Beruflich Dokumente
Kultur Dokumente
Unterstützte Modelle:
Modelle 320, 360 und 360R
Administratorhandbuch zur Symantec™ Gateway
Security Appliance der 300er Serie
Die in diesem Handbuch beschriebene Software wird mit einer Lizenzvereinba-
rung geliefert und darf nur gemäß den Bestimmungen dieser Vereinbarung ver-
wendet werden.
Dokumentation Version 1.0
26. März 2004
Copyright-Vermerk
Copyright 1998 – 2004 Symantec Corporation.
Alle Rechte vorbehalten.
Die gesamte von der Symantec Corporation bereitgestellte technische Dokumen-
tation ist durch die Symantec Corporation urheberrechtlich geschützt und
Eigentum der Symantec Corporation.
GEWÄHRLEISTUNGSAUSSCHLUSS: Die technische Dokumentation wird OHNE
MÄNGELGEWÄHR bereitgestellt und die Symantec Corporation übernimmt kei-
nerlei Gewähr für die Richtigkeit oder Verwendung der Dokumentation. Die Ver-
wendung der technischen Dokumentation bzw. der darin enthaltenen Informati-
onen erfolgt auf das Risiko des Benutzers. Die Dokumentation kann technische
oder andere Ungenauigkeiten oder typographische Fehler enthalten. Symantec
behält sich das Recht vor, ohne vorherige Ankündigung Änderungen vorzuneh-
men.
Kein Teil dieser Publikation darf ohne vorherige ausdrückliche schriftliche
Genehmigung durch die Symantec Corporation, 20330 Stevens Creek Blvd.,
Cupertino, CA 95014, USA kopiert werden.
Marken
Symantec, das Logo von Symantec und Norton AntiVirus sind in den USA
registrierte Marken der Symantec Corporation. LiveUpdate, LiveUpdate
Administrator, Symantec AntiVirus und Symantec Security Response sind
Marken der Symantec Corporation.
Andere in diesem Handbuch erwähnte Marken oder Produktnamen sind Marken
oder eingetragene Marken ihrer jeweiligen Inhaber und werden hiermit aner-
kannt.
Gedruckt in Irland.
10 9 8 7 6 5 4 3 2 1
Inhalt
Hochverfügbarkeit ...................................................................................... 51
Lastverteilung ............................................................................................. 52
SMTP-Bindung ............................................................................................. 52
Bindung an andere Protokolle ................................................................... 53
Failover .......................................................................................................... 53
DNS-Gateway ............................................................................................... 54
Optionale Netzwerkeinstellungen ............................................................ 55
Anhang B Fehlerbehebung
Infos zur Fehlerbehebung ................................................................................ 151
Zugriff auf Fehlerbehebungsinformationen ................................................. 154
Anhang C Lizenzierung
Sitzungslizenzen für Client-to-Gateway-VPN-Funktionen der Symantec
Gateway Security 300 Serie ..................................................................... 155
Zusätzliche Sitzungslizenzen .................................................................. 155
Symantec Gateway Security
Appliance - Lizenz- und Garantievereinbarung ................................... 156
Anhang D Feldbeschreibungen
Beschreibung der Felder für das Protokollieren/Überwachen ................... 161
Beschreibung der Felder im Register "Status" ...................................... 162
Beschreibung der Felder im Register "Protokoll anzeigen" ................ 164
Beschreibung der Felder im Register "Protokolleinstellungen" ......... 165
Beschreibung der Felder im Register "Fehlerbehebung" ..................... 167
Beschreibung der Felder für die Verwaltung ................................................ 167
Beschreibung der Felder im Register "Allgemeine Verwaltung" ....... 168
Beschreibung der Felder im Register "SNMP" ...................................... 168
Beschreibung der Felder im Register "LiveUpdate" ............................. 169
Beschreibung der LAN-Felder .......................................................................... 170
Beschreibung der Felder im Register "LAN-IP & DHCP" ..................... 171
Beschreibung der Felder im Register "Port-Zuweisungen" ................. 172
Beschreibungen der WAN/ISP-Felder ............................................................ 174
Beschreibung der Felder im Register "Setup - Allgemein" .................. 175
Beschreibung der Felder im Register
"Statische IP-Adresse und statisches DNS" ................................... 176
Inhalt 7
Index
Lösungen für Service und Unterstützung
Kapitel 1
Einführung in die Symantec
Gateway Security Appliances
der 300er Serie
In diesem Kapitel werden folgende Themen behandelt:
■ Zielgruppe
■ Weitere Informationsquellen
Mit den Symantec Gateway Security Appliances der 300er Serie bietet Symantec
kleinen Unternehmen integrierte Sicherheitslösungen, mit denen auch WLANs
geschützt werden können.
Die Symantec Gateway Security Appliances der 300er Serie bieten in der Basis-
version sechs Sicherheitsfunktionen für die integrierte Sicherheit:
■ Firewall
■ IPsec Virtual Private Networks (VPNs) mit Hardware-basierender 3DES- und
AES-Verschlüsselung
■ Einhaltung von Virenschutz-Richtlinien (AVpe)
■ Erkennung von Angriffsversuchen
■ Schutz vor Angriffsversuchen
■ Statisches Content Filtering
Alle Funktionen wurden speziell für kleine Unternehmen konzipiert. Diese
Appliances sind bestens für Einzelplatzumgebungen oder als Erweiterung zu
Symantec Gateway Security Appliances der 5400er Serie in Umgebungen mit
einem Hub geeignet.
10 Einführung in die Symantec Gateway Security Appliances der 300er Serie
Zielgruppe
Zielgruppe
Dieses Handbuch richtet sich an System-Manager und Administratoren, die für
die Installation und die Pflege des Sicherheits-Gateways verantwortlich sind. Es
setzt umfassende Kenntnisse über Netzwerke und Internet-Browser voraus.
Weitere Informationsquellen
Die Funktionen der Symantec Gateway Security 300er Serie sind in den folgen-
den Handbüchern beschrieben:
■ Administratorhandbuch zur Symantec™ Gateway Security Appliance der
300er Serie
Das vorliegende Handbuch. Hier finden Sie Informationen zur Konfigura-
tion der Firewall, zu VPN, zur Einhaltung von Virenschutz-Richtlinien
(AVpe), zum Filtern von Web-Inhalten, IDS, IPS, zu LiveUpdate und allen
anderen Funktionen der Gateway-Appliance. Es ist im PDF-Format auf der
Software-CD-ROM der Symantec Gateway Security Appliance der 300er
Serie enthalten.
■ Installationshandbuch zur Symantec™ Gateway Security Appliance der 300er
Serie
In diesem Handbuch finden Sie detaillierte Anweisungen zur Installation
der Sicherheits-Gateway-Appliance und zur Verwendung des Setup-Assis-
tenten für die erstmalige Verbindungsherstellung.
■ Kurzanleitung zur Symantec™ Gateway Security Appliance der 300er Serie
Diese Kurzanleitung enthält die grundlegenden Schritte für die Installation
der Appliance.
Kapitel 2
Verwaltung des Sicherheits-
Gateways
In diesem Kapitel werden folgende Themen behandelt:
Informationen im
Befehlsschaltflächen rechten Teilfenster
Hinweis: Die WLAN-Funktionen werden im SGMI erst angezeigt, wenn ein kom-
patibler Symantec Gateway Security WLAN-Zugangspunkt installiert ist. Wei-
tere Informationen hierzu finden Sie im Symantec Gateway Security 300 Wireless
Implementierungshandbuch.
Sie können die folgenden Web-Browser für die Verbindung mit dem Security
Gateway Management Interface verwenden:
■ Microsoft Internet Explorer 5.5 oder 6.0 SP1
■ Netscape 6.23 oder 7.0
Es ist ggf. erforderlich, die Proxy-Einstellungen im Browser zu löschen, bevor Sie
eine Verbindung zum SGMI herstellen.
Verwaltung des Sicherheits-Gateways 13
Zugriff auf das Security Gateway Management Interface
Sie müssen die Appliance gemäß den Anweisungen in der Kurzanleitung zur
Symantec Gateway Security Appliance der 300er Serie installieren, bevor Sie eine
Verbindung zum SGMI herstellen.
Die Benutzerschnittstelle des SGMI kann je nach verwaltetem Modell leicht vari-
ieren. In Tabelle 2-1 sind die Ports der einzelnen Modelle aufgeführt.
320 1 4 1
360/360R 2 8 1
SGMI verwenden
Im Folgenden finden Sie Tipps zur Verwendung des SGMI:
■ Verwenden Sie zum Senden von Formularen die entsprechende Schaltfläche
der Benutzerschnittstelle und nicht die Eingabetaste.
■ Wenn beim Senden eines Formulars ein Fehler auftritt, wechseln Sie mithilfe
der entsprechenden Schaltfläche Ihres Browsers zur vorherigen Seite.
Dadurch bleiben die von Ihnen eingegebenen Daten erhalten.
■ Verwenden Sie die Tabulatortaste, um zwischen den Textfeldern für die IP-
Adresse zu wechseln.
■ Wenn die Appliance automatisch neu gestartet wird, nachdem Sie auf eine
Schaltfläche zum Senden eines Formulars geklickt haben, warten Sie ca. eine
Minute, bevor Sie erneut auf das SGMI zugreifen.
14 Verwaltung des Sicherheits-Gateways
Verwaltung des Administratorzugriffs
Administrator-Kennwort festlegen
Das Administrator-Kennwort gewährleistet den sicheren Zugriff auf das SGMI.
Der Zugriff auf das SGMI ist auf die Benutzer beschränkt, denen Sie ein Kennwort
zuweisen. Sie können dieses Kennwort ändern. Die Appliance muss installiert
und es muss eine Verbindung über einen Browser zum SGMI hergestellt sein,
damit Sie das Kennwort eingeben können. Weitere Informationen zum Einrich-
ten der Appliance finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
Das Administrator-Kennwort wird im Register "Administration > Allgemeine
Verwaltung" des Setup-Assistenten festgelegt. Außerdem können Sie IP-Adres-
sen von Rechnern für die Remote-Verwaltung der Appliance angeben. Der Benut-
zername des Administrators lautet immer "admin".
Administrator-Kennwort einrichten
Das Administrator-Kennwort wird anfänglich im Setup-Assistenten eingerich-
tet. Sie können es im SGMI ändern, es manuell zurücksetzen oder die Appliance
über die serielle Konsole zurücksetzen. Im letzteren Fall wird das Kennwort voll-
ständig zurückgesetzt.
Durch Reflashing der Appliance mit der app.bin-Version der Firmware wird das
Kennwort zurückgesetzt.
Siehe "Firmware manuell aktualisieren" auf Seite 136.
Warnung: Wenn Sie das Kennwort durch Drücken des Reset-Knopfs manuell
zurücksetzen, wird die LAN-IP-Adresse auf den Standardwert (192.168.0.1)
zurückgesetzt und der DHCP-Server wird aktiviert.
Remote-Verwaltung einrichten
Sie können remote über ein WAN auf das SGMI zugreifen. Dazu muss die IP-
Adresse des Computers im WAN innerhalb des von Ihnen festgelegten IP-Adress-
bereichs liegen. Dieser Bereich ist durch eine Anfangs- und eine End-IP-Adresse
definiert, die Sie im Register "Administration - Allgemeine Verwaltung" unter
"Remote-Verwaltung" angegeben haben. Sie sollten die IP-Adresse für die
Remote-Verwaltung einrichten, wenn Sie zum ersten Mal eine Verbindung zum
SGMI herstellen. Die Angaben für die Remote-Verwaltung werden unter Verwen-
dung des MD5-Algorithmus gesendet.
SGMI
Internet
Geschützte Geräte
Geben Sie beim Konfigurieren der Remote-Verwaltung eine Anfangs- und eine
End-IP-Adresse an. Wenn Sie für die Remote-Verwaltung nur eine IP-Adresse
angeben möchten, geben Sie diese sowohl als Anfangs- als auch als End-IP-
Adresse an. Geben Sie als Anfangs-IP-Adresse die Adresse mit der niedrigeren
Zahl und als End-IP-Adresse die Adresse mit der höheren Zahl an. Wenn Sie in
diese Felder keine Adressen eintragen, kann das SGMI nicht remote verwaltet
werden.
Verwaltung des Sicherheits-Gateways 17
Verwaltung des Sicherheits-Gateways mithilfe der seriellen Konsole
9 Drücken Sie den Reset-Knopf an der Rückseite der Appliance kurz, nachdem
das Terminal eine Verbindung zur Appliance hergestellt hat.
10 Führen Sie einen der folgenden Schritte an der Eingabeaufforderung aus:
Local IP Address Geben Sie "1" ein, um die IP-Adresse der Appliance zu
(Lokale IP-Adresse) ändern.
Local Network Mask Geben Sie "2" ein, um die Netzmaske der Appliance zu
(Lokale Netzwerkmaske) ändern.
Start IP Address Geben Sie "4" ein, um die Anfangs-IP-Adresse für den
(Anfangs-IP-Adresse) DHCP-Server anzugeben.
Finish IP Address Geben Sie "5" ein, um die End-IP-Adresse für den
(End-IP-Adresse) DHCP-Server anzugeben.
11 Führen Sie die folgenden Schritte aus, um die Werte für die oben aufgeführ-
ten Parameter zu ändern:
■ Geben Sie den neuen Wert für den zu ändernden Parameter ein.
■ Drücken Sie die Eingabetaste.
12 Wenn Sie die Standardwerte für die Appliance wiederherstellen möchten,
drücken Sie die Eingabetaste.
13 Geben Sie "7" ein.
Die Appliance wird neu gestartet.
14 Stellen Sie den DIP-Schalter 3 auf der Rückseite der Appliance in die AUS-
Position (nach unten).
15 Drücken Sie kurz den Reset-Knopf an der Rückseite der Appliance.
Kapitel 3
Konfiguration der Verbindung
zu einem externen Netzwerk
In diesem Kapitel werden folgende Themen behandelt:
Netzwerkbeispiele
Abbildung 3-1 zeigt ein Netzwerkdiagramm einer Symantec Gateway Security
Appliance der 300er Serie, die mit dem Internet verbunden ist. Das Terminal
steht für jede Art von Netzwerk-Terminal. Dabei kann es sich um ein von Ihrem
ISP (Internet Service Provider) bereitgestelltes Gerät oder um einen Netzwerk-
Switch handeln. Der Computer, über den die Appliance verwaltet wird, ist über
einen LAN-Port direkt mit der Appliance verbunden. Für die Verbindung mit dem
Security Gateway Management Interface wird ein Browser verwendet. Die Kom-
munikation der geschützten Rechner mit dem Internet erfolgt über die Symantec
Gateway Security Appliance der 300er Serie.
Konfiguration der Verbindung zu einem externen Netzwerk 23
Netzwerkbeispiele
Internet
Terminal
SGMI
Geschütztes Netzwerk
24 Konfiguration der Verbindung zu einem externen Netzwerk
Netzwerkbeispiele
Abbildung 3-2 zeigt ein Netzwerkdiagramm für die Verbindung mit einem Intra-
net. In diesem Beispiel schützt die Appliance einen Teil des gesamten internen
Netzwerks vor dem Zugriff durch unbefugte interne Benutzer. Die Kommunika-
tion der innerhalb dieses Teils geschützten Rechner mit dem Netzwerk findet
über eine Symantec Gateway Security Appliance der 300er Serie und anschlie-
ßend über eine Symantec Gateway Security Appliance der 5400er Serie statt.
Internet
Symantec Gateway
Security 5400 Serie
Router
Symantec Gateway
Security 300 Serie
SGMI
Geschütztes Netzwerk
Geschütztes Teilnetzwerk
Konfiguration der Verbindung zu einem externen Netzwerk 25
Allgemeines zum Setup-Assistenten
Hinweis: Wenn Sie die Sprache des SGMI ändern möchten, führen Sie den Setup-
Assistenten neu aus und wählen Sie eine andere Sprache aus.
Der Setup-Assistent prüft den aktuellen Status der WAN 1-Verbindung, bevor er
fortfährt. Wenn am WAN-Port (WAN 1 bei den Modellen 360 und 360R) eine Ver-
bindung mit einem aktiven Netzwerk besteht, führt der Setup-Assistent Sie
durch die Konfiguration von LiveUpdate und dem Administrator-Kennwort.
Wenn am WAN-Port keine aktive Verbindung besteht, gibt der Setup-Assistent
Ihnen Anweisungen zum Einrichten der ISP-spezifischen Verbindungsparame-
ter. In den WAN/ISP-Registern können Sie erweiterte Einstellungen vornehmen
oder den WAN-Port 2 konfigurieren.
