Nochmal Firewall Regelmanagement

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Nochmal Firewall Regelmanagement

Beitrag von COMCARGRU »

Moin,

ich weis ich nerve! Unter der Vorraussetzung, daß ich nicht Blind bin (die 4.0er Tools habe ich bislang nur flüchtig betrachtet), möchte ich doch nochmal nach einem besseren Regelmanagment fragen.

Wird das geändert und falls ja, wann wäre damit zu rechnen?

Ich hatte jetzt an Weihnachten endlich mal Zeit und Muse, die Firewall meiner 8011 scharf zu schalten. Hierzu folgendes:

Bei bislang ca. 30 Regeln, was sich locker noch verdoppelt und eigentlich nicht viel ist, ist das Fenster alles andere als übersichtlich.

Gut wäre es, wenn man die Regeln zusätzlich zu ihrer Ausführungs- Reihenfolge auch alphabetisch und nach einer zu vergebenden laufenden Nummer sortieren könnte. Auch wäre eine Art Explorer Baum und die virtuelle Gruppenbildung toll! Also z.B. ein Ordner allgemeine Regeln, ein Ordner VPN Regeln, ein Ordner DMZ Regeln, User(name) spezifische Regeln etc... - Die einzelnen Regeln müsste man dann quasi virtuell einem oder mehreren Ordnern zuweisen können.

Und für ganz wichtig, halte ich es Stationsnamen, MAC-Adressen und IP Nummern aus vorgefertigten Text oder Excel Files importieren zu können. Ich bin hier leider in der Situation knapp 200(!) MAC Adressen von Hand eintragen zu müssen. Und ich denke manche Firmen haben noch viel mehr Systeme.

Weiterhin wäre es gut, Listen mit IP, MAC oder Stationsnamen einmal anzulegen und in der FW Regel, dann nur noch auf die Liste X oder Y oder beide verweisen zu können!!!

Von einer Anbindung an ein ADS und Regeln dann ADS/Userspezifisch anzulegen, will ich lieber mal nur Träumen... - Das stelle ich mir höllisch kompliziert vor, wäre aber eine geniale Funktion! So werde ich demnächst wohl doch noch einen ISA 2004 samt zugehöriger Hardware beschaffen müssen...

Von ausgefeilten Regel- Import/Export Funktionen habe ich ja auch schon mal gesprochen.

Und eine Suchfunktion wäre auch Klasse - z.B. nach MAC Adressen :-)


Gruß
COMCARGRU

p.s. nicht fragen warum ich 60 oder mehr Regeln haben werde. Das ist schlicht der Übersichtlichkeit und Logik geschuldet. Wenn ich für die User A, B und C eine nahezu (bis auf die IP) identische Regel benutze, könnte ich das mit einer statt mit drei Regeln erschlagen. Wenn sich jetzt bei User B was ändert, suche ich schlicht nach der Regel User_B und lösche diese z.B. Hätte ich nur eine bestünde die Gefahr, den falschen User zu erwischen. Da ich aber auch mit knapp 200 MAC Adressen arbeite, sind Kombi Regeln super unübersichtlich. Bei PC Serien mit beinahe identischen MACs ist das verständlich.

Ach ja, mit MACs arbeite ich, weil die Lancoms ja eine Weile benötigen, bis sie den Stationsnamen gelernt haben, wenn ein PC eingeschaltet wird. Solange wäre eine Station außer Gefecht gesetzt.
Antworten