Policy Map (WatchGuard Cloud)

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema gilt für Fireboxen, die Sie in WatchGuard Cloud konfigurieren., Lokal verwaltete Fireboxen Dieses Thema trifft auf Fireboxen zu, die Sie im Policy Manager oder in der Fireware Web UI konfigurieren.

Policy Map ist ein interaktives Berichtstool, das den durch Ihre Fireboxen zugelassenen Datenverkehr zusammenfasst und in einer Visualisierung der Datenverkehrsströme anzeigt. Jeder Datenverkehrsstrom wird durch den eindeutigen Pfad definiert, den eine Verbindung durch das Gerät nimmt, während sie durch Regeln, Dienste und Konfigurationseinstellungen verarbeitet wird. Jeder Pfad wird durch ein Datenverkehrsband dargestellt. Die Dicke eines Verkehrsflussbandes zeigt an, wie viel Datenverkehr in diesem Datenverkehrsstrom enthalten ist: dickere Bänder haben mehr Bytes oder Verbindungen. Die Farbe der Bänder und Knotenpunkte zeigt die Art und den Status des Datenverkehrs an:

• Schnittstellen — Blau
• Regeln — Orange
• Status — Grün (Zulassen), Rot (Ablehnen)
• Anwendungen und Kategorien von Anwendungen — Violett
• Web-Audit Kategorien — Lila
• Subscription Services — Gelb
• Viren, DLP-Richtlinien, APT Blocker — Gelb

Policy Map enthält viele Optionen zum Filtern und Wechseln der Daten in den Datenverkehrsströmen und zur weiteren Untersuchung der Details der Datenverkehrsströme. In der Policy Map werden Informationen für das ausgewählte Gerät für den ausgewählten Datumsbereich und Zeitraum angezeigt.

Auf der Policy Map können Sie dies anzeigen:

• Subscription Services-Aktivität
• Anwendungsaktivität durch Regeln
• Eingesetzte Regeln
• Regeln, die die meiste Bandbreite verbrauchen
• Verwendete Schnittstellen
• Verbindungen zwischen aktiven Schnittstellen

In den Policy Map-Diagrammen werden mehrere Schlüsselkonzepte gleichzeitig visualisiert:

• Links zwischen den Knoten zeigen, wie die Daten ablaufen
• Größe der Verbindungen und Knoten zeigt die Anzahl der Bytes oder Verbindungen
• Die Farbe der Links zeigt den Status der Verbindungen an (Zugelassen oder Abgelehnt)

Über Tooltips und Popup-Dialogfelder können Sie auch detailliertere Informationen zu den Daten in der Policy Map anzeigen.

Wenn dieses Dashboard für Ihr Gerät nicht verfügbar ist, folgen Sie den Arbeitsschritten zu Protokollierung für dieses Dashboard aktivieren.

Über Policy Map-Typen

Auf der Seite Policy Map können Sie einen der Policy Map-Typen auswählen, um die Informationen festzulegen, die in den Datenverkehrsstrom einbezogen werden. Jeder Kartentyp enthält unterschiedliche Datenknoten. Für jeden Kartentyp können Sie die Daten wechseln, um die in der Policy Map enthaltenen Details weiter zu verfeinern. Wechseloptionen sind nur verfügbar, wenn die Protokollmeldungen Ihres Geräts Daten für diese Wechseloption enthalten.

Kartentypen	Spaltenknotenbeschreibungen	Wechsel
Regelprüfung	Standard Policy Map Typ Enthält alle Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, Status und Ziel-Schnittstelle zusammengefasst sind	Bytes, Verbindungen
Subscription Services	Enthält alle Verbindungen für die Subscription Services, die auf Ihren Geräten oder Gruppen aktiviert sind, aggregiert nach Quell-Schnittstelle, Firewall-Regel, Subscription Service, Status und Ziel-Schnittstelle	Bytes, Verbindungen
Web-Audit	Enthält Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, WebBlocker-Kategorie und Status zusammengefasst sind	Verbindungen
Application Control	Enthält Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, Anwendungskategorie, Status und Ziel-Schnittstelle zusammengefasst sind	Bytes, Verbindungen
Intrusions (IPS)	Enthält Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, Schweregrad, Status und Ziel-Schnittstelle zusammengefasst sind	Verbindungen
Advanced Malware (APT)	Enthält Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, Bedrohungslevel, Status und Ziel-Schnittstelle zusammengefasst sind	Verbindungen
Data Loss Violations (DLP)	Enthält Verbindungen, die nach Quell-Schnittstelle, Firewall-Regel, Richtliniename, Status und Ziel-Schnittstelle zusammengefasst sind	Verbindungen
Virus (GAV)	Enthält Verbindungen, die nach Quell-Schnittstelle, Protokoll, Virus Name, Status und Firewall-Regeln zusammengefasst sind	Verbindungen

Anzeigen des Datenverkehrs in WatchGuard Cloud

So zeigen Sie die Datenverkehrsströme auf Ihrem Gerät in WatchGuard Cloud an:

1. Melden Sie sich bei WatchGuard Cloud an.
2. Wählen Sie Überwachen > Geräte.
   
3. Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
4. Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf .

