Vorsicht bei “Deny” Firewall Rules auf der X Edge!

Durch die Migration einer Firebox X Edge von der Version 10 auf die neue Fireware XTM v11.x ändert sich unter anderem auch die Reihenfolge, in der die Firewallregeln ausgeführt werden. Unter Version 10 war es kein Problem, bei Firewall > Outgoing die nicht benötigten Services auf “Deny” (roter Hintergrund) zu setzen, solange z.B. die “Outgoing”-Regel selbst auf “Allow” (grüner Hintergrund) stand.

Bei Fireware XTM v11.x ist es anders. Dies zeigt dieser Supportfall: Kunde führt ein Update einer X Edge mit 10-er Software auf Fireware XTM v11.x durch. Das Update läuft erfolgreich durch. Anschließend ist plötzlich kein HTTP-Zugriff mehr auf das Internet möglich. Beim Versuch, auf das Webinterface der X Edge (neu, Port 8080) zuzugreifen, erscheint die Meldung, dass hierfür zunächst der Adobe Flash Player heruntergeladen und installiert werden müsse. Dumm gelaufen, HTTP funktioniert ja gerade eben nicht… Gut, wenn noch ein weiterer PC lokal vorhanden ist, auf dem schon Flash installiert ist und man von diesem PC aus auf das Webinterface der X Edge zugreifen kann – oder wenn vor der Migration eine Remote Access Regel für Port 8080 (Firewall > Incoming) angelegt wurde, die einem externen Supporter Zugang zu dem Gerät ermöglicht… 😉 Dieser konnte so die “Deny”-Regel für HTTP aus dem Regelwerk löschen, die nun “weiter oben” saß und dadurch den kompletten HTTP-Verkehr verhinderte.

Meine Empfehlung: Prüfen Sie vor der Migration einer X Edge von Version 10 auf Fireware XTM v11.x, ob es Firewallregeln gibt, die auf “Deny” stehen (roter Hintergrund). Wenn es hierfür keinen dringenden Grund gibt, sollten Sie diese Regeln auf “No Rule” setzen (grauer Hintergrund). Nach der Migration wird das Regelwerk wesentlich anschaulicher dargestellt und Sonderregelungen können hier viel einfacher eingebaut werden.