Web Gateway 7.4.1 Produkthandbuch

Transcription

Produkthandbuch
Revision A
McAfee Web Gateway 7.4.1
COPYRIGHT
Copyright © 2014 McAfee, Inc. Keine Vervielfältigung ohne vorherige Zustimmung.
MARKEN
McAfee, das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy
Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource,
VirusScan, WaveSecure sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle
anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
Produktnamen, Funktionsbezeichnungen und Beschreibungen können jederzeit unangekündigt geändert werden. Die jeweils aktuellen Informationen zu
Produkten und Funktionen finden Sie unter mcafee.com.
INFORMATIONEN ZUR LIZENZ
Lizenzvereinbarung
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER
IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch .
Konventionen . . . . . . .
Inhalt dieses Handbuchs . .
Quellen für Produktinformationen . .
1
13
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Einführung
15
Filtern des Web-Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptfunktionen der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptkomponenten der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellung der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Allgemeine Verwaltungsaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Benutzeroberfläche
Regeln
22
24
24
25
25
28
29
30
31
32
33
Informationen zur Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filterzyklen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prozessablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelelemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Format von Regeln auf der Benutzeroberfläche . . . . . . . . . . . . . . . . . .
Komplexe Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatzsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatz-Bibliothek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Rule Sets“ (Regelsätze) . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Benennen und Aktivieren einer Regel . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen) . . . . . . . . . . . .
Hinzufügen von Regelkriterien . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen einer Regelaktion . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Regelereignisses . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importieren eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beschränken des Zugriffs auf Konfigurationselemente . . . . . . . . . . . . . . . . . . .
15
16
17
18
19
21
Hauptelemente der Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützende Konfigurationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen durch erneutes Laden der Daten . . . . . . . . . . . . .
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche . . . . . . . . . . .
Schlüsselelementansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Schlüsselelements . . . . . . . . . . . . . . . . . . . . . .
Ansicht für vollständige Regeln . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Regelelements in der Ansicht für vollständige Regeln . . . . . . . .
Verwalten von Web Gateway ohne die Benutzeroberfläche . . . . . . . . . . . . . . . . .
3
13
13
13
14
33
35
35
37
38
39
40
41
42
43
45
46
46
49
50
51
52
54
55
Produkthandbuch
3
Inhaltsverzeichnis
4
Listen
57
Listentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf eine Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) . . . . . . . . . . . . .
Zugreifen auf eine Liste in einer Regel . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen einer neuen Liste . . . . . . . . . . . . . . . . . . . . . . . . .
Füllen einer Liste mit Einträgen . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit verschiedenen Listentypen . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs . . . . . . .
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste . . . . . . . . . . . . . .
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen . . . . . . . . . . .
Externe Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden externer Listendaten in Regeln . . . . . . . . . . . . . . . . . . . .
Ersetzung und Platzhalter . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Moduls „External Lists“ . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Modul „External Lists“ . . . . . . . . . . . . . . . . . . . .
Konfigurieren von allgemeinen Einstellungen für externe Listen . . . . . . . . . . . .
Systemeinstellungen für „External Lists“ (Externe Listen) . . . . . . . . . . . . . .
Abonnierte Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer abonnierten Liste . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Inhalt abonnierter Listen . . . . . . . . . . . . . . . . . . . .
Aktualisieren abonnierter Listen . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste . . . . . . . . . . . .
Zuordnungstyplisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Zuordnungstypliste . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Eigenschaften zur Arbeit mit Zuordnungstyplisten . . . . . . . . . . .
Abrufen von Zuordnungsdaten aus externen und abonnierten Listen . . . . . . . . . .
Allgemeiner Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vorbereiten der Verwendung von Common Catalog-Listen . . . . . . . . . . . . . .
Einrichten eines Benutzerkontos für Common Catalog-Listen . . . . . . . . . . . . .
Einrichten eines Administratorkontos für Common Catalog-Listen . . . . . . . . . . .
Aktivieren der Nutzung der REST-Schnittstelle für Common Catalog-Listen . . . . . . .
Beispieleinstellungen zum Registrieren von Web Gateway auf einem McAfee ePO-Server . .
JSON-Daten (JavaScript Object Notation) . . . . . . . . . . . . . . . . . . . . . . . .
5
Einstellungen
95
Einstellungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Settings“ (Einstellungen) . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel . . . . . . . . . .
Zugreifen auf Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Aktions- und Moduleinstellungen . . . . . . . . . . . . . . . . . . . . . .
6
Proxys
58
59
61
61
61
62
62
62
63
63
64
65
65
67
67
68
69
76
76
78
78
79
80
81
83
83
84
85
86
87
88
88
89
89
90
95
97
98
98
99
99
99
101
Konfigurieren von Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Konfigurieren des expliziten Proxy-Modus . . . . . . . . . . . . . . . . . . . . 103
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104
Einstellungen für „Transparenter Proxy“ . . . . . . . . . . . . . . . . . . . . . 105
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) . . . . . . . . . . . . . . 113
Transparenter Router-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4
Produkthandbuch
Inhaltsverzeichnis
Konfigurieren des transparenten Router-Modus . . . . . . . . . . . . . . . . . . 114
Konfigurieren von Knoten im transparenten Router-Modus . . . . . . . . . . . . . 115
Einstellungen für „Transparenter Router“ . . . . . . . . . . . . . . . . . . . .
118
Transparenter Bridge-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
Konfigurieren des transparenten Bridge-Modus . . . . . . . . . . . . . . . . . . 120
Konfigurieren von Knoten im transparenten Bridge-Modus . . . . . . . . . . . . .
120
Einstellungen für die transparente Bridge . . . . . . . . . . . . . . . . . . . . 124
Secure ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
SOCKS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Konfigurieren von SOCKS-Proxy-Einstellungen . . . . . . . . . . . . . . . . . . 128
Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
XMPP-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Konfigurieren von allgemeinen Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . 133
Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Verwenden der Raptor-Syntax für die FTP-Anmeldung . . . . . . . . . . . . . . . . . .
143
Protokolle für die Kommunikation zwischen Knoten . . . . . . . . . . . . . . . . . . .
143
Verwendung von DNS-Servern in Abhängigkeit von Domänen . . . . . . . . . . . . . . . 144
Konfigurieren Sie die Verwendung von DNS-Servern entsprechend Domänen . . . . . . 145
Einstellungen für den Domain Name Service . . . . . . . . . . . . . . . . . . . 145
Reverse-HTTPS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Umleiten von HTTPS-Datenverkehr im Modus „Transparente Bridge“ oder „Transparenter Router“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
Festlegen der Überwachung von über DNS-Einträge umgeleiteten Anfragen durch die Appliance
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration . . . . . . . . . . . . . 150
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPS-Proxy-Konfiguration . . . . 154
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) . . . . . . . . . . . . . 162
Bereitstellen einer PAC-Datei . . . . . . . . . . . . . . . . . . . . . . . . . 162
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“ . . . . . . . . . . . . 163
Konfigurieren der automatischen Erkennung eines WPAD-Hosts . . . . . . . . . . . 163
Verwenden des Helix-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . .
163
Konfigurieren der Verwendung des Helix-Proxys . . . . . . . . . . . . . . . . .
164
7
Authentifizierung
165
Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP-Digest-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Moduls „Authentication“ . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementieren einer anderen Authentifizierungsmethode . . . . . . . . . . . . . . . .
