDs 144 Computer-Gruppen-Mitgliedschaft 65
Atomische IDS/IPS-Signaturen 121 Eingangsregel, Zugriff 68
Ausgangsregeln 70 DES 95
Automatische Aktualisierungen 133 DHCP 28
AVpe 108 Aktivieren 60
Konfigurieren 110 Deaktivieren 60
Protokollmeldungen 115 Erneuerung erzwingen 190
IP-Adressbereich 60
Verwendung 60
B DHCP-Einstellungen
Back Orifice 122 erweiterte Einstellungen 43
Backup-Wählverbindung 38, 41 DHCP-Server 58
BattleNet 75 Dienste abfragen 178
Bonk 122 Dienste umleiten 73
Breitbandverbindung 27, 28 DNS-Gateway 54
Bridge-Modus 78 Dokumentation
228 Index

Online-Hilfe 11 Global IKE-Richtlinie 83


DSL 27 Globale Richtlinie, Einstellungen für Client-to-
DSL-Verbindung 28 Gateway-Tunnels 103
Dual-WAN-Port 25
Dynamische Gateway-to-Gateway-Tunnels 93 H
Dynamischer DNS
Hauptmenü 12
Deaktivieren 48
Hilfe 11
TZO 46
Hochverfügbarkeit 51
Updates erzwingen 48
HTML-Pufferüberlauf 122
Dynamisches Routing 49
HV. Siehe Hochverfügbarkeit

E I
Eingangsregeln 68
ICMP-Anforderungen 40, 80
Erneuern nach Leerlauf 43
IDENT-Port 77
Erneuerung erzwingen 190
IDS/IPS 121
Erstellen
IKE-Tunnel, Gateway-to-Gateway 93
benutzerdefinierte Phase-2-Richtlinien 84
Interne Verbindungen 57
Sicherheitsrichtlinien 82
IPsec-Durchgang 78
Erweiterte Optionen 77 IP-Spoof-Schutz 123
Erweiterte Schutz-Einstellungen 123 ISDN-Verbindungen 27
Erweiterte Verbindungseinstellungen 43
Erweiterte WAN-/ISP-Einstellungen 51
Exponierter Host 79 J
Externes Netzwerk Jolt 122
Verbindung konfigurieren 21
K
F Kabelmodemverbindung 28
Failover 53 Kennwort
Fawx 122 Administration 14
Fehlerbehebung 149, 151 Konfigurieren 15
Firewall, Liste der Hosts 66 manuell zurücksetzen 15
Firmware 14, 132, 133, 136 Komprimierung, Tunnel 82
Aktualisieren, manuell 136 Konfiguration der LAN-IP-Einstellungen 58
app.bin 131 Konfiguration, Sichern und Wiederherstellen 141
Updates 131 Konfigurieren
Firmware aktualisieren Appliance als DHCP-Server 58
Norton Internet Security 137 AVpe 110
Firmware flashen 138 Client-to-Gateway-Tunnels 98
Flashing 14 Computer 65
Fragezeichen 11 dynamische Gateway-to-Gateway-Tunnels 93
Erneuern nach Leerlauf 43
erweiterte Optionen 77
G erweiterte PPP-Einstellungen 44
Gateway-to-Gateway 89 erweiterte Schutz-Einstellungen 123
Dauer und Hochverfügbarkeit von Tunnels 91 erweiterte Verbindungseinstellungen 43
dynamische Tunnels 93 erweiterte WAN-/ISP-Einstellungen 51
unterstützte VPN-Tunnels 91 exponierter Host 79
Girlfriend 122 Failover 53
Index 229