Sie können den Setup-Assistenten nach der Installation jederzeit erneut ausfüh-
ren. Um den Setup-Assistenten auszuführen, klicken Sie im Register "WAN/
ISP > Setup - Allgemein" auf die Option zum Ausführen des Setup-Assistenten.
Weitere Informationen hierzu finden Sie im Installationshandbuch zur Symantec
Gateway Security Appliance der 300er Serie.
Einige Einstellungen gelten für beide WAN-Ports, andere müssen pro WAN-Port
festgelegt werden. Tabelle 3-1 enthält Einstellungen und Angaben darüber, ob sie
für einen oder für beide WAN-Ports gelten.
Backup-Konto Sie können eine primäre Verbindung für den WAN 1-Port
konfigurieren und an der seriellen Schnittstelle an der Rück-
seite der Appliance ein Modem für die Backup-Verbindung
anschließen. Siehe "Wählverbindungen" auf Seite 38.
Dynamischer DNS Gilt sowohl für WAN 1 als auch für WAN 2.
Siehe "Konfiguration des dynamischen DNS" auf Seite 45.
DNS-Gateway Gilt sowohl für WAN 1 als auch für WAN 2. Siehe "DNS-Gate-
way" auf Seite 54.
Server für Verbindungs- Konfigurieren Sie einen Server für den Verbindungs-Check
Check pro WAN-Port. Siehe "Wählverbindungen" auf Seite 38 oder
"Konfiguration der erweiterten WAN-/ISP-Einstellungen"
auf Seite 51.
Lastverteilung und Band- Geben Sie den prozentualen Anteil des Datenverkehrs an,
breitenbündelung am der über WAN 1 erfolgt. Der restliche Teil erfolgt über WAN
WAN-Port 2. Siehe "Lastverteilung" auf Seite 52.
SMTP an WAN-Port binden Sie können SMTP entweder an WAN 1 oder an WAN 2
binden. Siehe "SMTP-Bindung" auf Seite 52.
Wenn Sie über ein Breitbandkonto verfügen, können Sie anhand von Tabelle 3-3
den Verbindungstyp bestimmen.
Tabelle 3-3 Breitbandverbindungstypen
Ihr ISP oder Netzwerkadministrator sollte Ihnen auch Auskünfte über Ihren
Verbindungstyp geben können.
DHCP
Das DHCP (Dynamic Host Configuration Protocol) automatisiert die Netzwerk-
konfiguration von Computern. Es ermöglicht mehreren Clients in einem Netz-
werk, die Konfigurationsinformationen bei einem einzelnen Server (DHCP-Ser-
ver) abzurufen. Bei statischen Internetkonten sind die Benutzer die Clients, die
die Informationen vom DHCP-Server des Internet Service Providers (ISP) abru-
fen. In diesem Fall werden IP-Adressen nur verbundenen Konten zugewiesen.
Konfiguration der Verbindung zu einem externen Netzwerk 29
Konfiguration der Verbindung
Über Ihr Konto bei einem ISP werden Ihrem Rechner möglicherweise per DHCP
IP-Adressen zugewiesen. Breitband- und DSL-Konten arbeiten i. d. R. mit DHCP.
Ihr ISP kann Breitband-Kabelverbindungen authentifizieren, die die MAC- oder
die physische Adresse Ihres Computers oder Gateways verwenden.
Weitere Informationen dazu, wie Sie Ihre Appliance so konfigurieren, dass sie
beim Zuweisen von IP-Adressen zu Ihrem Computer DHCP verwendet, finden Sie
unter "Konfiguration der Verbindung" auf Seite 28.
Bevor Sie DHCP für Ihre WAN-Ports konfigurieren, müssen Sie im Fenster
"Setup - Allgemein" die Option "DHCP (Auto-IP)" als Verbindungstyp auswählen.
PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) wird von vielen ADSL-Anbietern
(Asymmetrical Digital Subscriber Line) verwendet. Mithilfe dieses Protokolls
können viele Benutzer eines Netzwerks über ein einzelnes dediziertes Medium,
z. B. ein DSL-Konto, mit dem Internet verbunden werden.
Sie können angeben, ob die Verbindung über Ihr PPPoE-Konto manuell oder
automatisch hergestellt werden soll. Diese Einstellung ist beim Prüfen einer Ver-
bindung hilfreich.
Sie können festlegen, dass die Appliance nur dann eine Verbindung herstellt,
wenn ein Benutzer im LAN eine Internetverbindung anfordert (z. B. eine Website
aufruft), und diese wieder beendet, wenn die Verbindung inaktiv ist. Diese Funk-
tion ist hilfreich, wenn Ihre Verbindungen pro Einwahl nach Verwendungsdauer
abgerechnet werden.
30 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung
PPPoE-Verbindung testen
Prüfen Sie, ob die PPPoE-Verbindung ordnungsgemäß hergestellt wird, nachdem
Sie ein PPPoE-Konto eingerichtet haben.
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPPoE-Register, wählen Sie
"WAN-Port und -Sitzungen" und anschließend im Dropdown-Listenfeld
"WAN-Port" den gewünschten WAN-Port.
■ Wählen Sie im Dropdown-Listenfeld "Sitzung" eine PPPoE-Sitzung aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbinden".
Beim Konfigurieren der Appliance für die Verbindung mit Ihrem statischen IP-
Konto benötigen Sie die folgenden Informationen:
■ Statische IP, Netzmaske und Standard-Gateway-Adressen
Diese Informationen erhalten Sie bei Ihrem ISP oder von Ihrer IT-Abteilung.
■ DNS-Adressen
Sie müssen die IP-Adressen von mindestens einem und höchstens drei DNS-
Servern angeben. Diese Informationen erhalten Sie bei Ihrem ISP oder von
Ihrer IT-Abteilung. Die DNS-IP-Adressen sind bei dynamischen Internet-
konten oder Konten, bei denen ein DHCP-Server die IP-Adressen zuweist,
nicht erforderlich.
Wenn Sie über eine statische IP-Adresse mit PPPoE verfügen, konfigurieren
Sie die Appliance für PPPoE.
5 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie unter "WAN 1 (extern)" im Dropdown-Listenfeld "Verbin-
dungstyp" auf "Statische IP".
■ Wenn der WAN 2-Port verwendet werden soll, klicken Sie unter "WAN 2
(extern)" im Bereich "HA-Modus" auf "Normal".
■ Um WAN 2 zu verwenden, klicken Sie unter "WAN 2 (extern)" im
Dropdown-Listenfeld "Verbindungstyp" auf "Statische IP".
■ Klicken Sie auf "Speichern".
■ Klicken Sie im rechten Teilfenster auf "Statische IP-Adresse und stati-
scher DNS" und geben Sie unter "WAN-1-IP-Adresse" oder "WAN-2-IP-
Adresse" in den entsprechenden Textfeldern die WAN-IP-Adressen für
die Symantec Gateway Security Appliance der 300er Serie ein.
■ Geben Sie im Textfeld "Netzmaske" die Netzmaske an.
■ Geben Sie in das Textfeld "Standard-Gateway" das Standard-Sicher-
heits-Gateway ein.
Die Symantec Gateway Security Appliance der 300er Serie sendet alle
Pakete, die sie nicht weiterleiten kann, an das Standard-Gateway.
■ Geben Sie in die Textfelder für die DNS-Server mindestens eine und
höchstens drei IP-Adressen von DNS-Servern ein.
6 Klicken Sie auf "Speichern".
PPTP
Das PPTP-Protokoll (Point-to-Point-Tunneling Protocol) ermöglicht den siche-
ren Datentransfer zwischen einem Client und einem Server. Dabei wird über ein
TCP/IP-basiertes Netzwerk ein Tunnel erstellt. Wenn Sie eine Verbindung zu
einem PPTP-Netzwerk-Server herstellen (i. d. R. über einen ISP), fungieren die
Symantec Gateway Security Appliances der 300er Serie als PPTP-Clients (PAC).
Beim Konfigurieren einer Appliance für PPTP benötigen Sie die folgenden Infor-
mationen:
■ IP-Adresse des PPTP-Servers
IP-Adresse des PPTP-Servers beim ISP.
■ Statische IP-Adresse
Ihrem Konto zugewiesene IP-Adresse.
■ Kontoinformationen
Benutzername und Kennwort, das Sie zum Anmelden bei Ihrem Konto
verwenden.
36 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung
PPTP-Verbindung testen
Prüfen Sie, ob die Verbindung ordnungsgemäß hergestellt wird, nachdem Sie ein
PPPTP-Konto eingerichtet haben.
Konfiguration der Verbindung zu einem externen Netzwerk 37
Konfiguration der Verbindung
3 Falls Sie das Modell 360 oder 360R verwenden, führen Sie folgende Schritte
aus:
■ Klicken Sie im rechten Teilfenster auf das PPTP-Register und wählen
Sie unter "WAN-Port" im zugehörigen Dropdown-Listenfeld den
gewünschten WAN-Port aus.
■ Klicken Sie unter "Manuelle Steuerung" auf "Verbinden".
Wählverbindungen
Es gibt zwei grundlegende Arten von Wählverbindungen: analog und ISDN. Bei
analogen Wählverbindungen wird die Verbindung über ein Modem und die her-
kömmliche Telefonleitung (RJ-11-Kabel) hergestellt. Bei ISDN-Verbindungen
wird eine spezielle Telefonleitung verwendet.
Sie können eine Appliance so konfigurieren, dass eine Wählverbindung als
primärer Verbindungstyp für das Internet oder als Backup-Verbindung mit
Ihrem statischen Benutzerkonto verwendet wird. Im Backup-Modus wählt die
Appliance automatisch den ISP an, wenn die Verbindung mit dem statischen
Konto fehlschlägt. Die Appliance reaktiviert die Verbindung mit dem statischen
Konto, sobald diese Verbindung wieder stabil ist. Das Failover von der primären
Verbindung zum Modem oder vom Modem zur primären Verbindung kann 30 bis
60 Sekunden dauern.
Sie können eine primäre Wählverbindung und eine Backup-Wählverbindung ein-
richten. Letztere können Sie einrichten, wenn Ihr statisches Konto für die pri-
märe Verbindung eingerichtet ist, diese Verbindung aber fehlgeschlagen ist.
Zunächst müssen Sie das Modem an die Appliance anschließen. Dann konfigurie-
ren Sie die Wählverbindung im SGMI.
Sie können die Verbindung jederzeit auch manuell herstellen oder beenden.
Konfiguration der Verbindung zu einem externen Netzwerk 39
Konfiguration der Verbindung
Serielle Schnittstelle
Abbildung 3-4 zeigt die serielle Schnittstelle an der Rückseite des Modells 360
bzw. 360R.
Abbildung 3-4 Rückseite der Symantec Gateway Security 360 und 360R
Appliances
Serielle Schnittstelle
Bevor Sie die Wählverbindung als primäre oder als Backup-Verbindung einrich-
ten, müssen Sie Folgendes griffbereit haben:
Einwahlnummern Mindestens eine und höchstens drei Telefonnummern für die Wähl-
verbindung.
Modem/Kabel Ein externes Modem und ein serielles Kabel zum Anschließen des
Modems an der seriellen Schnittstelle an der Rückseite der Appliance.
Dokumentation zum In der Dokumentation Ihres Modems finden Sie Angaben zum
Modem Modembefehl oder zum Modell, falls diese erforderlich sind.
40 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der Verbindung
Wählverbindungen konfigurieren
Zunächst müssen Sie das Modem an die Appliance anschließen. Dann konfigurie-
ren Sie die Wählverbindung im SGMI.
Kennwort bestätigen Geben Sie das Kennwort für das Konto erneut ein.
Leerlaufzeitlimit Geben Sie an, nach wie vielen Minuten der Inaktivität die Ver-
bindung beendet werden soll.
Wählverbindung testen
Prüfen Sie, ob die Wählverbindung ordnungsgemäß hergestellt wird, nachdem
Sie diese eingerichtet haben.
Erweiterte DHCP-Einstellungen
Wenn Sie mit DHCP-Verbindungen arbeiten, können Sie festlegen, wann die
Appliance eine Erneuerungsanforderung sendet, damit der ISP der Appliance
eine neue IP-Adresse zuweist.
Sie können die Appliance jederzeit anweisen, eine neue IP-Adresse anzufordern,
indem Sie eine DHCP-Erneuerung erzwingen. Sie sollten dies jedoch nur auf
Anweisung durch die Technische Unterstützung von Symantec hin tun.
Erweiterte PPP-Einstellungen
Sie können die Echo-Anforderungen konfigurieren, die die Appliance zum Testen
der PPPoE-Verbindung sendet.
Kennwort bestätigen Geben Sie das Kennwort für das DNS-Konto erneut ein.
Hinweis: Wenn NAT aktiviert ist, werden in der Routing-Liste nur sechs Routen
angezeigt. Wenn NAT deaktiviert ist, werden in der Liste alle konfigurierten
Routen angezeigt.
Ziel-IP Geben Sie die IP-Adressen ein, an die Datenpakete gesendet werden
sollen.
Netzmaske Geben Sie die Netzmaske des Routers ein, an den Datenpakete
gesendet werden.
Gateway Geben Sie die IP-Adresse der Schnittstelle ein, an die Datenpakete
gesendet werden.
Schnittstelle Wählen Sie die Schnittstelle aus, von der Daten gesendet werden.
Maßzahl Geben Sie eine Zahl ein, die die Reihenfolge der Einträge darstellt.
Wenn ein Eintrag beispielsweise an dritter Stelle stehen soll, geben
Sie "3" ein.
Hinweis: Das Modell 320 verfügt über einen WAN-Port und unterstützt die Hoch-
verfügbarkeit, die Lastverteilung und die Bandbreitenbündelung nicht.
Hochverfügbarkeit
Sie können die Hochverfügbarkeit pro WAN-Port auf drei Arten festlegen:
Normal, Aus oder Backup. In Tabelle 3-4 sind die einzelnen Modi beschrieben.
Modus Beschreibung
Normal Die Einstellungen für die Lastverteilung wirken sich auf den Port
aus, wenn dieser aktiviert und betriebsbereit ist.
Backup Der WAN-Port leitet den Datenverkehr nur weiter, wenn der andere
WAN-Port nicht betriebsbereit ist.
Standardmäßig ist WAN 1 auf "Normal" und WAN 2 auf "Aus" gesetzt.
Durch Bündelung können Sie die über WAN 1 und WAN 2 gesendete Datenmenge
zusammenfassen, um Ihren Clients mehr Bandbreite zur Verfügung zu stellen. In
WAN-Verbindungen kann je nach Art des Datenverkehrs durch Datenbündelung
bis zur doppelten Datenmenge übertragen werden.
52 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten WAN-/ISP-Einstellungen
Lastverteilung
Die Symantec Gateway Security-Modelle 360 und 360R verfügen jeweils über
zwei WAN-Ports. Bei diesen Appliances können Sie die Hochverfügbarkeit und
die Lastverteilung (HV/LV) zwischen den beiden WAN-Ports einrichten.
Sie können festlegen, welcher Prozentsatz der Datenpakete über WAN 1 und wel-
cher über WAN 2 gesendet wird. Dabei müssen Sie nur den Prozentwert für WAN
1 eingeben. Der verbleibende Prozentsatz an Daten wird dann über WAN 2 gesen-
det. Verfügt ein WAN-Port nur über eine langsame Verbindung, verwenden Sie
für diesen WAN-Port auch nur einen geringen Prozentsatz. So können Sie die
Gesamt-Performance verbessern.
SMTP-Bindung
Verwenden Sie die SMTP-Bindung, wenn zwei Internetverbindungen über unter-
schiedliche ISPs und unterschiedliche WAN-Ports bestehen. Dadurch ist sicher-
gestellt, dass von einem Client gesendete E-Mail über den WAN-Port weitergelei-
tet wird, der für den E-Mail-Server vorgesehen ist.
Wenn sich der SMTP-Server in demselben Teilnetz befindet wie einer der WAN-
Ports, bindet das Sicherheits-Gateway den SMTP-Server automatisch an diesen
WAN-Port, ohne dass Sie die Bindungsdaten angeben müssen.
Konfiguration der Verbindung zu einem externen Netzwerk 53
Konfiguration der erweiterten WAN-/ISP-Einstellungen
Failover
Sie können festlegen, dass die Appliance regelmäßig überprüft, dass eine Verbin-
dung aktiv und somit für Ihre Clients verfügbar ist. Dabei sendet die Appliance
nach einem von Ihnen angegebenen Zeitraum (z. B. 10 Sekunden) ein PING-Sig-
nal an die URL, die Sie für den Server für den Verbindungscheck angegeben
haben. Wenn Sie keinen Server für den Verbindungscheck angeben, wird das
Standard-Gateway verwendet.
