wir haben einen Kunden zur IT Betreuung übernommen mit einer TMG Firewall von Microsoft. Diese Lösung sollte ersetzt werden durch eine neue Firewall von Securepoint.
Bei der Umsetzung stießen wir auf das Problem, dass im Portfilter nur feste IP-Adressen für Ziele eintragbar sind. Bei der TMG konnte man z.B "inet.registration.blackberry.com" angeben. Dahinter stehen aber viele echte Adressen. Ich konnte mir dadurch helfen, dass ich mehrere Netzwerkobjekte angelegt habe: inet.registration.blackberry.com1, inet.registration.blackberry.com2, inet.registration.blackberry.com3
dazu musste man immer mal wieder schauen, in welche Adressen die Namen aufgelöst wurden.
Das ist natürlich ein extremer Mehraufwand. Sollten Änderungen bei den Zieladressen geschehen, würde man das erst mitgekommen, wenn etwas nicht mehr funktioniert.
Die Einrichtung der Netzwerkobjekte könnte auch noch etwas flexibler sein. In der TMG konnte man z.B. auch direkt zusammenhängende IpAdressen als Bereiche angeben: 192.168.1.95 - 192.168.1.97
In der Securepoint geht das nur mit Netzmasken.
beste Grüße
Reinhard Kussler
Sophos UTM wird bei einem meiner Kunden verwendet mit dynamischen Sourcen per dyndns.
Er verwendet Hostgruppen, in denen mehrere dyndns Einträge hinterlegt sind, für jeden Außendienstler eine.
Die Hostgruppe ist als Source in einer Regel hinterlegt, um Zugriff zu erlauben.
Will der Client per VPN zugreifen, aktualisiert er erst einen der dyndns Einträge und die FW gibt kurz danach die VPN Kommunikation für die aufgelöste IP frei.
Attachments Open full size
Hostnamen für Netzwerkobjekte anstatt IP-Adressen zu verwenden befindet sich in der Entwicklung und wird im Sommer/Herbst erwartet.
Attachments Open full size