Dieser Abschnitt enthält Informationen darüber, wie Sie mit Hilfe einer IP-Paketfilterfirewall eine Reihe von Regeln erstellen können, die den Datenverkehr über eine Netzwerkverbindung verhindern oder gestatten.
Mit einer IP-Paketfilterfirewall können Sie eine Reihe von Regeln erstellen, die den Datenverkehr über eine Netzwerkverbindung verhindern oder gestatten. Die Firewall selbst hat keinerlei Einfluss auf diesen Datenverkehr. Da ein Paketfilter nur Datenverkehr zurückweisen kann, der an ihn gesendet wird, muss die Einheit mit dem Paketfilter entweder IP-Routing ausführen oder Empfänger des Datenverkehrs sein.
Ein Paketfilter verfügt über eine Gruppe von Regeln mit Aktionen zum Akzeptieren und Zurückweisen. Wenn der Paketfilter ein Datenpaket empfängt, vergleicht der Filter das Paket mit Ihrem vorkonfigurierten Regelsatz. Bei der ersten Übereinstimmung akzeptiert der Paketfilter das Datenpaket oder er weist es zurück. Die meisten Paketfilter haben eine implizite Regel "Alles zurückweisen" am Ende der Regeldatei.
Für alle Paketfilter gilt eine einheitliche Situation: Die Anerkennung basiert auf IP-Adressen. Dieser Sicherheitstyp ist zwar für ein gesamtes Netzwerk nicht ausreichend, auf Komponentenebene aber akzeptabel.
Die meisten IP-Paketfilter sind statusunabhängig, das heißt, es werden keine Informationen zu den zuvor verarbeiteten Paketen gespeichert. Ein Paketfilter mit Status kann einige Informationen zum vorherigen Datenverkehr aufbewahren. Dadurch haben Sie die Möglichkeit anzugeben, dass nur Antworten auf Anforderungen vom internen Netzwerk aus dem Internet zulässig sind. Statusunabhängige Paketfilter sind spoofinganfällig, weil die IP-Adresse des Absenders und das ACK-Bit im Paketheader leicht gefälscht werden können.
Sie können in i5/OS Paketfilterregeln an Schnittstellen und in Profilen für Remotezugriffsservice angeben. Wenn Sie eine externe Paketfilterfirewall oder Paketfilterregeln unter i5/OS verwenden und Ihre Universal Connection-Daten diese Filter passieren, müssen Sie wie folgt die Filterregeln ändern, damit die Verbindung zum IBM VPN-Gateway möglich wird:
| IP-Filterregeln | IP-Filterwerte |
|---|---|
| UDP-Filterregel für ankommenden Datenverkehr | Port 4500 für VPN-Gateway-Adresse zulassen |
| UDP-Filterregel für ankommenden Datenverkehr | Port 500 für VPN-Gateway-Adresse zulassen |
| UDP-Filterregel für abgehenden Datenverkehr | Port 4500 für IP-Adresse des VPN-Gateways zulassen |
| UDP-Filterregel für abgehenden Datenverkehr | Port 500 für IP-Adresse des VPN-Gateways zulassen |
| ESP-Filterregel für ankommenden Datenverkehr | ESP-Protokoll (X'32') für IP-Adresse des VPN-Gateways zulassen |
| ESP-Filterregel für abgehenden Datenverkehr | ESP-Protokoll (X'32') für IP-Adresse des VPN-Gateways zulassen |
| IP-Filterregeln | IP-Filterwerte |
|---|---|
| TCP-Filterregel für ankommenden Datenverkehr | Port 80 für alle Servicezieladressen zulassen |
| TCP-Filterregel für ankommenden Datenverkehr | Port 443 für alle Servicezieladressen zulassen |
| TCP-Filterregel für abgehenden Datenverkehr | Port 80 für alle Servicezieladressen zulassen |
| TCP-Filterregel für abgehenden Datenverkehr | Port 443 für alle Servicezieladressen zulassen |
Zum Ändern der Filterregeln gehört die Angabe der tatsächlichen IBM VPN-Gateway-Adresse. Die Ports und Services müssen für folgende IPs geöffnet werden: Boulder: 207.25.252.196 und Rochester: 129.42.160.16. Ausführliche Informationen finden Sie unter Determine the IBM VPN Gateway addresses im iSeries Information Center.
Zusätzlich kann es für den HTTP- und HTTPS-Datenverkehr bei der Änderung der Filterregeln zum Teil erforderlich sein, tatsächliche Servicezieladressen anzugeben. Sie können diese Adressen wie unter Determine the IBM Service Destination addresses im iSeries Information Center beschrieben bestimmen.