Hinweis: Geben Sie für den Test einen DNS-Namen oder eine IP-Adresse an, bei
denen sicher mit einer Reaktion auf eine Anforderung zu rechnen ist. Anderen-
falls kann es sein, dass der Test eine inaktive Verbindung ergibt, obwohl diese
tatsächlich aktiv ist.
Wenn die Verbindung über den WAN-Port des Modells 320 fehlschlägt, leitet das
Sicherheits-Gateway den Datenverkehr an das Modem weiter, das an der seriel-
len Schnittstelle angeschlossen ist. Wenn bei den Modellen 360 und 360R die
Verbindung über einen der WAN-Ports fehlschlägt, leitet das Sicherheits-Gate-
way den Datenverkehr an den jeweils anderen WAN-Port weiter. Wenn die Ver-
bindung über beide WAN-Ports fehlschlägt, leitet das Sicherheits-Gateway den
Datenverkehr über die serielle Schnittstelle weiter.
Wenn eine Leitung physisch unterbrochen ist, wird sie wie eine getrennte Lei-
tung behandelt und die Appliance versucht, den Datenverkehr an die serielle
Schnittstelle bzw. den zweiten WAN-Port weiterzuleiten.
54 Konfiguration der Verbindung zu einem externen Netzwerk
Konfiguration der erweiterten WAN-/ISP-Einstellungen
Wenn ein Kabel angeschlossen ist, prüft die Appliance im Abstand von einigen
Sekunden, ob die Leitung aktiv ist. Wenn keine Verbindung über die Leitung her-
gestellt werden kann, wird im Register "Protokoll/Überwachen > Status" der
Status "Getrennt" angezeigt, und es wird versucht, die Daten über eine andere
Leitung zu senden.
Weitere Informationen zum Einrichten der Wählverbindung für das Failover fin-
den Sie unter "Wählverbindungen" auf Seite 38. Weitere Informationen zum Ein-
richten von Echo-Anforderungen bei PPP-Verbindungen finden Sie unter
"PPPoE-Verbindung manuell herstellen" auf Seite 32.
DNS-Gateway
Sie können für die lokale und Remote-Namensauflösung über Ihr VPN ein DNS-
Gateway angeben.Die Appliances können für die lokale und Remote-Namens-
auflösung über das VPN (Gateway-to-Gateway oder Client-to-Gateway) ein DNS-
Gateway verwenden.
Sie können ein Backup-DNS-Gateway angeben. Dieses Backup-DNS-Gateway (in
der Regel ein von Ihrem ISP bereitgestelltes DNS-Gateway) übernimmt die
Namensauflösung, wenn zum ursprünglich angegebenen DNS-Gateway keine
Verbindung hergestellt werden kann.
Optionale Netzwerkeinstellungen
Mithilfe der optionalen Netzwerkeinstellungen wird Ihre Appliance in Ihrem
Netzwerk identifiziert. Wenn beim Verbinden mit oder Verweisen auf Ihre
Appliance ein Name verwendet werden soll, müssen Sie optionale Einstellungen
festlegen.
Bei einigen Internet Service Providern wird die Identifizierung anhand der
physischen Adresse (MAC-Adresse) des Ethernet-Ports durchgeführt. Dies ist in
der Regel bei Breitband-Diensten (DHCP) der Fall. Sie können die Adapteradresse
Ihrer Netzwerkkarte imitieren, um die Verbindung zu Ihrem ISP über die
Symantec Gateway Security Appliance der 300er Serie herzustellen. Diese Vor-
gehensweise wird als MAC-Adressen-Cloning oder -Maskierung bezeichnet.
Wenn die Appliance als drahtloser Zugangspunkt verwendet wird, müssen die
optionalen Netzwerkeinstellungen eingerichtet werden. Weitere Informationen
hierzu finden Sie im Symantec Gateway Security 300 Wireless Implementierungs-
handbuch.
Beim Modell 320 können Sie diese Einstellungen für den WAN-Port vornehmen.
Bei den Modellen 360 und 360R können Sie diese Einstellungen für einen oder
beide WAN-Ports festlegen.
Beim Festlegen der optionalen Netzwerkeinstellungen benötigen Sie die folgen-
den Informationen:
MAC-Adresse Physische Adresse des WANs, in dem sich die Appliance befindet.
Zum MAC-Cloning sollten Sie die MAC-Adresse verwenden, die der
ISP sehen wird, und nicht die Adresse der Appliance.
Hinweis: Das Modell 320 verfügt über vier LAN-Ports. Die Modelle 360 und 360R
verfügen über acht LAN-Ports. Sie müssen pro Port die Port-Einstellungen mit-
hilfe der Port-Zuweisungen einrichten. Mithilfe dieser Einstellungen können
drahtlose und kabelgebundene LANs konfiguriert werden.
58 Konfigurieren interner Verbindungen
Konfiguration der LAN-IP-Einstellungen
Warnung: Nachdem Sie die LAN-IP-Adresse der Appliance geändert haben, müs-
sen Sie zur neuen Appliance-IP-Adresse navigieren, um das SGMI verwenden zu
können. Wenn Sie auf die Browser-Schaltfläche zum Abrufen der vorherigen
Seite klicken, versucht dieser, auf die alte IP-Adresse zuzugreifen.
Hinweis: Jeder Client-Computer, der DHCP verwenden soll, muss in den Netzwerk-
einstellungen so konfiguriert sein, dass er seine IP-Adresse automatisch abruft.
Standardmäßig kann die Appliance Adressen aus einem Bereich von 192.168.0.2
bis 192.168.0.XXX zuweisen, wobei XXX der Anzahl der Clients zuzüglich zwei
Adressen entspricht. Wenn Ihre Appliance beispielsweise 50 Clients unterstützt,
lautet die letzte IP-Adresse 192.168.0.52. Der DHCP-Server der Appliance unter-
stützt bis zu 253 IP-Adressen von mit ihm verbundenen Computern. Wenn Sie
die IP-Adresse der Appliance ändern, müssen Sie den IP-Adressbereich entspre-
chend anpassen. Siehe "So ändern Sie den DHCP-IP-Adressbereich" auf Seite 60.
Tabelle 4-1 enthält die vorgegebene Anfangs- und End-IP-Adresse für die einzel-
nen Appliance-Modelle. Der vorgegebene Adressbereich basiert jeweils auf der
empfohlenen Höchstzahl von gleichzeitig mit der Appliance verbundenen
Clients. Die Anzahl der Clients, die unterstützt werden, kann je nach Art des
Datenverkehrs variieren.
Tabelle 4-1 Vorgegebene IP-Adressbereiche
DHCP-Verwendung überwachen
In der DHCP-Tabelle sind die Adressen aufgeführt, die verbundenen Clients
zugewiesen sind. Der Host-Name, die IP-Adresse, die physische Adresse und der
Status werden pro Client angezeigt. Nach einem Neustart der Appliance dauert
es bis zu einer Stunde, bis diese Tabelle vollständig aktualisiert ist.
Standard-Port-Zuweisung
Wenn LAN-Ports als Standard eingerichtet sind, fungiert die Appliance als typi-
scher Switch, d. h. sie leitet Datenverkehr basierend auf der MAC-Adresse weiter
und der Datenverkehr kommt nur beim Sicherheits-Gateway an, wenn dieses
speziell dafür eingerichtet wurde.
Diese Option unterstützt keine Client-VPN-Tunnels, die im LAN enden. Wenn ein
LAN-Port als Standard definiert wurde, wird er nicht als Teil des VLANs betrachtet.
Wenn Sie "Standard" wählen, wird am Switch kein VPN-Datenverkehr erzwun-
gen, d. h. es wird von einem vertrauenswürdigen privaten Netzwerk ausgegangen.
Port-Zuweisungen konfigurieren
Sie können für einen LAN-Port eine bestimmte Zuweisung festlegen oder die
Standard-Port-Einstellungen wiederherstellen.
Siehe "Beschreibung der Felder im Register "Port-Zuweisungen"" auf Seite 172.
62 Konfigurieren interner Verbindungen
Konfiguration der Port-Zuweisungen
Stellen Sie vor dem Konfigurieren des Sicherheits-Gateways die folgenden Über-
legungen an:
■ Setzen Sie sich mit Computern und Computer-Gruppen auseinander.
Siehe "Wissenwertes über Computer und Computer-Gruppen" auf Seite 64.
■ Welche Art von Benutzern soll durch das Sicherheits-Gateway geschützt
werden? Sollen alle Benutzer dieselben Zugriffsrechte und Berechtigungen
haben?
■ Welche Dienste möchten Sie internen Benutzern bereitstellen?
■ Welche Standard-Anwendungsdienste möchten Sie externen Benutzern
bereitstellen?
■ Welche speziellen Anwendungsdienste sollen für externe Benutzer und
Hosts verfügbar sein?
Die Modelle 360 und 360R ermöglichen es, einen Computer auf einen WAN-Port
zu beschränken. Dies ist sinnvoll, wenn Sie an den zwei WAN-Ports unterschied-
liche Breitbandverbindungen verwenden und ein Computer einen bestimmten
WAN-Port verwenden soll. Dies bietet sich bei Servern oder Anwendungen an, die
immer eine bestimmte WAN-IP-Adresse verwenden müssen, z. B. FTP. Standard-
mäßig ist diese Option deaktiviert.
Computer konfigurieren
Wenn Sie ein ISP-Konto für mehrere PPPoE-Sitzungen verwenden, binden Sie in
diesem Register einen Host an eine Sitzung (WAN-IP).
66 Steuerung des Netzwerkverkehrs
Wissenwertes über Computer und Computer-Gruppen
Computer-Gruppen definieren
Computer-Gruppen sind logische Gruppen von Netzwerk-Entitäten, die für Aus-
gangsregeln verwendet werden. Sie müssen alle lokalen Hosts (Knoten) im Regis-
ter "Computer" konfigurieren und an die Computer-Gruppe binden, in der sie
sich befinden. Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf
Seite 65.
Sie können die folgenden Einstellungen für eine Computer-Gruppe vornehmen:
■ Einhaltung von Virenschutz-Richtlinien.
Siehe "Allgemeines zur Einhaltung von Virenschutz-Richtlinien (AVpe)" auf
Seite 108.
■ Content Filtering.
Siehe "Erweiterte Steuerung des Netzwerkverkehrs" auf Seite 107.
■ Zugriffssteuerung.
Siehe "Definition von Eingangsregeln" auf Seite 68.
Eingangsregeln definieren
Sie können den Konfigurationsvorgang jederzeit durch Klicken auf "Abbrechen"
beenden.
Sie können die Angaben im Register jederzeit durch Klicken auf "Angaben
löschen" entfernen.
Siehe "Beschreibung der Felder für Eingangsregeln" auf Seite 195.
Wenn Sie einen Dienst verwenden, der nicht aufgeführt ist, oder einen Dienst,
der nicht den Standard-Port verwendet, können Sie eigene, benutzerdefinierte
Dienste erstellen. Benutzerdefinierte Dienste müssen vor Ausgangsregeln
erstellt werden.
Siehe "Konfiguration von Diensten" auf Seite 73.
Wenn Sie für Gruppe 2 eine Ausgangsregel für den FTP-Dienst erstellen, können
die Mitglieder dieser Gruppe den ausgehenden FTP-Dienst nutzen. Wenn Sie für
die Computer-Gruppe "Alle" eine Ausgangsregel für den SMTP-Dienst aktivieren,
können die Mitglieder dieser Gruppe ausgehende E-Mails senden. Wenn Sie für
Gruppe 2 eine Ausgangsregel für den FTP-Dienst erstellen, können die Mitglieder
dieser Gruppe den ausgehenden FTP-Dienst nutzen. Wenn für die Computer-
Gruppe 1 keine Regeln erstellt sind, wird standardmäßig der gesamte ausgehende
Datenverkehr zugelassen. Abbildung 5-1 stellt diese Beispiele grafisch dar.
Ausgangsregel Ausgangsregel
Name: E_Mail_1 Name: FTP_2
Computer-Gruppe: Computer-Gruppe:
Alle Computer-Gruppe 2
Dienst: Mail Dienst: FTP
(SMTP)
Ausgangsregeln definieren
Sie können den ausgehenden Datenverkehr steuern, indem Sie eine Regel defi-
nieren, diese bei Bedarf aktualisieren oder löschen. Sie können den ausgehenden
Datenverkehr auch vorübergehend blockieren, um Fehler zu beheben oder den
Netzwerkverkehr zu steuern.
Siehe "Beschreibung der Felder im Register "Ausgangsregeln"" auf Seite 196.
72 Steuerung des Netzwerkverkehrs
Definition von Ausgangsregeln
Hinweis: Bei den Modellen 360 und 360R müssen FTP-Anwendungs-Server ent-
weder an den WAN 1-Port oder den WAN 2-Port gebunden werden. Alle anderen
Anwendungen, z. B. HTTP, müssen nicht an einen WAN-Port gebunden
werden.Siehe "Bindung an andere Protokolle" auf Seite 53.
Es gibt zwei Protokolltypen, die von Diensten verwendet werden: TCP und UDP.
Der Port-Bereich gibt an, welche Ports auf der Appliance kommunizieren kön-
nen. Wenn Protokolle einen Port-Bereich zulassen, müssen Sie den Anfangs- und
End-Port für die zu überwachenden Ports angeben. Wenn Protokolle keinen Port-
Bereich zulassen, sind der Anfangs- und End-Port für die zu überwachenden
Ports identisch.
Dienste umleiten
Sie können festlegen, dass Dienste von dem Port, den sie normalerweise ansteu-
ern würden (Überwachte Port[s]), zu einem anderen Port (Umleiten auf Port[s])
umgeleitet werden. Das Umleiten von Diensten ist nur bei Eingangsregeln mög-
lich. Ausgangsregeln ignorieren diese Einstellung.
Wenn Sie beispielsweise an Port 80 eingehenden TCP-Web-Datenverkehr zu
einem internen Web-Server umleiten möchten, der Port 8080 auf TCP über-
wacht, erstellen Sie einen neuen Dienst mit dem Namen "WEB_8080". Wählen Sie
"TCP" als Protokoll aus und geben Sie sowohl als Anfangs- als auch als End-Port
"80" an. Geben Sie unter "Umleiten auf Port(s)" sowohl als Anfangs- als auch als
End-Port "8080" an. Erstellen Sie dann eine Eingangsregel für den Web-Anwen-
dungs-Server, der den Dienst "WEB_8080" verwendet, und aktivieren Sie diese.
Hinweis: Die Anzahl der Ports, zu denen der Datenverkehr umgeleitet wird, muss
der Anzahl der überwachten Ports entsprechen. Wenn beispielsweise die Ports 21
bis 25 überwacht werden, müssen Sie auch fünf Ports für die Umleitung angeben.
74 Steuerung des Netzwerkverkehrs
Konfiguration von Diensten
Dienste konfigurieren
Sie müssen Dienste zunächst erstellen, bevor Sie sie zu einer Eingangsregel hin-
zufügen. Sie können erstellte Dienste aktualisieren oder löschen.
Siehe "Beschreibung der Felder im Register "Dienste"" auf Seite 196.
Die Appliance überwacht Ports nur auf den LAN-Datenverkehr. Der Port-Trigger
wird also von einem Computer im LAN und nicht vom eingehenden Datenverkehr
aktiviert. Der Datenverkehr muss von einer LAN-Anwendung initiiert werden
und Sie müssen wissen, welche Ports oder Port-Bereiche von dieser Anwendung
verwendet werden, um eine Einstellung für spezielle Anwendungen vornehmen
zu können. Für Datenverkehr, der von externen Rechnern gesendet wird, muss
eine Eingangsregel erstellt werden.
3 Nehmen Sie die Änderungen in den Feldern für die spezielle Anwendung vor.
4 Klicken Sie auf "Aktualisieren".
Die konfigurierte Regel wird in der Liste der speziellen Anwendungen angezeigt.
IDENT-Port aktivieren
Bei Abfragen am IDENT-Port (113) werden in der Regel der Host- und der Firmen-
name zurückgegeben. Dieser Dienst stellt jedoch ein Sicherheitsrisiko dar, weil
andere mithilfe dieser Informationen die Angriffe auf Ihr System methodisch
verfeinern können. Standardmäßig setzt die Appliance alle Ports in den Modus
"Verborgen". Dadurch bleibt ein Computer außerhalb des Netzwerks unsichtbar.
Manche Server (beispielsweise bestimmte E-Mail- oder MIRC-Server) verwenden
den IDENT-Port des Systems, das auf sie zugreift.