Gateway-to-Gateway-Tunnels 89 Netzwerkzugriff planen 63


interne Verbindungen 57 Newtear 122
MTU (Maximum Transmission Unit) 45 Norton Internet Security 137
neue Computer 65
Port-Zuweisungen 61
PPTP 36
O
Protokolleinstellungen 126 Online-Hilfe 11
Remote-Verwaltung 15 Optionale Netzwerkeinstellungen 55
Routing 49 Overdrop 122
spezielle Anwendungen 75
statische IP 34
P
statische Route-Einträge 49
Verbindung 28 PING 40
Verbindung zu einem externen Netzwerk 21 Ping of Death 122
Wählverbindungen 40 Planung des Netzwerkzugriffs 63
WAN-Port 26 Point to Point Protocol over Ethernet. Siehe PPPoE
Portal of Doom 122
Port-Zuweisungen 61
L PPP-Einstellungen, erweitert 44
Land 122 PPPoE (Point-to-Point Protocol over Ethernet) 29
LAN-IP-Adresse 58
Dienste abfragen 178
LAN-IP-Einstellungen 58
manuelle Verbindung 32
Lastverteilung 52
Verbindung 28
LEDs, Vorderseite 144
Verbindung testen 32
Liste der Hosts 66
Liste vom Typ "Ablehnen" 116 PPTP
Liste vom Typ "Zulassen" 116 Konfigurieren für die Verbindung 35
LiveUpdate 138 manuelle Verbindung 37
Server 134 TCP/IP-basiertes Netzwerk 35
Updates 133 Verbindung testen 36
Lizenzierung 155 PPTP (Point-to-Point-Tunneling Protocol) 35
LV. Siehe Lastverteilung PPTP-Verbindung 28
Protokoll jetzt per E-Mail senden 126
M Protokolleinstellungen 126
Protokollmeldungen 130
Manuell
Protokollmeldungen per E-Mail weiterleiten 126
Firmware aktualisieren 136
Verbindung zum PPTP-Benutzerkonto 37
Manuelle Verbindung, PPPoE 32 R
Manuelle Wählverbindungen 42 Remote-Gateway-Administrator, Informationen
Manuelles Zurücksetzen des Kennworts 15 weiterleiten 98
Modem anschließen 40 Remote-Verwaltung 15
MTU (Maximum Transmission Unit) 45 Richtlinie, Global IKE 83
Rollen-Taste 18
N Routing 49
Nestea 122 Routing, dynamisch 49
Netzwerkeinstellungen Rückseite
optional 55 320-Appliance 39
Netzwerkverbindungen 27 360 und 360R 39
230 Index

S T
Schutz T1-Verbindung 28
IP-Spoofing 123 T3 27
TCP-Flag-Validierung 124 TCP/IP-basiertes Netzwerk, PPTP 35
Schutz vor Angriffen 121 TCP-Flag-Validierung 124
Back Orifice 122 Teardrop 122
Girlfriend 122 Technische Unterstützung 154
Trojanisches Pferd 122 Teilnetz 91
Schutz vor TCP-/UDP-Datenverlust 122 TFTP 137
Schutz vor Trojanern 122 Trennen
Schutz-Einstellungen inaktive PPPoE-Verbindungen 29
Einstellungen 123 Tunnelaushandlungen
Konfigurieren Phase 1 84
Schutz-Einstellungen 123 Phase 2 84
Security Gateway Management Interface 13 Tunnel-Komprimierung 82
Serielle Konsole 17 Tunnelkonfigurationen
HyperTerminal 18 VPN
Rollen-Taste 18
Gateway-to-Gateway 89
Server für Verbindungs-Check 26, 40, 54
Tunnels
Setup-Assistent 25
Gateway-to-Gateway, dynamisch 93
Sprachenauswahl 25
VPN-Tunnels erzwingen/IPsec-Durchgang
SGMI 13
zulassen 98
SGMI (Security Gateway Management Interface) 11
TZO 46
Sichere VPN-Verbindungen 81
Sicherheitsrichtlinien 82
Sichern und wiederherstellen U
Konfigurationen 141 Überwachen
Signaturen, Atomisch 121 Antivirus-Server-Status 114
SMTP-Bindung 52 DHCP-Verwendung 60
SMTP-Zeitüberschreitungen 77 Wählverbindungen 43
Spezielle Anwendungen 75 Überwachung des VPN-Tunnel-Status 105
Spezielle Telefonleitung Update des dynamischen DNS erzwingen 48
ISDN 27
Spiele 75
Sprachenauswahl 25
V
Standardeinstellungen, Port-Zuweisung Verbindung konfigurieren 28
wiederherstellen 62 Verbindung testen 53
Statische Gateway-to-Gateway-Tunnels 95 Verbindung zu einem externen Netzwerk 21
Statische IP 28 Verbindung, Netzwerkbeispiele 22
Konfigurieren 34 Verbindungstypen, allgemeine Informationen 27
Statische Route-Einträge 49 Verhindern von Angriffen 121
Steuerung des Netzwerkverkehrs 63 Verwalten
erweitert 107 Administratorzugriff 14
SubSeven 122 Content Filtering-Listen 117
Symantec Gateway Security 5400 Serie 91, 92 ICMP-Anforderungen 80
Syndrop 122 Verwendung der seriellen Konsole 17
Index 231