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung . . . . . . . .
Einstellungen für „Kerberos Administration“ . . . . . . . . . . . . . . . . . . .
Beitreten einer Appliance zu einer Windows-Domäne . . . . . . . . . . . . . . .
Einstellungen für die Windows-Domänenmitgliedschaft . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen . . .
Authentifizierung für den Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . .
Authentifizierung für transparente Modi . . . . . . . . . . . . . . . . . . . . .
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP . . . . . . . . . . . .
Instant Messaging-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Instant Messaging-Authentifizierung . . . . . . . . . . . . . . .
Konfigurieren des Authentifizierungsmoduls für die Instant Messaging-Authentifizierung .
Konfigurieren des Dateisystem-Protokollierungsmoduls für die Instant MessagingAuthentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IM Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Einmalkennwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einmalkennwörtern für das Authentifizieren von Benutzern . . . . . .
Konfigurieren von Einmalkennwörtern für das autorisierte Außerkraftsetzen . . . . . . .
165
167
168
169
170
181
182
182
183
184
184
186
188
192
193
194
195
195
196
198
199
199
Produkthandbuch
5
Inhaltsverzeichnis
Konfigurieren von Einstellungen für Einmalkennwörter . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP) (Regelsatz) . . . . . . . . .
Authorized Override with OTP (Regelsatz) . . . . . . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP and Pledge) (Regelsatz) . . . .
Authorized Override with OTP and Pledge (Regelsatz) . . . . . . . . . . . . . . .
Authentifizierung der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Zertifikaten für die Client-Zertifikat-Authentifizierung . . . . . . . . .
Regelsätze für die Client-Zertifikat-Authentifizierung . . . . . . . . . . . . . . . .
Umleiten von Anfragen an einen Authentifizierungs-Server . . . . . . . . . . . . .
Implementieren der Authentifizierung von Client-Zertifikaten . . . . . . . . . . . .
Importieren des Regelsatzes „Authentication Server (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Server-Zertifikaten
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Zertifizierungsstellen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Listener-Ports für eingehende Anfragen auf der Appliance . . . . .
Importieren des Regelsatzes „Cookie Authentication (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports für eingehende Anfragen . .
Importieren eines Client-Zertifikats in einen Browser . . . . . . . . . . . . . . .
Administratorkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . .
Bearbeiten eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . .
Löschen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorkonten . . . . . . . . . . . . . . . . . . . . .
Verwalten der Administratorrollen . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorrollen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der externen Kontoverwaltung . . . . . . . . . . . . . . . . . . .
8
Kontingentverwaltung
Web-Filterung
228
231
231
232
233
235
235
236
237
239
240
240
241
242
243
243
244
246
246
247
247
248
251
Viren- und Malware-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Schlüsselelementen für die Viren- und Malware-Filterung . . . . .
Schlüsselelemente für die Viren- und Malware-Filterung . . . . . . . . . . . . .
Konfigurieren der Viren- und Malware-Filterung mithilfe der vollständigen Regelansicht
6
216
217
218
218
219
221
221
221
222
222
223
223
224
227
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung . . . . . . .
Zeitkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Zeitkontingenten . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Zeitkontingent . . . . . . . . . . . . . . . . . . . . . .
Time Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Volumenkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Volumenkontingenten . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Volumenkontingent . . . . . . . . . . . . . . . . . . . .
Volume Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Coachings . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autorisiertes Außerkraftsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des autorisierten Außerkraftsetzens . . . . . . . . . . . . . . . . .
Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) . . . . . . . .
Authorized Override (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Blockierungssitzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Blockierungssitzungen . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Blockierungssitzung . . . . . . . . . . . . . . . . . . . .
Blocking Sessions (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Kontingent-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
200
201
204
206
208
210
211
212
212
214
214
215
. .
. .
. .
. .
252
253
254
255
Produkthandbuch
Inhaltsverzeichnis
Konfigurieren von Einstellungen für das Modul „Anti-Malware“ . . . . . . . . . . . . 256
Ändern der Modulkombination zum Scannen von Web-Objekten . . . . . . . . . . . 256
Einstellungen für „Anti-Malware“ . . . . . . . . . . . . . . . . . . . . . . . . 258
Gateway Anti-Malware (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . 264
Scannen des Mediendatenstroms . . . . . . . . . . . . . . . . . . . . . . . . 266
Warteschlange für Malware-Schutz . . . . . . . . . . . . . . . . . . . . . . . 266
Entfernen eines Malware-Schutz-Wasserzeichens . . . . . . . . . . . . . . . . . 268
URL-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Konfigurieren von Schlüsselelementen für die URL-Filterung . . . . . . . . . . . . . 272
Schlüsselelemente für die URL-Filterung . . . . . . . . . . . . . . . . . . . . . 272
Konfigurieren der URL-Filterung mithilfe der vollständigen Regelansicht . . . . . . . .
273
Konfigurieren von Einstellungen für das Modul „URL Filter“ . . . . . . . . . . . . .
274
URL-Filtereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
274
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten in die Whitelist mithilfe von URLEigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
278
URL Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
URL-Filterung mit Dynamic Content Classifier . . . . . . . . . . . . . . . . . . . 286
Verwenden einer eigenen URL-Filter-Datenbank . . . . . . . . . . . . . . . . . . 287
URL-Filterung mithilfe eines IFP-Proxys . . . . . . . . . . . . . . . . . . . . . 289
Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Konfigurieren von Schlüsselelementen für die Medientyp-Filterung . . . . . . . . . . 295
Schlüsselelemente für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . 295
Konfigurieren der Medientyp-Filterung mithilfe der vollständigen Regelansicht . . . . . . 296
Eigenschaften für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . 296
Bearbeiten einer Medientyp-Filterregel . . . . . . . . . . . . . . . . . . . . . 297
Media Type Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 299
Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Konfigurieren der Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . 302
Erstellen einer Liste zur Anwendungsfilterung . . . . . . . . . . . . . . . . . . . 303
Bearbeiten der Risikostufen in einer Anwendungsfilterregel . . . . . . . . . . . . . 304
Application Control (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 305
Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
306
Konfigurieren der Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . 308
Konfigurieren des Moduls für die Streaming-Medien-Erkennung . . . . . . . . . . . . 309
Empfohlene Vorgehensweisen – Konfigurieren Stream Detector . . . . . . . . . . .
309
Einstellungen für Stream Detector . . . . . . . . . . . . . . . . . . . . . . . 311
Globale Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Konfigurieren von globalen Whitelists . . . . . . . . . . . . . . . . . . . . . . 312
Global Whitelist (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 312
SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Konfigurieren des SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . 314
Konfigurieren der Module für SSL-Scans . . . . . . . . . . . . . . . . . . . . . 315
Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle . . . . . . . . . . . . . 316
Liste der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Einstellungen für „SSL Scanner“ . . . . . . . . . . . . . . . . . . . . . . . . 321
Einstellungen für SSL-Client-Kontext . . . . . . . . . . . . . . . . . . . . . .
322
Einstellungen für die Zertifikatskette . . . . . . . . . . . . . . . . . . . . . . 323
SSL Scanner (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Hardware Security Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
329
Speichern privater Schlüssel auf einem Hardware Security Module . . . . . . . . . . 330
Verwenden eines Hardware Security Module zur Schlüsselverarbeitung . . . . . . . .
