Verwalten Sie Explore Next Generation Firewall

Möchten Sie Ihren eigenen personalisierten Firewall-Schutz einrichten? Wir erklären Ihnen die Grundlagen, um Ihre Explore Next Generation Firewall einzurichten.

Explore Next Generation Firewall verwendet die Palo Alto Networks Firewall, Anwendungskontrolle, erweiterten Bedrohungsschutz, IPS, URL-Filterung und SSL-Telearbeit. Das PDF-Handbuch herunterladen(PDF, 4 MB) .

Starten

Wir erklären Ihnen, wie Sie sich anmelden und geben Ihnen einen Überblick über die wichtigsten Funktionen.

Die kontextbezogene Hilfe ist auch in der Oberfläche Ihrer Firewall verfügbar, indem Sie the blue ? Help icon drücken.

Der Zugriff auf die Konfigurationseinstellungen ist nur von Ihrem Explore-Netzwerk aus möglich:

  1. Surfe zu Explore Next Generation FirewallOpens a new window
  2. Geben Sie die folgenden Anmeldedaten ein und klicken Sie auf "Anmelden. Beachten Sie die Groß- und Kleinschreibung des Benutzernamens und des Passworts.
  3. Nach der Authentifizierung erhalten Sie eine Begrüßungsmeldung. Nach dem Schließen der Begrüßungsmeldung gelangen Sie in das Application Control Center (ACC).

Wir empfehlen Ihnen dringend, das von Proximus bereitgestellte Standardpasswort zu ändern. Bitte folgen Sie der Anleitung zum Ändern Ihres Passworts.

Bevor Sie loslegen, sollten Sie wissen, dass Änderungen nicht sofort wirksam werden. Um Änderungen zu übernehmen, müssen Sie auf Übernehmen in der oberen rechten Ecke der Weboberfläche klicken.

Klicken Sie erneut auf die Schaltfläche Commit, um Ihre Änderungen zu bestätigen.

Die Oberfläche Ihrer Firewall hat 6 Registerkarten:

  1. Application Control Center (ACC): liefert verwertbare Informationen über Ihre Netzwerkaktivitäten.
  2. Monitor: liefert Firewall-Berichte und Protokolle über Ihre Netzwerkaktivitäten.
  3. Richtlinien: Konfigurieren Sie Firewall-Richtlinien (z. B. Sicherheit, NAT, Weiterleitung, QoS, Authentifizierung, Application Overrides usw.).
  4. Objekte: Konfigurieren Sie Elemente (z. B. Objekte oder Sicherheitsprofile), die Sie mit Richtlinien verwenden können.
  5. Gerät: Konfigurieren Sie grundlegende Systemeinstellungen und Wartungsaufgaben. Die meisten Aufgaben können nur von Proximus durchgeführt werden.

Wir empfehlen Ihnen, die kontextbezogene Hilfe zu verwenden, um mehr über die verschiedenen Elemente auf der von Ihnen betrachteten Seite zu erfahren.

Das ACC zeigt eine Übersicht über alle Aktivitäten. Jede seiner Registerkarten enthält Widgets.

Sie können ein Widget ganz einfach hinzufügen, indem Sie das Stiftsymbol auf dem Namen der Registerkarte drücken, oder es entfernen, indem Sie the black X icon auf dem Namen der Registerkarte drücken.

Netzwerkaktivität

Hier sehen Sie eine Übersicht über den Netzwerkverkehr und die Benutzeraktivität. Die wichtigsten Widgets sind:

  • Anwendungsnutzung: Top 10 der verwendeten Netzwerkanwendungen. Anwendungen, die nicht in den Top 10 sind, werden als Sonstige gebündelt. Das Diagramm zeigt alle Anwendungen nach Kategorie, Unterkategorie und Anwendung. Verwenden Sie dies, um Anwendungen mit hoher Bandbreitennutzung, Sitzungszahlen, Dateiübertragungen, Bedrohungen und aufgerufene URLs zu überwachen.
  • Benutzeraktivität: Top 10 der aktivsten Netzwerkbenutzer in Bezug auf Datenverkehr und Netzwerkressourcen. Verwenden Sie dies, um die Nutzung sortiert nach Bytes, Sitzungen, Bedrohungen, Inhalten (Dateien und Mustern) und besuchten URLs zu überwachen.
  • Quell-IP-Aktivität: Top 10 der IP-Adressen oder Hostnamen von Geräten, die Netzwerkaktivität erzeugen.
  • Ziel-IP-Aktivität: Top 10 der IP-Adressen oder Hostnamen, auf die die Netzwerkbenutzer zugreifen.
  • Regelverwendung: Top 10 der Regeln, die den meisten Netzwerkverkehr zugelassen haben. Verwenden Sie dies, um die am häufigsten verwendeten Regeln und Nutzungsmuster zu überwachen und um festzustellen, ob sie für die Sicherung Ihres Netzwerks effektiv sind.
Aktivität der Bedrohung

Hier sehen Sie eine Übersicht über die Bedrohungen in Ihrem Netzwerk, basierend auf Signaturübereinstimmungen in Antiviren-, Anti-Spyware- und Schwachstellenschutzprofilen sowie von Wildfire gemeldeten Viren.

Blockierte Aktivität

Hier sehen Sie den gesamten blockierten Verkehr in Richtung Ihres Netzwerks. Die wichtigsten Widgets sind:

  • Blockierte Anwendungsaktivität: zeigt Anwendungen, die in Ihrem Netzwerk verweigert wurden, sowie Bedrohungen, Inhalte und URLs.
  • Blockierte Benutzeraktivität: Zeigt blockierte Benutzeranfragen an, die auf einer Übereinstimmung mit einem Antivirus-, Anti-Spyware-, Dateisperr- oder URL-Filterprofil basieren, das einer Sicherheitsprofilregel zugeordnet ist.
  • Blockierte Bedrohungen: zeigt blockierte Bedrohungen basierend auf Antiviren-, Schwachstellen- und DNS-Signaturen an.
  • Blockierter Inhalt: zeigt Dateien und Daten an, die durch ein Sicherheitsprofil zur Dateisperrung oder Datenfilterung blockiert werden, das Teil Ihrer Richtlinie ist.
  • Sicherheitsrichtlinien, die Aktivität blockieren: zeigt Sicherheitsrichtlinienregeln, die den Datenverkehr basierend auf Bedrohungen, Inhalten und URLs, denen der Zugriff verweigert wurde, blockiert oder eingeschränkt haben. Verweigerungsregeln, die in Ihrer Richtlinie definiert sind, sind ausgeschlossen. Verwenden Sie dies, um die Wirksamkeit Ihrer Richtlinienregeln zu überwachen.

