27 lines
3.9 KiB
Markdown
27 lines
3.9 KiB
Markdown
|
||
### **Firewall-Regelkonfigurations-Tabelle**
|
||
|
||
| **Regel-ID** | **Quellzone** | **Zielzone** | **Quell-VLAN** | **Ziel-VLAN** | **Dienst/Port** | **Aktion** | **Notizen** |
|
||
|--------------|------------------------|--------------------|------------------------|----------------------|-------------------------------------------|--------------|-----------------------------------------------------------------------------|
|
||
| **1** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | SMB (445), NTP (123), RPC (135) | Erlauben | Dynamische Ports (49152–65535) für RPC [1] |
|
||
| **2** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | LDAP (389/636), Kerberos (88/464), DNS (53) | Erlauben | Kritisch für die Authentifizierung [1] |
|
||
| **3** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | RAW (9100) | Erlauben | Druckdienste (V60_LAN-Drucker → V10_LAN-Server) [1] |
|
||
| **4** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Erlauben | Managementzugriff (V50_MGMT → V10_LAN-Server) [1] |
|
||
| **5** | LAN | WAN | V10, V20, V30 | V50_MGMT | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Entschlüsseln | Nutzen Sie den "Maximum Compatibility"-Verschlüsselungsprofil [1] |
|
||
| **6** | LAN | WAN | V20, V30 | V40_WLAN-Gast | Alle | Blockieren | Blockieren Sie alle Datenverkehr aus unvertrauenden Zonen [1] |
|
||
| **7** | DMZ (V40) | LAN | V40_WLAN-Gast | V10, V20, V30 | Alle | Blockieren | Zone-Isolationsregel [1] |
|
||
| **8** | DMZ (V40) | WAN | V40_WLAN-Gast | Alle | Alle | Blockieren | Verhindern Sie DMZ-Datenverkehr zu externen Netzwerken [1] |
|
||
| **9** | MGMT (V50) | LAN | V50_MGMT | V10, V20, V30 | Alle | Blockieren | Beschränken Sie den Management-Zugriff auf vertrauende LAN-Zonen [1] |
|
||
| **10** | MGMT (V50) | WAN | V50_MGMT | Alle | Alle | Entschlüsseln | Nutzen Sie das "Maximum Compatibility"-Verschlüsselungsprofil [1] |
|
||
| **11** | LAN | LAN | V60_LAN-Drucker | V10_LAN-Server | RAW (9100), SMB (445) | Erlauben | SMB optional für "Scan to Folder" [1] |
|
||
|
||
---
|
||
|
||
### **Wichtige Empfehlungen**
|
||
1. **Zone-Isolation**: Alle Datenverkehr zwischen **V40_WLAN-Gast** und anderen Zonen wird blockiert (Regel 6, 7, 8).
|
||
2. **Verschlüsselung**: Anwenden Sie "Maximum Compatibility" für verschlüsselten Datenverkehr (Regel 5, 10) [1].
|
||
3. **Dynamische Ports**: Nutzen Sie 49152–65535 für RPC (Regel 1) [1].
|
||
4. **Management-Zugriff**: Beschränken Sie den MGMT-VLAN (V50) auf vertrauende LAN-Zonen (Regel 9) [1].
|
||
5. **Skalierbarkeit**: Nutzen Sie VLAN-spezifische IPs (z. B. 192.168.10.0/24 für V10), um Konflikte zu vermeiden [2].
|
||
|
||
Diese Tabelle gewährleistet **Sicherheit, Effizienz und Klarheit** und aligniert sich mit der VLAN-Struktur in `std-network.md` [2]. Lassen Sie mich wissen, wenn Sie weitere Anpassungen benötigen! |