Hier zeigen wir Ihnen, wie Sie den Xelon HQ Firewall-Dienst und die Weiterleitungsregeln einrichten und wie Sie sich mit Ihrem Firewall-Gerät verbinden.
Ähnlich wie eine feuerbeständige Wand verhindert, dass sich ein Feuer in einem Gebäude ausbreitet, überwacht eine Firewall den Datenverkehr, um unbefugten Zugriff auf das Netzwerk zu verhindern. Um das höchstmögliche Sicherheitsniveau zu erreichen, können Sie folgende Massnahmen ergreifen:
- Konfigurieren Sie inbound rules (Zugriff von WAN auf Ihr internes Gerät)
- Konfigurieren Sie outbound rules (Zugriff von Ihrem internen Gerät auf WAN)
- Verwalten Sie Source Ports and Destination Ports
Die Xelon HQ Plattform ermöglicht es Ihnen, Ihre internen Server und Netzwerke auf verschiedene Arten zu segmentieren. Eine der einfachsten Möglichkeiten ist ein sofort einsatzbereiter Firewall-Service, der in wenigen Schritten installiert werden kann.
Richten Sie Ihre Firewall ein
- Gehen Sie zu Networking > Firewalls Tab > Create Firewall Button.
- Geben Sie den Anzeigenamen der Firewall ein und wählen Sie die entsprechende Organisation aus. Für die Kubernetes Firewall wählen Sie das Gerät, auf das sie angewendet werden soll.
- Passen Sie Netzwerk und IP-Einstellungen Ihren Bedürfnissen an. Sie können entweder ein vorhandenes dediziertes WAN-Netzwerk auswählen, wenn Sie eins zugewiesen haben, oder eine öffentliche IP-Adresse aus einem gemeinsam genutzten Pool zuweisen. Wählen Sie im internen Netzwerkmenü das Netzwerk aus, mit dem Sie auf der LAN-Seite eine Verbindung herstellen möchten, und wählen Sie eine IP-Adresse für Ihre Firewall aus.
- Sie können Ihre Firewall bereitstellen und Inbound- und Outbound-Rules später einrichten.
Inound Rule einrichten
Inbound-Rules ermöglichen den Zugriff auf Ihren Server aus dem Internet . Angenommen, Sie haben einen Server, der über den Port 443 erreichbar sein soll. Die richtige Konfiguration der Inbound-Regel sollte wie folgt aussehen:
Sources: All IP's
Destination: Your web server entity or IP address
Service: https
Protocol: TCP
Port range: 443
Outbound Rule einrichten
Wenn Sie eine Inbound Rule erstellen, um eine Verbindung vom WAN zu Ihrem Server über den Port 443 herzustellen, müssen Sie keine Outbound Rule für denselben Datenverkehr konfigurieren, um zum Initiator zurückzukehren. Die Firewall ermöglicht automatisch den Durchgang von TCP-Datenverkehr durch die Firewall.
Outbound-Regeln verwalten den Ursprung des Datenverkehrs von Ihren internen Servern ins Internet. Aus Sicherheitsgründen empfehlen wir dringend, den Datenverkehr nur auf die benötigten Dienste zu beschränken.
Wenn Ihr Gerät beispielsweise keinen Mail-Server hostet, erlauben Sie keine Kommunikation über Port 25 mit der Aussenwelt.
Best Practices
Für Linux- und Windows-Mail-Server sollten Outbound Rules für Port 25, 587 (TLS) und 465 (SSL) festgelegt werden, um E-Mails zu senden. Für andere Linux- und Windows-Server sollten Outbound Rules für Port 80 und 443 festgelegt werden, um Updates herunterzuladen.
Verwaltung und Zugriff auf Ihre Firewall
Nach der Bereitstellung können Sie auf Ihre Firewall zugreifen, indem Sie darauf klicken. In der oberen Leiste des Dashboards sehen Sie die Konfiguration Ihrer Firewall. Verwenden Sie die externe IP-Adresse, um eine Verbindung mit Ihren internen Diensten herzustellen. Wenn Sie beispielsweise eine Inbound-Regel für Port 443 konfiguriert haben, um auf Ihren internen Webserver zuzugreifen, öffnen Sie Ihren Browser und folgen Sie dem Link https://<EXTERNAL_IP>, um auf Ihren Webserver zuzugreifen.
Neben der Konfiguration von Inbound- und Outbound-Regeln können Sie auch IPsec-Regeln für Ihre Firewall verwalten. Erfahren Sie hier mehr über deren Einrichtung.