Auf der Registerkarte Monitor sehen Sie alle Ihre Protokolle:

  • Verkehr: zeigt den gesamten Verkehr auf Ihrer Firewall an.
  • Bedrohungen: zeigt alle Sicherheitsalarme an (z. B. Viren, Malware, URL-Filterung, Wildfire usw.). Für einige benötigen Sie ein Proximus Advanced Security Pack, eine zusätzliche Option.
  • User-id: zeigt Ereignisse im Zusammenhang mit der Palo Alto UserID-Funktion.
  • Systeme: zeigt Konfigurationsänderungen, einschließlich Proximus-Eingriffe.
  • Authentifizierung: zeigt Authentifizierungsereignisse an (z. B. Telearbeit, Palo Alto UserID, usw.).
  • Unified: zeigt ein kollektives Protokoll von Datenverkehr, Bedrohungen, URL-Filterung und Wildfire-Einsendungen. Auf diese Weise können Sie die Protokolle, die Sie interessieren, einfach filtern und vergleichen.

Hier können Sie eigene Berichte erstellen, die die Firewall sofort oder nach Zeitplan generiert. Gehen Sie wie folgt vor:

  1. Klicken Sie auf die Registerkarte Monitor.
  2. Klicken Sie auf Benutzerdefinierten Bericht verwalten.
  3. Klicken Sie auf Hinzufügen und wählen Sie einen Namen für Ihren Bericht.
  4. Um eine vorhandene Vorlage zu verwenden oder zu bearbeiten, klicken Sie auf Vorlage laden und wählen eine Vorlage aus.
  5. Wählen Sie eine Datenbank, die für den Bericht verwendet werden soll.
  6. Aktivieren Sie das Kontrollkästchen Geplant und definieren Sie Ihre Filter: Zeitrahmen, Sortieren nach Reihenfolge, Gruppieren nach Präferenz und wählen Sie die Spalten, die Sie im Bericht anzeigen möchten. Wählen Sie optional die Attribute des Query Builders, um die Auswahlkriterien zu verfeinern.
  7. Klicken Sie auf Jetzt ausführen, um Ihren Bericht zu testen. Ändern Sie die Einstellungen nach Bedarf.
  8. Klicken Sie auf OK, um Ihren benutzerdefinierten Bericht zu speichern.

Proximus ist für die Aktualisierung und Aufrüstung der Next Generation Firewall zuständig. Proximus behält automatisch die 50 vorherigen Konfigurationen (Version/Commit) der Next Generation Firewall.

Die Verfügbarkeitszeiten sind im SLA für den Dienst Explore Internet enthalten. Nur HA-Konfigurationen (Option Gold SLA) im Active/Passive-Modus sind vollständig redundant und ermöglichen eine sehr hohe Verfügbarkeit des Dienstes. Diese Konfigurationen sind für alle Versionen verfügbar und sind in der Regel mit einem Gold-SLA für Konnektivität und die Next Generation Firewall verbunden.

Policies, Objekte & Sicherheitsprofile

Policen

Richtlinien sind Steuerelemente, mit denen Sie den Datenverkehr basierend auf der Anwendung, dem Benutzer, der Benutzergruppe oder dem Dienst (Port und Protokoll) zulassen, einschränken und verfolgen können. Sie können hier Ihre Sicherheitsregeln, aber auch NAT-, Application Override- und Authentifizierungsrichtlinien definieren.

Ihre Firewall verwendet die Paketprüfung und eine Anwendungssignaturbibliothek, um Anwendungen (nach Protokoll oder Port) zu unterscheiden und bösartige Anwendungen zu identifizieren, die nicht standardmäßige Ports verwenden.

Um maximale Sicherheit zu gewährleisten, verwenden Sie Sicherheitsrichtlinien für bestimmte Anwendungen oder Anwendungsgruppen und nicht z. B. eine einzelne Richtlinie für alle Port-80-Verbindungen. Für jede Anwendung können Sie den Datenverkehr basierend auf Quell- und Zielzonen und -adressen (IPv4 und IPv6) blockieren oder zulassen. Jede Richtlinie kann auch Sicherheitsprofile gegen Viren, Spyware usw. haben.

Standardmäßig konfiguriert Proximus einige Richtlinien, die nicht geändert oder gelöscht werden können, um sicherzustellen, dass die grundlegende Konnektivität immer vorhanden ist, und schlägt einige andere Standardrichtlinien vor, um einen ersten Zugang zu Internet zu ermöglichen. Sie können diese ändern oder daneben eigene Richtlinien erstellen, um Ihren Datenverkehr zu verwalten.

  • Standard-Webzugriff: Mit dieser Regel werden die meisten bekannten Anwendungen auf die Internet zugelassen.
  • Blockierte Anwendungen mit hohem Risiko: Diese Regel blockiert Anwendungen, von denen bekannt ist, dass sie ein hohes Sicherheitsrisiko darstellen.
  • Regel "Accept All": Diese Regel lässt den gesamten verbleibenden Datenverkehr zu, der nicht von den vorherigen Regeln abgedeckt wird. Sie ist dazu da, die volle Konnektivität zu gewährleisten, sobald die Firewall in Ihrem Netzwerk in Betrieb genommen wurde, und sollte so schnell wie möglich entfernt werden.

Wenn Sie den Dienst "Erweiterte Sicherheit" abonniert haben, ist eine Reihe von Sicherheitsprofilen mit dieser Richtlinie verknüpft, um Sie vor Viren, Spyware usw. zu schützen.

Das URL-Filterprofil könnte auch so konfiguriert werden, dass es Ihren Anforderungen besser entspricht.

