Über Netzwerkregeln

Eine Netzwerkregel besteht aus einer Erlaubnis- oder Verbotsaktion, die von der Firewall ausgeführt wird, wenn sie den Versuch erkennt, eine Netzwerkverbindung herzustellen. Mithilfe der Netzwerkregeln lässt sich der Schutz der virtuellen Maschine flexibel anpassen: von einer vollständigen Sperrung des Internetzugangs für alle Programme bis zur Erlaubnis des unbegrenzten Zugriffs.

Die Firewall schützt die virtuelle Maschine auf zwei Ebenen: auf Netzwerkebene und auf Anwendungsebene. Der Schutz auf Netzwerkebene basiert auf Regeln für Netzwerkpakete (Netzwerkregeln für Pakete). Der Schutz auf Anwendungsebene basiert auf Regeln für die Verwendung von Netzwerkressourcen durch die auf der geschützten virtuellen Maschine installierten Programme (Netzwerkregeln für Programme).

Auf Basis der beiden Firewall-Schutzebenen können Sie folgende Arten von Regeln erstellen:

• Netzwerkregeln für Pakete. Sie dienen zur Definition von Beschränkungen für die Netzwerkpakete, wobei das Programm keine Rolle spielt. Diese Regeln beschränken die ein- und ausgehende Netzwerkaktivität anhand bestimmter Ports für ausgewählte Datenübertragungsprotokolle. Die Firewall gibt eine Standardauswahl von Netzwerkregeln für Pakete vor.
• Netzwerkregeln für Programme. Sie dienen zur Definition von Beschränkungen der Netzwerkaktivität eines konkreten Programms. Dabei werden nicht nur die Merkmale des Netzwerkpakets berücksichtigt, sondern auch das konkrete Programm, an das dieses Netzwerkpaket adressiert ist oder welches das Senden dieses Netzwerkpakets initiiert hat. Mithilfe solcher Regeln können Sie die Filterung der Netzwerkaktivität genau anpassen, wenn beispielsweise ein bestimmter Typ von Netzwerkverbindungen für konkrete Programme verboten, für andere aber erlaubt werden soll.

Netzwerkregeln für Pakete besitzen eine höhere Priorität als Netzwerkregeln für Programme. Sind für eine Art der Netzwerkaktivität gleichzeitig Netzwerkregeln für Pakete und Netzwerkregeln für Programme vorhanden, wird diese Netzwerkaktivität nach den Netzwerkregeln für Pakete verarbeitet.

Sie können für jede Netzwerkregel für Pakete und für jede Netzwerkregel für Programme eine eigene Ausführungspriorität festlegen.

Die Netzwerkregeln für Programme berücksichtigen nicht die folgenden Filterungseinstellungen, die auf der Netzwerkebene festgelegt wurden:

• ID des Netzadapters
• Liste der MAC-Adressen des lokalen Adapters
• Liste der lokalen MAC-Adressen
• Liste der Remote-IP-Adressen
• Typ des Ethernet-Frames (IP, IPv6, ARP)
• Lebenszeit (TTL) des IP-Pakets

Infolge der gemeinsamen Nutzung der Regeln für die Netzwerk- und Anwendungsebene kann der Netzwerkverkehr auf der Anwendungsebene blockiert werden, selbst wenn er auf der Netzwerkebene erlaubt ist.

Nach oben