Videokonferenz 75 W
VPN
Wählverbindungen 27, 38
benutzerdefinierte Phase-2-Richtlinien
Backup 41
erstellen 84
Backup-Verbindung 38
globale Richtlinie, Einstellungen 103
Konfigurieren 40
Hochverfügbarkeit von Tunnels 92
manuelle Verbindung 42
Konfiguration von Client-to-Gateway-
Überwachungsstatus 43
Tunnels 98
Verbindung testen 42
Längen der Authentifizierungsschlüssel 95
WAN/ISP
Längen der Verschlüsselungsschlüssel 95
erweiterte Einstellungen 51
Phase 2, konfigurierbar 84
Konfiguration, Erneuern nach Leerlauf 43
Richtlinien 83
mehrere IP-Adressen 30
sichere Verbindungen 81
WAN-Port
Teilnetz 91
MTU konfigurieren 45
Tunnel zu einem Symantec Gateway Security
Verbindung 21
5400er Cluster herstellen 92
WAN-Port-Konfiguration 26
Tunnelaushandlungen
Wiederherstellen der Standardeinstellungen einer
Phase 1 83
Port-Zuweisung 62
Phase 2 83
Winnuke 122
Tunnel-Komprimierung 82
Wissenswertes über Verbindungstypen 27
Tunnelkonfigurationen 89
Gateway-to-Gateway 89
VPN-Tunnels erzwingen/IPsec- Z
Durchgang zulassen 98 Zeitüberschreitungen, SMTP 77
Tunnelpersistenz 91
Tunnel-Status 105
Überwachung des VPN-Tunnel-Status 105
unterstützte Gateway-to-Gateway-Tunnels 91
VPN-Tunnel
Remote-Verwaltung 15
Unterstützung

Lösungen für Service und


Unterstützung
Symantec bemüht sich weltweit um ausgezeichnete Serviceleistungen. Unser
Ziel ist, Ihnen professionelle Hilfestellung bei der Anwendung unserer Software
zu leisten und professionelle Dienste anzubieten – ganz gleich, in welchem Land.
Die Angebote für Service und Unterstützung sind von Land zu Land unter-
schiedlich.
Wenn Sie Fragen zu den unten beschriebenen Dienstleistungen haben, lesen Sie
bitte den Abschnitt "Alle Kontaktinformationen auf einen Blick".

Registrierung und Lizenzierung


Falls für das von Ihnen installierte Produkt eine Registrierung und/oder ein
Lizenzschlüssel erforderlich sind, bietet unsere Lizenz- und Registrierungssite
unter www.symantec.com/certificate (auf Englisch) eine schnelle und einfache
Methode zur Registrierung Ihres Dienstes. Sie können aber auch auf der Site
http://www.symantec.com/region/de/techsupp/enterprise das Produkt auswäh-
len, das Sie registrieren möchten, und auf der Produkt-Homepage den Link
"Lizenzierung und Registrierung" wählen.
Wenn Sie ein Unterstützungsabonnement erworben haben, können Sie techni-
sche Unterstützung über Telefon und Internet in Anspruch nehmen. Halten Sie
bei der ersten Kontaktaufnahme entweder die Lizenznummer aus Ihrem Lizenz-
zertifikat oder die bei der Unterstützungsregistrierung erzeugte Kontakt-ID
bereit, so dass ein Mitarbeiter der technischen Unterstützung ihre Berechtigung
überprüfen kann. Wenn Sie kein Unterstützungsabonnement erworben haben,
erfahren Sie Einzelheiten zum Erwerb technischer Unterstützung über Ihren
Händler oder den Symantec-Kundenservice.
234 Lösungen für Service und Unterstützung
Registrierung und Lizenzierung

