FortiGate Firewall-Richtlinien (Policy) verwalten – Leitfaden
FortiGate-Firewall-Richtlinien sind Regeln, die festlegen, wie Verkehr anhand von Quelle, Ziel, Benutzer, Dienst und Zeitplan behandelt wird. Richtlinien werden von oben nach unten ausgewertet; die erste passende Regel greift, und passt keine, greift ein Implicit Deny.
Was ist eine Firewall-Richtlinie und wie funktioniert sie?
Eine Firewall-Richtlinie ist eine Regel, die Verkehr von einer Quelle zu einem Ziel erlaubt oder blockiert. FortiGate gleicht jede neue Sitzung von oben nach unten mit der Richtlinienliste ab und wendet die Aktion der ersten passenden Regel an.
In FortiOS wird eine Richtlinie anhand des ersten Pakets einer Sitzung ausgewertet. Bei einem Treffer wird die Sitzung an diese Regel gebunden, und Folgepakete folgen ihr. Deshalb bestimmt die Reihenfolge das Sicherheitsergebnis unmittelbar.
Richtlinien können pro Interface-Paar (z. B. LAN zu WAN) oder über die in FortiOS 7.x bevorzugte flache Richtlinientabelle definiert werden. Die Logik ist in beiden gleich: spezifische Regeln oben, allgemeine Regeln unten.
Vor dem Erstellen von Richtlinien muss die Grundeinrichtung abgeschlossen sein; siehe unseren Leitfaden zur FortiGate-Installation und Erstkonfiguration.
Die Komponenten einer Richtlinie
Richtlinienkomponenten bestehen aus eingehendem/ausgehendem Interface, Quell- und Zieladresse, Dienst, Zeitplan, Aktion (accept/deny), NAT und den anzuwendenden Sicherheitsprofilen.
Jede Komponente schränkt das Matching ein oder bestimmt das Verhalten. Bei 'accept' können NAT, Logging und Sicherheitsprofile greifen; bei 'deny' wird der Verkehr verworfen.
| Komponente | Funktion |
|---|---|
| Eingehendes/Ausgehendes Interface | Legt fest, zwischen welchen Interfaces der Verkehr fließt |
| Quelle / Ziel | Quell- und Zieladress-/Benutzerobjekte |
| Dienst | Erlaubtes Protokoll/Port (z. B. HTTPS, DNS) |
| Zeitplan | Zeitfenster, in dem die Regel gilt |
| Aktion | accept oder deny |
| NAT | Quelladressübersetzung (meist beim Ausgang aktiv) |
| Sicherheitsprofile | Antivirus, IPS, Webfilterung usw. |
Um Sicherheitsprofile an eine Richtlinie zu binden, siehe unseren Leitfaden zu UTM-Sicherheitsprofilen; für Fernzugriffsrichtlinien unseren Artikel zur VPN-Konfiguration.
Adress- und Dienstobjekte verwalten
Objektverwaltung bedeutet, IP/Subnetz-, FQDN- und geografische Adressen sowie benutzerdefinierte Dienste als wiederverwendbare Objekte zu definieren; Gruppen vereinfachen sie.
Erstellen Sie unter Policy & Objects > Addresses Subnetz-, IP-Bereichs-, FQDN- oder Geo-Adressobjekte. Wiederkehrende Ziele in einer Adressgruppe zu bündeln, erlaubt die Verwaltung mit einer Regel statt Dutzenden.
Definieren Sie Dienstobjekte für benutzerdefinierte Anwendungen und bilden Sie Dienstgruppen. Gut benannte Objekte verbessern die Lesbarkeit der Richtlinien bei Audits und Fehlersuche erheblich.
- Subnetz-/IP-Bereichs-/FQDN-/Geo-Adressobjekte erstellen.
- Wiederkehrende Adressen in Gruppen bündeln.
- Benutzerdefinierte Dienstobjekte für nicht standardisierte Ports definieren.
- Objekte mit einem konsistenten Namensschema benennen.
