Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Wiebke Wellborn Geändert vor über 10 Jahren
1
Firewall BorderManager V 3.7 Autor: Michael Stütz
LFB Materialien - (c) M. Stütz Firewall BorderManager V Autor: Michael Stütz (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
2
Übersicht Firewall Grundlagen: BorderManager, iManager Beispiele:
NetStorage RemoteManager Chatten, Realplayer E-Stat News (mit GroupWise) Übungen Zusatz: NCF Datei for tuning BorderManager (sys:nwmuster\brdtune.ncf) Autor: Michael Stütz - Firewall Stand: Jan. 2004
3
Übersicht: Firewall Von Außen nach Innen über den Browser
über ein Zusatzprogramm (z.B: GW-Client, FTP) => Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy) und FilterExceptions, Filters VPN-Zugang => Spezielle Konfiguration Von Innen nach Außen => Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters Autor: Michael Stütz - Firewall Stand: Jan. 2004
4
Übersicht: Firewall Einstellungen über INETCFG
INETCFG | Protocols | TCP/IP IP Packet Forwarding „Enabled Router“ Filter Support „Enabled“ NAT Implicit Fitering Disabled = allow the inbound packets to communicate with the server Set NAT dynamic mode to pass thru = ON Enabled Set NAT dynamic mode to pass thru = OFF INETCFG | Bindings | „Public“ NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only Autor: Michael Stütz - Firewall Stand: Jan. 2004
5
Übersicht: Firewall Verwaltungstools
LFB Materialien - (c) M. Stütz Übersicht: Firewall Verwaltungstools NWAdmin sys:public\win32 BorderManager Setup BorderManager Access Rules iManager SERVICES FILTERS FILTEREXECPTIONS Firewall Tools data:pgm\firewall Aufgabe des Kapitel 9 ist die Rolle des Netzwerkberaters (in) in der Schule zu beschreiben. Durch den Einzug der Computer nicht nur in den Computerraum, sondern auch in die Klassenzimmer war eine Überarbeitung, bzw. festlegen der Rolle des Netzwerkberaters notwendig. Die Rolle lässt sich unter verschiedenen Blickrichtungen betrachten. Das Spannungsfeld in der Schule gibt einen Überblick über die Begleitumstände, denen der Netzwerkberater (in) in der Schule begegnet. Danach wird der Aufgabenbereich des Netzberaters (in) umrissen. Es folgen die Unterstützungsmaßnahmen, die für den Netzwerkberater (in) existieren und die erst durch den Einsatz der Musterlösung greifen. Immer wieder wurde von der Hotline (LEU im Rahmen des Supportprojektes 2001) bemerkt, dass die Netzwerkberater(innen) sprachlos sind, wenn sie einen Fehler melden sollen. Mit diesem Feld beschäftigt sich der letzte Abschnitt. Autor: Michael Stütz - Firewall Stand: Jan. 2004 (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
6
Netzwerkkarten im Server
Begriffe: Public – Private (FiltCfg) Autor: Michael Stütz - Firewall Stand: Jan. 2004
7
NWAdmin – BorderManager Setup
dienstspezifische Einstellungen allgemeine Einstellungen Autor: Michael Stütz - Firewall Stand: Jan. 2004
8
BM Setup: Allgemeine Einstellungen: IP - Adressen
Schaltfläche um neue IP-Adresse einzugeben PRIVAT = Verbindung zum lokalen Netz PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN-Leitung verbunden ist. Autor: Michael Stütz - Firewall Stand: Jan. 2004
9
BM Setup: Acceleration
Autor: Michael Stütz - Firewall Stand: Jan. 2004
10
BM Setup: Acceleration
Autor: Michael Stütz - Firewall Stand: Jan. 2004
11
BM Setup: Generic TCP Proxy
Autor: Michael Stütz - Firewall Stand: Jan. 2004
12
BM Setup: Generic TCP Proxy
Zusätzlich in der 2-Server-Version Autor: Michael Stütz - Firewall Stand: Jan. 2004
13
BM: Access Rules Autor: Michael Stütz - Firewall Stand: Jan. 2004
14
iManager Autor: Michael Stütz - Firewall Stand: Jan. 2004
15
iManager Paketweiterleitungsfilter (Filter, FilterExceptions)
Services (Protokoll, Ports) Ein-/Ausgangsfilter (Routing Filter Autor: Michael Stütz - Firewall Stand: Jan. 2004
16
iManager Filter: keine Weiterleitung
Ausnahmefilter: Weiterleitung (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004
17
iManager: Services Autor: Michael Stütz - Firewall Stand: Jan. 2004
18
iManager: Services Bezeichnung: beliebig, eindeutig
Port; Bereich mit Bindestrich Automatisches Portverwaltung für die Antwort Autor: Michael Stütz - Firewall Stand: Jan. 2004
19
iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004
20
iManager: Ausnahmefilter (FilterExceptions)
Out => PRIVATE Out => PUBLIC In => PUBLIC In => PRIVATE Autor: Michael Stütz - Firewall Stand: Jan. 2004
21
iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004
22
iManager: Ausnahmefilter (FilterExceptions)
Autor: Michael Stütz - Firewall Stand: Jan. 2004
23
Übungen
24
Übungen Firewall (BorderManager, iManager)
Übung 1: Chatten über das Firewall-Tool freischalten Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren Übung 3: Fehler von IP-Change Neue Services und Filterausnahmen (FilterException) integrieren Übung 4: E-Stat Erweiterung Übung 5: Fragen zum RemoteManagement Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
25
Übung 1: Chatten über das Firewall-Tool freischalten
Beispiele: Autor: Michael Stütz - Firewall Stand: Jan. 2004
26
Übung 1: Chatten über das Firewall-Tool freischalten
Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des Tools Firewall Tools (data:pgm\firewall) starten ggf vorhandenen CHAT Filter und Service löschen CHAT Service und Filter per Firewalltool integrieren Service hinzufügen: Chat_Services_Add.ldif FilterException hinzufügen: Chat_FilterExceptions_Add.LDIF FilterException aktivieren: Chat_FilterException_Aktiv.ldif Kontrolle per Firewall-Tool iManager Browser (Chatraum aufsuchen) Autor: Michael Stütz - Firewall Stand: Jan. 2004
27
Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004
28
Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004
29
Übung 1: Chatten über das Firewall-Tool freischalten
Admin-Passwort eingeben Autor: Michael Stütz - Firewall Stand: Jan. 2004
30
Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004
31
Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004
32
Übung 1: Chatten über das Firewall-Tool freischalten
Autor: Michael Stütz - Firewall Stand: Jan. 2004
33
Übung 1: Chatten über das Firewall-Tool freischalten
IP-Adressen kontrollieren / anpassen ….. [Settings] EditTree=SCHULBAUM02 EditContext=NBMRuleContainer.Server.DIENSTE IP_old= REM IP_new= IP_new= Hinweis: Beim Einlesen neuer FilterExceptions wird den Filtern die IP-Adresse zugewiesen. Damit die Filter wirksam werden, müssen diese Einträge angepasst werden. Passen Sie deshalb die INI-Datei vor dem Aufruf von CHANGEIP entsprechend an. REM dient dabei als Kennzeichen für einen Kommentar. Autor: Michael Stütz - Firewall Stand: Jan. 2004
34
Übung 1: Chatten über das Firewall-Tool freischalten
Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Autor: Michael Stütz - Firewall Stand: Jan. 2004
35
Übung 1: Chatten über das Firewall-Tool freischalten
Fragen für den Problemfall: Welches Protokoll und welche Ports müssen freigeschaltet werden? Protokoll: TCP/IP Ports: , ggf. auch 7000 iManager Service vorhanden oder muss er neu angelegt werden? Ausnahmeregel (FilterException) prüfen/definieren Filter an der Konsole aktivieren Filter an der Konsole deaktivierten: => load ipflt Test Sind die Ports aktiv ? An der Konsole: tcpcon Protocol-Information | TCP | TCP Connections Autor: Michael Stütz - Firewall Stand: Jan. 2004
36
Übung 2: Fehler von Change-IP
Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst. A1: Informieren Sie sich über das Internet über aktuelle Änderungen. A2: Kontrollieren Sie über den iManager die IP- Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN). . FilterException (Empfehlung in Fettdruck) Name Bemerkung Dienste Ursprung Service-Typ Ziel aktiviert deaktiviert NTP-Time Erlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein. NTP PUBLIC PUBLIC SMTP-In Erlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert) SMTP PUBLIC smtp-st PUBLIC Autor: Michael Stütz - Firewall Stand: Jan. 2004
37
Konfigurieren Sie den Zugang zu E-Stat mit Hilfe
Übung 3: E-Stat Konfigurieren Sie den Zugang zu E-Stat mit Hilfe des Firewall-Tools und vordefinierten LDIF-Dateien oder über das Programm iManager Beschreiben Sie stichwortartig Ihre Vorgehensweise. Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen. Autor: Michael Stütz - Firewall Stand: Jan. 2004
38
Übung 3: E-Stat NWAdmin – BorderManager Setup | HTTP Proxy | Details
iManager – Service iManager - FilterException Autor: Michael Stütz - Firewall Stand: Jan. 2004