Bevor Sie beginnen, stellen Sie sicher, dass Sie alle notwendigen Objekte (z. B. IP-Adressen) und Sicherheitsprofile (z. B. ein URL-Filterungsprofil) erstellen, die Sie in Ihrer Richtlinie verwenden möchten.

Gehen Sie folgendermaßen vor, um Ihre eigene Richtlinie zu erstellen:

  1. Klicken Sie auf der linken Seite auf Policies und Security. Klicken Sie auf Hinzufügen.
  2. Wählen Sie auf der Registerkarte " Allgemein" einen Namen für Ihre Richtlinie. Wählen Sie als Regeltyp" Universal" (Standard). Fügen Sie optional ein von Ihnen erstelltes Tag als Objekt hinzu.
  3. Wählen Sie auf der Registerkarte "Quelle" eine Quellzone auf der linken Seite aus:
    • Innen (Erkundungsseite): Dies ist die Vertrauenszone.
    • Draußen (Internet Seite): Dies ist die nicht vertrauenswürdige Zone.
    • Telearbeit: nur verfügbar, wenn Sie den Telearbeitsdienst abonniert haben.
    • Beliebig: Ihre Richtlinie gilt für alle Zonen.
  4. Wählen Sie auf der Registerkarte Quelle eine Quelladresse oder einen Quellbenutzer, wenn die Richtlinie für eine bestimmte IP-Adresse oder einen bestimmten Benutzer gelten soll. Wenn nicht, lassen Sie es auf " Any" (beliebig) eingestellt.
  5. Wählen Sie auf der Registerkarte " Ziel" auf der linken Seite eine Zielzone und auf der rechten Seite eine Zieladresse oder einen Zielbenutzer aus, wie Sie es in Schritt 3 und 4 getan haben.
  6. Wählen Sie auf der Registerkarte " Anwendung" eine oder mehrere Anwendungen, Anwendungsgruppen oder Anwendungsfilter aus, die Sie sicher aktivieren möchten. Als bewährte Methode sollten Sie immer anwendungsbasierte Regeln anstelle von portbasierten Regeln verwenden.
  7. Behalten Sie auf der Registerkarte Dienst/URL-Kategorie die Einstellung " Dienst" auf "Anwendungsstandard" bei.
  8. Überprüfen Sie auf der Registerkarte " Aktionen" diese Einstellungen:
    • Aktion: Wählen Sie die Aktion aus, die die Firewall für den Datenverkehr ausführen soll, der der Regel entspricht: Zulassen, Verweigern (verweigert die Anwendung basierend darauf, wie sie als Objekt konfiguriert ist), Verwerfen (verwirft die Anwendung ohne TCP-Reset), Client zurücksetzen (sendet einen TCP-Reset an das clientseitige Gerät), Server zurücksetzen (sendet einen TCP-Reset an das serverseitige Gerät) oder beide zurücksetzen (client- & serverseitiges Gerät).
    • Bei Sitzungsende protokollieren: Diese Option sollte aktiviert sein.
    • Log-Weiterleitung: Wählen Sie Standard.
    • Profiltyp: Sie können entweder Profile wählen, um einzelne Sicherheitsprofile hinzuzufügen, oder Gruppe, um eine Gruppe von Sicherheitsprofilen auszuwählen.
  9. Klicken Sie auf OK, um Ihre Richtlinie zu erstellen, und vergessen Sie nicht, Ihre Änderungen zu bestätigen.

Lesen Sie mehr über die NAT-Implementierung von Palo Alto und die TheorieOpens a new window auf Englisch


Palo Alto trennt Network Address Translation (NAT) von den Firewall-Filterregeln. Daher ist es wichtig, die Ablauflogik der Firewall zu verstehen, um Ihre Richtlinien für die Verwendung nativer oder NAT-Adressen zu definieren.

NAT-Regeln basieren auf Quell- und Zielzonen/-adressen und Anwendungsdienst (z. B. HTTP). Wie Sicherheitsrichtlinien werden NAT-Regeln nacheinander mit dem eingehenden Datenverkehr verglichen und die erste Regel, die mit dem Datenverkehr übereinstimmt, wird angewendet. Um sicherzustellen, dass der Verkehr angepasst wird, ist es daher sehr wichtig, Ihre NAT-Regeln von spezifischer zu weniger spezifisch zu organisieren.

  1. Das Paket tritt in die Firewall ein.
  2. Es wird geprüft, ob eine Sitzung vorhanden ist. Im Falle einer neuen Konfiguration ist die Sitzung noch nicht vorhanden.
  3. NAT wird für die Routensuche inspiziert, aber nicht angewendet. Dies ist wichtig im Falle eines statischen NAT-Eintrags!
  4. Die Firewall-Richtlinien werden überprüft.
  5. NAT wird auf das Paket angewendet.
  6. Das Paket wird weitergeleitet.

Eine Übersicht über die Paketverarbeitungslogik der Firewall finden Sie auf der Palo Alto-WebsiteNeuesOpens a new window auf Englisch.

Um Ihre NAT-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Registerkarte Policies und auf NAT. Klicken Sie auf Hinzufügen.
  2. Wählen Sie auf der Registerkarte " Allgemein " einen Namen und eine Beschreibung. Fügen Sie ein oder mehrere Tags hinzu, die Sie als Objekt erstellt haben. Setzen Sie den NAT-Typ auf ipv4 (Standard).
  3. Wählen Sie auf der Registerkarte " Originalpaket " eine Quellzone (typischerweise innerhalb) und eine Zielzone (typischerweise außerhalb). Wählen Sie optional eine oder mehrere Quelladressen (IP, Subnetz oder Pool), die der NAT-Regel entsprechen.
  4. Wählen Sie auf der Registerkarte " Translated Packet" den Typ "Source Address Translation " (die dynamische IP-Adresse und den Port) und ändern Sie die "Destination Address Translation" nicht. Es gibt 2 Möglichkeiten für die Source Address Translation:
    • Translated Address (bei Verwendung einer IP-Pack-Adresse): Fügen Sie mindestens eine IP-Adresse hinzu, die eine Adresse oder eine Adressgruppe sein kann, die Sie als Objekt erstellt haben. Jeder Eintrag in der Liste wird von der NAT-Regel der Reihe nach verwendet. Diese Adressen müssen zu den externen Peers geroutet werden, damit das NAT funktioniert.
    • Schnittstellenadresse (bei Verwendung der IP-WAN-Adresse): nur die loopback.100 kann für NAT verwendet werden. Verwenden Sie nicht die Schnittstellen ethernet1/1 oder ethernet1/2 als NAT-Adresse.
  5. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Bitte beachten Sie: standardmäßig ist die NAT-Überbelegungsrate je nach VM-Modell unterschiedlich. Die NAT-Überbelegung ist die Anzahl, wie oft das gleiche übersetzte IP- und Port-Paar gleichzeitig verwendet werden kann.