- Ungenutzte Objekte regelmäßig bereinigen.
Reihenfolge, Matching und Implicit Deny
Die Reihenfolge ist das Herz der FortiGate-Sicherheit: Regeln werden von oben nach unten geprüft, die erste passende greift, und passt nichts, blockiert das unsichtbare Implicit Deny.
Platzieren Sie spezifischere Regeln (enge Adresse/Dienst) oben und allgemeinere Regeln unten. Falsche Reihenfolge kann dazu führen, dass strenge Regeln unter einer breiten Allow-Regel nie greifen.
Nutzen Sie das Policy-Lookup-Tool und die Sitzungstabelle, um zu sehen, auf welche Regel eine Sitzung fällt. Logging für die Implicit-Deny-Regel macht blockierten Verkehr sichtbar und erleichtert die Fehlersuche.
Um die Performance-Auswirkung vieler Regeln zu steuern, siehe unseren Leitfaden zu Performance-Optimierung und Best Practices.
Best Practices in der Richtlinienverwaltung
Best Practices umfassen Least Privilege, sinnvolle Benennung, regelmäßige Regel-Audits, das Bereinigen ungenutzter Regeln und die Dokumentation von Änderungen.
Beschränken Sie jede Regel auf nur die benötigte Quelle, das Ziel und den Dienst; vermeiden Sie Any-Any-Allow-Regeln. Fügen Sie Kommentare hinzu und führen Sie eine Änderungsdokumentation.
Prüfen Sie regelmäßig ungenutzte oder widersprüchliche Regeln; die Richtlinien-Nutzungszähler von FortiOS zeigen, welche Regeln nie greifen. Diese Bereinigung verbessert Sicherheit und Performance.
Für zentrale Transparenz und Änderungsaudit lesen Sie unseren Artikel zu Logging und Monitoring mit FortiAnalyzer und für die Gesamtarchitektur unseren Was-ist-FortiGate-Leitfaden.
Häufig gestellte Fragen
In welcher Reihenfolge werden FortiGate-Richtlinien ausgewertet?
Richtlinien werden von oben nach unten ausgewertet. Eine Sitzung unterliegt der Aktion der ersten passenden Regel; spätere Regeln werden für diese Sitzung nicht geprüft.
Was ist Implicit Deny?
Es ist die unsichtbare Standardregel am Listenende, die allen Verkehr blockiert, der keiner Regel entspricht. Mit aktiviertem Logging wird blockierter Verkehr sichtbar.
Welchen Vorteil hat eine Adressgruppe?
Sie bündelt wiederkehrende Ziele unter einer Gruppe und erlaubt die Verwaltung mit einer Regel statt Dutzenden; Änderungen an einer Stelle senken das Fehlerrisiko.
Konfiguriere ich NAT in der Richtlinie?
Ja, in den meisten Szenarien wird Quell-NAT über die NAT-Option in der Richtlinie aktiviert. Für komplexere Fälle können IP-Pools oder Central NAT verwendet werden.
Wie sehe ich, welche Regeln ungenutzt sind?
Die Richtlinien-Nutzungszähler (Hit Count) und die Information zur letzten Nutzung in FortiOS zeigen nie passende Regeln. Diese können geprüft und sicher entfernt werden.
Wie nehme ich Richtlinienänderungen sicher vor?
Erstellen Sie zuerst eine Sicherung, kommentieren Sie Regeln, prüfen Sie die Auswirkung mit Policy-Lookup und führen Sie Änderungen möglichst in einem Wartungsfenster durch.
Fazit
Die FortiGate-Richtlinienverwaltung erzeugt durch korrekte Reihenfolge, eine saubere Objektstruktur und Least Privilege ein zugleich sicheres und beherrschbares Regelwerk. Regelmäßige Audits und Logging verhindern, dass Richtlinien mit der Zeit verfallen.
Für ein Hygiene-Audit und eine Neukonfiguration kontaktieren Sie das Sicherheitsteam von Sora Yazılım.