331
Installieren der Treiber für das Hardware Security Module . . . . . . . . . . . . . . 331
Aktivieren der Nutzung des HSM-Agenten . . . . . . . . . . . . . . . . . . . . 332
Einstellungen für das Hardware Security Module . . . . . . . . . . . . . . . . . . 332
Hinzufügen der ID eines privaten Schlüssels . . . . . . . . . . . . . . . . . . . 332
Entsperren privater Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . 333
Produkthandbuch
7
Inhaltsverzeichnis
Verwenden eines privaten Schlüssels zum Konfigurieren eines Zertifikats . . . . . . . .
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Verwendung von Advanced Threat Defense . . . . . . . . . . . .
Konfigurieren von Schlüsselelementen für die Verwendung von Advanced Threat Defense
Schlüsselelemente für die Verwendung von Advanced Threat Defense . . . . . . . . .
Konfigurieren von Einstellungen für die Verwendung von Advanced Threat Defense . . . .
Gateway ATD-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Advanced Threat Defense (Regelsatz) . . . . . . . . . . . . . . . . . . . . . .
ATD – Offline Scanning with Immediate File Availability (Regelsatz) . . . . . . . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Standardklassifizierungen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Wörterbucheinträgen . .
Einstellungen für Data Loss Prevention (Klassifizierung) . . . . . . . . . . . . . .
Einstellungen für Data Loss Prevention (Wörterbücher) . . . . . . . . . . . . . . .
Data Loss Prevention (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Verhindern von Datenlecks mit einem ICAP-Server . . . . . . . . . . . . . . . .
10
Unterstützende Funktionen
Benutzermeldungen
Systemkonfiguration
381
383
384
385
385
386
391
Erstkonfiguration der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Systemkonfiguration nach der Erstkonfiguration . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Funktionen . . . . . . . . . . . . . . . . . .
Netzwerk-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Authentifizierung und Kontingente . . . . . . . . . . . . .
Systemeinstellungen für die Web-Filterung . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . .
Systemeinstellungen für Protokollierung und Fehlerbehebung . . . . . . . . . . . .
8
367
368
369
369
371
371
372
372
374
374
375
375
377
377
378
379
379
380
381
Senden von Meldungen an Benutzer . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten des Texts einer Benutzermeldung . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Authenticate“ (Authentifizieren) . . . . . . . . . . . . . . . . . . .
Blockierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Redirect“ (Umleitung) . . . . . . . . . . . . . . . . . . . . . . .
Template Editor (Vorlagen-Editor) . . . . . . . . . . . . . . . . . . . . . . . . . .
12
356
357
358
360
361
363
367
Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Fortschrittsanzeige-Module . . . . . . . . . . . . . . . . . . .
Einstellungen für „Progress Page“ (Fortschrittsseite) . . . . . . . . . . . . . . . .
Einstellungen für das Durchlassen von Daten . . . . . . . . . . . . . . . . . . .
Progress Indication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bandbreitenbeschränkungsregeln . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . .
Web-Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der Aktivierung des Web-Cache . . . . . . . . . . . . . . . . . . .
Web Cache (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nächster-Hop-Proxy-Modi . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Moduls „Next Hop Proxy“ . . . . . . . . . . . . . . . . . . .
Einstellungen für Nächster-Hop-Proxy . . . . . . . . . . . . . . . . . . . . .
Next Hop Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
11
333
334
342
343
344
345
345
348
349
351
355
391
392
392
392
392
393
393
393
Produkthandbuch
Inhaltsverzeichnis
Konfigurieren der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . .
Appliances (Registerkarte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Appliance-Funktionen . . . . . . . . . . . . . . . .
Lizenzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das GTI-URL-Feedback . . . . . . . . . . . . . . . . . . . . .
Datums- und Uhrzeiteinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Datei-Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Benutzeroberfläche . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Netzwerkfunktionen . . . . . . . . . . . . . . . . . . . . . .
Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netzwerkschutzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Port Forwarding“ (Port-Weiterleitung) . . . . . . . . . . . . . .
Einstellungen für statische Routen . . . . . . . . . . . . . . . . . . . . . . .
Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „File Editor“ (Datei-Editor) . . . . . . . . . . . . . . . . . . . . . . .
Ändern der Cache-Volume-Größe . . . . . . . . . . . . . . . . . . . . . . . . . . .
Datenbankaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Aktualisieren der Datenbankinformationen . . . . . . . . . . . . . . .
Planen automatischer Modul-Aktualisierungen . . . . . . . . . . . . . . . . . .
Aktualisierung geschlossener Netzwerke . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren einer Appliance in einem geschlossenen Netzwerk . . . . . . . . . . .
13
Zentrale Verwaltung
393
394
395
395
396
398
400
401
403
403
406
406
407
408
408
409
410
411
411
412
412
415
Konfiguration mit zentraler Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 416
Konfigurieren der zentralen Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 417
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung . . . . . . . . . 418
Konfigurieren der Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . 419
Zuweisen eines Knotens zu Knotengruppen . . . . . . . . . . . . . . . . . . . . . . 419
Zuweisen eines Knotens zu einer Laufzeitgruppe . . . . . . . . . . . . . . . . . 420
Zuweisen eines Knotens zu einer Aktualisierungsgruppe . . . . . . . . . . . . . . 420
Zuweisen eines Knotens zu Netzwerkgruppen . . . . . . . . . . . . . . . . . .
421
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit zentraler
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Überprüfen der Synchronisierung von Knoten . . . . . . . . . . . . . . . . . . . . . . 424
Hinzufügen eines geplanten Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung . . . . . . 425
Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . . . . . . . 426
14
Cloud Single Sign On
441
Single Sign-On-Zugriff auf Cloud-Anwendungen . . . . . . . . . . . . . . . . . . . . .
Optionen für die Konfiguration von Cloud Single Sign On . . . . . . . . . . . . . . . . .
Ausschließliches Verwenden von Web Gateway für Cloud Single Sign On . . . . . . . . . . .
Konfigurieren der Verwendung von Cloud Single Sign On nur über Web Gateway . . . .
Schlüsselelemente für Cloud Single Sign On nur über Web Gateway . . . . . . . . . .
Anlegen eines HTTP-Proxy-Ports für Cloud Single Sign On . . . . . . . . . . . . . .
Konfigurieren eines vorlagenbasierten Konnektors für eine Cloud-Anwendung . . . . . .
Hinzufügen eines Eintrags für eine Cloud-Anwendung zu einer Liste . . . . . . . . . .
Konfigurieren der Einstellungen für Cloud Single Sign On nur über Web Gateway . . . .
Arbeiten mit dem Startfenster für Cloud-Anwendungen . . . . . . . . . . . . . . .
Einstellungen für Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
Single Sign On (SSO) (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Verwenden einer integrierten Lösung für Cloud Single Sign On (SSO) . . . . . . . . . . . .
Konfigurieren einer integrierten Lösung für Cloud Single Sign On . . . . . . . . . . .
Konfigurieren von Einstellungen für eine integrierte Cloud Single Sign On-Lösung . . . .
Einstellungen für Single Sign On (MCSSO-basiert) . . . . . . . . . . . . . . . . .
Single Sign On-Systemeinstellungen (MCSSO-basiert) . . . . . . . . . . . . . . .
441
442
443
447
448
449
450
451
451
452
455
457
460
465
466
467
468
Produkthandbuch
9
Inhaltsverzeichnis
MCSSO-Authentifizierungseinstellungen . .