Bitte beachten Sie: Statische NAT-Regeln haben keinen Vorrang vor anderen Formen von NAT. Damit statisches NAT funktioniert, müssen die statischen NAT-Regeln daher über allen anderen NAT-Regeln in der Liste auf der Firewall stehen.

Um Ihre NAT-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Registerkarte Policies und auf NAT. Klicken Sie auf Hinzufügen.
  2. Wählen Sie auf der Registerkarte " Allgemein " einen Namen und eine Beschreibung. Fügen Sie ein oder mehrere Tags hinzu, die Sie als Objekt erstellt haben. Setzen Sie den NAT-Typ auf ipv4 (Standard).
  3. Wählen Sie auf der Registerkarte Originalpaket die gleiche Quellzone und Zielzone (typischerweise außerhalb). Wählen Sie unter Service den Dienst Internet Ihres Servers (z. B. service-http), damit nicht alle eingehenden Verbindungen übersetzt werden. Stellen Sie sicher, dass als Source Address (Quelladresse) Any (beliebig ) markiert ist. Geben Sie als Zieladresse die Internet Adresse Ihres Servers ein. Dies ist die öffentliche IP-Adresse, mit der Ihr Server von außen erreichbar ist.
  4. Ändern Sie auf der Registerkarte Translated Packet den Typ Source Address Translation nicht und geben Sie als Destination Address Translation Ihre statische IP-Adresse an. Optional können Sie einen Port oder einen Bereich von Ports angeben. Wenn kein Port angegeben wird, wird der ursprüngliche Port verwendet.
  5. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Bitte beachten Sie: Ihre Firewall-Richtlinienregeln gelten für die echte Zielzone. Das Ziel ist die öffentliche IP-Adresse (und der Port, falls übersetzt) des Servers, nicht die interne IP. Lesen Sie mehr über Palo Alto's NAT-Implementierung und dastheoryNew-Fenster, um die Gründe dafür zu erfahren.

Objekte

Objekte sind Elemente, die Sie in Ihren Richtlinien oder Sicherheitsprofilen verwenden können:

  • Adressen und Adressgruppen: IP-Subnetze, Bereiche oder FQDN zur Verwendung in Richtlinien.
  • Anwendungen, Anwendungsgruppen & Filter: Liste aller Anwendungen und deren Details, die von Palo Alto bereitgestellt und gepflegt werden, zur Verwendung in Richtlinien.
  • Dienste und Dienstgruppen: TCP- und/oder UDP-Ports, die konfiguriert werden können, um eine Anwendung auf bestimmte Ports zu beschränken oder eigenständig für die Verwendung in Richtlinien.
  • Tags: eine Funktion, die für Ihre gesamte Firewall gilt und mit der Sie sich auf bestimmte Schlüsselwörter (Tags) anstelle von Objekten beziehen können. Sie können z. B. eine Liste von IP-Adressen definieren, die Ihre Telearbeiter verwenden, und das Tag "Telearbeit" nennen. Auf diese Weise können Sie in Ihrer Richtlinie einfach auf "Telearbeit" verweisen und wissen, dass diese Richtlinie für Ihre Telearbeiter gilt.
  • Externe dynamische Liste: Importieren Sie eine Liste von IP-Adressen, URLs oder Domänennamen zur Verwendung in Richtlinien. Wenn Sie ein Proximus Advanced Security-Paket haben, werden 2 dynamische IP-Listen angeboten: Hochrisiko und bekannte bösartige IP-Adressen, die täglich aktualisiert werden.
  • Benutzerdefinierte Objekte: erweiterte Sicherheitsmerkmale, die von Proximus konfiguriert werden, mit Ausnahme von URL-Kategorien.
Sicherheitsprofile

Sicherheitsprofile sind Objekte, die wir zusätzlich zur Standard-Firewall-Inspektion hinzufügen können. Sie ermöglichen mehr Kontrolle und zusätzliche Sicherheitsprüfungen für den Netzwerkverkehr.

Als bewährte Verfahren wird empfohlen, die vordefinierten Standardsicherheitsprofile zu implementieren. Diese Standard-Sicherheitsprofile werden auf die Standard-Erstkonfiguration angewendet und folgen dieser Namenskonvention 'Sec_Prof_xx_PM' (wobei 'xx' durch den Profiltyp ersetzt wird: AV für Antivirus, VP für Schwachstellenschutz, usw.). Diese Profile können auf der Registerkarte "Objekte" unter "Sicherheitsprofile" angewendet werden, entweder einzeln oder als Gruppenprofil. Ihre Firewall bietet mehrere Arten von Sicherheitsprofilen:

Dieses Sicherheitsprofil erkennt infizierte Dateien, die von einer oder mehreren Anwendungen übertragen werden.

Auf der Registerkarte " Objekte" unter " Sicherheitsprofile" finden Sie das Standard-Antivirenprofil. Dieses Profil prüft alle aufgelisteten Protokolldecoder auf Viren, generiert Warnungen für SMTP, IMAP & POP3 und führt die Standardaktion für andere Anwendungen aus (Warnung oder Ablehnung), je nach Art des erkannten Virus.