Sicherheits-Updates
Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der
Symantec Security Response-Website (vormals Antivirus Research Centre) unter
folgender Adresse:
www.symantec.de/region/de/avcenter/index.html
Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Viren-
bedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können
außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts herunter-
geladen werden.

Erneuern des Abonnements für Virendefinitions-Updates


Wenn Sie zusammen mit Ihrem Produkt einen Wartungsvertrag erwerben, sind
Sie ein Jahr lang zum Bezug kostenloser Virendefinitionen über das Internet
berechtigt. Nach Ablauf Ihres Wartungsvertrags erhalten Sie Informationen zur
Erneuerung des Vertrags über Ihren Händler oder den Symantec-Kundenservice.

Symantec-Websites:

Symantec-Homepage (nach Sprache):


Deutsch: http://www.symantec.de
Englisch: http://www.symantec.com
Französisch: http://www.symantec.fr
Italienisch: http://www.symantec.it
Niederländisch: http:// www.symantec.nl
Portugiesisch: http://www.symantec.com/br
Spanisch: http://www.symantec.com/region/es
http://www.symantec.com/mx

Symantec Security Response:


www.symantec.de/region/de/avcenter/index.html

Service und Unterstützung für Symantec Enterprise:


http://www.symantec.com/region/de/techsupp/enterprise/
Lösungen für Service und Unterstützung 235
Registrierung und Lizenzierung

Produktspezifisches Newsbulletin:
USA, Asien-Pazifik/Englisch:
http://www.symantec.com/techsupp/bulletin/index.html

Europa, Nahost und Afrika/Englisch:


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Deutsch:
http://www.symantec.com/region/de/techsupp/bulletin/index.html

Französisch:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.

Italienisch:
http://www.symantec.com/region/it/techsupp/bulletin/index.html

Niederländisch:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Lateinamerika

Spanisch:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Portugiesisch:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
236 Lösungen für Service und Unterstützung
Technische Unterstützung

Technische Unterstützung
Als Teil von Symantec Security Response verfügt unser globales Team für die
technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe
ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur
Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer
webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen
Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellst-
möglich zu beantworten. In enger Kooperation mit den Product Engineering- und
Security Research Center-Experten bieten wir Ihnen umfassende Warndienste
und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen.
Unser Angebot umfasst u. a.:
■ Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre
Unternehmensgröße benötigten Supports flexibel wählen können.
■ Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle
Informationen erhalten.
■ Produkt-Updates gewährleisten automatischen Schutz durch Software-
Upgrades.
■ Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen
für optimalen Schutz.
■ Der globale Support durch die Experten von Symantec Security Response
steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur
Verfügung.
■ Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und
der persönliche Technical Account Manager gewährleisten verbesserte Reak-
tionszeiten und proaktiven Sicherheits-Support.
Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf
unserer Website.

Kontakt
Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder
über das Internet an die technische Unterstützung wenden, entweder unter der
nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführ-
ten regionalen Unterstützungssites.
www.symantec.com/region/de/techsupp/enterprise/
Halten Sie dabei die folgenden Informationen bereit:
■ Nummer des Produkt-Release
■ Hardware-Informationen
Lösungen für Service und Unterstützung 237
Kundenservice

■ Verfügbarer Arbeitsspeicher, freier Festplattenspeicher, installierte Netz-


werkkarte
■ Betriebssystem
■ Versions- und Patch-Nummer
■ Netzwerktopologie
■ Router, Gateway und IP-Adressinformationen
■ Beschreibung des Problems
■ Fehlermeldungen/Protokolldateien
■ Die vor der Kontaktaufnahme mit Symantec durchgeführten Schritte zur
Problemlösung
■ Kürzlich durchgeführte Änderungen der Software- und/oder Netzwerkkonfi-
guration

