Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Einrichtung Ihrer Firewall in 6 Schritten

Befolgen Sie diese einfachen Best Practices, um Ihr Netzwerk zuverlässig abzusichern.

Die Einrichtung des neuen Wireless-Routers haben Sie schon geschafft. Jetzt wird es Zeit für eine neue Aufgabe: die Einrichtung einer Firewall. Oh je. Das klingt erst einmal furchteinflößend. Aber machen Sie sich keine Gedanken. Wir haben den Vorgang in 6 einfache Schritte unterteilt, damit Sie Ihr Netzwerk souverän absichern können. Und los geht‘s.

Schritt 1: Sichern Sie Ihre Firewall ab (aber das versteht sich ja von selbst).

Den Verwaltungszugriff auf Ihre Firewall sollten Sie nur Personen gewähren, denen Sie vertrauen. Um potenzielle Angreifer abzuhalten, sollten Sie sicherstellen, dass Ihre Firewall durch mindestens eine der folgenden Konfigurationsmaßnahmen abgesichert ist:

  • Aktualisieren Sie Ihre Firewall auf die aktuelle, vom Anbieter empfohlene Firmware.
  • Entfernen oder deaktivieren Sie Standardbenutzerkonten, bzw. benennen Sie diese um, und ändern Sie alle Standardkennwörter. Verwenden Sie unbedingt komplexe und sichere Kennwörter.
  • Wenn sich mehrere Personen um die Verwaltung der Firewall kümmern, erstellen Sie weitere Konten mit eingeschränkten Berechtigungen (je nach Verantwortlichkeiten). Verwenden Sie niemals gemeinsam genutzte Benutzerkonten. Verfolgen Sie nach, wer Änderungen vorgenommen hat und warum. Verantwortlichkeiten sorgen dafür, dass bei Änderungen gebührende Sorgfalt gewahrt wird.
  • Schränken Sie ein, wo Mitarbeiter Änderungen vornehmen dürfen, um die Angriffsfläche zu verringern, d. h. Änderungen sind nur in vertrauenswürdigen Subnetzen innerhalb Ihres Unternehmens möglich.

Schritt 2: Errichten Sie Firewall-Zonen und erstellen Sie IP-Adressen (das sollte kein großes Problem darstellen).

Um Ihre Netzwerkressourcen bestmöglich zu schützen, sollten Sie diese identifizieren. Planen Sie eine Struktur, in der Ressourcen basierend auf einem ähnlichen Vertraulichkeitsgrad oder einer ähnlichen Funktion auf Geschäfts- und Anwendungsebene gruppiert und in Netzwerken (oder Zonen) zusammengefasst werden. Aber machen Sie es sich damit nicht zu leicht und packen alles in ein Netzwerk! Wo Sie es sich einfach machen, haben Angreifer leichtes Spiel.

Alle Ihre Server, die webbasierte Services bieten (z. B. E-Mail, VPN) sollten in einer dedizierten Zone organisiert werden, die den eingehenden Datenverkehr aus dem Internet einschränkt. Diese wird häufig als demilitarisierte Zone, oder DMZ, bezeichnet. Server, auf die nicht direkt aus dem Internet zugegriffen wird, sollten hingegen in internen Serverzonen liegen. Diese Zonen umfassen in der Regel Datenbankserver, Workstations und beliebige POS- (Point of Sale) oder VoIP-Geräte (Voice over Internet Protocol).

Wenn Sie IP-Version 4 nutzen, sollten für alle Ihre internen Netzwerke auch interne IP-Adressen verwendet werden. Es muss eine Netzwerkadressübersetzung konfiguriert werden, damit interne Geräte gegebenenfalls im Internet kommunizieren können.

Nachdem Sie Ihre Netzwerkzonenstruktur und das entsprechende IP-Adressschema erstellt haben, können Sie Firewall-Zonen einrichten und diese Ihren Firewall-Schnittstellen bzw. -Teilschnittstellen zuweisen. Für den Ausbau Ihrer Netzwerkinfrastruktur sollten Sie Switches nutzen, die virtuelle LANs (VLANs) unterstützen, um eine Trennung der Netzwerke auf Level 2 zu gewährleisten.

Schritt 3: Konfigurieren Sie Zugriffskontrolllisten (schließlich entscheiden Sie, wen Sie ins Netzwerk lassen).

