Optimale Nutzung der XG Firewall (v18) – Teil 5

ProdukteXG Firewall

Jeder, der schon einmal versucht hat, NAT(Network Address Translation)-Regeln zu konfigurieren, weiß, dass man an dieser Aufgabe verzweifeln kann. Aber es geht auch anders!

16.09.2020 Von

Jeder, der schon einmal versucht hat, NAT(Network Address Translation)-Regeln zu konfigurieren, weiß, dass man an dieser Aufgabe verzweifeln kann. Aber es geht auch anders: Mit den neuen, leistungsstarken und intuitiven NAT-Funktionen für Source NAT (SNAT), Destination NAT (DNAT) und anderen Netzwerkadressumsetzungsaufgaben wird NAT in der XG Firewall zum Kinderspiel.  Sie finden die neuen NAT-Regeln in der Regel- und Richtlinienansicht.

Die neuen NAT-Regeln decken unterschiedliche Kategorien von Adressumsetzungsaufgaben ab:

  • Source Network Address Translation (oder SNAT) setzt interne, private IP-Adressen in öffentliche IP-Adressen um und reduziert so die Nutzung öffentlicher IP-Adressen dramatisch, die bereits erschöpft wurden.
  • Destination Network Address Translation (oder DNAT) bzw. Portweiterleitung dient in der Regel der Veröffentlichung von Diensten in privaten Netzwerken auf öffentlich zugänglichen IP-Adressen. Bei Port Address Translation oder auch PAT handelt es sich um eine untergeordnete Kategorie zu DNAT. Hierbei werden private IP-Adressen mithilfe von Portnummern in öffentliche IP-Adressen umgesetzt.
  • Bei NAT Hairpinning, Loopback oder NAT Reflection wird ein vom privaten Netzwerk ausgehender Zugriff auf einen Dienst über eine öffentliche IP-Adresse (und somit auch wechselseitige Kommunikation über die öffentliche IP-Adresse) ermöglicht. Dies erleichtert die Domain-Namenauflösung.

NAT-Migration von früheren Versionen
Wenn Sie mit NAT in früheren Versionen der XG Firewall vertraut sind, wissen Sie, dass SNAT an die Firewall-Regeln gebunden war und DNAT zur Erstellung von Geschäftsanwendungs-Regeln mit WAF kombiniert wurde.  In v18 der XG Firewall befinden sich alle NAT-Regeln auf einer neuen Registerkarte. Dies sorgt für mehr Transparenz und benutzerfreundlichere Tools zur Erstellung leistungsstarker, flexibler NAT-Regeln.  Bei Bedarf stehen verknüpfte NAT- und Firewall-Regeln nach wie vor zur Verfügung. Wir empfehlen Ihnen und Ihren Kunden jedoch, die Vorteile des neuen NAT-Regelschemas und der Tools zu erkunden.

Damit es beim Upgrade auf v18 der XG Firewall nicht zu Kompatibilitätsproblemen kommt, wurden mehrere NAT-Regeln automatisch erstellt.  Für jede Firewall-Regel, die bisher Masquerading (MASQ) verwendete, wurde eine SNAT-Regel und für jede Geschäftsanwendungsregel eine DNAT-Regel erstellt.

Je nach bisheriger NAT-Nutzung und Firewall-Regelstruktur werden viele SNAT-Regeln für LAN-zu-WAN-Verkehr möglicherweise nicht mehr benötigt.  Um Kompatibilität zu gewährleisten, kann die Firewall diese Regeln nicht automatisch konsolidieren. Dies muss also manuell erfolgen.  Überflüssige NAT-Regeln können ganz einfach gelöscht werden, sofern sich am Ende der Regelliste eine passende Regel befindet, die sämtliche Firewall-Übereinstimmungskriterien abdeckt.  Mit den neuen Filtern und Sortieroptionen lassen sich alle im Zuge der Migration erstellten verknüpften NAT-Regeln ganz einfach auffinden.

Optimale Nutzung von NAT in der XG Firewall v18
 Die neuen NAT-Funktionen sind leistungsstark und benutzerfreundlich zugleich.  Mit dem neuen Server-Zugriffsassistenten gelingt die Erstellung einer Portweiterleitung oder DNAT-Regel so einfach wie nie.

Sie müssen lediglich diverse Angaben machen (z. B. interner Host, Dienste und externe Zugriffskriterien) und der Assistent erledigt den Rest.

Nähere Informationen zur optimalen Nutzung der neuen NAT-Regeln in der XG Firewall (v18) finden Sie in unserem How-to-Video, das zudem im oberen Seitenbereich des NAT-Regel-Bildschirms verlinkt ist.

Sämtliche Materialien zur optimalen Nutzung der neuen Funktionen der XG Firewall auf einen Blick:

Lesen Sie die gesamte Blogreihe

Sie sind neu bei der Sophos XG Firewall? Informieren Sie sich über die zahlreichen Vorteile und leistungsstarken Funktionen der XG Firewall für die Netzwerke Ihrer Kunden.

Vertrieb der XG Firewall
Im Partner-Portal steht eine Fülle an Vertriebs-Assets für Sie bereit. Sie können Assets nach Kategorien filtern. Zudem können Sie sich in unserem Partner-Portal über regionale Sales Promotions informieren. Es lohnt sich also, unser Portal regelmäßig zu besuchen, damit Ihnen keine Assets oder Aktionen entgehen.

Informationen zum Autor

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.