Best Practices für Firewall-Richtlinieneinstellungen für Remote-Clients

Best Practices der Firewall-Richtlinie beschreibt Szenarien und Best Practice-Empfehlungen.
Best Practices für Firewall-Richtlinien
Szenario
Empfehlung
Remote-Standort, an dem sich Benutzer ohne VPN einloggen
  • Weisen Sie die strengsten Sicherheitsrichtlinien den Clients zu, die sich über Remote-Zugriff einloggen, ohne ein VPN zu verwenden.
  • Aktivieren Sie den NetBIOS-Schutz.
    Aktivieren Sie den NetBIOS-Schutz nicht für Standorte, an denen ein Remote-Client beim Unternehmensnetzwerk über ein VPN eingeloggt ist. Diese Regel ist nur dann geeignet, wenn Remote-Clients mit dem Internet verbunden sind, nicht mit dem Unternehmensnetzwerk.
  • Blockieren Sie den gesamten lokalen TCP-Datenverkehr auf den NetBIOS-Ports 135, 139 und 445, um die Sicherheit zu erhöhen.
Remote-Standort, an dem sich Benutzer über ein VPN einloggen
  • Lassen Sie alle Regeln zum Blockieren von Datenverkehr auf allen Adaptern unverändert. Ändern Sie diese Regeln nicht.
  • Lassen Sie die Regel, die VPN-Datenverkehr auf allen Adaptern zulässt, unverändert. Ändern Sie diese Regel nicht.
  • Ändern Sie die Spalte "Adapter" von "Alle Adapter" in den Namen des VPN-Adapters, den Sie für alle Regeln verwenden, die die Aktion "Zulassen" verwenden.
  • Aktivieren Sie die Regel, die allen anderen Datenverkehr blockiert.
Sie müssen alle diese Änderungen vornehmen, wenn Sie die Möglichkeit des Split Tunneling über das VPN ausschließen möchten.
Bürostandorte, an denen sich Benutzer über Ethernet- oder WLAN-Verbindungen einloggen
Verwenden Sie Ihre Standard Firewall-Richtlinie. Stellen Sie für die WLAN-Verbindung sicher, dass die Regel zum Zulassen des Drahtlos-EAPOL aktiviert ist. 802.1x verwendet für die Verbindungsauthentifizierung das Extensible Authentication Protocol over LAN (EAPOL).