MCSSO Single Sign On (Regelsatz) . . . .
MCSSO Authentication (Regelsatz) . . . .
Beheben von Problemen bei der Anmeldung
15
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
bei Cloud-Anwendungen
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Cloud-Speicherverschlüsselung
475
Verschlüsseln und Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . .
Konfigurieren der Verschlüsselung und Entschlüsselung von Cloud-Speicherdaten . . . . . . .
Konfigurieren der Einstellungen für das Verschlüsseln und Entschlüsseln von Daten . . . . . .
Einstellungen für die Cloud-Speicherverschlüsselung . . . . . . . . . . . . . . . . . . .
Unterstützungseinstellungen der Cloud-Speicherverschlüsselung . . . . . . . . . . . . . .
Manuelles Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . . . .
Cloud Storage Encryption (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
16
Web Hybrid
Überwachung
483
484
485
485
487
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf das Dashboard . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Alerts“ (Warnmeldungen) . . . . . . . . . . . . . . . . . . . .
Registerkarte „Charts and Tables“ (Diagramme und Tabellen) . . . . . . . . . . . .
Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Protokolldateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einstellungen für Protokolldateien . . . . . . . . . . . . . . . .
Einstellungen für Log File Manager . . . . . . . . . . . . . . . . . . . . . . .
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) . . . . . . .
Erstellen eines Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Protokoll-Handlers . . . . . . . . . . . . . . . . . . . . . . .
Elemente einer Protokollierungsregel . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Hinzufügen eines Protokolldateifelds . . . . . . . . .
Empfohlene Vorgehensweisen – Erstellen eines Protokolls . . . . . . . . . . . . . .
Access log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Found Viruses Log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Informationen zu Vorfällen . . . . . . . . . . . . . . . . .
Konfigurieren der Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . .
Anzeigen der Regelsätze zur Fehlerbehandlung . . . . . . . . . . . . . . . . . .
Fehler-Handler-Regelsatz „Default“ . . . . . . . . . . . . . . . . . . . . . . .
Leistungsmessung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Leistungsinformationen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Leistungsmessung . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Eigenschaften in Regeln zur Protokollierung von Leistungsinformationen
Verwenden von Ereignissen in Regeln zum Messen der Regelsatz-Verarbeitungszeit . . .
Übertragen von Daten für die McAfee ePO-Überwachung . . . . . . . . . . . . . . . . .
Konfigurieren der ePolicy Orchestrator-Einstellungen . . . . . . . . . . . . . . . .
Einstellungen für ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . .
Bypass ePO Requests (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Ereignisüberwachung mit SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . .
10
475
478
479
479
480
481
481
483
Synchronisieren der Einstellungen für die Web Hybrid-Sicherheitslösung . . . . . . . . . . .
Web-Filterungseinstellungen für die Synchronisierung . . . . . . . . . . . . . . . . . .
Konfigurieren von Synchronisierungseinstellungen . . . . . . . . . . . . . . . . . . . .
Einstellungen für frühere Web Hybrid-Versionen . . . . . . . . . . . . . . . . . . . .
17
469
471
471
472
487
488
488
491
498
500
500
500
502
503
506
507
508
508
509
511
518
518
519
519
520
521
521
521
529
530
530
531
532
534
534
534
535
536
536
Produkthandbuch
Inhaltsverzeichnis
SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
18
Fehlerbehebung
541
Methoden zur Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Regelverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Beheben von Problemen bei der Regelverarbeitung mithilfe der Regelverfolgung . . . . . 544
Regelverfolgungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Ermitteln der Gründe für die Blockierung einer Anfrage anhand der Regelverfolgung . . . 554
Empfohlene Vorgehensweisen – Herausfinden, warum auf einer Webseite keine Bilder angezeigt
werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Wiederherstellen entfernter Regelverfolgungen in den Regelverfolgungsbereichen . . . . 557
Löschen von Regelverfolgungen . . . . . . . . . . . . . . . . . . . . . . . . 559
Erstellen einer Feedback-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . .
559
Erstellung von Core-Dateien aktivieren . . . . . . . . . . . . . . . . . . . . . . . .
559
Erstellung von Dateien für Verbindungsverfolgung aktivieren . . . . . . . . . . . . . . . 560
Erstellen einer Paketverfolgungsdatei . . . . . . . . . . . . . . . . . . . . . . . . . 560
Arbeiten mit Netzwerk-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . .
561
Sichern und Wiederherstellen einer Konfiguration für eine Appliance . . . . . . . . . . . . . 562
A
Konfigurationslisten
563
Liste
Liste
Liste
Liste
Liste
Liste
der Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Blockierungsgrund-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Ereignisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Vorfalls-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften A bis H . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften I bis Q . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften R bis W . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Platzhalterausdrücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Testen eines Platzhalterausdrucks . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger glob-Sonderzeichen . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger Sonderzeichen für reguläre Ausdrücke (regex) . . . . . . . . . . . .
B
REST-Schnittstelle
693
Vorbereiten der Verwendung der REST-Schnittstelle . . . . . . . . . . . . . . . . . . .
Aktivieren der Nutzung der Schnittstelle . . . . . . . . . . . . . . . . . . . . .
Gewähren der Zugriffsberechtigung für die Schnittstelle . . . . . . . . . . . . . .
Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von curl als Datenübertragungs-Tool . . . . . . . . . . . . . . . . .
Authentifizieren bei der Schnittstelle . . . . . . . . . . . . . . . . . . . . . .
Anfordern von Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen grundlegender Aktivitäten . . . . . . . . . . . . . . . . . . . . . .
Arbeiten auf einzelnen Appliances . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit zur Fehlerbehebung hochgeladenen Dateien . . . . . . . . . . . . . .
Arbeiten mit Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beispielskripte für das Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . .
C
Software anderer Hersteller
563
564
565
572
589
603
603
621
666
686
686
687
688
693
694
694
694
695
697
699
700
701
703
704
705
706
711
715
Hauptliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
Liste zur Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
Index
721
Produkthandbuch
11
Inhaltsverzeichnis
12
Produkthandbuch
Einleitung
Im vorliegenden Produkthandbuch werden die Funktionen und Merkmale von McAfee® Web Gateway,
Version 7.4.1 beschrieben, und Sie erhalten einen Überblick über das Produkt sowie ausführliche
Anleitungen zur Konfiguration und Pflege.
Inhalt
Informationen zu diesem Handbuch
Quellen für Produktinformationen
Informationen zu diesem Handbuch
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Buchtitel, Begriff,
Hervorhebung
Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine
Hervorhebung.
Fett
Text, der stark hervorgehoben wird.
Benutzereingabe, Code,
Meldung
Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein
Code-Beispiel; eine angezeigte Meldung.
Benutzeroberflächentext
Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen,
Menüs, Schaltflächen und Dialogfelder.
Hypertext-Blau
Ein Link auf ein Thema oder eine externe Website.
Hinweis: Zusätzliche Informationen, beispielsweise eine alternative
Methode für den Zugriff auf eine Option.
Tipp: Vorschläge und Empfehlungen.
Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres
Computersystems, der Software-Installation, des Netzwerks, Ihres
Unternehmens oder Ihrer Daten.
Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der
Nutzung eines Hardware-Produkts zu vermeiden.
Inhalt dieses Handbuchs
Dieses Handbuch ist so gegliedert, dass Sie die gewünschten Informationen schnell finden können.