Sie können dieses Sicherheitsprofil an Ihre Richtlinien anhängen. Wenn Sie andere Anforderungen in Bezug auf die Antiviren-Konformität haben, können Sie ein benutzerdefiniertes Profil erstellen:

  1. Klicken Sie auf die Registerkarte " Objekte" und auf " Sicherheitsprofile". Klicken Sie auf Antivirus.
  2. Wählen Sie das Proximus-Standardprofil und drücken Sie auf Klonen.
  3. Stellen Sie sicher, dass Name ausgewählt ist, deaktivieren Sie das Kontrollkästchen Fehler bei erstem erkannten Fehler in der Validierung und drücken Sie OK.
  4. Ändern Sie die Antiviren-Einstellungen nach Ihren Wünschen:
    • Der Name für Ihr Profil (bis zu 31 Zeichen) ist obligatorisch. Er wird bei der Definition von Sicherheitsrichtlinien in der Liste der Antivirenprofile angezeigt. Der Name unterscheidet zwischen Groß- und Kleinschreibung und muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche, Punkte und Unterstriche.
    • In der Registerkarte Antivirus können Sie auswählen, welche Maßnahmen für verschiedene Arten von Datenverkehr, z. B. FTP und HTTP, ergriffen werden sollen. In der Tabelle Anwendungsausnahmen können Sie Anwendungen definieren, die nicht untersucht werden sollen.
    • Auf der Registerkarte Virenausnahmen können Sie eine Liste von Bedrohungen definieren, die vom Antiviren-Profil ignoriert werden sollen.
  5. Klicken Sie auf OK. Um Ihr neues Profil zu verwenden, müssen Sie es an eine Richtlinie anhängen.
  6. Klicken Sie auf die Registerkarte " Richtlinien" und dann auf " Sicherheit".
  7. Klicken Sie auf die Richtlinie, auf die Sie das Sicherheitsprofil anwenden möchten.
  8. Klicken Sie auf die Registerkarte " Aktionen ". Klicken Sie unter Profileinstellung auf das Dropdown-Menü neben jedem Profil, das Sie aktivieren möchten, und wählen Sie das von Ihnen erstellte Profil.
  9. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Dieses Sicherheitsprofil erkennt das Herunterladen von Spyware und den Datenverkehr von bereits installierter Spyware.

Sie können ein individuelles Profil erstellen:

  1. Klicken Sie auf die Registerkarte " Objekte" und auf " Sicherheitsprofile". Klicken Sie auf Anti-Spyware.
  2. Wählen Sie das Proximus-Standardprofil und drücken Sie auf Klonen.
  3. Stellen Sie sicher, dass Name ausgewählt ist, deaktivieren Sie das Kontrollkästchen Fehler bei erstem erkannten Fehler in der Validierung und drücken Sie OK.
  4. Ändern Sie die Anti-Spyware-Einstellungen nach Ihren Wünschen. Der Name für Ihr Profil (bis zu 31 Zeichen) ist obligatorisch. Er wird in der Liste der Profile angezeigt, wenn Sie Sicherheitsrichtlinien definieren. Beim Namen wird zwischen Groß- und Kleinschreibung unterschieden und er muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche, Punkte und Unterstriche.
  5. Klicken Sie auf OK. Um Ihr neues Profil zu verwenden, müssen Sie es an eine Richtlinie anhängen.
  6. Klicken Sie auf die Registerkarte " Richtlinien" und dann auf " Sicherheit".
  7. Klicken Sie auf die Richtlinie, auf die Sie das Sicherheitsprofil anwenden möchten.
  8. Klicken Sie auf die Registerkarte " Aktionen ". Klicken Sie unter Profileinstellung auf das Dropdown-Menü neben jedem Profil, das Sie aktivieren möchten, und wählen Sie das von Ihnen erstellte Profil.
  9. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Dieses Sicherheitsprofil erkennt Versuche, bekannte Software-Schwachstellen auszunutzen.

Sie können ein individuelles Profil erstellen:

  1. Klicken Sie auf die Registerkarte " Objekte" und auf " Sicherheitsprofile". Klicken Sie auf Verletzlichkeitsschutz.
  2. Wählen Sie das Proximus-Standardprofil und drücken Sie auf Klonen.
  3. Stellen Sie sicher, dass Name ausgewählt ist, deaktivieren Sie das Kontrollkästchen Fehler bei erstem erkannten Fehler in der Validierung und drücken Sie OK.
  4. Ändern Sie die Einstellungen des Verletzungsschutzes nach Ihren Wünschen. Der Name für Ihr Profil (bis zu 31 Zeichen) ist obligatorisch. Er wird in der Liste der Profile angezeigt, wenn Sie Sicherheitsrichtlinien definieren. Beim Namen wird zwischen Groß- und Kleinschreibung unterschieden und er muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche, Punkte und Unterstriche.
  5. Klicken Sie auf OK. Um Ihr neues Profil zu verwenden, müssen Sie es an eine Richtlinie anhängen.
  6. Klicken Sie auf die Registerkarte " Richtlinien" und dann auf " Sicherheit".
  7. Klicken Sie auf die Richtlinie, auf die Sie das Sicherheitsprofil anwenden möchten.
  8. Klicken Sie auf die Registerkarte " Aktionen ". Klicken Sie unter Profileinstellung auf das Dropdown-Menü neben jedem Profil, das Sie aktivieren möchten, und wählen Sie das von Ihnen erstellte Profil.
  9. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Dieses Sicherheitsprofil klassifiziert und kontrolliert das Surfen im Internet auf der Basis von Inhalten.

Die URL-Filterlösung von Palo Alto Networks ergänzt APP-ID, indem sie es Ihnen ermöglicht, HTTP- und HTTPS-Datenverkehr zu identifizieren und zu kontrollieren. Wenn die URL-Filterung aktiviert ist, wird der Webverkehr mit der URL-Filterungsdatenbank verglichen, die Millionen von Websites enthält, die in etwa 60 bis 80 Kategorien eingeteilt sind.

Palo Alto bietet 2 Hauptmöglichkeiten für die URL-Filterung. Proximus hat sich für die PAN-DB URL-Filterlösung entschieden, die über ein Sicherheitsprofil konfiguriert wird.VerwendenSie daherNICHT die Registerkarte Service/URL-Kategorie, sondern wählen Sie ein Profil in der Registerkarte Aktionen.

