FortiGate – Portweiterleitung und Destination-NAT
Fortinet
Eine Firewall soll Ihr Unternehmensnetzwerk vor Angriffen schützen. Dennoch ist man immer wieder gezwungen, Ressourcen innerhalb des Unternehmens dem Internet preiszugeben. Beispielsweise Webserver oder E-Mail-Server.
Wie Sie dies sicher machen können, möchte ich Ihnen heute erläutern.
Den meisten ist Port-Forwarding oder Destination-NAT ein Betriff. Bei Fortinet gerät aber ein ganz anderer Begriff in den Vordergrund, VIP oder Virtual-IP.
Wie so vieles bei Fortinet wird hier in einem Baukastensystem die Regel zusammengebastelt. Das macht anfangs vielleicht mehr Arbeit, erlaubt aber mehr Flexibilität und leichtere Änderungen.
Die VIP oder Virtual-IP können Sie unter Policy&Objects erstellen.
Dabei können Sie sowohl IPv4 als auch IPv6 basierte Objekte erstellen. Bitte beachten Sie, dass IPv6 erst unter System Feature Visibility aktiviert werden muss, bevor Sie VIP-Objekte mit IPv6 erstellen können.
Als erstes geben Sie einen aussagekräftigen Namen ein, anhand derer Sie das Objekt und dessen Zweck wiedererkennen können. Optional können Sie auch einen Kommentar hinzufügen.
Bei Interface können Sie entweder ein spezielles Interface auswählen, dann steht das Objekt nur für Regeln zur Verfügung, welche das Interface beinhalten, oder lassen es bei Any. Dann können Sie das Objekt in allen Firewall-Regeln verwenden.
In External IP tragen Sie die Adresse ein auf der die FortiGate auf eingehenden Netzwerkverkehr lauscht.
Für Mapped-IP-Address tragen Sie die interne Adresse der Ressource an, die von außen erreichbar sein soll.
Unter den optionalen Filtern können Sie Adressen eintragen, die zum Aufruf dieser Ressource berechtigt sind. Damit können Sie einschränken, wer darauf zugreifen darf. Sehr nützlich wenn bestimmte Dienste nur von bestimmten Personen oder Firmen erreichbar sein soll.
Mit Hilfe der Services können Sie dann automatisch Protokolle und Ports freigeben, beispielsweise HTTPS oder SMTPS. Selbstverständlich können Sie auch eigene Dienste anlegen, sofern die vordefinierten Objekte nicht passen.
Port Forwarding ermöglicht es dann, die Ports auf andere Ports auf der internen Ressource umzuleiten. Beispielsweise möchten Sie den Port 443 auf einen Web-Server weiterleiten, welcher auf dem Port 10443 lauscht.
Damit ist die Erstellung der Virtual-IP abgeschlossen und kann jetzt in einer Firewall-Regel als Zielobjekt genutzt werden.
Bei der Firewall-Regel können Sie dann auch die entsprechenden Sicherheitsprofile einrichten, wie Antivirus oder IPS um den Zugang zu der Ressource entsprechend abzusichern.
Sollten Sie Interesse an einer Fortinet FortiGate Sicherheitslösung haben, beraten wir Sie gerne. Kontaktieren Sie uns für ein kostenloses Erstgespräch über unsere Telefonnummer, E-Mail-Adresse oder unser Kontaktformular.