Sie können festlegen, dass die Appliance den IDENT-Port aktiviert. Wenn Sie
diese Option aktivieren, wird Port 113 geschlossen, nicht verborgen. Sie sollten
diese Option nur aktivieren, wenn Probleme beim Zugriff auf einen Server auftre-
ten (Zeitüberschreitung beim Server-Zugriff).
NAT-Modus deaktivieren
Sie können das Sicherheits-Gateway als Standard-Netzwerk-Router einrichten,
um verschiedene Teilnetze eines internen Netzwerks voneinander zu trennen.
Wenn Sie den NAT-Modus deaktivieren, deaktivieren Sie die Sicherheitsfunktio-
nen für die Firewall. Diese Einstellung sollte nur für die Verteilung im Intranet
verwendet werden. In diesem Fall wird das Sicherheits-Gateway in einem
geschützten Netzwerk als Bridge verwendet. Wenn das Sicherheits-Gateway im
NAT-Modus verwendet wird, dient es als 802.1D-Gerät (MAC-Bridge).
IPsec-Durchgang aktivieren
IPsec-Durchgang wird vom Sicherheits-Gateway unterstützt. Aktivieren Sie die
Einstellung "Keine", wenn der unter "Exponierter Host (DMZ)" verwendete VPN-
Client über das Sicherheits-Gateway hinweg keine Verbindungen herstellen kann.
Im Folgenden sind die unterstützten IPsec-Typen aufgeführt:
■ 1 SPI
ADI - Assured Digital
■ 2 SPI
Standard-Clients (Symantec, Cisco Pix und Nortel Contivity)
■ 2 SPI-C
Cisco Concentrator 30X0 Serie-Clients
■ Anderer
Redcreek Ravlin
■ Keiner
Hinweis: Ändern Sie die IPsec-Durchgangs-Option nur, wenn Sie von einem
Mitarbeiter der Technischen Unterstützung von Symantec dazu aufgefordert
werden.
Steuerung des Netzwerkverkehrs 79
Konfiguration der erweiterten Optionen
Warnung: Aktivieren Sie aufgrund des Sicherheitsrisikos die Funktion für expo-
nierte Hosts nur, wenn dies unbedingt erforderlich ist.
ICMP-Anforderungen verwalten
Standardmäßig reagiert das Sicherheits-Gateway nicht auf externe ICMP-Anfor-
derungen, die an die WAN-Ports gesendet werden. Sie können das Sicherheits-
Gateway auch so einrichten, dass es ICMP-Anforderungen an den WAN-Ports
blockiert oder zulässt. Im LAN gesendete ICMP-Anforderungen erfordern immer
eine Reaktion.
Hinweis: Die Symantec Gateway Security Appliances der 300er Serie unterstüt-
zen keine VPN-Tunnel-Komprimierung. Wenn Sie einen Gateway-to-Gateway-
Tunnel zwischen einer Symantec Gateway Security Appliance der 300er Serie
und einer externen Symantec Gateway Security Appliance der 5400er Serie oder
einer Symantec Enterprise Firewall einrichten, legen Sie auf dem externen
Gateway für die Komprimierung den Wert "KEINE" fest.
Einrichten sicherer VPN-Verbindungen 83
Erstellen von Sicherheitsrichtlinien
Feld Beschreibung
Gültigkeit der Sicherheits- Konfigurierte Einstellung für die Gültigkeit der Sicher-
zuordnung heitszuordnung
PFS PFS-Einstellung
Dynamische Benutzer
Dynamische Benutzer werden nicht auf der Appliance definiert. Sie verwenden
zur Authentifizierung Ihrer Tunnel die erweiterte RADIUS-Authentifizierung.
Dynamische Benutzer werden auf dem RADIUS-Server definiert.
Wenn ein dynamischer Benutzer eine Authentifizierung durchführen möchte,
sucht die Appliance diesen Benutzernamen in der Liste der Benutzer. Wenn sie
den Namen dort nicht findet, verwendet sie den vorab installierten Geheimcode,
den der Benutzer in der Client-Software eingegeben hat. Dieser vorab installierte
Geheimcode muss mit dem im Fenster "Erweitert" festgelegten Geheimcode für
das Sicherheits-Gateway übereinstimmen, zu dem die Verbindung hergestellt
wird. Anschließend startet die Appliance die erweiterte Authentifizierung und
Einrichten sicherer VPN-Verbindungen 87
Identifizierung von Benutzern
Benutzer
Benutzer werden durch eine Client-ID (Benutzername) und einen vorab instal-
lierten Schlüssel authentifiziert, den Sie den Benutzern zuvor zuweisen. Diese
geben den Benutzernamen und das Kennwort in ihrer Client-Software ein. Diese
Angaben werden gesendet, wenn sie einen VPN-Tunnel zu einem Sicherheits-
Gateway herstellen möchten.
Benutzer werden in der Appliance definiert und können auch die erweiterte
Authentifizierung verwenden.
Benutzer definieren
Stellen Sie sicher, dass Sie von Ihrem RADIUS-Administrator alle erforderlichen
Authentifizierungsinformationen erhalten, die Sie an die Benutzer mit erweiter-
ter Authentifizierung weiterleiten müssen.
Benutzer definieren
Benutzer müssen in der Appliance definiert werden und können auch die erwei-
terte Authentifizierung verwenden. Dynamische Benutzer müssen die erweiterte
Authentifizierung verwenden und werden nicht in der Appliance definiert.
Primärer RADIUS-Server Geben Sie die IP-Adresse oder den voll qualifizierten
Domänennamen des RADIUS-Servers an.
Sekundärer RADIUS-Server Geben Sie die IP-Adresse oder den voll qualifizierten
Domänennamen des RADIUS-Servers an, den das
Sicherheits-Gateway für die Authentifizierung ver-
wendet, falls der Primär-Server nicht verfügbar ist.
Authentifizierungs-Port Geben Sie den Port auf dem RADIUS-Server an, auf
(UDP) dem der RADIUS-Dienst ausgeführt wird.
Vorab installierter Geheim- Geben Sie den Schlüssel des RADIUS-Servers ein.
code oder Schlüssel
Feld Beschreibung
Bei diesem Konfigurationstyp werden in der Regel zwei Teilnetze eines Netz-
werks oder, wie in Abbildung 6-1 dargestellt, zwei standortferne Niederlassun-
gen über das Internet verbunden. Wenn ein VPN-Tunnel hergestellt ist, können
die Benutzer, die am einen Ende durch ein Sicherheits-Gateway geschützt sind,
eine getunnelte Verbindung zum Sicherheits-Gateway herstellen, das das
externe Netzwerk schützt. Die externen Benutzer können eine Verbindung zum
privaten Netzwerk herstellen und auf dessen Ressourcen zugreifen, als ob die
externe Workstation sich innerhalb des geschützten Netzwerks befinden würde.
Die Symantec Gateway Security Appliances der 300er Serie können eine Verbin-
dung zu einer anderen 300er Appliance von Symantec oder zu einer der folgen-
den Appliances herstellen:
■ Symantec Gateway Security 5400 Serie
■ Symantec Firewall/VPN Appliance
Mithilfe der Appliances der Symantec Gateway Security 300 Serie können Sie
VPN-Tunnels zu bis zu fünf Remote-Teilnetzen herstellen, die durch Symantec
Enterprise Firewalls oder Appliances der Symantec Gateway Security 5400 Serie
geschützt sind. Tunnels zu Teilnetzen, die durch Appliances der Symantec Gate-
way Security 300 Serie oder durch Symantec Firewall/VPN Appliances geschützt
sind, werden nicht unterstützt. Tunnels zwischen zwei Appliances der Symantec
Gateway Security 300 Serie können nur zum LAN-seitigen Teilnetz hergestellt
werden. Sie unterstützen nur den ersten (Teilnetz/Maske) von fünf Sätzen, die Sie
in den Registern "VPN > Dynamische Tunnels" oder "VPN > Statische Tunnels"
angeben.
Einrichten sicherer VPN-Verbindungen 91
Konfiguration von Gateway-to-Gateway-Tunnels
Wenn es LAN-seitig der Appliance der Symantec Gateway Security 300 Serie ein
weiteres Teilnetz gibt, werden VPN-Client-Tunnels zu diesem Teilnetz nicht unter-
stützt. Für WAN-/LAN-seitige VPN-Tunnels werden nur die Computer unterstützt,
die sich im Appliance-Teilnetz befinden (im LAN-IP-Fenster festgelegt).
Unterstützte Gateway-to-Gateway-VPN-Tunnels
Die Symantec Gateway Security Appliances der 300er Serie ermöglichen die Kon-
figuration zweier Typen von Gateway-to-Gateway-VPN-Tunnels:
Falls es ein Problem mit dem Netzwerk gibt, stellt das Sicherheits-Gateway den
VPN-Tunnel automatisch über einen Backup-Port (WAN-Port oder serielle
Schnittstelle) her. Wenn sich die IP-Adresse des Sicherheits-Gateways ändert,
werden Gateway-to-Gateway-VPN-Tunnels unter Verwendung der neuen IP-
Adresse über das Remote-Gateway neu hergestellt.
Tunnels zwischen Symantec Gateway Appliances der 300er Serie und Symantec
Gateway Security Appliances der 5400er Serie werden nur für die Hochverfüg-
barkeit unterstützt.
Hinweis: Führen Sie die in Tabelle 6-4 beschriebenen Schritte zweimal aus: ein-
mal für das lokale Sicherheits-Gateway und ein weiteres Mal für das Remote-
Sicherheits-Gateway.
Task SGMI
Parameter für die IPsec-Sicherheitszuordnung VPN > Dynamische Tunnels > IPsec-
definieren Sicherheitszuordnung
VPN-Richtlinie auswählen
Task SGMI
Hinweis: Führen Sie die in Tabelle 6-7 beschriebenen Schritte zweimal aus: ein-
mal für das lokale Sicherheits-Gateway und ein weiteres Mal für das Remote-
Sicherheits-Gateway.
Task SGMI
Parameter für die IPsec-Sicherheitszuordnung VPN > Statische Tunnels > IPsec-
definieren Sicherheitszuordnung
15 Geben Sie in die Textfelder für die Netzmasken die Maske des Zielteilnetzes
ein.
Um einen globalen Tunnel zu erstellen, geben Sie "255.0.0.0" ein.
16 Klicken Sie auf "Hinzufügen".
Informationen Wert
IP-Adresse
Authentifizierungsschlüssel
(Statischer Tunnel)
Verschlüsselungsschlüssel
(Statischer Tunnel)
Vorinstallierter Schlüssel
Lokales Teilnetz/Maske
VPN-Richtlinien-Verschlüsselungsmethode
VPN-Richtlinien-Authentifizierungsmethode
Wenn ein VPN-Tunnel erstellt wurde, können Remote-Benutzer über das Inter-
net sicher auf die Ressourcen des privaten Netzwerks zugreifen, so als ob sich die
Remote-Arbeitsstation innerhalb des geschützten Netzwerks befinden würde
(siehe Abbildung 6-2).
Internet
Symantec Gateway Symantec Client VPN (LAN)
Symantec Client VPN (WAN) Security 300 Serie
In dieser Abbildung gibt es einen Client, der einen Remote-Tunnel (WAN) her-
stellt und drei Clients, die einen internen Tunnel (LAN) herstellen.
Sie können für jede VPN-Gruppe festlegen, dass die Netzwerkeinstellungen wäh-
rend des Phase-1-Konfigurationsmodus automatisch auf den Client herunterge-
laden werden. Dies betrifft die Einstellungen für primäre und sekundäre DNS-
Server, WINS-Server und den primären Domänen-Controller. Wenn diese Infor-
mationen während der Konfiguration auf die Clients übertragen werden, müssen
diese Einstellungen auf den Clients nicht separat vorgenommen werden,
wodurch Zeit gespart und Fehlerquellen vermieden werden.
100 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels
Bei LAN-seitigen VPN-Client-Tunnels kann der Client nur auf das Teilnetz
zugreifen, das unter "LAN-IP" festgelegt ist.
Siehe "Konfiguration der LAN-IP-Einstellungen" auf Seite 58.
Symantec Client-to-Gateway-VPN-Tunnels erfordern eine Client-Kennung und
einen vorab installierten Schlüssel. Sie können auch die erweiterte Authentifizie-
rung anwenden. Dabei wird für die Client-to-Gateway-VPN-Tunnels ein RADIUS-
Server zur zusätzlichen Authentifizierung verwendet.
Siehe "Benutzer definieren" auf Seite 87.
Beim Konfigurieren von VPN-Tunnels können Sie zwei Arten von Client-to-Gate-
way-Benutzern einrichten: dynamisch und statisch.
Siehe "Identifizierung von Benutzern" auf Seite 86.
Task SGMI
Client-Tunnel für die ausgewählte VPN- VPN > Client-Tunnels > Gruppen-Tunnel-
Gruppe aktivieren. Definition
Einrichten sicherer VPN-Verbindungen 101
Konfiguration von Client-to-Gateway-VPN-Tunnels
Task SGMI
VPN-Richtlinie für den Tunnel auswählen VPN > Erweitert > Globale VPN-Client-Ein-
stellungen
Client-VPN-Tunnels definieren
In diesem Abschnitt wird beschrieben, wie Sie Client-VPN-Tunnels definieren.
Dieser Vorgang umfasst die folgenden Schritte:
■ Client-Tunnels für bestimmte VPN-Gruppen für WAN- und/oder LAN/
WLAN-Verbindungen aktivieren
■ VPN-Netzwerkparameter festlegen, die bei Tunnel-Aushandlungen auf das
Client-VPN übertragen werden (optional)
■ RADIUS-Authentifizierung konfigurieren (optional)
■ Einhaltung von Virenschutz-Richtlinien konfigurieren (optional)
■ Content Filtering konfigurieren (optional)
Wenn Sie das Content Filtering für WAN-seitige Remote-VPN-Clients akti-
vieren, müssen sich im lokalen LAN DNS-Server befinden. In Symantec Client
VPN 8.0 können Sie zwei Arten von Tunnels definieren: einen WAN-Tunnel,
der den Domänennamen verwendet, und einen LAN-Tunnel, der die IP-
Adresse verwendet. Diese Tunnels müssen dann einer Gateway-Gruppe zuge-
ordnet werden. Auf diese Weise kann die Verbindung über die IP-Adresse her-
gestellt werden, wenn Sie den Tunnel erzeugen und der erste Tunnel fehl-
schlägt (beispielsweise, weil der Name nicht aufgelöst werden kann).
Weitere Informationen finden Sie im Symantec Client VPN-Benutzerhand-
buch.
102 Einrichten sicherer VPN-Verbindungen
Konfiguration von Client-to-Gateway-VPN-Tunnels
11 Führen Sie folgende Schritte aus, um AVpe im Bereich für die WAN-Client-
Richtlinie zu aktivieren:
■ Klicken Sie auf "Einhaltung von Virenschutz-Richtlinien aktivieren".
■ Wenn im Symantec Gateway Security-Protokoll eine Warnung gespei-
chert werden soll, wenn ein Client eine Verbindung herstellen möchte,
der nicht mit der AVpe-Richtlinie kompatibel ist, klicken Sie auf "Nur
warnen".
■ Um Datenverkehr, der nicht mit der AVpe-Richtlinie kompatibel ist, zu
blockieren, klicken Sie auf "Verbindungen blockieren".
12 Führen Sie folgende Schritte aus, um das Content Filtering im Bereich für die
WAN-Client-Richtlinie zu aktivieren:
■ Klicken Sie auf "Content Filtering aktivieren".
■ Um Datenverkehr zuzulassen und anderen Datenverkehr zu blockieren,
klicken Sie auf "Liste vom Typ 'Zulassen' verwenden".
■ Um Datenverkehr zu blockieren und anderen Datenverkehr zuzulassen,
klicken Sie auf "Liste vom Typ 'Ablehnen' verwenden".
13 Klicken Sie auf "Aktualisieren".
Informationen Wert
Vorab installierter Schlüssel (Benutzer) Diese Information sollten Sie nur mündlich oder
auf eine andere sichere Weise weitergeben
Client-Kennung
RADIUS-Benutzername
(Optional)
Phase-1-ID
(Optional)
Einrichten sicherer VPN-Verbindungen 105
Überwachung des VPN-Tunnel-Status
VPN-Tunnel-Status überwachen
Sie können den Tunnel-Status überwachen, indem Sie beide Enden eines Tunnels
prüfen oder indem Sie das Statusfenster aufrufen.
Siehe "Beschreibung der Felder im Register "Status"" auf Seite 216.