Es gibt 2 Möglichkeiten, von der URL-Kategorisierung Gebrauch zu machen:

  • Blockieren oder Zulassen von Datenverkehr basierend auf der URL-Kategorie: Sie können ein Sicherheitsprofil für die URL-Filterung erstellen, das eine Aktion für jede URL-Kategorie festlegt, und dieses Profil an eine Richtlinie anhängen. Beispiel: Um alle Spiele-Websites zu blockieren, würden Sie "blockieren" als Aktion für die URL-Kategorie "Spiele" im Sicherheitsprofil für die URL-Filterung festlegen. Sie würden dieses Profil an Ihre Richtlinie für den Webzugriff anhängen.
  • Datenverkehr auf Basis einer URL-Kategorie abgleichen, um eine Richtlinie durchzusetzen: Wenn Sie möchten, dass eine bestimmte Richtlinie nur für Webdatenverkehr in einer bestimmten URL-Kategorie gilt, würden Sie die URL-Kategorie als Abgleichskriterium hinzufügen, wenn Sie Ihre Richtlinie erstellen. Beispiel: Um sicherzustellen, dass Streaming-Websites nicht Ihre gesamte Bandbreite verbrauchen, würden Sie die URL-Kategorie "streaming-media" zu Ihrer QoS-Richtlinie hinzufügen.

Um herauszufinden, zu welcher Kategorie eine Website gehört, schlagen Sie auf https://urlfiltering.paloaltonetworks.comOpens a new window nach. Die vollständige Liste der URL-Filterkategorien finden Sie auf Palo Alto's FAQOpens a new window .

Sie können ein Sicherheitsprofil für die URL-Filterung konfigurieren:

  1. Klicken Sie auf die Registerkarte " Objekte" und auf " Sicherheitsprofile". Klicken Sie auf URL-Filterung.
  2. Palo Alto empfiehlt das 'Standard'-Profil. Wählen Sie optional das Proximus-Standardprofil und drücken Sie Clone.
  3. Stellen Sie sicher, dass Name ausgewählt ist, deaktivieren Sie das Kontrollkästchen Fehler bei erstem erkannten Fehler in der Validierung und drücken Sie OK.
  4. Ändern Sie die Einstellungen für die URL-Filterung nach Ihren Wünschen:
    • Der Name für Ihr Profil (bis zu 31 Zeichen) ist obligatorisch. Er wird in der Liste der Profile angezeigt, wenn Sie Sicherheitsrichtlinien definieren. Der Name unterscheidet zwischen Groß- und Kleinschreibung und muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche, Punkte und Unterstriche.
    • Markieren Sie auf der Registerkarte Kategorien die URL-Filterkategorien, die Sie verwenden möchten. Wählen Sie unter Site Access die Aktion, die Sie für jede Kategorie durchführen möchten (z. B. zulassen, blockieren, warnen usw.).
  5. Klicken Sie auf OK. Um Ihr neues Profil zu verwenden, müssen Sie es an eine Richtlinie anhängen.
  6. Klicken Sie auf die Registerkarte " Richtlinien" und dann auf " Sicherheit".
  7. Klicken Sie auf die Richtlinie, auf die Sie das Sicherheitsprofil anwenden möchten.
  8. Klicken Sie auf die Registerkarte " Aktionen ". Klicken Sie unter Profileinstellung auf das Dropdown-Menü neben jedem Profil, das Sie aktivieren möchten, und wählen Sie das von Ihnen erstellte Profil.
  9. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Dieses Sicherheitsprofil leitet unbekannte Dateien an WildFire weiter, einen cloudbasierten Malware-Analysedienst. Es erkennt und verhindert Malware durch eine Kombination aus Sandboxing und signaturbasierter Erkennung und Blockierung.

Wenn Ihre Firewall eine unbekannte Datei oder einen unbekannten Link (z. B. in einer E-Mail) erkennt, kann sie diese zur Analyse durch WildFire weiterleiten. Basierend auf den Eigenschaften, dem Verhalten und den Aktivitäten bei der Analyse und Ausführung in der WildFire-Sandbox bestimmt WildFire, ob es sich um gutartige, Grayware oder bösartige Software handelt. WildFire generiert dann Signaturen zur Erkennung neu entdeckter Malware, die alle 5 Minuten global zur Verfügung gestellt werden und von allen Palo Alto Firewalls zur Blockierung von Malware verwendet werden können.

Sie können ein WildFire-Analyseprofil konfigurieren:

  1. Klicken Sie auf die Registerkarte Objekte und auf Sicherheitsprofile. Klicken Sie auf WildFire-Analyse.
  2. Wählen Sie das Proximus-Standardprofil und drücken Sie auf Klonen.
  3. Stellen Sie sicher, dass Name ausgewählt ist, deaktivieren Sie das Kontrollkästchen Fehler bei erstem erkannten Fehler in der Validierung und drücken Sie OK.
  4. Ändern Sie die Einstellungen der WildFire-Analyse nach Ihren Wünschen: Der Name für Ihr Profil (bis zu 31 Zeichen) ist obligatorisch. Er wird in der Liste der Profile angezeigt, wenn Sie Sicherheitsrichtlinien definieren. Beim Namen wird zwischen Groß- und Kleinschreibung unterschieden und er muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche, Punkte und Unterstriche.
  5. Klicken Sie auf Hinzufügen, um festzulegen, welcher unbekannte Datenverkehr zur Analyse weitergeleitet werden soll, basierend auf:
    • Anwendungen: Weiterleitung von Dateien zur Analyse basierend auf der verwendeten Anwendung.
    • Dateitypen: Leiten Sie Dateien zur Analyse weiter, basierend auf dem Dateityp (z. B. PDF-Dateien), einschließlich der in E-Mail-Nachrichten enthaltenen Links.
    • Richtung: Weiterleitung von Dateien basierend auf der Art der Übertragung (Upload, Download oder beides), z. B. Weiterleitung von PDF-Dateien nur, wenn sie heruntergeladen und nicht hochgeladen werden.
  6. Legen Sie den Analyseort fest, an den die Firewall Dateien weiterleitet, die der Regel entsprechen.
  7. Wählen Sie public-cloud, um Dateien an die WildFire-Analyse-Cloud weiterzuleiten.
  8. Klicken Sie auf OK. Um Ihr neues Profil zu verwenden, müssen Sie es an eine Richtlinie anhängen.
  9. Klicken Sie auf die Registerkarte " Richtlinien" und dann auf " Sicherheit".
  10. Klicken Sie auf die Richtlinie, auf die Sie das Sicherheitsprofil anwenden möchten.
  11. Klicken Sie auf die Registerkarte " Aktionen ". Klicken Sie unter Profileinstellung auf das Dropdown-Menü neben jedem Profil, das Sie aktivieren möchten, und wählen Sie das von Ihnen erstellte Profil.
  12. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Telearbeit