5. Wählen Sie in der Liste der Berichte Dashboards > Policy Manager.
   Es öffnet sich die Seite Policy Manager, auf der standardmäßig der Kartentyp Regelprüfung ausgewählt ist.

   

6. So zeigen Sie Daten für einen bestimmten Zeitraum an:
   1. Klicken Sie oberhalb der Policy Map auf den aktuell ausgewählten Zeitraum.
      Eine Dropdown-Liste wird geöffnet.
   2. Wählen Sie einen vorgegebenen Zeitraum aus der Liste aus oder wählen Sie Benutzerdefiniert und geben Sie einen benutzerdefinierten Zeitraum an. Weitere Informationen finden Sie unter Berichte und Dashboards nach Datum filtern.
      Die Daten werden für den von Ihnen angegebenen Zeitraum angezeigt.
7. Um die Informationen in der Karte zu ändern, wählen Sie in der Dropdown-Liste des Kartentyps oben rechts auf der Seite eine Option aus:
   • Regelprüfung
   • Subscription Services
   • Web-Audit
   • Application Control
   • Intrusions (IPS)
   • Advanced Malware (APT)
   • Data Loss Violations (DLP)
   • Virus (GAV)
8. Um die Art der auf der Seite angezeigten Daten zu ändern, wählen Sie in der Dropdown-Liste oben auf der Seite eine Wechseloption aus:
   • Bytes
   • Verbindungen
9. Überprüfen Sie die Informationen in der Policy Map.

Weitere Informationen zur Verwendung der interaktiven Funktionen in Policy Map finden Sie im nächsten Abschnitt.

Über den Datenverkehr nach internen Regeln

Wenn Sie die Abläufe in der Policy Map überprüfen, werden Sie möglicherweise den Datenverkehrsstrom der Internen Regel anzeigen. Im Gegensatz zu den anderen Datenverkehrsströmen in der Policy Map zeigt dieser Datenverkehr keine Verbindungen über eine Regel (oder ein Protokoll) an. Stattdessen umfasst der Datenverkehrsstrom der Internen Regeln diesen Datenverkehr:

• IPSec-Datenverkehr, der das ESP- oder AH-Protokoll verwendet
• Jeder Datenverkehr zu oder von einer Cluster-Schnittstelle in einem FireCluster
• Datenverkehr durch einen GRE Tunnel von localhost zu einem IPSec Tunnel
• UDP-Datenverkehr von localhost Port 68 zu Ziel-Port 67 (DHCP)
• UDP-Datenverkehr von Ziel-Port 67 zu localhost Port 68 (DHCP)
• Datenverkehr zu oder von einer Schnittstelle mit dem GRE-Protokoll

Obwohl der Datenverkehrsstrom der Internen Regel in der Policy Map angezeigt wird, wenn der Datenverkehr durch das Gerät diese Bedingungen erfüllt, wird die Interne Regel im Policy Manager oder in Fireware Web UI nicht in der Liste der Regeln für Ihr Gerät angezeigt.

Wenn die Einstellungen für eines der Elemente, die im Datenverkehrsstrom der Internen Regeln erscheinen, wechseln, ändert sich auch das Aussehen des Datenverkehrsstroms. Wenn Sie zum Beispiel einen IPSec-Tunnel auf Ihrem Gerät deaktivieren, werden der Datenverkehr und die Protokolle für diesen IPSec-Datenverkehr nicht mehr in den Datenverkehrsstrom der Internen Regeln aufgenommen.

Interaktive Funktionen der Policy Map verwenden

Nachdem Sie den Kartentyp und die Wechseloptionen für eine Policy Map ausgewählt haben, können Sie die interaktiven Funktionen der Policy Map nutzen, um Details über den Datenverkehr auf Ihrem Gerät anzuzeigen. Jede Policy Map enthält einen Datenverkehrsstrom für jede verwendete Regel und eine Spalte für jeden im Datenverkehrsstrom enthaltenen Knoten. Die Spalten (Knoten), die in jeder Policy Map enthalten sind, hängen von dem von Ihnen gewählten Kartentyp ab.