Sobald die Netzwerkzonen eingerichtet sind und Schnittstellen zugewiesen wurden, beginnen Sie mit der Erstellung von Firewall-Regeln, die als Zugriffskontrolllisten (ACL) bezeichnet werden. ACLs legen fest, welcher Datenverkehr eine Berechtigung benötigt, um sich zwischen Zonen bewegen zu dürfen. Sie bestimmen letztendlich, welche Geräte miteinander kommunizieren dürfen und welche geblockt werden. Da ACLS auf jede Firewall-Schnittstelle oder -Teilschnittstelle angewendet werden, sollten sie so spezifisch wie möglich für die exakten Quell- und/oder Ziel-IP-Adressen und Port-Nummern konfiguriert werden. Um nicht genehmigten Datenverkehr zu filtern, erstellen Sie eine „Alle ablehnen“-Regel am Ende jeder ACL. Wenden Sie als Nächstes Inbound- und Outbound-ACLs auf jede Schnittstelle an. Wenn möglich, deaktivieren Sie Ihre Firewall-Verwaltungsschnittstellen für den öffentlichen Zugriff. Gehen Sie in dieser Phase so genau wie möglich vor. Prüfen Sie nicht nur, ob Ihre Anwendungen wie erwartet funktionieren, sondern auch, was nicht zulässig sein soll. Kontrollieren Sie, ob die Firewall Datenverkehrsströme der nächsten Generation kontrollieren und Datenverkehr basierend auf Webkategorien blockieren kann. Können erweiterte Scans von Dateien aktiviert werden? Sind gewisse IPS-Funktionen enthalten? Sie haben für diese erweiterten Funktionen bezahlt, also sollten Sie diese nächsten Schritte nicht vergessen.

Schritt 4: Konfigurieren Sie andere Firewall-Services und die Protokollierung (das ist schon etwas für Fortgeschrittene).

Richten Sie es auf Wunsch so ein, dass Ihre Firewall als DHCP-Sever (Dynamic Host Configuration Protocol), als NTP-Server (Network Time Protocol) oder auch als IPS (Intrusion Prevention System) usw. agiert. Deaktivieren Sie alle Services, die Sie nicht verwenden werden.

Um PCI-DSS-Anforderungen (Payment Card Industry Data Security Standard) zu erfüllen, konfigurieren Sie Ihre Firewall so, dass sie Berichte an Ihren Protokollierungsserver sendet. Stellen Sie außerdem sicher, dass diese detailliert sind und den Anforderungen 10.2 bis 10.3 des PCI-DSS gerecht werden.

Schritt 5: Testen Sie Ihre Firewall-Konfiguration (keine Sorge, hier sind Hilfsmittel erlaubt).

Stellen Sie zunächst sicher, dass Ihre Firewall Datenverkehr gemäß Ihren ACL-Konfigurationen blockiert. Führen Sie dazu Schwachstellen-Scans und Penetrationstests durch. Bewahren Sie unbedingt ein Backup Ihrer Firewall-Konfiguration sicher auf, falls etwas misslingen sollte. Wenn alles klappt, ist Ihre Firewall bereit für die Produktion. Testen Sie den Vorgang für die Zurücksetzung auf eine Konfiguration. Dokumentieren und testen Sie Ihr Wiederherstellungsverfahren, bevor Sie Änderungen vornehmen.

Schritt 6: Verwalten Sie die Firewall (denn auch sie will gepflegt werden).

Sobald Ihre Firewall konfiguriert ist und ausgeführt wird, müssen Sie sie für eine optimale Funktion warten. Aktualisieren Sie die Firmware, überwachen Sie Protokolle, führen Sie Schwachstellen-Scans durch und überprüfen Sie alle sechs Monate Ihre Konfigurationsregeln.

Nächste Schritte

Das war‘s auch schon! Wenn Sie es bis hierhin geschafft haben, sind Sie schon fast ein Netzwerksicherheitsexperte. Falls Sie jedoch weitere Unterstützung brauchen, besuchen Sie unsere Small Business Community. Dort finden Sie Antworten auf häufige Fragen und können sich mit Personen vernetzen, die ähnliche Unternehmen leiten und mit vergleichbaren IT-Herausforderungen konfrontiert sind.

Möchten Sie mehr erfahren?

Security

Unsere Ressourcen vermitteln Ihnen einen Überblick über die Sicherheitslandschaft und unterstützen Sie bei der Auswahl von Technologien zum Schutz Ihres Unternehmens.

Collaboration

Mithilfe dieser Tools und Produkte können Sie wichtige Entscheidungen im Hinblick auf die Kommunikation treffen, welche die Skalierung und Vernetzung Ihres Unternehmens unterstützen.

Netzwerke

Erfahren Sie, wie Sie die richtigen Entscheidungen im Hinblick auf das Design und die Wartung Ihres Netzwerks treffen, um das Wachstum Ihres Unternehmens anzukurbeln.

Resource Center

Mithilfe von Anleitungen, Checklisten und weiteren Tipps können Sie diese Anforderungen erfüllen und zur Skalierung und zum Wachstum Ihres Unternehmens beitragen.