Wenn Sie diesen Dienst abonniert haben, können Sie den Benutzern in Ihrem Netzwerk mit der GlobalProtect-Software Fernzugriff gewähren.

Dieser Dienst wird in 2 Varianten angeboten:

  1. Lokale Benutzer: Ihre Telearbeits-Benutzer und Passwörter werden lokal auf der Plattform Explore Next Generation Firewall gespeichert, pro Paket von 5 gleichzeitigen Telearbeitern.
  2. LDAP/AD: Ihre Telearbeitsplatz-Benutzer und -Kennwörter sind in einem Active Directory definiert. Es ist eine zusätzliche Konfiguration zwischen der Firewall und Ihrem Active Directory-Server erforderlich. Diese Variante ist nicht Bestandteil des selbstverwalteten Pakets und muss mit Hilfe eines Explore-Ingenieurs konfiguriert werden. Wenn Sie Fragen dazu haben, kontaktieren Sie unOpens a new window .

Wenn Sie die 1. Variante haben, finden Sie unten alle Informationen zur Verwaltung Ihrer Telearbeitsplatz-Benutzer und Passwörter.

Sie können Benutzer und Kennwörter hinzufügen, löschen oder ändern:

  1. Klicken Sie auf die Registerkarte Gerät und auf Lokale Benutzerdatenbank. Klicken Sie auf Benutzer.
  2. Sie haben nun mehrere Möglichkeiten:
    • Hinzufügen eines Benutzers: Klicken Sie auf Hinzufügen. Sie können auch einen Benutzer klonen und ihn an Ihre Bedürfnisse anpassen. Wählen Sie einen Namen für Ihren Benutzer, ein Passwort und bestätigen Sie das Passwort. Das Kennwort muss mindestens 8 Zeichen lang sein, mindestens 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Zahl und 1 Sonderzeichen enthalten und sollte nicht den Benutzernamen des Benutzers enthalten (auch nicht invertiert). Klicken Sie auf OK.
    • Ändern eines Benutzers: Klicken Sie auf den Benutzer, den Sie ändern möchten. Sie können nun einen neuen Namen und ein neues Passwort wählen, wobei Sie die oben genannten Anforderungen an das Passwort beachten. Klicken Sie auf OK.
    • Benutzer löschen: Markieren Sie den Benutzer, den Sie löschen möchten, und klicken Sie auf Löschen.

    Bitte beachten Sie: Die Anzahl der Benutzer, die sich gleichzeitig verbinden können, hängt von Ihrem Telearbeits-Abonnement ab. Wenn Sie mehr Benutzer hinzufügen möchten, kontaktieren Sie unOpens a new window .

  3. Wenn Sie einen Benutzer hinzugefügt haben, müssen Sie ihn anschließend zu einer Gruppe von Telearbeitern hinzufügen. Klicken Sie dazu auf Benutzergruppen auf der linken Seite des Bildschirms.
  4. Klicken Sie auf UserGrp_Local_TWK. Klicken Sie auf Hinzufügen und fügen Sie die soeben erstellten Benutzer hinzu.
  5. Klicken Sie auf OK und bestätigen Sie Ihre Änderungen.

Proximus stellt einen Link zu Ihrem Telearbeitsportal und Ihre Anmeldedaten zur Verfügung. Folgen Sie diesen Schritten, um die GlobalProtect-Software herunterzuladen:

Auf dem Handy

Sobald der Download abgeschlossen ist, installieren Sie die App auf Ihrem Gerät.

Auf PC oder Mac

  1. Surfen Sie zu Ihrem Telearbeitsportal auf yourportal.teleworking.proximus.com/ und ersetzen Sie "yourportal" durch das Portal Ihrer Firma.
  2. Geben Sie den "Teleworker"-Benutzernamen und das Passwort ein und klicken Sie auf LOG IN.
  3. Klicken Sie auf den Link, um die GlobalProtect-Software für Windows oder Mac herunterzuladen.
  4. Um die GlobalProtect-Software nachträglich zu installieren, müssen Sie über Administratorrechte auf dem Computer verfügen, auf dem Sie die Software installieren möchten. Doppelklicken Sie auf die gerade heruntergeladene Datei und folgen Sie den Schritten des Installationsassistenten.

Nachdem Sie die Software installiert haben, können Sie eine Verbindung mit dem Gateway herstellen:

  1. Doppelklicken Sie auf das Symbol GlobalProtect.
  2. Geben Sie Ihre Einstellungen in der GlobalProtect-Anwendung ein:
    Portal: Geben Sie den Link zu Ihrem Telearbeitsportal ein (z. B. yourportal.teleworking.proximus.com/, wobei "yourportal" durch das Portal Ihres Unternehmens ersetzt wird), wie es von Proximus bereitgestellt wird.
  3. Klicken Sie auf Verbinden.
  4. Geben Sie die Anmeldedaten ein:
    • Benutzername: Geben Sie den Benutzernamen des Telearbeiters ein.
    • Passwort: Geben Sie das Teleworker-Passwort ein.
  5. Klicken Sie auf "Anmelden".

Sobald Sie verbunden sind, ist Ihr Verbindungsstatus sichtbar, wenn Sie auf das GlobalProtect-Symbol unten rechts in der Taskleiste des Computers doppelklicken.

Klicken Sie auf das Symbol Einstellungen oben rechts, um weitere Details zu sehen.

Im Register Allgemein sehen Sie den Benutzernamen, der verbunden ist, die IP-Adresse oder den Hostnamen des Portals und den Verbindungsstatus.

In der Registerkarte Verbindung sehen Sie die zugewiesene IP-Adresse des Teleworkers.

Wenn Probleme auftreten, überprüfen Sie die Firewall-Richtlinien zwischen der Telearbeits-, Innen- und Außenzone, ob alle erforderlichen Zugriffe erlaubt sind.

Ändern oder Zurücksetzen des Firewall-Passworts

Ihr Passwort kann nur geändert werden, wenn Sie bereits eingeloggt sind. Wenn Sie sich nicht anmelden können, kontaktieren Sie unsOpens a new window , um Ihr Passwort zurückzusetzen.

Gehen Sie folgendermaßen vor, um Ihr Passwort zu ändern:

  1. Klicken Sie am unteren Rand der Seite auf Kunde.
  2. Sie müssen ein neues Passwort wählen:
    • Geben Sie im Feld Altes Passwort Ihr aktuelles Passwort ein.
    • Wählen Sie im Feld Neues Passwort ein Passwort mit mindestens 8 Zeichen, das mindestens 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Sonderzeichen und 1 numerisches Zeichen enthält.
    • Wiederholen Sie im Feld Confirm New Password das gewählte Passwort und klicken Sie auf OK.
    • Klicken Sie oben auf der Seite auf Bestätigen, um Ihre Änderungen zu bestätigen.
    • Klicken Sie im erscheinenden Pop-up-Fenster erneut auf Bestätigen.

Ihr Login und Passwort können nur von Ihnen verwendet werden. Proximus verfügt über separate Zugangsdaten für die Firewall. Wenn Sie Ihr Passwort verlieren, müssen Sie sich an den Service Desk wenden, um eine Rücksetzung Ihres Passworts zu beantragen.

Ihre Zugriffsrechte auf Funktionen der Firewall

Laden Sie eine Übersicht über die Zugriffsrechte(PDF, 498 KB) mit einer Liste der Funktionen herunter, die Sie auf Ihrer Firewall sehen, bearbeiten und nicht sehen können.

Beratung und Schulung

Wir bieten Ihnen unsere Beratungs- und Schulungsleistungen an:

Als Kunde können Sie sich auf unsere Beratungsdienste verlassen. Diese Dienstleistungen bestehen aus 2 Teilen: Migration und permanente Verbesserung:

Bitte beachten Sie, dass die Marke Ihrer aktuellen Firewall auf der Liste der unterstützten Anbieter stehen muss, um die Migration durchführen zu können: Check Point, Cisco (ASA und Firepower in ASA-Syntax), Fortinet, Juniper, Forcepoint, ...

  1. Migration:
    • Wir beginnen mit einer grundlegenden Migration Ihrer aktuellen Firewall-Regeln auf die Proximus NGFW Explore-Lösung.
    • Wir verwenden automatisierte Tools und qualifizierte Techniker zur Durchführung der Migration.
    • Wir werden automatisierte Tools und qualifizierte Techniker einsetzen, um die Migration durchzuführen.
    • Wir werden von einer portbasierten Sicherheitsrichtlinie zu einer anwendungsbasierten Sicherheitsrichtlinie wechseln.
    • Keine Sorge: Die Sicherheitsrisiken, die mit einer portbasierten Richtlinie verbunden sind, sind größer als der Aufwand, der für die Implementierung einer anwendungsbasierten Richtlinie erforderlich ist.
  2. Kontinuierliche Verbesserung:

    Nach der Umstellung auf eine anwendungsbasierte Sicherheitsrichtlinie ist es an der Zeit für einige Verbesserungen. Palo Alto verfügt über mehrere Tools zur kontinuierlichen Optimierung Ihrer Sicherheitsrichtlinien, was angesichts der sich ständig ändernden Bedrohungslandschaft notwendig ist. Diese Verbesserungen werden von uns durchgeführt:

    • 'Policy optimizer': hilft bei der Verbesserung einzelner Regeln.
    • BPA-Bericht: gibt einen Gesamtüberblick über die Einhaltung der Best Practices von Palo Alto. Der Sicherheitsingenieur führt diesen Bericht nach einer Migration, nach einer ersten Reihe von Optimierungen und nach jeder weiteren Verbesserung durch. Sie ermöglicht es Ihnen, den Fortschritt Ihrer Sicherheitspolitik zu überwachen.

Als Kunde können Sie einen 4-stündigen Schulungskurs besuchen, der aus 3 Stunden Unterricht und 1 Stunde Vor- und Nachbereitung besteht. Sie können sich an Ihren VertriebskontaktOpens a new window wenden, wenn Sie die Schulung besuchen möchten.
Nach der Schulung werden Sie in der Lage sein:

  • Ihre eigenen Sicherheitsrichtlinien durch Selbstverwaltung zu erstellen;
  • die Palo Alto NGFW-Benutzeroberfläche zu nutzen;
  • Änderungen und neue Anwendungen zu implementieren und auf Ihrem Explore NGFW zu konfigurieren.

der Schulung ist:

  • An Ihre Bedürfnisse anpassbar.
  • Praxisorientiert: keine Zertifizierung erforderlich.
  • Auf Ihrer Firewall oder Ihrem Online-Demoportal verfügbar.
  • Standardmäßig ferngesteuert (Microsoft Teams), kann aber auch vor Ort durchgeführt werden.

Hilfe holen

Als Kunde können Sie darauf zählen, dass wir Ihnen helfen bei

Bitte beachten Sie: Proximus bietet eine angepasste Version der Firewall von Palo Alto an, so dass bestimmte Funktionen möglicherweise nicht verfügbar sind oder nicht so aussehen wie beschrieben.

Benötigen Sie Hilfe, um Änderungen an der Konfiguration Ihrer Firewall vorzunehmen? Sie können Proximus ganz einfach bitten, Ihre Konfiguration zu ändernOpens a new window und Ihre Anfrage online zu verfolgen.

Haben Sie eine andere Frage? Kontaktieren Sie unsOpens a new window . Wir sind für Sie da.