Die McAfee Web Gateway-Appliance wird mit einem Überblick über die Hauptfunktionen, die
Bereitstellungsoptionen, die Systemarchitektur und die Administrator-Aktivitäten vorgestellt.
Produkthandbuch
13
Einleitung
Darauf folgt eine Erläuterung, wie Sie die Appliance einrichten und die ersten Schritte bis zu dem
Punkt ausführen, an dem Proxy-, Authentifizierungs- und Web-Filterungsfunktionen konfiguriert
werden.
Die Konfiguration dieser Hauptfunktionen wird in separaten Kapiteln erläutert.
Zudem wird erläutert, wie Sie Funktionen des Appliance-Systems konfigurieren, z. B. Domain Name
Services, Port-Weiterleitung oder statische Routen, und eine Appliance als Knoten in einer
Konfiguration mit zentraler Verwaltung einrichten.
Kapitel zur Überwachung und Fehlerbehebung befinden sich am Ende des Handbuchs.
Ein Anhang enthält Listen wichtiger Konfigurationselemente wie Aktionen, Ereignisse, Eigenschaften
usw.
McAfee stellt Ihnen die Informationen zur Verfügung, die Sie in den einzelnen Phasen der
Produktimplementierung benötigen – von der Installation bis hin zur täglichen Nutzung und
Fehlerbehebung. Nach der Produktveröffentlichung erhalten Sie Informationen zu diesem Produkt
online in der KnowledgeBase von McAfee.
Vorgehensweise
1
Wechseln Sie zum McAfee Technical Support ServicePortal unter http://mysupport.mcafee.com.
2
Greifen Sie unter Self Service (Online-Support) auf die erforderlichen Informationen zu:
Zugriff auf
Vorgehensweise
Benutzerdokumentation 1 Klicken Sie auf Product Documentation (Produktdokumentation).
2 Wählen Sie ein Produkt und dann eine Version aus.
3 Wählen Sie ein Produktdokument aus.
KnowledgeBase
• Klicken Sie auf Search the KnowledgeBase (KnowledgeBase durchsuchen),
um Antworten auf Ihre produktbezogenen Fragen zu erhalten.
• Klicken Sie auf Browse the KnowledgeBase (KnowledgeBase durchblättern),
um Artikel nach Produkt und Version aufzulisten.
14
Produkthandbuch
1
Einführung
Die McAfee® Web Gateway-Appliance sorgt für umfassende Web-Sicherheit für Ihr Netzwerk.
Sie schützt Ihr Netzwerk vor Bedrohungen aus dem Web, z. B. vor Viren und sonstiger Malware,
unangemessenen Inhalten, Datenlecks und ähnlichen Problemen. Zudem sorgt sie für die Einhaltung
gesetzlicher Bestimmungen (Compliance) und eine reibungslos funktionierende Arbeitsumgebung.
Inhalt
Filtern des Web-Datenverkehrs
Hauptfunktionen der Appliance
Hauptkomponenten der Appliance
Bereitstellung der Appliance
Allgemeine Verwaltungsaktivitäten
Filtern des Web-Datenverkehrs
Die Appliance wird als Gateway installiert, das Ihr Netzwerk mit dem Web verbindet und den ein- und
ausgehenden Datenverkehr filtert.
Entsprechend den implementierten Web-Sicherheitsregeln werden die von Benutzern aus dem
Netzwerk an das Web gesendeten Anfragen sowie die aus dem Web zurückgesendeten Antworten
gefiltert.
Mit Anfragen oder Antworten gesendete eingebettete Objekte werden ebenfalls gefiltert.
Bösartige und unangemessene Inhalte werden blockiert, während das Passieren nützlicher Inhalte
zugelassen wird.
Abbildung 1-1 Filtern des Web-Datenverkehrs
Produkthandbuch
15
1
Einführung
Das Filtern von Web-Datenverkehr ist ein komplexer Prozess. Die Hauptfunktionen der Appliance
tragen auf unterschiedliche Weise dazu bei.
Filtern von Web-Objekten
Spezielle Virenschutz- und Malware-Schutzfunktionen auf der Appliance scannen und filtern
Web-Datenverkehr und blockieren Web-Objekte, wenn diese infiziert sind.
Andere Funktionen filtern angefragte URLs anhand der Informationen aus dem Global Threat
Intelligence -System oder führen eine Medientyp- und Anwendungsfilterung durch.
™
Sie werden von Funktionen unterstützt, die sich selbst nicht filtern, jedoch beispielsweise
Benutzeranfragen zählen oder den Fortschritt beim Herunterladen von Web-Objekten anzeigen.
Filtern von Benutzern
Authentifizierungsfunktionen der Appliance filtern Benutzer unter Verwendung der Informationen aus
internen und externen Datenbanken und Methoden, z. B. NTLM, LDAP, RADIUS, Kerberos usw.
Zusätzlich zum Filtern regulärer Benutzer können Sie über die Appliance die Rechte und
Zuständigkeiten des Administrators steuern.
Abfangen des Web-Datenverkehrs
Beim jedem Filtern von Web-Objekten oder Benutzern ist eine Voraussetzung zu erfüllen. Diese wird
durch die Proxy-Funktionen der Appliance anhand verschiedener Netzwerkprotokolle erreicht, z. B.
HTTP, HTTPS, FTP, Yahoo, ICQ, Windows Live Messenger, XMPP usw.
Die Appliance kann im expliziten Proxy-Modus, im transparenten Bridge-Modus oder im Router-Modus
ausgeführt werden.
Überwachen des Filterungsprozesses
Die Überwachungsfunktionen der Appliance bieten eine fortlaufende Übersicht über den
Filterungsprozess.
Sie umfassen ein Dashboard zur Anzeige von Informationen zu Warnmeldungen, zur Web-Nutzung, zu
Filteraktivitäten und zum Systemverhalten. Neben Protokollierungs- und Verfolgungsfunktionen sind
auch Optionen zur Weiterleitung von Daten an den McAfee ePolicy Orchestrator -Server (McAfee ePO)
oder zur Ereignisüberwachung mit einem SNMP-Agenten verfügbar.
®
16
™
Produkthandbuch
Einführung
1
Die McAfee Web Gateway-Appliance umfasst mehrere Subsysteme zur Bereitstellung der Filterung und
anderer Funktionen, die auf dem Betriebssystem basieren.
Appliance-Subsysteme
Die Subsysteme der Appliance und deren Module haben folgende Aufgaben:
•
Kern-Subsystem: Bietet ein Proxy-Modul zum Abfangen des Web-Datenverkehrs und ein
Regelmodul zum Verarbeiten der Filterregeln, aus denen Ihre Web-Sicherheitsrichtlinie besteht.
Des weiteren stellt dieses Subsystem die Module bereit, die spezielle Aufgaben für die Filterregeln
erfüllen und von Ihnen konfiguriert werden können, z. B. das Anti-Malware-Modul, das URL
Filter-Modul oder das Authentication-Modul.
Ein Modul zur Ablaufverwaltung sorgt für eine effiziente Zusammenarbeit der Module.
•
Koordinator-Subsystem: Speichert alle Konfigurationsdaten, die auf der Appliance verarbeitet
werden
Dieses Subsystem bietet auch Funktionen zur Aktualisierung und für die zentrale Verwaltung.
