Informatie over het gebruik van een firewall met IP-pakketfilters met een set regels die verkeer via een netwerkverbinding accepteren of weigeren.
Door middel van een firewall met IP-pakketfilters kunt u een set regels maken die verkeer via een netwerkverbinding accepteren of weigeren. De firewall zelf heeft geen invloed op dit verkeer. Omdat een pakketfilter alleen verkeer kan wissen dat naar die filter wordt gestuurd, moet het apparaat met de pakketfilter IP-routering uitvoeren of moet het verkeer aan dat apparaat gericht zijn.
Een pakketfilter bestaat uit een set regels met acties voor accepteren en weigeren. Als de pakketfilter een pakket met informatie ontvangt, vergelijkt de filter dat pakket met de vooraf gedefinieerde regels. Bij de eerste overeenkomst accepteert of weigert de pakketfilter het pakket met informatie. De meeste pakketfilters hebben onderaan het regelbestand een impliciete regel "alles weigeren".
Alle pakketfilters hebben één ding gemeen: De betrouwbaarheid wordt gebaseerd op IP-adressen. Hoewel dit type beveiliging niet voldoende is voor een heel netwerk, is deze beveiliging acceptabel op componentniveau.
De meeste IP-pakketfilters maken geen gebruik van status: ze houden geen gegevens bij van de pakketten die zij verwerken. Een pakketfilter die status ondersteunt, kan sommige gegevens van verkeer bewaren. Dit maakt het mogelijk om op internet alleen antwoorden op aanvragen vanuit het interne netwerk toe te staan. Pakketfilters zonder status kunnen door middel van spoofing worden misleid, doordat het bron-IP-adres en de ACK-bit in de header van het pakket gemakkelijk kunnen worden vervalst.
In i5/OS kunt u de pakketfilterregels voor interfaces en toegang op afstand opgeven in serviceprofielen voor interfaces en toegang op afstand. Als u onder i5/OS een externe firewall met pakketfilters of pakketfilterregels gebruikt en uw Universele verbinding-gegevens deze filters doorlopen, moet u de filterregels op de onderstaande manier aanpassen, zodat er een verbinding met de IBM VPN-gateway tot stand kan worden gebracht:
| IP-filterregels | IP-filterwaarden |
|---|---|
| Filterregel voor inkomend UDP-verkeer | Poort 4500 toestaan als VPN-gatewayadres |
| Filterregel voor inkomend UDP-verkeer | Poort 500 toestaan als VPN-gatewayadres |
| Filterregel voor uitgaand UDP-verkeer | Poort 4500 toestaan als IP-adres van VPN-gateway |
| Filterregel voor uitgaand UDP-verkeer | Poort 500 toestaan als IP-adres van VPN-gateway |
| Filterregel voor inkomend ESP-verkeer | ESP-protocol (X'32') toestaan voor IP-adres van VPN-gateway |
| Filterregel voor uitgaand ESP-verkeer | ESP-protocol (X'32') toestaan voor IP-adres van VPN-gateway |
| IP-filterregels | IP-filterwaarden |
|---|---|
| Filterregel voor inkomend TCP-verkeer | Poort 80 toestaan voor alle servicebestemmingsadressen |
| Filterregel voor inkomend TCP-verkeer | Poort 443 toestaan voor alle servicebestemmingsadressen |
| Filterregel voor uitgaand TCP-verkeer | Poort 80 toestaan voor alle servicebestemmingsadressen |
| Filterregel voor uitgaand TCP-verkeer | Poort 443 toestaan voor alle servicebestemmingsadressen |
Als onderdeel van de wijziging van de filterregels geeft u het actuele IBM VPN-gatewayadres op. De poorten en services moeten worden geopend voor de volgende IP-adressen: Boulder: 207.25.252.196 en Rochester: 129.42.160.16. Meer informatie hierover vindt u in De IBM VPN Gateway-adressen vaststellen in het Informatiecentrum van iSeries.
Voor HTTP- en HTTPs-verkeer kan het wijzigen van de filterregels daarnaast nog het opgeven van de feitelijke servicebestemmingsadressen met zich meebrengen. Deze adressen kunt u achterhalen aan de hand van de beschrijving in De IBM Servicebestemmingsadressen vaststellen in het Informatiecentrum van iSeries.