Virenschutz ist nicht aktuell Die Verbindung wird zugelassen, die Appliance gibt aber
eine Warnung aus, oder der Zugriff wird vollständig ver-
weigert. Dies ist von der von Ihnen vorgenommenen Ein-
stellung abhängig.
Clients, denen der Zugriff verweigert wurde, können dennoch eine Verbindung
zu Symantec AntiVirus Corporate Edition oder Symantec LiveUpdate-Servern
herstellen, um ihre Virendefinitionen zu aktualisieren.
Sie können mithilfe von Computer-Gruppen die Kompatibilität mit den Richtli-
nien erzwingen. Alle lokalen Clients sind Computer-Gruppen zugeordnet. Sie
aktivieren oder deaktivieren für jede Computer-Gruppe die AVpe-Funktion.
AVpe ist standardmäßig auf allen Computern deaktiviert. Siehe "Wissenwertes
über Computer und Computer-Gruppen" auf Seite 64.
Wenn das Content Filtering und die Einhaltung von Virenschutz-Richtlinien
gleichzeitig aktiviert sind, hat das Content Filtering bei ausgehendem Datenver-
kehr Vorrang vor der Einhaltung von Virenschutz-Richtlinien. Wenn ein Content
Filtering-Verstoß stattfindet und ein Client blockiert wird, wird eine Meldung im
Protokoll angegeben und es werden keine Regeln für die Einhaltung von Viren-
schutz-Richtlinien angewendet.
AVpe wird nur für ausgehende Verbindungen und VPN-Client-Verbindungen
unterstützt.
AVpe aktivieren
AVpe wird auf der Computer-Gruppen- und der VPN-Gruppenebene erzwungen.
Um AVpe zu aktivieren, wählen Sie zunächst eine Gruppe aus und aktivieren Sie
dann AVpe einmal für alle Clients der Gruppe. Außerdem können Sie festlegen,
ob eine Warnmeldung ausgegeben oder ob Clients der Zugriff auf das WAN ver-
wehrt werden soll, wenn die Virenschutzeinstellungen von Clients nicht mit den
erwarteten Sicherheitsrichtlinien kompatibel sind.
AVpe aktivieren
Wenn Sie AVpe konfiguriert haben, müssen Sie AVpe für jeden Computer bzw.
jede VPN-Gruppe aktivieren.
Hinweis: AVpe für VPN-Gruppen kann nur bei WAN-Clients aktiviert werden. Für
LAN-VPN-Clients wird AVpe über Computer-Gruppen im Firewall-Abschnitt
aktiviert.
Siehe "Mitgliedschaft für Computer-Gruppen festlegen" auf Seite 65.
Siehe "Client-VPN-Tunnels definieren" auf Seite 101.
AntiVirus-Clients konfigurieren
Wenn die Clients in Ihrem Netzwerk nicht verwaltet sind und mithilfe von
LiveUpdate aktuelle Virendefinitionen und Engines installieren, müssen Sie
jeden Client konfigurieren, bevor er mit AVpe validiert werden kann. Auf jedem
Client, der mit AVpe validiert werden soll, muss ein unterstütztes Symantec
Antivirus-Produkt im nicht verwalteten Modus installiert sein.
Wenn Sie die Client-Software deinstallieren, werden die bei diesem Verfahren
erstellten Registrierungsschlüssel ebenfalls gelöscht.
Protokollmeldungen
Wenn Sie AVpe aktivieren und eine Client-Verbindung abgelehnt wird (also blo-
ckiert wird oder eine Warnmeldung angezeigt wird), wird eine Meldung im Pro-
tokoll gespeichert. Es empfiehlt sich, diese Protokollmeldungen regelmäßig zu
überprüfen, um den Netzwerkverkehr zu überwachen.
Erweiterte Steuerung des Netzwerkverkehrs 115
Testen von AVpe
Hinweis: Auf der Client-Arbeitsstation wird keine Meldung angezeigt, dass der
Netzwerkzugriff blockiert ist und eine Meldung im Protokoll gespeichert wurde.
Die Liste vom Typ "Zulassen" lässt den Datenverkehr zu Sites zu, die den Einträ-
gen in der Liste entsprechen. Die Content Filtering-Engine blockiert Verbin-
dungsanforderungen an ein Ziel, das nicht in der Liste aufgeführt ist. Wenn die
Liste keine Einträge enthält, wird der gesamte Datenverkehr blockiert.
Wenn die Liste vom Typ "Ablehnen" leer ist, wird der Datenverkehr nicht gefil-
tert. Wenn die Liste Einträge enthält, blockiert die Content Filtering-Engine Ver-
bindungsanforderungen, die an ein Ziel gesendet werden, das einem Eintrag in
der Liste entspricht. Datenverkehr, der keinem Eintrag in der Liste zugeordnet
werden kann, wird zugelassen.
Erweiterte Steuerung des Netzwerkverkehrs 117
Content Filtering-Listen verwalten
Spezielle Überlegungen
Wenn sowohl das Content Filtering als auch AVpe aktiviert sind, hat das Content
Filtering Vorrang. Wenn das Content Filtering in einer blockierten Verbindung
resultiert, wird AVpe nicht angewendet. Es wird lediglich eine Content Filtering-
Meldung im Protokoll gespeichert.
Wenn Sie auf der Appliance Änderungen an der Content Filtering-Funktion vor-
nehmen, leeren Sie die DNS- und Browser-Caches auf den Clients. Wenn ein
Client eine Verbindung zu einer IP-Adresse herstellt, die Content Filtering-Ein-
stellungen anschließend aber dahingehend geändert werden, dass sie den Zugriff
auf diese Adresse verweigern, kann es sein, dass der Zugriff auf die Adresse den-
noch zugelassen wird, weil die Daten im Cache verwendet werden. Informationen
zum Leeren von DNS- und Browser-Caches finden Sie in der Dokumentation zum
Betriebssystem bzw. zum Browser.
Wenn Sie das Content Filtering für WAN-seitige Remote-VPN-Clients aktivieren,
müssen sich im lokalen LAN DNS-Server befinden.
Spezielle Überlegungen
Wenn eine Site oder ein Sicherheits-Gateway Benutzer von einer URL zu einer
anderen umleitet, müssen Sie beide URLs in die Liste aufnehmen. Die Site
"www.disney.com" leitet Benutzer beispielsweise auf die Site
"www.disney.go.com" um. Damit Ihre Benutzer auf diese Website zugreifen
können, müssen Sie sowohl "www.disney.com" als auch "www.disney.go.com" in
die Liste vom Typ "Zulassen" aufnehmen.
118 Erweiterte Steuerung des Netzwerkverkehrs
Content Filtering-Listen verwalten
Wenn eine Site auf Inhalte anderer Sites zugreift, müssen Sie alle URLs in die
Liste eintragen. Die Site "www.cnn.com" verwendet beispielsweise Inhalte der
Site "www.cnn.net".
So fügen Sie eine URL in eine Liste vom Typ "Zulassen" oder "Ablehnen" ein
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Wählen Sie unter "Liste wählen" neben "Listentyp" die Option "Zulassen"
oder "Ablehnen" aus.
3 Geben Sie in das Textfeld "URL eingeben" den Namen der hinzuzufügenden
Site ein. Geben Sie beispielsweise "ihresite.com" oder "meinesite.com/bilder/
ich.html" ein.
4 Klicken Sie auf "Hinzufügen".
Wiederholen Sie die letzten beiden Schritte für alle URLs, die Sie hinzufügen
möchten.
5 Klicken Sie auf "Liste speichern".
So löschen Sie eine URL in einer Liste vom Typ "Zulassen" oder "Ablehnen"
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Wählen Sie im Dropdown-Listenfeld "URL löschen" die zu löschende URL aus.
3 Klicken Sie auf "Eintrag löschen".
4 Klicken Sie auf "Liste speichern".
2 Klicken Sie auf das Register "Computer-Gruppen" und wählen Sie unter
"Sicherheitsrichtlinien" im Dropdown-Listenfeld "Computer-Gruppe" die
Computer-Gruppe aus, für die das Content Filtering aktiviert werden soll.
3 Aktivieren Sie unter "Content Filtering" die Option "Content Filtering akti-
vieren".
4 Führen Sie einen der folgenden Schritte aus:
■ Um Inhalte gemäß den Einträgen in der Liste vom Typ "Ablehnen" zu
filtern, klicken Sie auf "Liste vom Typ 'Ablehnen' verwenden".
■ Um Inhalte gemäß den Einträgen in der Liste vom Typ "Zulassen" zu
filtern, klicken Sie auf "Liste vom Typ 'Zulassen' verwenden".
5 Klicken Sie auf "Speichern".
So zeigen Sie die URLs in der Liste vom Typ "Zulassen" und "Ablehnen" an
Siehe "Beschreibung der Felder für Content Filtering" auf Seite 225.
1 Klicken Sie im linken Teilfenster auf "Content Filtering".
2 Führen Sie unter "Liste wählen" unter "Listentyp" einen der folgenden
Schritte aus:
■ Um die URLs der Liste vom Typ "Ablehnen" anzuzeigen, klicken Sie auf
"Ablehnen".
■ Um die URLs in der Liste vom Typ "Zulassen" anzuzeigen, klicken Sie auf
"Zulassen".
3 Klicken Sie auf "Anzeigen/bearbeiten".
Kapitel 8
Verhindern von Angriffen
In diesem Kapitel werden folgende Themen behandelt:
Hinweis: Eine atomische IDS- bzw. IPS-Signatur ist eine auf einem einzelnen IP-
Paket basierende Signatur.
IP-Spoof-Schutz
Alle Nicht-Broadcast- oder Multicast-Pakete, die an einem WAN-Port eingehen
und deren Quell-IP-Adresse einem internen Teilnetz entspricht, werden blo-
ckiert und als IP-Spoofing-Versuch markiert. Interne Teilnetze werden von der
LAN-seitigen Teilnetzadresse der Appliance und den Einträgen für statische
Routen auf der Appliance für die LAN-Schnittstelle abgeleitet.
124 Verhindern von Angriffen
Aktivieren erweiterter Schutz-Einstellungen
TCP-Flag-Validierung
Bestimmte Port-Zuweisungs-Tools, z. B. NMAP, verwenden ungültige TCP-Flag-
Kombinationen, um eine Firewall in einem Netzwerk zu erkennen oder die in
einer Firewall eingerichtete Sicherheitsrichtlinie zuzuordnen. Die Symantec
Gateway Security Appliance der 300er Serie blockiert und protokolliert jeglichen
Datenverkehr mit unzulässigen Flag-Kombinationen, der nicht von der Sicher-
heitsrichtlinie abgelehnt wird. Von der Sicherheitsrichtlinie abgelehnter Daten-
verkehr, der eine oder mehrere unzulässige TCP-Flag-Kombinationen aufweist,
wird als einer von mehreren NMAP-Port-Scan-Techniken (NMAP Null Scan,
NMAP Christmas Scan usw.) klassifiziert.
Protokolleinstellungen konfigurieren
Mithilfe der Protokollierungseinstellungen können Sie festlegen, wie Protokoll-
meldungen angezeigt werden, wie viele Meldungen protokolliert werden und was
passiert, wenn das Protokoll voll ist. Mithilfe der folgenden Einstellungen kön-
nen Sie die Protokollierung an die Anforderungen Ihres Netzwerks anpassen:
■ Protokollmeldungen per E-Mail weiterleiten
■ Syslog verwenden
■ SNMP konfigurieren und überprüfen
■ Protokollierungsebenen festlegen
■ Protokollierungszeiten einrichten
Syslog verwenden
Durch Senden von Protokollmeldungen an einen Syslog-Server können Sie
Protokollmeldungen dauerhaft speichern. Ein Syslog-Server erkennt von der
Appliance weitergeleitete Protokolleinträge und speichert alle Protokollinforma-
tionen, so dass sie später analysiert werden können. Der Syslog-Server kann sich
in einem LAN, in einem WAN oder hinter einem VPN-Tunnel befinden.
Hinweis: Die Zeitangaben (Datum und Uhrzeit) der auf dem Syslog-Server gespei-
cherten Meldungen entsprechen der Zeit, zu der die Meldungen vom Syslog-
Server empfangen wurden, und nicht der Zeit, zu der die Appliance das Ereignis
protokolliert hat, das die jeweilige Meldung ausgelöst hat.
SNMP konfigurieren
Die Konfiguration des SNMP umfasst zwei grundlegende Schritte:
■ SNMP konfigurieren
■ Kommunikation zwischen dem SNMP-Server und der Symantec Gateway
Security Appliance der 300er Serie überprüfen.
Für die Konfiguration des SNMP benötigen Sie die folgenden Informationen:
■ Für Traps müssen in Ihrem Netzwerk SNMP v 1.0-Server oder -Anwendun-
gen installiert sein, damit Warnmeldungen bei Netzwerkereignissen emp-
fangen werden können. Um SNMP auf der Appliance konfigurieren zu kön-
nen, benötigen Sie die IP-Adressen der SNMP-Server.
■ Darüber hinaus benötigen Sie die Community-Zeichenfolge für den SNMP-
Server. Der Administrator des SNMP-Servers sollte Ihnen die IP-Adresse und
die Community-Zeichenfolge des SNMP-Servers bereitstellen können.
■ Sie können die SNMP-Einstellungen jederzeit einrichten, nachdem die Appli-
ance installiert wurde und die SNMP-Server ausgeführt werden.
Siehe "Beschreibung der Felder für die Verwaltung" auf Seite 167.
Protokollierung, Überwachung und Updates 129
Verwaltung der Protokollierung
SNMP-Kommunikation überprüfen
◆ Bitten Sie den SNMP-Server-Administrator, eine GET-Anforderung vom
SNMP-Server an Ihre Appliance zu senden.
Die Appliance reagiert, indem sie Statusinformationen an den SNMP-Server
sendet.
Wenn keine Reaktion erfolgt, stellen Sie sicher, dass die IP-Adresse und die Com-
munity-Zeichenfolge des SNMP-Servers richtig sind. Stellen Sie außerdem
sicher, dass von der Appliance auf den SNMP-Server zugegriffen werden kann.
Protokollierungsebenen festlegen
Die Protokolldatei enthält nur die von Ihnen festgelegten Informationen. Diese
sind zum Isolieren von Problemen oder Angriffen nützlich.
Wenn Sie "Debug-Informationen" wählen, kann es in Abhängigkeit von der
Anzahl der erstellten Meldungen zu Leistungsbeeinträchtigungen kommen. Sie
sollten diese Option nur bei der Fehlerbehebung aktivieren und sie nach der Feh-
lerbehebung wieder deaktivieren.
Protokollierungszeiten einrichten
NTP (Network Time Protocol) ist ein Internet-Standardprotokoll, das die exakte
Zeitsynchronisierung von Computern über das Internet ermöglicht.
Wenn Sie keinen NTP-Server einrichten, werden öffentliche Standard-NTP-Ser-
ver verwendet. Wenn ein Ereignis eintritt und der NTP-Server nicht verfügbar
ist, zeichnet die Appliance die Zeit (in Sekunden) seit dem letzten Neustart auf.
Protokollmeldungen verwalten
Im Register "Protokoll anzeigen" werden die aktuellen Bedingungen der
Appliance angezeigt. Bei den Modellen 360 und 360R gibt es einen Bereich für
den Status des WAN 2-Ports.
Wenn Sie auf das Register "Protokoll anzeigen" klicken, werden die aktuellen
Informationen angezeigt. Der Status kann sich ändern, während Sie die Informa-
tionen lesen. Klicken Sie auf "Aktualisieren", damit im Register "Protokoll anzei-
gen" die neuesten Daten angezeigt werden.
Sie können den Inhalt des Protokolls jederzeit manuell löschen.
Protokollmeldungen verwalten
Generierte Protokollmeldungen können angezeigt und bei Bedarf aktualisiert
oder gelöscht werden.
Siehe "Beschreibung der Felder im Register "Protokoll anzeigen"" auf Seite 164.
Warnung: Bei der manuellen Aktualisierung der Firmware mithilfe von app.bin
können Ihre Konfigurationseinstellungen überschrieben werden. Notieren Sie
sich daher die Einstellungen, bevor Sie die Aktualisierung durchführen. Verwen-
den Sie keine Konfigurations-Backup-Datei einer älteren Firmware-Version. Bei
der Aktualisierung mit LiveUpdate werden Ihre Konfigurationseinstellungen
niemals überschrieben.
Wenn Sie die Firmware manuell oder automatisch mit LiveUpdate aktualisieren,
blinken die LEDs in einer eindeutigen Folge.
Siehe "LED-Sequenzen bei LiveUpdate- und Firmware-Upgrades" auf Seite 147.