Kundenservice
Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfra-
gen, beispielsweise:
■ Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprach-
verfügbarkeit, Händler in Ihrer Nähe usw.)
■ Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprü-
fen können
■ Neueste Informationen zu Produkt-Updates und -Upgrades
■ Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installie-
ren können
■ Wie Sie Ihr Produkt und/oder Lizenzen registrieren können
■ Informationen zu den Lizenzprogrammen von Symantec
■ Informationen zu Upgrade-Versicherung und Wartungsverträgen
■ Ersatz fehlender CDs und Handbücher
■ Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderun-
gen
■ Beratung zu den Optionen der technischen Unterstützung von Symantec
Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Web-
site für Service und Unterstützung oder durch einen Anruf beim Kundenservice-
Center von Symantec. Die Webadressen und die Nummer Ihres lokalen Kunden-
service-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick".
238 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick

Alle Kontaktinformationen auf einen Blick


Europa, Naher Osten und Lateinamerika

Symantec-Websites für Service und Unterstützung


Deutsch: www.symantec.de/desupport/
Englisch: www.symantec.com/eusupport/
Französisch: www.symantec.fr/frsupport
Italienisch: www.symantec.it/itsupport/
Niederländisch: www.symantec.nl/nlsupport/
Portugiesisch: www.symantec.com/region/br/techsupp/
Spanisch: www.symantec.com/region/mx/techsupp/
Symantec FTP: ftp.symantec.com
(Herunterladen von technischen Hinweisen
und neuesten Patches)
Besuchen Sie "Symantec Service und Unterstützung" im Internet. Dort finden Sie
technische und allgemeine Informationen zu Ihrem Produkt.

Symantec Security Response:


www.symantec.de/region/de/avcenter/index.html

Produktspezifisches Newsbulletin:
USA/Englisch:
http://www.symantec.com/techsupp/bulletin/index.html

Europa, Nahost und Afrika/Englisch:


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Deutsch:
http://www.symantec.com/region/de/techsupp/bulletin/index.html

Französisch:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html

Italienisch:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Lösungen für Service und Unterstützung 239
Alle Kontaktinformationen auf einen Blick

Niederländisch:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Spanisch:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Portugiesisch:
http://www.symantec.com/region/br/techsupp/bulletin/index.html

Symantec-Kundenservice
Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgen-
den Sprachen: Englisch, Deutsch, Französisch und Italienisch.
Belgien + (32) 2 2750173
Dänemark + (45) 35 44 57 04
Deutschland + (49) 69 6641 0315
Finnland + (358) 9 22 906003
Frankreich + (33) 1 70 20 00 00
Großbritannien + (44) 20 7744 0367
Irland + (353) 1 811 8093
Italien + (39) 02 48270040
Luxemburg + (352) 29 84 79 50 30
Niederlande + (31) 20 5040698
Norwegen + (47) 23 05 33 05
Österreich + (43) 1 50 137 5030
Schweden + (46) 8 579 29007
Schweiz + (41) 2 23110001
Spanien + (34) 91 7456467
Südafrika + (27) 11 797 6639
Andere Länder + (353) 1 811 8093
(Nur in englischer Sprache)
240 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick

Symantec-Kundenservice - Korrespondenzadresse
Symantec Ltd
Customer Service Centre
Europe, Middle East and Africa (EMEA)
PO Box 5689
Dublin 15
Irland

Für Lateinamerika
Symantec bietet weltweit technische Unterstützung und Kundenservice.
Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen inter-
nationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhan-
den ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-
Geschäftsstelle für Service und Unterstützung in Ihrer Region.

