Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Firewall BorderManager V 3.7 Autor: Michael Stütz

Ähnliche Präsentationen


Präsentation zum Thema: "Firewall BorderManager V 3.7 Autor: Michael Stütz"—  Präsentation transkript:

1 Firewall BorderManager V 3.7 Autor: Michael Stütz
LFB Materialien - (c) M. Stütz Firewall BorderManager V Autor: Michael Stütz (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg

2 Übersicht Firewall Grundlagen: BorderManager, iManager Beispiele:
NetStorage RemoteManager Chatten, Realplayer E-Stat News (mit GroupWise) Übungen Zusatz: NCF Datei for tuning BorderManager (sys:nwmuster\brdtune.ncf) Autor: Michael Stütz - Firewall Stand: Jan. 2004

3 Übersicht: Firewall Von Außen nach Innen über den Browser
über ein Zusatzprogramm (z.B: GW-Client, FTP) => Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy) und FilterExceptions, Filters VPN-Zugang => Spezielle Konfiguration Von Innen nach Außen => Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters Autor: Michael Stütz - Firewall Stand: Jan. 2004

4 Übersicht: Firewall Einstellungen über INETCFG
INETCFG | Protocols | TCP/IP IP Packet Forwarding „Enabled Router“ Filter Support „Enabled“ NAT Implicit Fitering Disabled = allow the inbound packets to communicate with the server Set NAT dynamic mode to pass thru = ON Enabled Set NAT dynamic mode to pass thru = OFF INETCFG | Bindings | „Public“ NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only Autor: Michael Stütz - Firewall Stand: Jan. 2004

5 Übersicht: Firewall Verwaltungstools
LFB Materialien - (c) M. Stütz Übersicht: Firewall Verwaltungstools NWAdmin sys:public\win32 BorderManager Setup BorderManager Access Rules iManager https:// :2200/eMFrame/imanager.html SERVICES FILTERS FILTEREXECPTIONS Firewall Tools data:pgm\firewall Aufgabe des Kapitel 9 ist die Rolle des Netzwerkberaters (in) in der Schule zu beschreiben. Durch den Einzug der Computer nicht nur in den Computerraum, sondern auch in die Klassenzimmer war eine Überarbeitung, bzw. festlegen der Rolle des Netzwerkberaters notwendig. Die Rolle lässt sich unter verschiedenen Blickrichtungen betrachten. Das Spannungsfeld in der Schule gibt einen Überblick über die Begleitumstände, denen der Netzwerkberater (in) in der Schule begegnet. Danach wird der Aufgabenbereich des Netzberaters (in) umrissen. Es folgen die Unterstützungsmaßnahmen, die für den Netzwerkberater (in) existieren und die erst durch den Einsatz der Musterlösung greifen. Immer wieder wurde von der Hotline (LEU im Rahmen des Supportprojektes 2001) bemerkt, dass die Netzwerkberater(innen) sprachlos sind, wenn sie einen Fehler melden sollen. Mit diesem Feld beschäftigt sich der letzte Abschnitt. Autor: Michael Stütz - Firewall Stand: Jan. 2004 (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg

6 Netzwerkkarten im Server
Begriffe: Public – Private (FiltCfg) Autor: Michael Stütz - Firewall Stand: Jan. 2004

7 NWAdmin – BorderManager Setup
dienstspezifische Einstellungen allgemeine Einstellungen Autor: Michael Stütz - Firewall Stand: Jan. 2004

8 BM Setup: Allgemeine Einstellungen: IP - Adressen
Schaltfläche um neue IP-Adresse einzugeben PRIVAT = Verbindung zum lokalen Netz PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN-Leitung verbunden ist. Autor: Michael Stütz - Firewall Stand: Jan. 2004

9 BM Setup: Acceleration
Autor: Michael Stütz - Firewall Stand: Jan. 2004

10 BM Setup: Acceleration
Autor: Michael Stütz - Firewall Stand: Jan. 2004

11 BM Setup: Generic TCP Proxy
Autor: Michael Stütz - Firewall Stand: Jan. 2004

12 BM Setup: Generic TCP Proxy
Zusätzlich in der 2-Server-Version Autor: Michael Stütz - Firewall Stand: Jan. 2004

13 BM: Access Rules Autor: Michael Stütz - Firewall Stand: Jan. 2004

14 iManager Autor: Michael Stütz - Firewall Stand: Jan. 2004

15 iManager Paketweiterleitungsfilter (Filter, FilterExceptions)
Services (Protokoll, Ports) Ein-/Ausgangsfilter (Routing Filter Autor: Michael Stütz - Firewall Stand: Jan. 2004

