Erstellen einer Firewallrichtlinie am Beispiel von POP3
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
Im Artikel Firewallrichtlinien wurde beschrieben, was Firewallrichtlinien sind und wie sie funktionieren. In dem vorliegenden Artikel wird die Erstellung einer solchen Richtlinie anhand einer Beispielkonfiguration beschrieben und gezeigt.
Ausgangssituation: Benutzerin Birgit soll während der Arbeitszeit (09:00-12:00 und 13:00-17:00 Uhr) mit ihrem Outlook von ihrem fest zugewiesenen Arbeitsplatzrechner per POP3 Mails von einem GMX-Account abholen können.
Erinnern wir uns an die Leitregel für die Firewallrichtlinien:
Aktion für Verkehr von Benutzer aus Quelle zu Ziel mit Einschränkungen
In diesem Beispiel gilt:
- Aktion: zulassen
- Verkehr: POP3
- Benutzer: Birgit
- Quelle: Birgits Computer
- Ziel: GMX POP3-Server
- Einschränkungen: Arbeitszeit
Mit der Toolbox sollten wir uns zuerst Elemente für "Birgits Computer", "GMX POP3-Server" und "Arbeitszeit"erstellen. Sofern auf Birgits Computer der Firewallclient ausgeführt wird, könnte zusätzlich zur Einschränkung von ihrem PC auch ihre Benutzerauthentifizierung erzwungen werden, die bei nicht-HTTP/FTP-Verkehr ausschließlich mittels des Firewallclients möglich ist.
Zuerst wird ein neues Netzwerkobjekt "Birgits PC" erstellt, welches anhand seiner IP Adresse charakterisiert wird:
Als nächstes wird ein Netzwerkobjekt "GMX POP3-Server" erstellt:
Nun noch schnell den vorhandenen Zeitplan "Normale Arbeitszeit" anpassen:
Nun haben wir alle Bauelemente zusammen und können die Firewallrichtlinie erstellen.
Dazu aus dem Aufgabenbereich den Punkt "Zugriffsregel erstellen" auswählen.
Es öffnet sich der Assistent für neue Zugriffsregeln:
Für die Zugriffsregel sollte ein eindeutiger Name verwendet werden. Das erleichtert später die Übersicht.
Die Regel den Verkehr erlauben:
Durch Doppelklick auf das POP3-Element in der Toolbox wird es dem Assistenten hinzugefügt.
Als nächstes wird das Quellobjekt angegeben.
Im nächsten Dialog muss das Ziel ausgewählt werden:
Die letzte Auswahlbox kann übernommen werden. Hier könnte, wie bereits erwähnt, zusammen mit dem Firewallclient eine Authentifizierung auf Benutzerebene für diese Zugriffsrichtlinie erzwungen werden. Damit könnte Paul keinen Zugriff auf POP3 bekommen, wenn er an Birgits Rechner sitzt, was in unserem Beispiel ohne Firewallclient möglich ist.
Zum Schluss gibt es eine Zusammenfassung - die möglicherweise für Dokumentationszwecke (hier funktioniert drag-and-drop) weiterverwendet werden kann:
Nun ist die neue Richtlinie erstellt:
Haben wir nicht noch etwas vergessen?
Die Anforderung war, dass sie nur während der Arbeitszeiten Mails abholen darf. Aber im Assistenten konnte man das nicht konfigurieren. Wo dann?
Zwei Möglichkeiten:
1. Öffnen Sie die Firewallrichtlinie und gehen Sie dann zur Registerkarte "Zeitplan". Wählen Sie dort in der Drop-Down-Liste "Normale Arbeitszeit" aus:
2. Ziehen Sie das Element "Normale Arbeitszeit" aus der Toolbox auf die Spalte "Bedingung" innerhalb der Firewallrichtlinie.
Das Ergebnis ist jeweils das selbe:
Jetzt ist die Richtlinie wirklich fertig.
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Stand: Friday, 28. August 2009/DR.