39
Übung 3: E-Stat http://svnt2.kultus-bw.de:7779/estat/start.html
Autor: Michael Stütz - Firewall Stand: Jan. 2004
40
Übung 4: Neue Services und FilterException integrieren
Firewall Tools (data:pgm\firewall) starten Update-Ldif Datei einlesen ML25_Firewall_Update01.ldif Neue FilterException aktivieren ML25_Firewall_Update01-Aktiv.ldif Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Bitte beachten Sie die Einstellung in der Date changeip.ini. Kontrolle per iManager: Services, FilterException sowie IP-Adressen kontrollieren Neue FilterException testen (z.B. RealAudio) RealPlayer BBC dann links z.B. auf News Audio klicken Autor: Michael Stütz - Firewall Stand: Jan. 2004
41
Übung 5: Portal-Management
Im Auslieferungszustand der Musterlösung 2.x kann per Portal-Management nur auf den GServer02 nicht aber auf den KServer02 zugegriffen werden. A1: Welche Angaben / Daten werden benötigt, um das Problem zu lösen? A2: Finden Sie mind. zwei Lösungen? A3: Wie sind die Lösungen bzgl. des Sicherheits- aspekts zu bewerten? Autor: Michael Stütz - Firewall Stand: Jan. 2004
42
Übung 6: Newsgroups mit GroupWise
Übersicht Firewall anpassen: Ausnahmefilter News-St-Out Groupwise Client anpassen News-Server bei BelWue: news.belwue.de Newsgroups: Autor: Michael Stütz - Firewall Stand: Jan. 2004
43
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
44
Übung 6: Newsgroups mit GroupWise
news.belwue.de Autor: Michael Stütz - Firewall Stand: Jan. 2004
45
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
46
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
47
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
48
Übung 6: Newsgroups mit GroupWise
Ist der News-Ausnahmefilter aktiv? Firewall deaktivieren über „unload ipflt“ an der Serverkonsole Autor: Michael Stütz - Firewall Stand: Jan. 2004
49
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
50
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
51
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
52
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
53
Übung 6: Newsgroups mit GroupWise
Autor: Michael Stütz - Firewall Stand: Jan. 2004
54
NCF Datei for tuning BorderManager
####################################################### # # # NCF Datei for tuning BorderManager # # Watch BorderManager performance and customize # # the parameters! # # Novell Consulting FAu 06.Feb # ########## Communications Parameter ########## SET Maximum Physical Receive Packet Size = 4224 SET Maximum Packet Receive Buffers = 10000 SET Minimum Packet Receive Buffers = 5000 SET New Packet Receive Buffer Wait Time = 0.1 sec SET Maximum Interrupt Events = 50 ########## Memory Parameter ########## SET Garbage Collection Interval = 5 ########## File Caching Parameter ########## SET Read Ahead Enabled = on SET Maximum Concurrent Disk Cache Writes = 750 SET Dirty Disk Cache Delay Time = 0.1 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004
55
NCF Datei for tuning BorderManager
####################################################### ########## Directory Caching Parameter ########## SET Dirty Directory Cache Delay Time = 0.1 sec SET Maximum Concurrent Directory Cache Writes = 125 SET Directory Cache Allocation Wait Time = 0.1 sec SET Directory Cache Buffer NonReferenced delay = 30 min SET Minimum Directory Cache Buffers = 1000 SET Maximum Directory Cache Buffers = 4000 SET Maximum Number of Internal Directory Handles = 500 ########## File System Parameter ########## SET Immediate Purge of Deleted Files = on SET Enable File Compression = off ########## Locks Parameter ########## SET Maximum File Locks = Autor: Michael Stütz - Firewall Stand: Jan. 2004
56
NCF Datei for tuning BorderManager
####################################################### ########## Disk Parameter ########## SET Enable Hardware Write Back = on SET Enable Disk Read After Write Verify = off ########## Miscellaneous Parameter ########## SET Worker Thread Execute In A Row Count = 15 SET Pseudo Preemption Count = 200 SET Minimum Service Processes = 500 SET Maximum Service Processes = 1000 SET New Service Process Wait Time = 0.3 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.