16 iManager Filter: keine Weiterleitung
Ausnahmefilter: Weiterleitung (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004

17 iManager: Services Autor: Michael Stütz - Firewall Stand: Jan. 2004

18 iManager: Services Bezeichnung: beliebig, eindeutig
Port; Bereich mit Bindestrich Automatisches Portverwaltung für die Antwort Autor: Michael Stütz - Firewall Stand: Jan. 2004

19 iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004

20 iManager: Ausnahmefilter (FilterExceptions)
Out => PRIVATE Out => PUBLIC In => PUBLIC In => PRIVATE Autor: Michael Stütz - Firewall Stand: Jan. 2004

21 iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004

22 iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004

23 Übungen

24 Übungen Firewall (BorderManager, iManager)
Übung 1: Chatten über das Firewall-Tool freischalten Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren Übung 3: Fehler von IP-Change Neue Services und Filterausnahmen (FilterException) integrieren Übung 4: E-Stat Erweiterung Übung 5: Fragen zum RemoteManagement Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004

25 Übung 1: Chatten über das Firewall-Tool freischalten
Beispiele: Autor: Michael Stütz - Firewall Stand: Jan. 2004

26 Übung 1: Chatten über das Firewall-Tool freischalten
Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des Tools Firewall Tools (data:pgm\firewall) starten ggf vorhandenen CHAT Filter und Service löschen CHAT Service und Filter per Firewalltool integrieren Service hinzufügen: Chat_Services_Add.ldif FilterException hinzufügen: Chat_FilterExceptions_Add.LDIF FilterException aktivieren: Chat_FilterException_Aktiv.ldif Kontrolle per Firewall-Tool iManager Browser (Chatraum aufsuchen) Autor: Michael Stütz - Firewall Stand: Jan. 2004

27 Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004

28 Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004

29 Übung 1: Chatten über das Firewall-Tool freischalten
Admin-Passwort eingeben Autor: Michael Stütz - Firewall Stand: Jan. 2004

30 Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004

31 Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004

32 Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004

33 Übung 1: Chatten über das Firewall-Tool freischalten
IP-Adressen kontrollieren / anpassen ….. [Settings] EditTree=SCHULBAUM02 EditContext=NBMRuleContainer.Server.DIENSTE IP_old= REM IP_new= IP_new= Hinweis: Beim Einlesen neuer FilterExceptions wird den Filtern die IP-Adresse zugewiesen. Damit die Filter wirksam werden, müssen diese Einträge angepasst werden. Passen Sie deshalb die INI-Datei vor dem Aufruf von CHANGEIP entsprechend an. REM dient dabei als Kennzeichen für einen Kommentar. Autor: Michael Stütz - Firewall Stand: Jan. 2004

34 Übung 1: Chatten über das Firewall-Tool freischalten
Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Autor: Michael Stütz - Firewall Stand: Jan. 2004

35 Übung 1: Chatten über das Firewall-Tool freischalten
Fragen für den Problemfall: Welches Protokoll und welche Ports müssen freigeschaltet werden? Protokoll: TCP/IP Ports: , ggf. auch 7000 iManager Service vorhanden oder muss er neu angelegt werden? Ausnahmeregel (FilterException) prüfen/definieren Filter an der Konsole aktivieren Filter an der Konsole deaktivierten: => load ipflt Test Sind die Ports aktiv ? An der Konsole: tcpcon Protocol-Information | TCP | TCP Connections Autor: Michael Stütz - Firewall Stand: Jan. 2004

36 Übung 2: Fehler von Change-IP
Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst. A1: Informieren Sie sich über das Internet über aktuelle Änderungen. A2: Kontrollieren Sie über den iManager die IP- Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN). . FilterException (Empfehlung in Fettdruck) Name Bemerkung Dienste Ursprung Service-Typ Ziel  aktiviert  deaktiviert NTP-Time Erlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein. NTP PUBLIC PUBLIC SMTP-In Erlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert) SMTP PUBLIC smtp-st PUBLIC Autor: Michael Stütz - Firewall Stand: Jan. 2004

37 Konfigurieren Sie den Zugang zu E-Stat mit Hilfe
Übung 3: E-Stat Konfigurieren Sie den Zugang zu E-Stat mit Hilfe des Firewall-Tools und vordefinierten LDIF-Dateien oder über das Programm iManager Beschreiben Sie stichwortartig Ihre Vorgehensweise. Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen. Autor: Michael Stütz - Firewall Stand: Jan. 2004