•
Konfigurator-Subsystem: Stellt die Benutzeroberfläche zur Verfügung (Name des internen
Subsystems ist Konfigurator)
Abbildung 1-2 Appliance-Subsysteme und Module
Betriebssystem
Die Subsysteme der Appliance basieren auf den Funktionen ihres Betriebssystems, bei dem es sich um
MLOS2 handelt (McAfee Linux Operating System, Version 2).
Produkthandbuch
17
1
Einführung
Diese Version wird auch von anderen Linux-basierten McAfee-Sicherheitsprodukten verwendet, z. B.
von McAfee Email Gateway. Dies erleichtert die Einarbeitung, wenn Sie für die Verwaltung von
mehreren dieser Produkte zuständig sind.
Das Betriebssystem bietet Funktionen zum Ausführen der durch die Filterregeln ausgelösten Aktionen,
zum Lesen und Schreiben in der Datei und im Netzwerk sowie zur Zugriffssteuerung.
Ein Konfigurations-Daemon (sysconfd-Daemon) implementiert geänderte Konfigurationseinstellungen
im Betriebssystem.
Entscheiden Sie vor der Einrichtung der McAfee Web Gateway-Appliance, auf welche Weise diese
genutzt werden soll. Sie kann auf unterschiedlichen Plattformen ausgeführt werden, und Sie haben die
Möglichkeit, verschiedene Modi der Netzwerkintegration zu konfigurieren. Sie können auch mehrere
Appliances als Knoten innerhalb einer Konfiguration mit zentraler Verwaltung einrichten und
entsprechend verwalten.
Plattform
Sie können die Appliance auf unterschiedlichen Plattformen ausführen.
•
Hardware-basierte Appliance: auf einer physischen Hardware-Plattform
•
Virtuelle Appliance: auf einer virtuellen Maschine
Netzwerkintegration
Die Appliance kann für das Abfangen, Filtern und Übertragen des Web-Datenverkehrs im Netzwerk
verschiedene Modi nutzen.
•
Expliziter Proxy-Modus: Die mit der Appliance kommunizierenden Clients registrieren, dass es
sich um Kommunikation mit der Appliance handelt. Sie müssen die Clients „explizit“ für das Senden
des Datenverkehrs an die Appliance konfigurieren.
•
Transparente Modi: Die Clients registrieren nicht, dass mit der Appliance kommuniziert wird.
•
Transparente Bridge: Die Appliance agiert als „unsichtbare“ Verbindung zwischen Clients und
Web. Die Clients müssen hierfür nicht extra konfiguriert werden.
•
Transparenter Router: Die Appliance leitet den Datenverkehr entsprechend einer
Routing-Tabelle weiter, die von Ihnen ausgefüllt werden muss.
Verwaltung und Aktualisierungen
Das Verwalten der Appliance sowie die Verteilung von Aktualisierungen kann auf unterschiedliche
Arten erfolgen.
•
Eigenständig: Die Appliance wird separat verwaltet und erhält keine Aktualisierungen von
anderen Appliances.
•
Zentrale Verwaltung: Die Appliance wird als Knoten innerhalb einer komplexen Konfiguration
eingerichtet. Von der Benutzeroberfläche der Appliance aus können andere Knoten verwaltet und
auch Aktualisierungen verteilt werden.
Die Appliance kann dann auch von anderen Knoten aus verwaltet und dafür konfiguriert werden,
dass sie Aktualisierungen von diesen Knoten erhält.
18
Produkthandbuch
Einführung
1
Die Verwaltung der Appliance umfasst verschiedene Aktivitäten, die von den jeweiligen Anforderungen
Ihres Netzwerks abhängen.
Im Folgenden werden die empfohlenen allgemeinen Verwaltungsaktivitäten erläutert.
Vorgehensweise
1
Führen Sie die Erstkonfiguration durch.
Die Einrichtung umfasst die Erstkonfiguration von Systemparametern wie Host-Name und
IP-Adresse, die Implementierung eines anfänglichen Systems von Filterregeln sowie die
Lizenzierung.
In dieser Phase sind zwei Assistenten verfügbar: einer für die Erstkonfiguration und einer für die
Filterregeln.
2
Konfigurieren Sie die Proxy-Funktionen.
Nach Abschluss der Erstkonfiguration sind der explizite Proxy-Modus und das HTTP-Protokoll auf
der Appliance vorkonfiguriert.
Sie können diese Konfiguration ändern und außerdem andere Netzwerkkomponenten konfigurieren,
mit denen die Appliance kommuniziert.
3
Implementieren Sie ggf. die Authentifizierung.
Die Authentifizierung ist auf der Appliance nicht standardmäßig implementiert.
Wenn Sie sie implementieren möchten, können Sie aus einer Reihe von
Authentifizierungsmethoden eine Methode auswählen, u. a. NTLM, LDAP und Kerberos.
4
Konfigurieren Sie die Web-Filterung.
Sie können die während der Erstkonfiguration implementierten Regeln für Viren- und
Malware-Filterung, URL-Filterung, Medientyp-Filterung und andere Filterprozesse überprüfen.
Sie können diese Regeln optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen.
Die Arbeit mit den Filterregeln umfasst das Verwalten der von den Regeln verwendeten Listen und
das Konfigurieren der Einstellungen für Aktionen von Regeln sowie von Modulen, die am
Filterprozess beteiligt sind.
5
Überwachen Sie das Verhalten der Appliance.
Wenn Sie die Appliance entsprechend den jeweiligen Anforderungen konfiguriert haben, sollten Sie
überwachen, auf welche Weise sie den Filterprozess durchführt.
Darüber hinaus können Sie Systemfunktionen wie CPU- und Speicherauslastung, Anzahl der
aktiven Verbindungen und weitere Funktionen überwachen.
Weitere Informationen zu diesen Aktivitäten finden Sie in den Abschnitten, in denen sie konkret
behandelt werden, z. B. in Einrichtung, Authentifizierung oder Web-Filterung.
Produkthandbuch
19
1
Einführung
20
Produkthandbuch
2
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie mit Regeln, Listen, Einstellungen, Konten und weiteren
Elementen zur Verwaltung von Web Gateway arbeiten. Sie bietet Informationen zur Schlüsselfilterung
und zu Systemparametern und ermöglicht die Durchführung von Maßnahmen zur Fehlerbehebung.
Inhalt
Hauptelemente der Benutzeroberfläche
Unterstützende Konfigurationsfunktionen
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche
Verwalten von Web Gateway ohne die Benutzeroberfläche
Produkthandbuch
21
2
Benutzeroberfläche
Die Hauptelemente der Benutzeroberfläche werden auf dem folgenden Beispielbildschirm angezeigt.
Abbildung 2-1 Benutzeroberfläche
In der folgenden Tabelle werden die Hauptelemente der Benutzeroberfläche beschrieben.
Tabelle 2-1 Hauptelemente der Benutzeroberfläche
Option
Definition
System-Informationszeile
Zeigt System- und Benutzerinformationen an.
User Preferences
(Benutzereinstellungen)
Öffnet ein Fenster, in dem Sie Einstellungen für die
Benutzeroberfläche konfigurieren und Ihr Kennwort ändern können.
Logout (Abmelden)
Meldet Sie von der Benutzeroberfläche ab.
Hilfesymbol
Öffnet die Online-Hilfe.
Sie können die Seiten durchsuchen oder über eine
Verzeichnisstruktur navigieren sowie eine Volltextsuche durchführen
oder nach Indexbegriffen suchen.