Argentinien
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentinien

Hauptrufnummer +54 (11) 5811-3225


Website http://www.service.symantec.com/mx

Gold Support: 0800-333-0306

Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela

Hauptrufnummer +58 (212) 905-6327


Website http://www.service.symantec.com/mx

Gold Support: 0800-1-00-2543


Lösungen für Service und Unterstützung 241
Alle Kontaktinformationen auf einen Blick

Columbien
Carrera 18# 86A-14
Oficina 407, Bogota D.C.
Columbien

Hauptrufnummer +57 (1) 638-6192


Website http://www.service.symantec.com/mx

Gold Support: 980-915-5241

Brasilien
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasilien, SA

Hauptrufnummer +55 (11) 5189-6300


Fax: +55 (11) 5189-6210
Website http://www.service.symantec.com/br

Gold Support: 000814-550-4172


242 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick

Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile

Hauptrufnummer +56 (2) 378-7480


Website http://www.service.symantec.com/mx

Gold Support: 0800-333-0306

Mexiko
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, Mexico D.F.
Mexiko

Hauptrufnummer +52 (55) 5481-2600


Website http://www.service.symantec.com/mx

Gold Support: 001880-232-4615

Übriges Latinamerika
9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A

Website http://www.service.symantec.com/mx

Gold Support: Costa Rica 800-242-9445


Panama 800-234-4856
Puerto Rico 800-232-4615
Lösungen für Service und Unterstützung 243
Alle Kontaktinformationen auf einen Blick

Für Asien-Pazifik
Symantec bietet weltweit technische Unterstützung und Kundenservice.
Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen inter-
nationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhan-
den ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-
Geschäftsstelle für Service und Unterstützung in Ihrer Region.

Geschäftsstellen für Service und Unterstützung


AUSTRALIEN
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australien

Hauptrufnummer +61 2 8879 1000


Fax +61 2 8879 1001
Website http://service.symantec.com

Gold Support 1800 805 834 gold.au@symantec.com


Support Contracts Admin 1800 808 089 contractsadmin@syman-
tec.com

CHINA
Symantec China
Unit 1-4, Level 11
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.

Hauptrufnummer +86 10 8518 3338


Technische Unterstützung +86 10 8518 6923
Fax +86 10 8518 6928
Website http://www.symantec.com.cn
244 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick

HONGKONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hongkong

Hauptrufnummer +852 2528 6206


Technische Unterstützung +852 2528 6206
Fax +852 2526 2646
Website http://www.symantec.com.hk

INDIEN
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Indien
Hauptrufnummer +91 22 652 0658
Fax +91 22 652 0671
Website http://www.symantec.com/india
Technische Unterstützung: +91 22 657 0669

KOREA
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Südkorea

Hauptrufnummer +822 3420 8600


Fax +822 3452 1610
Technische Unterstützung +822 3420 8650
Website http://www.symantec.co.kr

MALAYSIA
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Lösungen für Service und Unterstützung 245
Alle Kontaktinformationen auf einen Blick

Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malaysia

Hauptrufnummer +603 7805 4910


Fax +603 7804 9280
Enterprise E-Mail gold.apac@symantec.com
Enterprise gebührenfrei +1800 805 104
Website http://www.symantec.com.my

NEUSEELAND
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Neuseeland

Hauptrufnummer +64 9,375 4100


Fax +64 9 375 4101
Website für Unterstützung http://service.symantec.co.nz

Gold Support 0800 174 045 gold.nz@symantec.com


Support Contracts Admin 0800 445 450 contractsadmin@symantec.com

SINGAPUR
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Singapur 048693
Hauptrufnummer +65 6239 2000
Fax +65 6239 2001
Technische Unterstützung +65 6239 2099
Website http://www.symantec.com.sg
246 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick

TAIWAN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwan

Hauptrufnummer +886 2 8761 5800


Corporate Support +886 2 8761 5800
Fax +886 2 2742 2838
Website http://www.symantec.com.tw
Wir haben uns um größtmögliche Genauigkeit der Informationen in diesem
Dokument bemüht. Die Informationen unterliegen jedoch gelegentlichen Ände-
rungen. Symantec Corporation behält sich das Recht vor, solche Änderungen
ohne vorherige Ankündigung vorzunehmen.