Informationen zur Policy Map anzeigen

Oben auf der Seite Policy Map werden der Kartentyp sowie die Anzahl der Abläufe, Bytes und Verbindungen angezeigt, die in dem von Ihnen ausgewählten Kartentyp enthalten sind.

Jedes Verbindungsband zwischen den Spalten zeigt, wie die Daten durch die einzelnen Spalten ablaufen. Die Größe jedes Bandes und jeder Spalte gibt die Anzahl der Bytes oder Verbindungen für diesen Knoten an. Der Status der Verbindungen (Zugelassen oder Abgelehnt) wird durch die Farbe des Bandes oder der Spalte angezeigt.

Datenverkehr anzeigen

Um den Datenverkehrsstrom durch die auf Ihrer Firebox, Ihrem FireCluster oder Ihrer Gruppe definierten Regeln anzuzeigen, bewegen Sie den Mauszeiger über ein Link-Band in der Policy Map.

Der Datenverkehr wird in der Karte hervorgehoben, und es öffnet sich ein Popup-Dialogfeld mit diesen Details:

• Die Flow-ID-Nummer
• Die Anzahl der Abläufe für den ausgewählten Datenverkehr
• Die Anzahl der Verbindungen für den Datenverkehrsstrom

Details zum Datenverkehr anzeigen

1. Um Details über die Knoten in den einzelnen Datenverkehrsströmen anzuzeigen, bewegen Sie den Mauszeiger über jede Spalte, durch die das Band fließt.
   Es öffnet sich ein Tooltip.
2. Um weitere Informationen über einen bestimmten Knoten anzuzeigen, klicken Sie auf den Knoten.
   Ein Dialogfeld wird geöffnet.

Das Dialogfeld, das sich öffnet, enthält folgende Informationen:

• Die Anzahl der Verbindungen durch den ausgewählten Knoten für den ausgewählten Datenverkehrsstrom.
• Einige Knotenpunkte geben auch die Anzahl der durch den Datenverkehrsstrom gesendeten Bytes an.
• Eine Option zum Filtern der Policy Map für den ausgewählten Knoten im Datenverkehrsstrom.

Filter Policy Map

Um nur die Informationen eines ausgewählten Knotens in einem Regelstrom anzuzeigen, können Sie die Policy Map auf diesen Knoten im Datenverkehr filtern.

Klicken Sie im Dialogfeld neben Filtern nach auf den blauen Linktext.
Die Policy Map filtert den ausgewählten Datenverkehrsstrom.

Um die Filter zu löschen, klicken Sie neben Gefiltert nach auf Löschen.
Die Seite Policy Map wird für den von Ihnen ausgewählten Kartentyp geöffnet.

Protokollierung für dieses Dashboard aktivieren

Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.

Um die für diesen Bericht für lokal verwaltete Fireboxen benötigten Daten zu erfassen, gehen Sie in Fireware Web UI oder Policy Manager wie folgt vor:

• Aktivieren Sie in den Einstellungen für Protokollierung und Benachrichtigungen für alle Paketfilter die Option Eine Protokollmeldung für Berichte senden. Weitere Informationen finden Sie unter Präferenzen für Protokollierung und Benachrichtigung festlegen.
• Aktivieren Sie in den Allgemeinen Einstellungen für alle Proxy-Aktionen Protokollierung für Berichte aktivieren.
• Aktivieren Sie bei allen APT Blocker-Aktionen die Kontrollkästchen Protokollierung für alle Bedrohungslevel. Weitere Informationen finden Sie unter APT Blocker konfigurieren.
• Aktivieren Sie bei allen DLP-Sensor-Aktionen das Kontrollkästchen Protokollierung. Weitere Informationen finden Sie unter DLP-Sensoren konfigurieren.
• Aktivieren Sie in den Gateway AntiVirus-Einstellungen für eine Proxy-Aktion die Kontrollkästchen Protokollierung für alle Gateway AntiVirus-Aktionen. Weitere Informationen finden Sie unter Gateway AntiVirus-Aktionen konfigurieren.
• Aktivieren Sie bei den Einstellungen für Intrusion Prevention das Kontrollkästchen Protokollierung für Bedrohungslevel mit den Aktionen Blockieren und Trennen. Weitere Informationen finden Sie unter Intrusion Prevention konfigurieren.
• Aktivieren Sie bei allen WebBlocker-Actions das Kontrollkästchen Protokollierung für alle Kategorien und aktivieren Sie das Kontrollkästchen Protokollieren Sie diese Aktion, wenn eine URL nicht kategorisiert ist. Weitere Informationen finden Sie unter WebBlocker-Kategorien konfigurieren.

Ähnliche Themen

WatchGuard Cloud-Geräteberichte Liste