Zonenbasierte Firewall
Funktionsbeschreibung
Die zonenbasierte Firewall ermöglicht eine präzise Steuerung des Netzwerkverkehrs zwischen unterschiedlichen logischen Netzwerkbereichen (Zonen). Jede Zone repräsentiert einen klar abgegrenzten Netzwerkbereich mit spezifischer Funktion.
Durch die Definition von Richtlinien zwischen Quell- und Zielzonen kann der Verkehr gezielt erlaubt oder blockiert werden. Dies erhöht die Sicherheit, indem unnötige oder riskante Kommunikationspfade unterbunden werden. In der Standardkonfiguration ist der Verkehr zwischen allen Zonen in beiden Richtungen erlaubt, sodass alle HOOC-Funktionen uneingeschränkt verfügbar sind.
Die Firewall prüft und filtert nur Netzwerkverkehr, der zwischen unterschiedlichen Zonen stattfindet. Verkehr innerhalb derselben Zone wird nicht durch die Firewall geprüft oder eingeschränkt, ausgenommen hiervon ist der Verkehr der Zone HOOC-Benutzer.
Funktionsprinzip
Durch das Ändern der Standardrichtlinien oder Hinzufügen von Zonenrichtlinien kann der Verkehr restriktiver gestaltet werden.
Regeln werden von spezifisch nach unspezifisch sortiert und abgearbetet.
Zonen
Zonen definieren die logischen Netzwerkbereiche. Jede Zone hat eine festgelegte Zonen-Id, Zonentyp, Zonenname, Netzwerkgruppe, VLAN-Typ, VLAN, Netzwerkteilnehmer und DHCP-Einstellungen. Zusätzliche Zonen können jederzeit hinzugefügt werden.
Verfügbare Zonentypen und Netzwerkgruppen
| Zonentyp | Beschreibung | Netzwerkteilnehmer | Verfügbare Netzwerkgruppe |
|---|---|---|---|
| Entferntes Netzwerk | Repräsentiert das lokale Anlagennetzwerk hinter dem HOOC-Gateway | IP-Subnet, Hardware-Adressen (MAC) | LAN, SEP0, SEP1, OPT0 |
| Netzwerkdienste | Interne HOOC-Dienste (Remote Control, Secure Proxy, virtueller DHCP) | IP-Subnet, Hardware-Adressen (MAC) | LAN |
| CrossLink | Über CrossLink vernetzte Netzwerke anderer Anlagen | IP-Subnet, Hardware-Adressen (MAC) | LAN, SEP0, SEP1, OPT0 |
| HOOC Benutzer | Remote-Benutzer über HOOC Client- und Compact-App | Zonzenzuteilung bei Supporter und Anlagebenutzer | LAN, SEP0, SEP1, OPT0 |
Zonenrichtlinien
Die Zonenrichtlinien-Matrix zeigt alle Quell-/Ziel-Zonenpaare. Jede Zelle definiert die Standardaktion („erlauben“ oder „verweigern“) für genau diese Richtung. Durch Klick auf eine Zelle kann die Standardaktion gewechselt werden. Der gesamte Verkehr in dieser Richtung wird dann blockiert. Zusätzlich können individuelle Zonenrichtlinien gesetzt werden, die Protokoll sowie Quell- und Zielangaben für MAC-Adresse, IP-Adresse, Subnetzmaske und Port spezifizieren.
Verbindungslogs
Die Verbindungslogs zeigen eine Übersicht über die kürzlich beendeten Verbindungen von Benutzern der Zone HOOC Benutzer (Client- und Compact-App). Aktive Verbindungen können unter Netzwerk → Firewall → Remote Access eingesehen werden.
Die Logs werden auf der Anlagenebene unter Netzwerk → Firewall → Verbindungslogs angezeigt und enthalten folgende Informationen:
| Spalte | Beschreibung |
|---|---|
| Zonen-Id | Interne ID der betroffenen Zone |
| Zonenname | Name der Zone |
| Benutzer | Anzeigename und E-Mail-Adresse des verbundenen Benutzers |
| Benutzertyp | Typ des Benutzerkontos (Supporter, Anlagebenutzer, Reseller) |
| Start Verbindung | Datum und Uhrzeit des Verbindungsbeginns |
| Verbindungsdauer | Dauer der Verbindung (Format: hh:mm:ss) |
| Traffic eingehend | Vom Benutzer gesendete Datenmenge (Upload aus Sicht des Benutzers) |
| Traffic ausgehend | Vom Benutzer empfangene Datenmenge (Download aus Sicht des Benutzers) |
| Aktion | Informationen des Benutzers |
Wichtige Hinweise
- In den Verbindungslogs werden ausschliesslich Verbindungen von Benutzern der Zone HOOC Benutzer protokolliert.
- Verbindungen innerhalb anderer Zonen (z. B. lokales Anlagennetzwerk ↔ CrossLink) erscheinen hier nicht.
- Die angezeigten Traffic-Werte beziehen sich auf den Zeitraum der jeweiligen Verbindungssitzung.
- Mehrere Einträge mit gleicher Zonen-Id und gleichem Benutzer zeigen in der Regel aufeinanderfolgende Verbindungen (z. B. nach WLAN-Wechsel, App-Neustart oder Timeout).
Die Logs dienen vor allem der Diagnose bei Verbindungsproblemen, zur Nachverfolgung von Support-Einsätzen und zur groben Einschätzung des Remote-Zugriffsverhaltens.
Verwaltung der Netzwerkteilnehmer
Die Netzwerkteilnehmer können auf der Anlageebene unter Benutzerverwaltung → Anlagebenutzer oder Benutzerverwaltung → Supporter einer Remote Access Zone zugeteilt werden. Falls die Zone gelöscht wird, verlieren die zugeteilten Nutzer den Zugriff.
Übersicht Zonenzuteilung
Eine klare übersicht der Zonenzuteilung kann unter Netzwerk → Firewall → Remote Access eingesehen werden.
Dies beinhaltet Zonen-Id, Zonenname, Benutzer und Benutzertyp.
Empfehlungen
- Für erhöhte Sicherheit empfehlen sich restriktive Einstellungen:
- HOOC Benutzer → Entferntes Netzwerk: Nur notwendige Ports/Protokolle erlauben.
- Entferntes Netzwerk → Netzwerkdienste: Blockieren (verhindert Zugriff auf interne Dienste aus dem Anlagennetzwerk).
- Nach Änderungen testen, da falsche Konfigurationen den Remote-Zugriff unterbrechen können.
Konfiguration
Die zonenbasierte Firewall kann auf der Anlagenebene unter Netzwerk → Firewall konfiguriert werden. Falls keine expliziten Regeln definiert werden, wird nicht gefiltert.
Typische Anwendungsfälle sind:
- Beschränkung des Zugriffs von Remote-Benutzern (HOOC Client- und Compact-App) auf bestimmte Endgeräte im lokalen Netzwerk.
- Schutz interner HOOC-Dienste (z. B. Secure Proxy, Remote Control) vor unbefugtem Zugriff aus dem Anlagennetzwerk oder CrossLink.
- Einschränkung des Verkehrs zwischen über CrossLink verbundenen Standorten.
- Gezielte Freigabe von Protokollen oder Ports zwischen Benutzern und dem Standort.