132 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware
LiveUpdate-Server-Adresse ändern
Standardmäßig verweisen die LiveUpdate-Einstellungen auf
"liveupdate.symantec.com". Sie können die Appliance so konfigurieren, dass sie
anstelle der Symantec LiveUpdate-Site Ihren eigenen LiveUpdate-Staging-
Server verwendet.
Die in Abbildung 9-1 dargestellten internen LiveUpdate-Server werden mithilfe
von Symantec LiveUpdate Administrator konfiguriert. Die Appliance kann
anstelle des Symantec-Servers den LiveUpdate-Server im lokalen Netzwerk
kontaktieren, um Produkt-Updates zu erhalten. Dadurch wird der Datenverkehr
erheblich reduziert und die Übertragungsgeschwindigkeit wird deutlich erhöht.
Auf diese Weise können Sie Updates vor dem Installieren verwalten und validie-
ren. LiveUpdate Administrator und die zugehörigen Installationsanweisungen
sind bei der Technischen Unterstützung von Symantec unter
"http://www.symantec.com/techsupp/" erhältlich.
Abbildung 9-1 zeigt mögliche LiveUpdate-Konfigurationen.
Protokollierung, Überwachung und Updates 135
Aktualisierung der Firmware
Symantec
LiveUpdate-
Server
VPN-Tunnel
Interner
SGMI LiveUpdate-
Server
Geschützte Geräte
Position Beschreibung
LiveUpdate-Server können sich in einem WAN oder einem LAN befinden oder
über einen Gateway-to-Gateway-VPN-Tunnel erreichbar sein.
Siehe "Beschreibung der Felder im Register "LiveUpdate"" auf Seite 169.
Warnung: Durch Reflashing der Firmware mit einer alten Firmware-Version wer-
den alle zuvor eingerichteten Konfigurationsdaten einschließlich des Kennworts
gelöscht.
Firmware flashen
Stellen Sie sicher, dass die folgenden Komponenten verfügbar sind, bevor Sie die
Firmware manuell aktualisieren:
■ symcftpw-Dienstprogramm
Dieses befindet sich im Tools-Ordner der CD-ROM, die im Lieferumfang der
Appliance enthalten ist. Sie können auch den TFTP-Befehl verwenden, um
die Firmware-Datei auf die Appliance zu übertragen.
■ Firmware-Datei
Laden Sie die neueste Firmware-Datei von der Symantec-Website herunter.
Hinweis: Wenn auf dem Computer, auf dem Sie symcftpw ausführen, Norton
Internet Security installiert ist, müssen Sie sowohl eine Eingangs- als auch eine
Ausgangsregel in Norton Internet Security einrichten, um den Datenverkehr
zwischen dem Computer und der Appliance zuzulassen.
Abbildung 9-2 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.
Abbildung 9-3 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
138 Protokollierung, Überwachung und Updates
Aktualisierung der Firmware
Firmware-Update erzwingen
Wenn das manuelle Flashen der Firmware nicht funktioniert, können Sie ein
Firmware-Update auf der Appliance erzwingen. Diese Vorgehensweise wird nur
empfohlen, wenn das Flashen der Firmware gemäß den Anweisungen unter "Firm-
ware flashen" auf Seite 137 nicht funktioniert, oder wenn Sie entsprechende
Anweisungen von der Technischen Unterstützung von Symantec erhalten.
Orientieren Sie sich bei der Durchführung der folgenden Schritte an Abbildung
9-6 und Abbildung 9-7.
Die Backup-Datei wird in demselben Ordner auf Ihrer Festplatte erstellt, in dem
sich auch die symcftpw-Anwendung befindet. Sie können in der symcftpw-
Anwendung angeben, wo die Backup-Datei gespeichert werden soll, z. B. auf einer
Diskette. Auf diese Weise können Sie die Konfigurationseinstellungen an einem
sicheren Ort, z. B. in einem feuerfesten Safe, aufbewahren.
Appliance zurücksetzen
Sie haben drei Möglichkeiten, die Appliance zurückzusetzen:
■ Vollständiges Zurücksetzen
Startet die Appliance neu. Dieser Vorgang entspricht dem Aus- und wieder
Einschalten der Appliance. Alle aktuellen Verbindungen, einschließlich
Client-VPN-Tunnels, werden beendet. Frühere Gateway-to-Gateway-VPN-
Tunnels werden beim Neustart der Appliance wieder hergestellt. Darüber hin-
aus führt die Appliance beim Neustart einen Selbsttest der Hardware durch.
■ Auf die Standard-Konfigurationseinstellungen zurücksetzen
Hierbei wird die IP-Adresse des LAN-Teilnetzes auf "191.168.0.0" und die
LAN-IP-Adresse der Appliance auf "192.168.0.1" zurückgesetzt, die DHCP-
Server-Funktionalität wird aktiviert und für das Administrator-Kennwort
wird ein leeres Feld angegeben.
■ Auf die reservierte Anwendung zurücksetzen
Die Firmware wird auf die letzte all.bin-Firmware-Datei zurückgesetzt, die
zum Flashen der Appliance verwendet wurde. Dabei handelt es sich entwe-
der um die werkseitige Firmware oder um ein Firmware-Upgrade, das Sie
von der Symantec-Website heruntergeladen und auf der Appliance instal-
liert haben.
Appliance zurücksetzen
Beim Zurücksetzen auf die werkseitigen Einstellungen können Sie zwischen drei
Möglichkeiten wählen. Diese ergeben sich aus bestimmten DIP-Schalter- und
Reset-Knopf-Kombinationen. Zum Drücken des Reset-Knopfs müssen Sie eine
Büroklammer oder die Spitze eines Kugelschreibers verwenden. In der Abbildung
9-4 und der Abbildung 9-5 finden Sie die Positionen des Reset-Knopfs und der
DIP-Schalter.
Abbildung 9-4 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.
Abbildung 9-5 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
LED-Zustände
Die LEDs an der Vorderseite der Appliance zeigen den Status der Appliance an.
An der Vorderseite befinden sich sechs LEDs. Vier LEDs betreffen die Appliance,
zwei die drahtlose Kommunikation. Die LEDs für die drahtlose Kommunikation
leuchten in der Regel nur, wenn ein kompatibler Symantec Gateway Security-
WLAN-Zugangspunkt eingerichtet ist.
Abbildung 9-6 zeigt die Rückseite des Appliance-Modells 320. Diese Abbildung
dient zu Referenzzwecken. Eine umfassende Beschreibung der einzelnen Kompo-
nenten finden Sie im Installationshandbuch zur Symantec Gateway Security
Appliance der 300er Serie.
Abbildung 9-7 zeigt die Rückseite der Appliance-Modelle 360 und 360R. Diese
Abbildung dient zu Referenzzwecken. Eine umfassende Beschreibung der einzel-
nen Komponenten finden Sie im Installationshandbuch zur Symantec Gateway
Security Appliance der 300er Serie.
Protokollierung, Überwachung und Updates 145
LED-Zustände
Die LEDs an der Vorderseite der Appliance können drei Zustände annehmen:
dauerhaft an, blinken und dauerhaft aus. Aus der Kombination der Fehler- und
der Sende-LED-Sequenzen lässt sich der Status der Appliance ablesen. In
Tabelle 9-3 sind die LED-Sequenzen und deren Kombinationen sowie der zugehö-
rige Appliance-Status aufgeführt.
Update beendet. An An An
■ FCC Klasse A
■ CISPR Klasse A
FCC Klasse A
Dieses Gerät hält die vorgeschriebenen Grenzwerte gemäß Teil 15 der FCC-
Bestimmungen ein. Der Betrieb unterliegt den folgenden zwei Bedingungen: (1)
Dieses Gerät darf keine schädlichen Störungen hervorrufen und (2) dieses Gerät
muss alle empfangenen Funkstörungen tolerieren, einschließlich solcher Sig-
nale, die zu unerwünschten Betriebsstörungen führen.
Dieses Gerät wurde getestet und liegt innerhalb der Grenzwerte für digitale
Geräte der Klasse A gemäß Teil 15 der FCC-Bestimmungen. Diese Grenzwerte
bieten einen angemessenen Schutz vor schädlichen Störungen, wenn das Gerät
in Geschäftsräumen eingesetzt wird. Dieses Gerät erzeugt und verwendet Hoch-
frequenzenergie und strahlt diese möglicherweise ab. Wenn das Gerät nicht
gemäß den Anweisungen des Installationshandbuchs installiert und verwendet
wird, kann es zu Funkstörungen kommen. Der Betrieb des Geräts in Wohnräu-
men führt wahrscheinlich zu schädlichen Störungen, die ggf. vom Benutzer auf
eigene Kosten zu beheben sind.
Änderungen oder Modifikationen, die nicht ausdrücklich von der Partei geneh-
migt wurden, die für die Einhaltung des Standards verantworlich ist, können
zum Erlöschen der Betriebserlaubnis für das Gerät führen.
150 Einhaltung von Standards
CISPR Klasse A
CISPR Klasse A
Warnung: Dieses Produkt entspricht der Klasse A. In Wohnräumen erzeugt dieses
Produkt möglicherweise Funkstörungen, die vom Benutzer ggf. in angemessener
Weise behoben werden müssen.
Warnung: Wenn Sie den Debug-Modus aktivieren, erhöht sich die Anzahl der Pro-
tokollereignisse und es kommt zu einer Leistungsbeeinträchtigung. Alle Debug-
Meldungen sind in Englisch. Verwenden Sie den Debug-Modus nur temporär zur
Fehlerbehebung und deaktivieren Sie ihn nach dem Debuggen umgehend.
Hinweis: Bei einigen Sites werden PING-Signale durch Firewalls blockiert. Stellen
Sie sicher, dass die Site verfügbar ist, bevor Sie sich an Ihren Internet Service
Provider oder die Technische Unterstützung von Symantec wenden.
154 Fehlerbehebung
Zugriff auf Fehlerbehebungsinformationen
Zusätzliche Sitzungslizenzen
Zusätzliche Sitzungslizenzen stehen für Client-to-Gateway-VPN-Funktionen zur
Verfügung. Client-to-Gateway-VPN-Sitzungslizenzen sind unabhängig von
Basisfunktionslizenzen und die maximale Anzahl an gleichzeitigen Sitzungen
kann durch die Hardware-Leistung, Ihre Netzwerk-Implementierung oder Eigen-
schaften des Netzwerkverkehrs eingeschränkt sein.
156 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung
1. Software-Lizenz:
Die Software (die "Software"), die im Lieferumfang der von Ihnen erworbenen Appliance
(die "Appliance") enthalten ist, ist Eigentum der Firma Symantec oder ihrer Lizenzgeber
und ist durch nationale Gesetze und internationale Verträge urheberrechtlich geschützt.
Alle Eigentumsrechte bezüglich der Software verbleiben bei Symantec. Wenn Sie sich mit
den Bestimmungen dieser Lizenz einverstanden erklären, erhalten Sie lediglich Rechte
bezüglich der Verwendung dieser Software. Diese Lizenz schließt alle vom Lizenzgeber an
Sie gelieferten Versionen der Software sowie alle Überarbeitungen und an der Software
vorgenommenen Verbesserungen ein. Sofern nicht durch dieser Lizenz beigefügte, voraus-
gegangene oder nachfolgende gültige Lizenz-Zertifikate, Lizenz-Coupons oder Lizenz-
schlüssel von Symantec (zusammenfassend als "Lizenz-Modul" bezeichnet) geändert oder
zusätzlich in der der Appliance und/oder Software beigefügten Dokumentation beschrie-
ben, haben Sie im Zusammenhang mit dieser Software folgende Rechte und Pflichten:
B. bei Bedarf Kopien der gedruckten Dokumentation der Appliance anzufertigen, die im
Rahmen Ihrer Autorisierung zur Verwendung der Appliance genutzt wird; und
C. nach schriftlicher Mitteilung an Symantec und in Verbindung mit einer Übertragung der
Appliance die Software dauerhaft an eine andere Person oder juristische Person zu über-
tragen, vorausgesetzt, Sie behalten keine Kopien der Software, Symantec ist mit der Über-
tragung einverstanden und der Empfänger der Appliance und Software erklärt schriftlich,
dass er mit den Bestimmungen und Bedingungen dieser Vereinbarung einverstanden ist.
Lizenzierung 157
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung
C. die Software auf irgendeine Art zu verwenden, zu der Sie gemäß vorliegender Lizenz
nicht berechtigt sind.
2. Content-Updates:
Bestimmte Symantec-Software-Produkte verwenden Inhalt, der von Zeit zu Zeit aktuali-
siert wird (Antiviren-Produkte verwenden beispielsweise aktualisierte Virendefinitionen,
Produkte zum Filtern von Inhalten verwenden aktualisierte URL-Listen, einige Firewall-
Produkte verwenden aktualisierte Firewall-Regeln, Produkte zur Schwachstellenanalyse
verwenden aktualisierte Daten zu Sicherheitslücken, usw.; zusammenfassend werden sol-
che Produkte als "Content-Updates" bezeichnet). Sie können für jede Software-Funktiona-
lität, die Sie für die Verwendung mit der Appliance gekauft und aktiviert haben, Content-
Updates für jeden Zeitraum erhalten, für den Sie (i) ein Abonnement für Content-Updates
für solche Software-Funktionalität erworben haben; (ii) einen Support-Vertrag haben, der
Content-Updates für solche Software-Funktionalität umfasst; (iii) für den Sie anderweitig
das Recht auf Content-Updates für solche Software-Funktionalität erworben haben. Diese
Lizenz berechtigt Sie nicht zu anderweitigem Erwerb und zu anderweitiger Verwendung
von Content-Updates.
3. Haftungsbeschränkung:
Symantec gewährleistet für den Zeitraum von dreißig (30) Tagen ab dem Tag des Kaufs der
Appliance, dass die Software auf der Appliance im Wesentlichen gemäß der Dokumenta-
tion funktionieren wird, die der Appliance beiliegt. Im Falle, dass das gelieferte Produkt
dieser Garantie nicht genügt, besteht Ihr alleiniger Anspruch im Ermessen von Symantec
entweder im Ersatz oder in der Reparatur der zusammen mit einem Kaufnachweis inner-
halb der Garantiezeit an Symantec zurückgegebenen fehlerhaften Software oder in der
Erstattung des für die Appliance bezahlten Kaufpreises.
Symantec gewährleistet für den Zeitraum von 365 Tagen ab dem Tag des Kaufs der
Appliance, dass die Hardware-Komponente der Appliance (die "Hardware") unter normalen
Nutzungsbedinungen frei von Fertigungs- und Materialfehlern ist und im Wesentlichen
der Dokumentation entspricht, die der Appliance beigefügt ist. Im Falle, dass das gelieferte
Produkt dieser Garantie nicht genügt, besteht Ihr alleiniger Anspruch im Ermessen von
Symantec entweder im Ersatz oder in der Reparatur der zusammen mit einem Kaufnach-
weis innerhalb der Garantiezeit an Symantec zurückgegebenen fehlerhaften Hardware
oder in der Erstattung des für die Appliance bezahlten Kaufpreises.
Die in dieser Vereinbarung genannten Garantien gelten nicht für Software oder Hardware,
die:
B. nicht von Symantec oder einer von Symantec bestimmten Person repariert wurde.
158 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung
Darüber hinaus gelten die in dieser Vereinbarung genannten Garantien nicht für Repara-
turen oder Ersatzleistungen, die durch folgende Gegebenheiten verursacht oder veranlasst
wurden: (i) Ereignisse, die eintreten, nachdem das Verlustrisiko auf Sie übergegangen ist,
z. B. Verlust oder Beschädigung während des Versands; (ii) höhere Gewalt einschließlich,
jedoch nicht beschränkt auf Naturereignisse wie Feuer, Überflutung, Orkan, Erdbeben,
Blitzeinschlag und ähnliche Naturkatastrophen; (iii) falsche Verwendung, falsche Umge-
bung, falsche Installation oder falsche Stromversorgung, fehlerhafte Wartung oder andere
Formen des falschen Gebrauchs, Missbrauchs oder der falschen Behandlung; (iv) behördli-
che Regelungen; (v) Streik oder Arbeitsunterbrechungen; (vi) Ihr Unvermögen, das Produkt
richtig zu verwenden oder den Bedienungsanweisungen in den Handbüchern zu folgen;
(vii) Ihr Unvermögen, von Symantec für Sie bereitgestellte Korrekturen oder Modifikatio-
nen der Appliance zu implementieren bzw. durch Symantec oder eine von Symantec
bestimmte Person implementieren zu lassen; (viii) andere Ereignisse, die außerhalb des
Einflussbereichs von Symantec liegen.