22
Produkthandbuch
2
Benutzeroberfläche
Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung)
Option
Definition
Übergeordnete Menüleiste
Sie können eines der folgenden Menüs auswählen:
• Dashboard: Zum Anzeigen von Informationen zu Ereignissen, zur
Web-Nutzung, zu Filteraktivitäten und zum Systemverhalten
• Policy (Richtlinie): Zum Konfigurieren Ihrer Web-Sicherheitsrichtlinie
• Configuration (Konfiguration): Zum Konfigurieren der
Systemeinstellungen der Appliance
• Accounts (Konten): Zum Verwalten der Administratorkonten
• Troubleshooting (Fehlerbehebung): Zum Beheben von Problemen auf
der Appliance
Search (Suchen)
Öffnet ein Fenster mit den folgenden Suchoptionen:
• Search for objects (Suche nach Objekten): Ermöglicht die Suche nach
Regelsätzen, Regeln, Listen und Einstellungen.
Durch die Eingabe des Suchbegriffs im Eingabefeld werden alle
Objekte angezeigt, deren Namen mit dem Suchbegriff
übereinstimmen.
• Search for objects referring to (Suche nach verweisenden Objekten):
Ermöglicht die Auswahl einer Liste, einer Eigenschaft oder die
Auswahl von Einstellungen und zeigt alle Regeln, die das
ausgewählte Element verwenden.
Save Changes (Änderungen speichern) Speichert die Änderungen.
Registerkartenleiste
Stellt die Registerkarten des aktuell ausgewählten übergeordneten
Menüs bereit.
Übergeordnete Menüs haben die folgenden Registerkarten:
• Dashboard
• Alerts (Warnungen)
• Charts and Tables (Diagramme und Tabellen)
• Policy (Richtlinie)
• Rule Sets (Regelsätze)
• Liste (Listen)
• Settings (Einstellungen)
• Configuration (Konfiguration)
• Appliances
• File Editor (Datei-Editor)
• Accounts (Konten)
• Administrator Accounts (Administratorkonten)
Das übergeordnete Menü Troubleshooting (Fehlerbehebung) enthält
keine Registerkarten.
Symbolleiste (auf
Registerkarte)
Bietet verschiedene Tools (abhängig von der ausgewählten
Registerkarte).
Produkthandbuch
23
2
Benutzeroberfläche
Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung)
Option
Definition
Navigationsbereich
Bietet Verzeichnisstrukturen der Konfigurationselemente, z. B.
Regeln, Listen und Einstellungen.
Konfigurationsbereich
Bietet Optionen zum Konfigurieren des derzeit im Navigationsbereich
ausgewählten Elements.
Die Benutzeroberfläche bietet mehrere Funktionen zur Unterstützung Ihrer Konfigurationsaktivitäten.
Tabelle 2-2 Unterstützende Administrationsfunktionen
Option
Definition
Gelbes Dreieck
Wird mit dem Namen einer Liste angezeigt, die noch leer ist und von Ihnen
gefüllt werden muss.
Einige Listen werden vom Assistenten der Richtlinienkonfiguration erstellt,
aber nicht gefüllt, da sie vertraulich sind.
Text mit gelbem
Hintergrund
Wird angezeigt, wenn Sie den Mauszeiger über ein Element auf der
Benutzeroberfläche bewegen und bietet Informationen zur Bedeutung und
Verwendung des Elements.
OK-Symbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe gültig ist.
Fehlersymbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe ungültig ist.
Meldungstext
Wird mit dem Fehlersymbol angezeigt und bietet Informationen zur ungültigen
Eingabe.
Hellrotes Eingabefeld Gibt einen ungültigen Eintrag an.
Save Changes
(Änderungen speichern)
Schaltfläche wird rot angezeigt, wenn Sie ein Element ändern.
Rotes Dreieck
Wird mit Registerkarten, Symbolen und Listeneinträgen angezeigt, wenn Sie
ein Element geändert und noch nicht gespeichert haben.
Wird wieder grau angezeigt, nachdem Sie Ihre Änderungen gespeichert
haben.
Wenn Sie eine Regel geändert haben, wird das rote Dreieck beispielsweise an
folgenden Stellen angezeigt:
• In der Zeile des Regeleintrags im Abschnitt für Einstellungen
• Auf dem Regelsatzsymbol
• Auf der Prognose der Registerkarte Rule Sets (Regelsätze)
• Auf dem Symbol Policy (Richtlinie) in der übergeordneten Menüleiste
Verwerfen von Änderungen
Wenn Sie auf der Benutzeroberfläche Administratortätigkeiten ausgeführt haben, können Sie statt des
Speicherns der vorgenommenen Änderungen diese Änderungen auch verwerfen.
Eine Möglichkeit ist es, beim Abmelden die Abmeldung ohne Speichern der Änderungen zu bestätigen.
Alternativ dazu können Sie auch Änderungen verwerfen, indem Sie die Konfigurationsdaten erneut
laden.
24
Produkthandbuch
Benutzeroberfläche
2
Beim erneuten Laden der Konfigurationsdaten wird die Konfiguration wieder hergestellt, die nach dem
letzten Speichern vorhanden war. Dies kann von Ihnen oder einem anderen Administratoren
vorgenommen worden sein. Wenn nach der Ersteinrichtung der Appliance noch keine Änderungen
gespeichert wurden, wird die Konfiguration der Ersteinrichtung wieder hergestellt.
Verwerfen von Änderungen durch erneutes Laden der Daten
Sie können auf der Benutzeroberfläche vorgenommene Änderungen verwerfen, indem Sie die
bestehenden Konfigurationsdaten erneut laden.
Vorgehensweise
1
Klicken Sie hierfür auf das kleine schwarze Dreieck neben der Schaltfläche Save Changes (Änderungen
speichern).
Es wird der Hinweis Reload Data from Backend (Daten neu aus Backend laden) eingeblendet.
2
Klicken Sie auf den Hinweis.
Die vorgenommenen Änderungen werden verworfen, und die Konfigurationsdaten werden erneut
geladen.
Konfigurieren einer Web-Sicherheitsrichtlinie auf der
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie für Ihr Netzwerk eine Web-Sicherheitsrichtlinie konfigurieren.
Eine Web-Sicherheitsrichtlinie wird in Web Gateway mittels verschiedener Regeln implementiert, die zu
Regelsätzen zusammengefasst sind. Die Regeln innerhalb eines Regelsatzes beziehen sich für
gewöhnlich auf einen bestimmten Bereich der Web-Sicherheit. Beispielsweise gibt es Regelsätze mit
Regeln für die Malware-Schutz-Filterung, für URL-Filterung, für Medientyp-Filterung usw.
Auf der Benutzeroberfläche können Sie diese Regeln und Regelsätze anzeigen, bearbeiten, löschen
und auch neue Regeln und Regelsätze erstellen.
Eine Regel umfasst verschiedene Elemente. Eine Regel zur URL-Filterung kann z. B. eine Liste mit
Kategorien für URLS, eine Aktion zur Blockierung und weitere Elemente enthalten. Wenn ein Benutzer
eine Anfrage für den Web-Zugriff sendet, würde diese Regel die Anfrage blockieren, sofern die dabei
angefragte URL in eine der Kategorien fällt.
