Die Anwendungsregeln

Die Anwendungsregeln dienen zum Überwachen der Datenströme bestimmter Applikationen wie SMTP, POP3, HTTP und FTP. Ihre Definition erfolgt über Quelle, Ziel und "Match Object". Das Match Object bestimmt, wann eine Regel aktiv wird. Es kann sich dabei um Dateinamen, Cookies, URLs, FTP-Befehle und ähnliches handeln. Findet die Appliance eine Entsprechung zu einem Match Object im Datenstrom, so führt sie die in der Regel definierte Aktion (Drop, Monitor, etc.) aus.

Für unseren Test definierten wir eine Regel, die den "cd"-Befehl bei FTP-Verbindungen untersagte. Nach der Implementierung dieser Policy gab das System nach der Eingabe von "cd" im FTP-Client aus, dass der Host die Verbindung unterbrochen habe. Die Regel funktionierte also einwandfrei und untersagte den Anwendern das Wechseln der Verzeichnisse auf FTP-Servern. Da sich die Applikation-Rules sehr genau an die Anforderungen der jeweiligen Umgebung anpassen lassen, haben die Administratoren mit ihnen ein sehr mächtiges Mittel zum Steuern der Datenströme und das Benutzerverhaltens in der Hand.

App Rules lassen sich auch "On the fly" direkt aus dem App Flow-Monitor heraus erzeugen. Dazu genügt es, eine Anwendung, wie zum Beispiel "DoubleClick" aus der Liste zu selektieren und anschließend auf "Create Rule" zu gehen. Danach öffnet sich ein Fenster, das dem Administrator die Wahl gibt, die jeweilige Anwendung zu blockieren, ihre Bandbreite zu verwalten oder ihre Datenübertragungen zu überwachen. Im Test klappte das ohne Probleme und die Funktion ist im Arbeitsalltag sicher sehr praktisch. Es gibt auch einen Wizard, der beim Anlegen der Regeln für SMTP-, POP3-, FTP- und Web-Zugriffe hilft. Mit ihnen ist es unter anderem möglich, FTP-Übertragungen auf bestimmte Dateiinhalte, Dateinamen und Erweiterungen zu untersuchen. Bei Web-Übertragungen lässt sich unter anderem die Nutzung bestimmter Web-Browser herausfinden. In der Praxis gestaltet sich die Arbeit mit dem dazugehörigen Wizard sehr einfach.

Die Erzeugung einer App Control-Rule direkt aus dem App Flow-Monitor. (©Smartmedia PresSservice)

Ebenfalls unter Firewall aktivieren die Administratoren bei Bedarf die "Appliation Control Advanced". Dabei handelt es sich um einen Konfigurations-Dialog, über den sie direkt globale App Control Policies für einzelne Anwendungen und auch Anwendungskategorien konfigurieren können. Hier führen die Verantwortlichen falls nötig auch ein Update der dazugehörigen Signaturdatenbank durch und sehen eine Liste der definierten Anwendungen ein. Punkte zum Anlegen von Match Objects, Action Objects (Block, Drop, Monitor, etc.), Adressobjekten wie Netzwerken oder Hosts, Service Objects (also Protokollen), Bandwidth Objects und E-Mail-Adressobjekten schließen die Firewall-Konfiguration ab. Die E-Mail Objects kommen zusammen mit Mail-Filter-Regeln zum Einsatz und definieren die dabei verwendeten E-Mail-Adressen.

Im Menüpunkt "Firewall Settings" nehmen die Administratoren schließlich Einstellungen zum Bandbreitenmanagement, zur Flood-Protection, zum Multicast, zum QoS-Mapping und zum Überwachen von SSL-Verbindungen vor. Außerdem lassen sich hier der Stealth Mode aktivieren, Firewall-Regeln auf den internen LAN-Verkehr auf dem gleiche Interface anwenden und vieles mehr.