Bei Feststellung eines Fehlers in der Hardware oder in einer Komponente der Hardware
sind Sie verpflichtet, Symantec innerhalb von zehn (10) Tagen nach Auftreten dieses Feh-
lers zu kontaktieren und eine RMA-Nummer (Return Material Authorization) anzufordern,
um den Garantiebedingungen innerhalb der vereinbarten Garantiezeit zu entsprechen. Die
angeforderte RMA-Nummer wird ausgegeben, sobald Symantec festgestellt hat, dass Sie
die Bedingungen für die Garantieleistungen erfüllen. Die vermeintlich defekte Appliance
bzw. die defekte Appliance-Komponente, ist ordnungsgemäß und sicher verpackt an
Symantec einzusenden. Fracht- und Versicherungskosten sind im Voraus zu entrichten
und die RMA-Nummer ist deutlich sichtbar auf der Verpackung und an der Appliance anzu-
bringen. Symantec ist nicht verpflichtet, Appliances anzunehmen, die ohne RMA-Nummer
eingesandt werden.
Nach Abschluss der Reparatur oder im Falle des Beschlusses von Symantec, in Überein-
stimmung mit der Garantie die defekte Appliance zu ersetzen, sendet Symantec die repa-
rierte oder Ersatz-Appliance an Sie zurück, wobei Fracht- und Versicherungskosten bereits
entrichtet wurden. Für den Fall, dass Symantec sich in alleinigem Ermessen außerstande
sieht, die Hardware zu reparieren oder zu ersetzen, erstattet Ihnen Symantec den für die
Appliance bezahlten Kaufpreis zurück. An Symantec zurückgesandte defekte Appliances
werden Eigentum von Symantec.
Symantec gewährleistet nicht, dass die Appliance Ihren Anforderungen entspricht, die
Verwendung der Appliance unterbrechungsfrei und die Appliance fehlerfrei ist.
4. Haftungsausschluss:
EINIGE LÄNDER EINSCHLIESSLICH DER MITGLIEDSSTAATEN DER EUROPÄISCHEN
UNION GESTATTEN WEDER DIE EINSCHRÄNKUNG NOCH DEN AUSSCHLUSS DER
HAFTUNG FÜR NEBEN- ODER FOLGESCHÄDEN. DAHER FINDET UNTEN GENANNTE
KLAUSEL FÜR SIE MÖGLICHERWEISE KEINE ANWENDUNG.
Lizenzierung 159
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung
IN JEDEM FALLE IST DIE HAFTUNG VON SYMANTEC ODER SEINER LIZENZGEBER AUF
DEN FÜR DIE APPLIANCE BEZAHLTEN KAUFPREIS BESCHRÄNKT. Der oben dargelegte
Ausschluss und die Beschränkung sind unabhängig davon, ob Sie die Software oder die
Appliance akzeptieren.
6. Exportbeschränkungen:
Bestimmte Symantec-Produkte unterliegen den Exportkontrollen des US-Handelsministe-
riums (U.S. Department of Commerce, DOC) gemäß den Export Administration Regulations
(US-Bestimmungen zur Verwaltung des Exports, EAR) (siehe www.bxa.doc.gov). Der Ver-
stoß gegen geltende US-Gesetze ist strengstens untersagt. Der Lizenznehmer erklärt sich
einverstanden, sämtliche Bestimmungen der EAR und alle geltenden internationalen,
nationalen, staatlichen, regionalen und lokalen Gesetze einzuhalten, einschließlich
Import- und Nutzungsbeschränkungen. Symantec-Produkte dürfen zurzeit nicht in die
Länder Kuba, Nordkorea, Iran, Irak, Libyen, Syrien oder Sudan oder in ein anderes Land,
das Handelssanktionen unterliegt, exportiert bzw. aus diesen wiedereingeführt ("re-expor-
tiert") werden. Der Lizenznehmer erklärt sich weiterhin einverstanden, weder direkt noch
indirekt irgendein Produkt in ein in den EAR genanntes Land oder an eine Person bzw.
Organisation, die in den nachfolgend aufgeführten Listen der US-Regierung genannt ist, zu
exportieren oder zu re-exportieren: Denied Persons, Entities and Unverified Lists des US-
Handelsministeriums, Debarred List des US-Verteidigungsministeriums oder die Listen für
Specially Designated Nationals, Specially Designated Narcotics Traffickers oder Specially
Designated Terrorists des US-Finanzministeriums. Darüber hinaus erklärt sich der Lizenz-
nehmer einverstanden, Symantec-Produkte weder an militärische Organisationen, die
unter den Bestimmungen der EAR nicht genehmigt sind, noch an irgendeine andere Orga-
nisation für militärische Zwecke zu exportieren oder re-exportieren, und auch keine
Symantec-Produkte für den Einsatz mit chemischen, biologischen oder nuklearen Waffen
bzw. mit Raketen, die als Träger solcher Waffen dienen können, zu verkaufen.
160 Lizenzierung
Symantec Gateway Security Appliance - Lizenz- und Garantievereinbarung
7. Allgemein:
Wenn Sie sich in Nord- oder Südamerika befinden, unterliegt diese Vereinbarung der
Gesetzgebung des US-Bundesstaats Kalifornien in den Vereinigten Staaten von Amerika.
Andernfalls unterliegt diese Vereinbarung den Gesetzen von England. Diese Vereinbarung
und alle damit verbundenen Lizenz-Module bilden die gesamte Vereinbarung zwischen
Ihnen und Symantec in Bezug auf die Appliance. Ferner gilt: (i) Die Vereinbarung tritt an
die Stelle aller vorherigen oder gleichzeitigen mündlichen oder schriftlichen Vereinbarun-
gen, Vorschläge und Zusagen bezüglich des Gegenstands dieser Vereinbarung; und (ii) sie
hat Vorrang vor widersprüchlichen oder zusätzlichen Bestimmungen in allen anderen
Absprachen zwischen den Vertragsparteien. Diese Vereinbarung kann nur durch ein
Lizenz-Modul oder durch ein anderes, sowohl von Ihnen als auch von Symantec unter-
zeichnetes schriftliches Dokument geändert werden. Diese Vereinbarung endet, wenn Sie
gegen eine darin enthaltene Bestimmung verstoßen. In diesem Fall dürfen Sie die Software
nicht mehr verwenden und müssen alle Kopien der Software vernichten. Ferner müssen Sie
die Appliance an Symantec zurückgeben. Der Haftungsausschluss von Garantien und
Schäden sowie Einschränkungen der Haftung bleiben über die Beendigung dieser Verein-
barung hinaus bestehen. Sollten Sie Fragen zu dieser Vereinbarung haben oder sich aus
anderen Gründen mit Symantec in Verbindung setzen wollen, wenden Sie sich bitte an: (i)
Symantec Customer Service, 555 International Way, Springfield, OR 97477, USA, oder (ii)
Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irland.
Anhang D
Feldbeschreibungen
In diesem Kapitel werden folgende Themen behandelt:
Protokoll jetzt per Nachdem Sie den SMTP-Server sowie die E-Mail-
E-Mail senden Adressen von Absender und Empfänger eingege-
ben haben, können Sie auf "Protokoll jetzt per
E-Mail senden" klicken, um das aktuelle Proto-
koll per E-Mail zu versenden.
Administrator- Administrator- Das Kennwort für den Zugriff auf das SGMI.
Kennwort Kennwort
Der Benutzername ist immer "admin" und
bei der Anmeldung wird die Groß-/Klein-
schreibung berücksichtigt.
Beginn des IP- Die erste IP-Adresse in dem Bereich der IP-Adressen,
Adressbereichs die das Sicherheits-Gateway den Clients zuweisen soll.
Wenn das Sicherheits-Gateway beispielsweise IP-
Adressen im Bereich 172.16.0.2 bis 172.16.0.75 zuwei-
sen soll, geben Sie 172.16.0.2 in das Textfeld "Beginn
des IP-Adressbereichs" ein.
Ende des IP- Die letzte IP-Adresse in dem Bereich der IP-Adressen,
Adressbereichs die das Sicherheits-Gateway den Clients zuweisen soll.
Geben Sie entsprechend des vorherigen Beispiels
172.16.0.75 in das Textfeld "Ende des IP-Adress-
bereichs" ein.
172 Feldbeschreibungen
Beschreibung der LAN-Felder
Tabelle D-8 Beschreibung der Felder im Register "LAN-IP & DHCP" (Fortsetzung)
Physische LAN- Port 1, Port 2, Port Stuft Ports auf dem Switch des Sicherheits-
Ports 3, Port 4 Gateways als vertrauenswürdig oder als nicht
(Modell 320) vertrauenswürdig ein.
Port 1, Port 2, Port Dadurch wird zusätzlich zur Unterstützung für
3, Port 4, Port 5, LAN-seitige globale Tunnels, die direkt zur Wire-
Port 6, Port 7, less-Schnittstelle führen, die VPN-Sicherheit für
Port 8 Wireless- und kabelgebundene LANs aktiviert.
(Modell 360/360R) Dies erfolgt über die Port-basierten Switch-Funk-
tionen des Sicherheits-Gateways im virtuellen
Netzwerk. Der Tunnel-Endpunkt befindet sich am
Haupt-Gateway des jeweiligen LAN-Subnetzes.
Dienst wählen Dienste abfragen Wenn Sie auf "Dienste abfragen" klicken, stellt
das Sicherheits-Gateway eine Verbindung zu
Ihrem Internet Service Provider her und ermit-
telt, welche Dienste verfügbar sind.
Bevor Sie diese Funktion verwenden können,
müssen Sie die Verbindung zu Ihrem PPPoE-
Konto trennen.
Dienst Wählen Sie einen Dienst für Ihr PPPoE-Konto.
Klicken Sie auf "Dienste abfragen", um zu ermit-
teln, welche Dienste verfügbar sind.
Feldbeschreibungen 179
Beschreibungen der WAN/ISP-Felder
WAN-Port: Modell WAN-Port (Modell WAN-Port, für den Sie PPTP konfigurieren.
360/360R 360/360R)
Standarddienst Benutzername Der Benutzername für das Konto, das Sie mit
einem dynamischen DNS-Dienst erstellen.
Kennwort Das Kennwort für das Konto, das Sie mit einem
dynamischen DNS-Dienst erstellen.
Mail-Server (MX) Mit dieser Option legen Sie fest, welcher Server
die E-Mails verarbeiten soll, die an einen
bestimmten Domänennamen gesendet werden.
Sie verfügen beispielsweise über die Adressen
"www.mysite.com" und "mail.mysite.com". Ihr
Web-Server ist so konfiguriert, dass er das Wech-
seln zu "www.mysite.com" und "mysite.com"
zulässt. E-Mail, die an "@mysite.com" gesendet
wird, soll vom Mail-Server und nicht vom Web-
Server verarbeitet werden. Sie richten daher
einen Mail-Server (MX) ein, um die an
"@mysite.com" adressierte E-Mail an
"mail.mysite.com" umzuleiten.
Host-Namen in Mail-Servern (MX) dürfen keine
CNAMEs sein. Der Mail-Server (MX) kann nicht
mit einer IP-Adresse angegeben werden. Weitere
Informationen hierzu finden Sie in der Dokumen-
tation zum dynamischen DNS-Dienst.
Feldbeschreibungen 187
Beschreibungen der WAN/ISP-Felder
SMTP an WAN- Legt den WAN-Port (und damit den ISP) fest, über
Port binden den E-Mail gesendet wird. Dies ist hilfreich, wenn
(Modell 360/360R) Sie zwei verschiedene ISPs konfiguriert haben,
einen für jeden WAN-Port. In diesem Fall wird die
E-Mail an den WAN-Port gesendet, an den SMTP
gebunden ist.
Die von einem Client gesendete, ausgehende
E-Mail wird an den von diesem Client verwende-
ten WAN-Port gesendet. D.h. die E-Mail wird über
den Internet Service Provider (Verbindungstyp)
gesendet, der für diesen Port konfiguriert ist.
Anwendungs- Host reservieren Fügt die MAC-Adresse (die Sie im Textfeld "MAC-
Server Adresse der Netzwerkkarte" angegeben haben)
zum DHCP-Server des Geräts hinzu, so dass sie
immer der IP-Adresse zugewiesen wird, die Sie im
Textfeld "IP-Adresse" angegeben haben. Dies ist
für Anwendungs-Server erforderlich.
Wenn Sie diese Option aktivieren, ist sicherge-
stellt, dass der DHCP-Server dem Computer, den
Sie einrichten, immer die festgelegte IP-Adresse
anbietet. Sie können diese IP-Adresse auch als sta-
tische Adresse auf Ihrem Computer einrichten.
Liste der Hosts Host-Name Name des Hosts (Computer im internen Netzwerk).
Einhaltung von Einhaltung Wenn Sie AVpe für die ausgewählte Computer-
Virenschutz- von Viren- Gruppe aktivieren, überwacht das Sicherheits-
Richtlinien schutz- Gateway die Client-Arbeitsstationen, um zu ermit-
Richtlinien teln, ob diese die aktuellen Sicherheitsrichtlinien der
aktivieren Antivirus-Software einhalten.
Regel definieren Name Geben Sie beim Hinzufügen einer Regel einen
neuen Namen an.
Liste der Ein- Aktiviert? Zeigt an, ob die Eingangsregel aktiviert ist.
gangsregeln
Name Name der Eingangsregel.
Computer- Computer-Gruppe Wählen Sie die Gruppe aus, die Sie bearbeiten
Gruppen oder zu der Sie Regeln hinzufügen möchten.
WAN-Client- Content Filtering Auf den Datenverkehr aller Clients in der ausge-
Richtlinie aktivieren wählten VPN-Gruppe werden die Content-Filte-
ring-Regeln angewendet, die in den Listen vom
Typ "Zulassen" und "Ablehnen" definiert sind.
Liste vom Typ Beim Content Filtering wird die Liste vom Typ
"Ablehnen" "Ablehnen" verwendet. Dies ist eine Liste mit
verwenden URLs, auf die die Clients nicht zugreifen dürfen.
Sonstiger Datenverkehr ist zugelassen.
Liste vom Typ Beim Content Filtering wird die Liste vom Typ
"Zulassen" "Zulassen" verwendet. Dies ist eine Liste mit
verwenden URLs, auf die die Clients zugreifen dürfen. Sons-
tiger Datenverkehr ist nicht zugelassen.
Einhaltung von Diese Option setzt voraus, dass alle Benutzer der
Virenschutz- ausgewählten VPN-Gruppe eine Antivirus-
Richtlinien Software mit den aktuellsten Virendefinitionen
aktivieren verwenden.
Globale VPN- Lokales Gateway - ID-Typ der Phase-1 (ISAKMP), der von lokalen
Client-Einstel- Phase 1 - ID-Typ Gateways für VPN-Clients verwendet wird.
lungen
Folgende Optionen sind verfügbar:
■ IP-Adresse
Wenn Sie "IP-Adresse" auswählen, lassen
Sie das Textfeld "Lokales Gateway -
Phase 1 - ID" leer.
■ Eindeutiger Name
Wenn Sie "Eindeutiger Name" auswählen,
geben Sie im Textfeld "Lokales Gateway -
Phase 1 - ID" eine ID ein, die von allen
Clients verwendet werden soll.
Global IKE-Ein- Gültigkeit der Die in Minuten angegebene Zeit, bevor die
stellungen Sicherheitszuord- erneute Aushandlung (Phase 1) von Verschlüsse-
(Phase 1 - Neuver- nung lungs- und Authentifizierungsschlüsseln für den
schlüsselung) Tunnel in Kraft tritt.
Der Standardwert ist 1080 Minuten. Der maxi-
male Wert beträgt 2.147.483.647 Minuten.
Schutz- Blockieren und Wenn ein Angriff erkannt wird, wird der
Einstellungen warnen Netzwerkverkehr blockiert und eine Nach-
richt gespeichert.
Blockieren und Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
warnen an, ob die Einstellung zum Blockieren und
Warnen für diese Signatur aktiviert ist.
Blockieren/nicht Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
warnen an, ob die Einstellung "Blockieren/nicht
warnen" für diese Signatur aktiviert ist.
WAN Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
an, ob das WAN geschützt ist.
WLAN/LAN Zeigt "J" für "Ja" oder "N" für "Nein" an. Gibt
an, ob WLAN und LAN geschützt sind.
Feldbeschreibungen 221
Beschreibung der AVpe-Felder
AV-Master abfra- Geben Sie ein Intervall (in Minuten) für die
gen alle...Minuten Abfrage des AV-Servers durch das Sicherheits-
Gateway ein.