38 Übung 3: E-Stat NWAdmin – BorderManager Setup | HTTP Proxy | Details
iManager – Service iManager - FilterException Autor: Michael Stütz - Firewall Stand: Jan. 2004

39 Übung 3: E-Stat http://svnt2.kultus-bw.de:7779/estat/start.html
Autor: Michael Stütz - Firewall Stand: Jan. 2004

40 Übung 4: Neue Services und FilterException integrieren
Firewall Tools (data:pgm\firewall) starten Update-Ldif Datei einlesen ML25_Firewall_Update01.ldif Neue FilterException aktivieren ML25_Firewall_Update01-Aktiv.ldif Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Bitte beachten Sie die Einstellung in der Date changeip.ini. Kontrolle per iManager: Services, FilterException sowie IP-Adressen kontrollieren Neue FilterException testen (z.B. RealAudio) RealPlayer BBC dann links z.B. auf News Audio klicken Autor: Michael Stütz - Firewall Stand: Jan. 2004

41 Übung 5: Portal-Management
Im Auslieferungszustand der Musterlösung 2.x kann per Portal-Management nur auf den GServer02 nicht aber auf den KServer02 zugegriffen werden. A1: Welche Angaben / Daten werden benötigt, um das Problem zu lösen? A2: Finden Sie mind. zwei Lösungen? A3: Wie sind die Lösungen bzgl. des Sicherheits- aspekts zu bewerten? Autor: Michael Stütz - Firewall Stand: Jan. 2004

42 Übung 6: Newsgroups mit GroupWise
Übersicht Firewall anpassen: Ausnahmefilter News-St-Out Groupwise Client anpassen News-Server bei BelWue: news.belwue.de Newsgroups: Autor: Michael Stütz - Firewall Stand: Jan. 2004

43 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

44 Übung 6: Newsgroups mit GroupWise
news.belwue.de Autor: Michael Stütz - Firewall Stand: Jan. 2004

45 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

46 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

47 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

48 Übung 6: Newsgroups mit GroupWise
Ist der News-Ausnahmefilter aktiv? Firewall deaktivieren über „unload ipflt“ an der Serverkonsole Autor: Michael Stütz - Firewall Stand: Jan. 2004

49 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

50 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

51 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

52 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

53 Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004

54 NCF Datei for tuning BorderManager
####################################################### # # # NCF Datei for tuning BorderManager # # Watch BorderManager performance and customize # # the parameters! # # Novell Consulting FAu 06.Feb # ########## Communications Parameter ########## SET Maximum Physical Receive Packet Size = 4224 SET Maximum Packet Receive Buffers = 10000 SET Minimum Packet Receive Buffers = 5000 SET New Packet Receive Buffer Wait Time = 0.1 sec SET Maximum Interrupt Events = 50 ########## Memory Parameter ########## SET Garbage Collection Interval = 5 ########## File Caching Parameter ########## SET Read Ahead Enabled = on SET Maximum Concurrent Disk Cache Writes = 750 SET Dirty Disk Cache Delay Time = 0.1 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004

55 NCF Datei for tuning BorderManager
####################################################### ########## Directory Caching Parameter ########## SET Dirty Directory Cache Delay Time = 0.1 sec SET Maximum Concurrent Directory Cache Writes = 125 SET Directory Cache Allocation Wait Time = 0.1 sec SET Directory Cache Buffer NonReferenced delay = 30 min SET Minimum Directory Cache Buffers = 1000 SET Maximum Directory Cache Buffers = 4000 SET Maximum Number of Internal Directory Handles = 500 ########## File System Parameter ########## SET Immediate Purge of Deleted Files = on SET Enable File Compression = off ########## Locks Parameter ########## SET Maximum File Locks = Autor: Michael Stütz - Firewall Stand: Jan. 2004

56 NCF Datei for tuning BorderManager
####################################################### ########## Disk Parameter ########## SET Enable Hardware Write Back = on SET Enable Disk Read After Write Verify = off ########## Miscellaneous Parameter ########## SET Worker Thread Execute In A Row Count = 15 SET Pseudo Preemption Count = 200 SET Minimum Service Processes = 500 SET Maximum Service Processes = 1000 SET New Service Process Wait Time = 0.3 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004


Herunterladen ppt "Firewall BorderManager V 3.7 Autor: Michael Stütz"

Ähnliche Präsentationen


Google-Anzeigen