Sophos XG Firewall: Konfiguration einer Application Rule für RDP

Übersicht

Sophos XG Firewall ermöglicht die Veröffentlichung von internen Ressourcen im LAN oder DMZ über das Internet. In diesem Artikel wird erläutert, wie Sie mithilfe einer Application Rule Remotedesktop-Anforderungen an einen geschützten Server weiterleiten.

Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:
XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750

Konfiguration einer Application Rule für RDP

Der Datenbankserver wird in der DMZ-Zone des Netzwerks gehostet. Die Sophos Firewall befindet sich im Gateway-Modus, um das interne Netzwerk zu schützen.

Scenario

1. Rufen Sie den Punkt Firewall auf, klicken Sie auf +Add Firewall Rule und wählen Sie dort Business Application Rule aus.

2. Wählen Sie Anwendungsvorlage als DNAT / FULL NAT / Load Balancing aus. Mit dieser Richtlinie kann ein Administrator Zugriffsrechte des geschützten Servers für Benutzer definieren, die Zugriff über das WAN benötigen. Füllen Sie die Felder wie im Bild unten gezeigt

rdp1

rdp2

 

3. Wählen Sie im Abschnitt Quelle die Quellzone und die zulässigen Clientnetzwerke aus, für die die Richtlinie gilt. Wir haben die Quellzone auf WAN und die zulässigen Client-Netzwerke auf Any eingestellt.

4. Geben Sie die externe Schnittstelle oder IP-Adresse im AbschnittZiel und Service unter Ziel-Host / Netzwerk an

5. Wählen Sie den Dienst für RDP wie unten dargestellt. In diesem Fall verwenden wir den Standardport 3389.

rdp3

6. Leiten Sie nur bestimmte Ports an den geschützten Server weiter, wenn der geschützte Server auf einem nicht-standardmäßigen Port läuft; Die Portweiterleitung kann definiert werden. In unserem Beispiel werden wir den Port 3389 (RDP) weiterleiten.

7. Konfigurieren Sie im Abschnitt Weiterleiten an die Portweiterleitung basierend auf diesen Einstellungen:

  • Geschützte Server: Wählen Sie den geschützten Server aus, an den der Datenverkehr weitergeleitet werden soll.
  • Geschützte Zone: Wählen Sie die Zone aus, in der sich der Server befindet.
  • Zugeordneter Port: Dieser kann nur verwendet werden, wenn das Kontrollkästchen Zielport (e) ändern aktiviert ist. Ein Administrator kann beispielsweise den Port von einem nicht standardmäßigen zu einem Standardport ändern.

8. Aktivieren Sie im Abschnitt Routing unter Advanced die Option Rewrite source address (Masquerading) und geben Sie die NAT-Richtlinie für die Verwendung der Ausgangsadresse an. Der Datenverkehr aus dieser Richtlinie wird gemäß der NAT-Richtlinie für alle Gateways übertragen. Hier haben wir die Standard-NAT-Richtlinie MASQ verwendet. Diese NAT-Richtlinie setzt die private IP-Adresse der Quelle mit der öffentlichen IP-Adresse der WAN-Schnittstelle um.

9. Klicken Sie auf Save, um die Konfiguration abzuschließen.

Test der Konfiguration

1. Verwenden Sie einen beliebigen Remotedesktopclient, z. B. Remotedesktop (unter Windows verfügbar), um die Konfiguration zu überprüfen.

2. Rufen Sie auf einem Windows-System das Befehlsfeld Ausführen auf, indem Sie die Windows-Logo-Taste + R drücken.

3. Geben Sie den Befehl „mstsc“ ein und klicken Sie auf OK.

run

4. Geben Sie im Fenster Remote Desktop-Verbindung die gehostete Adresse (in unserem Beispiel 1.1.1.2) wie in der Abbildung unten ein. Klicken Sie auf Verbinden.

RDP

5. Ein Windows Security-Dialogfeld fragt nach Anmeldeinformationen. Dies zeigt an, dass die Verbindung zum internen Server erfolgreich ist.

6. Geben Sie die Anmeldeinformationen für die Anmeldung beim Server ein

Tags: XG-Firewall, RDP
Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.