Wenn Sie beispielsweise 10 Minuten wählen, ruft
das Sicherheits-Gateway im Abstand von 10
Minuten die Liste der Virendefinitionen vom AV-
Server ab.
Die Standardeinstellung ist 10 Minuten. Sie müs-
sen einen Wert größer als 0 eingeben.
Richtlinienvali- Verifizieren, ob Wenn diese Option aktiviert ist, können Sie über-
dierung AV-Client aktiv ist prüfen, ob die Antivirus-Software von Symantec
auf der Arbeitsstation eines Clients installiert
und aktiv ist.
Folgende Optionen sind verfügbar:
■ Neueste Produkt-Engine (Standard)
Überprüft, ob die Antivirus-Software von
Symantec aktiv ist und die neueste Produkt-
Prüf-Engine verwendet wird.
■ Beliebige Version
Überprüft, ob die Antivirus-Software von
Symantec aktiv ist und eine beliebige Pro-
dukt-Prüf-Engine verwendet wird.
Clients abfragen Geben Sie ein Intervall (in Minuten) für die Über-
alle...Minuten prüfung der Client-Arbeitsstationen auf Viren-
definitionen durch das Sicherheits-Gateway ein.
Wenn Sie beispielsweise 10 Minuten wählen,
überprüft das Sicherheits-Gateway im Abstand
von 10 Minuten, ob die entsprechenden Arbeits-
stationen die aktuellen Virendefinitionen ver-
wenden.
Die Standardeinstellung ist 480 Minuten
(8 Stunden).
224 Feldbeschreibungen
Beschreibung der AVpe-Felder
Status des AV- AV-Master Gibt den primären oder sekundären AV-Server
Servers an, für den Informationen zusammengefasst
werden sollen.
Liste bearbeiten URL eingeben Geben Sie eine URL an, die einer der beiden Lis-
ten hinzugefügt werden soll. Geben Sie unter
"Zulassen" z.B. die Adresse "www.symantec.com"
ein und unter "Ablehnen" "myadultsite.com/
mypics/me.html"
Die URL darf maximal 128 Zeichen enthalten.
Jede Filterliste kann bis zu 100 Einträge umfas-
sen. Es kann immer nur eine URL hinzugefügt
werden.
Sie müssen einen vollständig qualifizierten
Domänennamen verwenden. Die Verwendung
von IP-Adressen ist für das Filtern von Inhalten
nicht ausreichend.
Aktuelle Liste URL Zeigt alle URLs an, die in der von Ihnen ausge-
wählten Liste enthalten sind.
Index
Zahlen C
3DES 95 Client-to-Gateway-Tunnels 98
globale Richtlinien 103
Cluster
A Tunnel zu einem Symantec Gateway 5400er
Administrator-Kennwort 14 Cluster herstellen 92
Administratorzugriff 14 Computer und Computer-Gruppen 64
ADSL (Asymmetrical Digital Subscriber Line) 29 Computer-Gruppen definieren 67
AES-128 95 Computer-Gruppen-Mitgliedschaft 65
AES-192 95 Content Filtering 116
AES-256 95 LAN 118
Aktivieren Liste vom Typ "Zulassen" 116
IDENT-Port 77 Listen verwalten 117
IPsec-Durchgang 78 Listen vom Typ "Ablehnen" 116
Aktualisierung der Firmware 131 WAN 103, 119
all.bin 136
Analog 27
Analoge Verbindungen 27 D
Ändern Datenfluss
DHCP-IP-Adressbereich 60 Ausgangsregel 70
LAN-IP-Adresse der Appliance 58 Eingangsregel, Zugriff 68
Angriffe 121 Deaktivieren
AntiVirus-Clients 114 Bridge-Modus 78
Antivirus-Server-Status 114 dynamischer DNS 48
app.bin-Firmware 131 Definieren
Appliance zurücksetzen 142 Ausgangsregel 70
Appliance, Vorderseiten-LEDs 144 Computer-Gruppen-Mitgliedschaft 65
Atomische IDS/IPS-Signaturen 121 Eingangsregel, Zugriff 68
Ausgangsregeln 70 DES 95
Automatische Aktualisierungen 133 DHCP 28
AVpe 108 Aktivieren 60
Konfigurieren 110 Deaktivieren 60
Protokollmeldungen 115 Erneuerung erzwingen 190
IP-Adressbereich 60
Verwendung 60
B DHCP-Einstellungen
Back Orifice 122 erweiterte Einstellungen 43
Backup-Wählverbindung 38, 41 DHCP-Server 58
BattleNet 75 Dienste abfragen 178
Bonk 122 Dienste umleiten 73
Breitbandverbindung 27, 28 DNS-Gateway 54
Bridge-Modus 78 Dokumentation
228 Index
E I
Eingangsregeln 68
ICMP-Anforderungen 40, 80
Erneuern nach Leerlauf 43
IDENT-Port 77
Erneuerung erzwingen 190
IDS/IPS 121
Erstellen
IKE-Tunnel, Gateway-to-Gateway 93
benutzerdefinierte Phase-2-Richtlinien 84
Interne Verbindungen 57
Sicherheitsrichtlinien 82
IPsec-Durchgang 78
Erweiterte Optionen 77 IP-Spoof-Schutz 123
Erweiterte Schutz-Einstellungen 123 ISDN-Verbindungen 27
Erweiterte Verbindungseinstellungen 43
Erweiterte WAN-/ISP-Einstellungen 51
Exponierter Host 79 J
Externes Netzwerk Jolt 122
Verbindung konfigurieren 21
K
F Kabelmodemverbindung 28
Failover 53 Kennwort
Fawx 122 Administration 14
Fehlerbehebung 149, 151 Konfigurieren 15
Firewall, Liste der Hosts 66 manuell zurücksetzen 15
Firmware 14, 132, 133, 136 Komprimierung, Tunnel 82
Aktualisieren, manuell 136 Konfiguration der LAN-IP-Einstellungen 58
app.bin 131 Konfiguration, Sichern und Wiederherstellen 141
Updates 131 Konfigurieren
Firmware aktualisieren Appliance als DHCP-Server 58
Norton Internet Security 137 AVpe 110
Firmware flashen 138 Client-to-Gateway-Tunnels 98
Flashing 14 Computer 65
Fragezeichen 11 dynamische Gateway-to-Gateway-Tunnels 93
Erneuern nach Leerlauf 43
erweiterte Optionen 77
G erweiterte PPP-Einstellungen 44
Gateway-to-Gateway 89 erweiterte Schutz-Einstellungen 123
Dauer und Hochverfügbarkeit von Tunnels 91 erweiterte Verbindungseinstellungen 43
dynamische Tunnels 93 erweiterte WAN-/ISP-Einstellungen 51
unterstützte VPN-Tunnels 91 exponierter Host 79
Girlfriend 122 Failover 53
Index 229
S T
Schutz T1-Verbindung 28
IP-Spoofing 123 T3 27
TCP-Flag-Validierung 124 TCP/IP-basiertes Netzwerk, PPTP 35
Schutz vor Angriffen 121 TCP-Flag-Validierung 124
Back Orifice 122 Teardrop 122
Girlfriend 122 Technische Unterstützung 154
Trojanisches Pferd 122 Teilnetz 91
Schutz vor TCP-/UDP-Datenverlust 122 TFTP 137
Schutz vor Trojanern 122 Trennen
Schutz-Einstellungen inaktive PPPoE-Verbindungen 29
Einstellungen 123 Tunnelaushandlungen
Konfigurieren Phase 1 84
Schutz-Einstellungen 123 Phase 2 84
Security Gateway Management Interface 13 Tunnel-Komprimierung 82
Serielle Konsole 17 Tunnelkonfigurationen
HyperTerminal 18 VPN
Rollen-Taste 18
Gateway-to-Gateway 89
Server für Verbindungs-Check 26, 40, 54
Tunnels
Setup-Assistent 25
Gateway-to-Gateway, dynamisch 93
Sprachenauswahl 25
VPN-Tunnels erzwingen/IPsec-Durchgang
SGMI 13
zulassen 98
SGMI (Security Gateway Management Interface) 11
TZO 46
Sichere VPN-Verbindungen 81
Sicherheitsrichtlinien 82
Sichern und wiederherstellen U
Konfigurationen 141 Überwachen
Signaturen, Atomisch 121 Antivirus-Server-Status 114
SMTP-Bindung 52 DHCP-Verwendung 60
SMTP-Zeitüberschreitungen 77 Wählverbindungen 43
Spezielle Anwendungen 75 Überwachung des VPN-Tunnel-Status 105
Spezielle Telefonleitung Update des dynamischen DNS erzwingen 48
ISDN 27
Spiele 75
Sprachenauswahl 25
V
Standardeinstellungen, Port-Zuweisung Verbindung konfigurieren 28
wiederherstellen 62 Verbindung testen 53
Statische Gateway-to-Gateway-Tunnels 95 Verbindung zu einem externen Netzwerk 21
Statische IP 28 Verbindung, Netzwerkbeispiele 22
Konfigurieren 34 Verbindungstypen, allgemeine Informationen 27
Statische Route-Einträge 49 Verhindern von Angriffen 121
Steuerung des Netzwerkverkehrs 63 Verwalten
erweitert 107 Administratorzugriff 14
SubSeven 122 Content Filtering-Listen 117
Symantec Gateway Security 5400 Serie 91, 92 ICMP-Anforderungen 80
Syndrop 122 Verwendung der seriellen Konsole 17
Index 231
Videokonferenz 75 W
VPN
Wählverbindungen 27, 38
benutzerdefinierte Phase-2-Richtlinien
Backup 41
erstellen 84
Backup-Verbindung 38
globale Richtlinie, Einstellungen 103
Konfigurieren 40
Hochverfügbarkeit von Tunnels 92
manuelle Verbindung 42
Konfiguration von Client-to-Gateway-
Überwachungsstatus 43
Tunnels 98
Verbindung testen 42
Längen der Authentifizierungsschlüssel 95
WAN/ISP
Längen der Verschlüsselungsschlüssel 95
erweiterte Einstellungen 51
Phase 2, konfigurierbar 84
Konfiguration, Erneuern nach Leerlauf 43
Richtlinien 83
mehrere IP-Adressen 30
sichere Verbindungen 81
WAN-Port
Teilnetz 91
MTU konfigurieren 45
Tunnel zu einem Symantec Gateway Security
Verbindung 21
5400er Cluster herstellen 92
WAN-Port-Konfiguration 26
Tunnelaushandlungen
Wiederherstellen der Standardeinstellungen einer
Phase 1 83
Port-Zuweisung 62
Phase 2 83
Winnuke 122
Tunnel-Komprimierung 82
Wissenswertes über Verbindungstypen 27
Tunnelkonfigurationen 89
Gateway-to-Gateway 89
VPN-Tunnels erzwingen/IPsec- Z
Durchgang zulassen 98 Zeitüberschreitungen, SMTP 77
Tunnelpersistenz 91
Tunnel-Status 105
Überwachung des VPN-Tunnel-Status 105
unterstützte Gateway-to-Gateway-Tunnels 91
VPN-Tunnel
Remote-Verwaltung 15
Unterstützung
Sicherheits-Updates
Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der
Symantec Security Response-Website (vormals Antivirus Research Centre) unter
folgender Adresse:
www.symantec.de/region/de/avcenter/index.html
Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Viren-
bedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können
außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts herunter-
geladen werden.
Symantec-Websites:
Produktspezifisches Newsbulletin:
USA, Asien-Pazifik/Englisch:
http://www.symantec.com/techsupp/bulletin/index.html
Deutsch:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Französisch:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.
Italienisch:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Niederländisch:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Lateinamerika
Spanisch:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Portugiesisch:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
236 Lösungen für Service und Unterstützung
Technische Unterstützung
Technische Unterstützung
Als Teil von Symantec Security Response verfügt unser globales Team für die
technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe
ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur
Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer
webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen
Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellst-
möglich zu beantworten. In enger Kooperation mit den Product Engineering- und
Security Research Center-Experten bieten wir Ihnen umfassende Warndienste
und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen.
Unser Angebot umfasst u. a.:
■ Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre
Unternehmensgröße benötigten Supports flexibel wählen können.
■ Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle
Informationen erhalten.
■ Produkt-Updates gewährleisten automatischen Schutz durch Software-
Upgrades.
■ Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen
für optimalen Schutz.
■ Der globale Support durch die Experten von Symantec Security Response
steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur
Verfügung.
■ Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und
der persönliche Technical Account Manager gewährleisten verbesserte Reak-
tionszeiten und proaktiven Sicherheits-Support.
Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf
unserer Website.
Kontakt
Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder
über das Internet an die technische Unterstützung wenden, entweder unter der
nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführ-
ten regionalen Unterstützungssites.
www.symantec.com/region/de/techsupp/enterprise/
Halten Sie dabei die folgenden Informationen bereit:
■ Nummer des Produkt-Release
■ Hardware-Informationen
Lösungen für Service und Unterstützung 237
Kundenservice
Kundenservice
Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfra-
gen, beispielsweise:
■ Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprach-
verfügbarkeit, Händler in Ihrer Nähe usw.)
■ Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprü-
fen können
■ Neueste Informationen zu Produkt-Updates und -Upgrades
■ Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installie-
ren können
■ Wie Sie Ihr Produkt und/oder Lizenzen registrieren können
■ Informationen zu den Lizenzprogrammen von Symantec
■ Informationen zu Upgrade-Versicherung und Wartungsverträgen
■ Ersatz fehlender CDs und Handbücher
■ Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderun-
gen
■ Beratung zu den Optionen der technischen Unterstützung von Symantec
Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Web-
site für Service und Unterstützung oder durch einen Anruf beim Kundenservice-
Center von Symantec. Die Webadressen und die Nummer Ihres lokalen Kunden-
service-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick".
238 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick
Produktspezifisches Newsbulletin:
USA/Englisch:
http://www.symantec.com/techsupp/bulletin/index.html
Deutsch:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Französisch:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italienisch:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Lösungen für Service und Unterstützung 239
Alle Kontaktinformationen auf einen Blick
Niederländisch:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Spanisch:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Portugiesisch:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Symantec-Kundenservice
Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgen-
den Sprachen: Englisch, Deutsch, Französisch und Italienisch.
Belgien + (32) 2 2750173
Dänemark + (45) 35 44 57 04
Deutschland + (49) 69 6641 0315
Finnland + (358) 9 22 906003
Frankreich + (33) 1 70 20 00 00
Großbritannien + (44) 20 7744 0367
Irland + (353) 1 811 8093
Italien + (39) 02 48270040
Luxemburg + (352) 29 84 79 50 30
Niederlande + (31) 20 5040698
Norwegen + (47) 23 05 33 05
Österreich + (43) 1 50 137 5030
Schweden + (46) 8 579 29007
Schweiz + (41) 2 23110001
Spanien + (34) 91 7456467
Südafrika + (27) 11 797 6639
Andere Länder + (353) 1 811 8093
(Nur in englischer Sprache)
240 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick
Symantec-Kundenservice - Korrespondenzadresse
Symantec Ltd
Customer Service Centre
Europe, Middle East and Africa (EMEA)
PO Box 5689
Dublin 15
Irland
Für Lateinamerika
Symantec bietet weltweit technische Unterstützung und Kundenservice.
Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen inter-
nationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhan-
den ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-
Geschäftsstelle für Service und Unterstützung in Ihrer Region.
Argentinien
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentinien
Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela
Columbien
Carrera 18# 86A-14
Oficina 407, Bogota D.C.
Columbien
Brasilien
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasilien, SA
Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
Mexiko
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, Mexico D.F.
Mexiko
Übriges Latinamerika
9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A
Website http://www.service.symantec.com/mx
Für Asien-Pazifik
Symantec bietet weltweit technische Unterstützung und Kundenservice.
Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen inter-
nationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhan-
den ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-
Geschäftsstelle für Service und Unterstützung in Ihrer Region.
CHINA
Symantec China
Unit 1-4, Level 11
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.
HONGKONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hongkong
INDIEN
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Indien
Hauptrufnummer +91 22 652 0658
Fax +91 22 652 0671
Website http://www.symantec.com/india
Technische Unterstützung: +91 22 657 0669
KOREA
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Südkorea
MALAYSIA
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Lösungen für Service und Unterstützung 245
Alle Kontaktinformationen auf einen Blick
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malaysia
NEUSEELAND
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Neuseeland
SINGAPUR
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Singapur 048693
Hauptrufnummer +65 6239 2000
Fax +65 6239 2001
Technische Unterstützung +65 6239 2099
Website http://www.symantec.com.sg
246 Lösungen für Service und Unterstützung
Alle Kontaktinformationen auf einen Blick
TAIWAN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwan