Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Firewall BorderManager V 3.7 Autor: Michael.

Ähnliche Präsentationen


Präsentation zum Thema: "Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Firewall BorderManager V 3.7 Autor: Michael."—  Präsentation transkript:

1 Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Firewall BorderManager V 3.7 Autor: Michael Stütz

2 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übersicht Firewall –Grundlagen: BorderManager, iManager –Beispiele: NetStorage RemoteManager Chatten, Realplayer E-Stat News (mit GroupWise) –Übungen Zusatz: NCF Datei for tuning BorderManager (sys:nwmuster\ brdtune.ncf)

3 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übersicht: Firewall Von Außen nach Innen –über den Browser –über ein Zusatzprogramm (z.B: GW-Client, FTP) =>Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy) und FilterExceptions, Filters –VPN-Zugang => Spezielle Konfiguration Von Innen nach Außen –über den Browser –über ein Zusatzprogramm (z.B: GW-Client, FTP) => Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters

4 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übersicht: Firewall Einstellungen über INETCFG INETCFG | Protocols | TCP/IP –IP Packet Forwarding Enabled Router –Filter Support Enabled –NAT Implicit Fitering Disabled = allow the inbound packets to communicate with the server Set NAT dynamic mode to pass thru = ON Enabled Set NAT dynamic mode to pass thru = OFF INETCFG | Bindings | Public NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only

5 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übersicht: Firewall Verwaltungstools NWAdmin –sys:public\win32 –BorderManager Setup –BorderManager Access Rules iManager –https:// :2200/eMFrame/imanager.html –SERVICES –FILTERS –FILTEREXECPTIONS Firewall Tools –data:pgm\firewall

6 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Netzwerkkarten im Server Begriffe: Public – Private (FiltCfg)

7 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall NWAdmin – BorderManager Setup allgemeine Einstellungen dienstspezifische Einstellungen

8 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM Setup: Allgemeine Einstellungen: IP - Adressen Schaltfläche um neue IP-Adresse einzugeben PRIVAT = Verbindung zum lokalen Netz PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN- Leitung verbunden ist.

9 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM Setup: Acceleration

10 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM Setup: Acceleration

11 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM Setup: Generic TCP Proxy

12 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM Setup: Generic TCP Proxy Zusätzlich in der 2-Server-Version

13 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall BM: Access Rules

14 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager

15 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager Ein-/Ausgangsfilter (Routing Filter Services (Protokoll, Ports) Paketweiterleitungsfilter (Filter, FilterExceptions)

16 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager Filter: keine Weiterleitung Ausnahmefilter: Weiterleitung (FilterExceptions)

17 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Services

18 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Services Bezeichnung: beliebig, eindeutig Port; Bereich mit Bindestrich Automatisches Portverwaltung für die Antwort

19 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Ausnahmefilter (FilterExceptions)

20 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Ausnahmefilter (FilterExceptions) Out => PRIVATE In => PUBLIC Out => PUBLIC In => PRIVATE

21 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Ausnahmefilter (FilterExceptions)

22 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall iManager: Ausnahmefilter (FilterExceptions)

23 Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Übungen

24 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übungen Firewall ( BorderManager, iManager) –Übung 1: Chatten über das Firewall-Tool freischalten –Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren –Übung 3: Fehler von IP-Change Neue Services und Filterausnahmen (FilterException) integrieren –Übung 4:E-Stat Erweiterung –Übung 5: Fragen zum RemoteManagement –Übung 6: Newsgroups mit GroupWise

25 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Beispiele:http://www.bravo.de Geht Chatten ? JA Fertig ! NEIN Filter an der Konsole deaktivierten: => unload ipflt Chatten geht => FilterException anpassen Chatten geht nicht! ??? Übung 1: Chatten über das Firewall-Tool freischalten

26 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des Tools Firewall Tools (data:pgm\firewall) starten ggf vorhandenen CHAT Filter und Service löschen CHAT Service und Filter per Firewalltool integrieren –Service hinzufügen: Chat_Services_Add.ldif –FilterException hinzufügen: Chat_FilterExceptions_Add.LDIF –FilterException aktivieren: Chat_FilterException_Aktiv.ldif Kontrolle per –Firewall-Tool –iManager –Browser (Chatraum aufsuchen)

27 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten

28 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten

29 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Admin-Passwort eingeben Übung 1: Chatten über das Firewall-Tool freischalten

30 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten

31 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten

32 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten

33 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall IP-Adressen kontrollieren / anpassen ….. [Settings] EditTree=SCHULBAUM02 EditContext=NBMRuleContainer.Server.DIENSTE IP_old= REM IP_new= IP_new= Hinweis: Beim Einlesen neuer FilterExceptions wird den Filtern die IP-Adresse zugewiesen. Damit die Filter wirksam werden, müssen diese Einträge angepasst werden. Passen Sie deshalb die INI-Datei vor dem Aufruf von CHANGEIP entsprechend an. REM dient dabei als Kennzeichen für einen Kommentar. Übung 1: Chatten über das Firewall-Tool freischalten

34 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 1: Chatten über das Firewall-Tool freischalten Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden

35 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Fragen für den Problemfall: 1.Welches Protokoll und welche Ports müssen freigeschaltet werden? –Protokoll: TCP/IP –Ports: , ggf. auch iManager –Service vorhanden oder muss er neu angelegt werden? –Ausnahmeregel (FilterException) prüfen/definieren 3.Filter an der Konsole aktivieren –Filter an der Konsole deaktivierten: => load ipflt 4.Test 5.Sind die Ports aktiv ? -An der Konsole: tcpcon Protocol-Information | TCP | TCP Connections Übung 1: Chatten über das Firewall-Tool freischalten

36 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 2: Fehler von Change-IP Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst. A1: Informieren Sie sich über das Internet über aktuelle Änderungen. A2: Kontrollieren Sie über den iManager die IP-Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN).. FilterException (Empfehlung in Fettdruck) NameBemerkungDiensteUrsprungService-TypZiel aktiviert deaktiviertNTP-TimeErlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein. NTPPUBLIC NTP-TimePUBLIC aktiviert deaktiviertSMTP-InErlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert) SMTPPUBLIC smtp-stPUBLIC

37 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 3: E-Stat 1.Konfigurieren Sie den Zugang zu E-Stat mit Hilfe –des Firewall-Tools und vordefinierten LDIF-Dateien oder über –das Programm iManager 2.Beschreiben Sie stichwortartig Ihre Vorgehensweise. 3.Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen.

38 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 3: E-Stat NWAdmin – BorderManager Setup | HTTP Proxy | Details iManager – Service iManager - FilterException

39 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 3: E-Stat

40 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Firewall Tools (data:pgm\firewall) starten –Update-Ldif Datei einlesenML25_Firewall_Update01.ldif –Neue FilterException aktivierenML25_Firewall_Update01-Aktiv.ldif –Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Bitte beachten Sie die Einstellung in der Date changeip.ini. Kontrolle per –iManager: Services, FilterException sowie IP-Adressen kontrollieren –Neue FilterException testen (z.B. RealAudio) RealPlayerhttp://de.real.com/freeplayer_r1p.html BBCwww.bbc.co.uk dann links z.B. auf News Audio klicken Übung 4: Neue Services und FilterException integrieren

41 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 5: Portal-Management Im Auslieferungszustand der Musterlösung 2.x kann per Portal-Management nur auf den GServer02 nicht aber auf den KServer02 zugegriffen werden. A1: Welche Angaben / Daten werden benötigt, um das Problem zu lösen? A2: Finden Sie mind. zwei Lösungen? A3: Wie sind die Lösungen bzgl. des Sicherheits- aspekts zu bewerten?

42 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise Übersicht Firewall anpassen: Ausnahmefilter News-St-Out Groupwise Client anpassen –News-Server bei BelWue: news.belwue.de –Newsgroups:

43 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

44 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise news.belwue.de

45 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

46 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

47 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

48 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise Ist der News-Ausnahmefilter aktiv? Firewall deaktivieren über unload ipflt an der Serverkonsole

49 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

50 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

51 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

52 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

53 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall Übung 6: Newsgroups mit GroupWise

54 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall NCF Datei for tuning BorderManager ####################################################### # # NCF Datei for tuning BorderManager # # Watch BorderManager performance and customize # # the parameters! # # # Novell Consulting FAu 06.Feb.2002 # # ####################################################### ########## Communications Parameter ########## ####################################################### SET Maximum Physical Receive Packet Size = 4224 SET Maximum Packet Receive Buffers = SET Minimum Packet Receive Buffers = 5000 SET New Packet Receive Buffer Wait Time = 0.1 sec SET Maximum Interrupt Events = 50 ####################################################### ########## Memory Parameter ########## ####################################################### SET Garbage Collection Interval = 5 ####################################################### ########## File Caching Parameter ########## ####################################################### SET Read Ahead Enabled = on SET Maximum Concurrent Disk Cache Writes = 750 SET Dirty Disk Cache Delay Time = 0.1 sec

55 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall NCF Datei for tuning BorderManager ####################################################### ########## Directory Caching Parameter ########## ####################################################### SET Dirty Directory Cache Delay Time = 0.1 sec SET Maximum Concurrent Directory Cache Writes = 125 SET Directory Cache Allocation Wait Time = 0.1 sec SET Directory Cache Buffer NonReferenced delay = 30 min SET Minimum Directory Cache Buffers = 1000 SET Maximum Directory Cache Buffers = 4000 SET Maximum Number of Internal Directory Handles = 500 ####################################################### ########## File System Parameter ########## ####################################################### SET Immediate Purge of Deleted Files = on SET Enable File Compression = off ####################################################### ########## Locks Parameter ########## ####################################################### SET Maximum File Locks =

56 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Musterlösung Stand: Jan Autor: Michael Stütz - Firewall NCF Datei for tuning BorderManager ####################################################### ########## Disk Parameter ########## ####################################################### SET Enable Hardware Write Back = on SET Enable Disk Read After Write Verify = off ####################################################### ########## Miscellaneous Parameter ########## ####################################################### SET Worker Thread Execute In A Row Count = 15 SET Pseudo Preemption Count = 200 SET Minimum Service Processes = 500 SET Maximum Service Processes = 1000 SET New Service Process Wait Time = 0.3 sec


Herunterladen ppt "Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Firewall BorderManager V 3.7 Autor: Michael."

Ähnliche Präsentationen


Google-Anzeigen