Mit der Verwendung dieser Regel in Ihrer Web-Sicherheitsrichtlinie können Sie dafür sorgen, dass
Benutzer vom Netzwerk aus beispielsweise keine Websites aufrufen können, die in die Kategorien
Online-Shopping, Unterhaltung oder Drogen fallen.
Produkthandbuch
25
2
Benutzeroberfläche
Registerkarten für Richtlinien
Auf der Benutzeroberfläche stehen für das Konfigurieren einer Web-Sicherheitsrichtlinie drei
Registerkarten zur Auswahl.
•
Rule Sets (Regelsätze): Auf dieser Registerkarte können Sie alle Schritte zum Konfigurieren von
Web-Sicherheitsregeln vornehmen.
Die von den Regeln auf dieser Registerkarte verwendeten Listen und Einstellungen können auch
bearbeitet werden.
•
Lists (Listen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in den Regeln
verwendeten Listen. Sie können hier Listen aus der Listen-Baumstruktur auswählen und sie
anschließend konfigurieren.
Weitere Informationen zum Arbeiten mit Listen finden Sie im Kapitel Listen.
•
Settings (Einstellungen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in
den Regeln verwendeten Einstellungen. Sie können hier Einstellungen aus der
Einstellungs-Baumstruktur auswählen und sie anschließend konfigurieren.
Bei der Konfiguration von Regeln in Web Gateway wird der Begriff Einstellungen für eine Gruppe
von Parametern verwendet, für die bestimmte Werte festgelegt sind. Es gibt zwei Arten von
Einstellungen:
•
Einstellungen für die Module (auch als Engines bezeichnet), die Aufgaben der Regelverarbeitung
übernehmen, beispielsweise das Modul „Anti-Malware“, das Web-Objekte auf Viren- und andere
Malware-Infektionen scannt.
•
Einstellungen für die von Regeln durchgeführten Aktionen, z. B. die Aktion zur Blockierung.
Für ein Modul bzw. eine Aktion kann es unterschiedliche Einstellungen geben. Auf diese Weise kann
ein Modul seine Aufgabe auf verschiedene Arten durchführen und eine Aktion kann auf
unterschiedliche Weise ausgeführt werden, je nachdem, welche der verschiedenen Einstellungen für
das Modul bzw. die Aktion gerade konfiguriert sind.
Weitere Informationen zum Arbeiten mit Einstellungen finden Sie im Kapitel Einstellungen.
Arbeiten mit der Registerkarte „Rule Sets“ (Regelsätze)
Auf der Registerkarte Rule Sets (Regelsätze) können Sie einen Regelsatz auswählen, z. B. den Regelsatz
„URL Filtering“, und die darin enthaltenen Regeln bearbeiten.
Für Regelsätze sind zwei unterschiedliche Ansichten möglich, in denen Sie jeweils folgendermaßen
arbeiten können:
•
Schlüsselelemente von Regeln: In dieser Regelsatzansicht werden nur die Schlüsselelemente
der Regeln eines bestimmten Regelsatzes angezeigt, jedoch nicht die vollständigen Regeln mit allen
konfigurierbaren Elementen.
Schlüsselelemente sind diejenigen, deren Bearbeitung beim Konfigurieren der
Web-Sicherheitsrichtlinie am wahrscheinlichsten ist. Bei dieser Ansicht können Sie sich voll und
ganz auf die Arbeit an diesen wichtigen Elementen konzentrieren.
Diese Regelsatzansicht wird bei folgenden Aktionen aufgerufen:
•
Bei Auswahl eines Standard-Regelsatzes
•
Beim Importieren bestimmter Regelsätze aus der Regelsatz-Bibliothek
Manche Regelsätze aus der Bibliothek werden nicht in dieser Ansicht angezeigt.
26
Produkthandbuch
Benutzeroberfläche
2
Diese Regelsatzansicht wird nicht für Regelsätze angezeigt, die Sie selbst erstellt haben.
Hier sehen Sie ein Beispiel für ein Schlüsselelement, das in dieser Ansicht konfiguriert werden
kann:
Abbildung 2-2 Beispiel für Schlüsselelement: URL-Whitelist
Eine URL-Whitelist ist beispielsweise ein Elementeiner Regel zur URL-Filterung.
Klicken Sie auf Edit (Bearbeiten), um die Liste zur Bearbeitung zu öffnen.
•
Vollständige Regeln: In dieser Regelsatzansicht werden vollständige Regeln angezeigt, sowie alle
Regeln, die in einem bestimmten Regelsatz enthalten sind. Sie können einzelne Elemente dieser
Regeln auswählen und sie anschließend konfigurieren. Dies gilt auch für die Schlüsselelemente. Das
Löschen von Regeln und das Erstellen von neuen Regeln ist in dieser Ansicht ebenfalls möglich.
Wenn Sie einen Standard-Regelsatz oder einen Bibliotheks-Regelsatz auswählen, für den beide
Ansichten verfügbar sind, müssen Sie erst die Schlüsselelementansicht verlassen, bevor Sie in der
Ansicht für vollständige Regeln arbeiten können. Nach dem Verlassen der Schlüsselelementansicht
können Sie zu dieser Ansicht nur zurückkehren, wenn Sie alle Änderungen verwerfen oder den
Regelsatz erneut importieren.
Das Beispiel der URL-Whitelist ist ein Schlüsselelement einer Regel für die URL-Filterung, das bei
Anzeige in der Ansicht für vollständige Regeln folgendermaßen aussieht:
Abbildung 2-3 Beispiel für Element innerhalb einer vollständigen Regel: URL-Whitelist
Klicken Sie auf URL WhiteList (URL-Whitelist), um die Liste zur Bearbeitung zu öffnen.
Siehe auch
Schlüsselelementansicht auf Seite 28
Ansicht für vollständige Regeln auf Seite 30
Produkthandbuch
27
2
Benutzeroberfläche
Schlüsselelementansicht
In der Schlüsselelementansicht werden Schlüsselelemente der Regeln in einem Regelsatz angezeigt;
diese können in der Ansicht konfiguriert werden.
Abbildung 2-4 Schlüsselelementansicht
Optionen der Schlüsselelementansicht
In der folgenden Tabelle werden die Optionen der Schlüsselelementansicht beschrieben.
Tabelle 2-3 Optionen der Schlüsselelementansicht
28
Option
Definition
Feld für den Namen des
Regelsatzes
Zeigt den Standardnamen des Regelsatzes an, für den Schlüsselelemente
angezeigt werden; dieser Name kann bearbeitet werden.
Feld für eine
Beschreibung des
Regelsatzes
Zeigt die Standardbeschreibung des Regelsatzes an, für den
Schlüsselelemente angezeigt werden; diese Beschreibung kann bearbeitet
werden.
Enable (Aktivieren)
Bei Auswahl dieser Option wird der Regelsatz aktiviert, dessen
Schlüsselelemente derzeit konfiguriert werden.
Produkthandbuch
Benutzeroberfläche
2
Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung)
Option
Definition
Unlock View (Anzeige
entsperren)
Schließt die Schlüsselelementansicht und zeigt die entsprechende Ansicht
für vollständige Regeln an.
Nachdem Sie auf diese Schaltfläche geklickt haben, werden Sie in einer
Meldung aufgefordert zu bestätigen, dass die Ansicht für vollständige
Regeln geöffnet werden soll.
Nach dem Verlassen der Schlüsselelementansicht können Sie zu dieser
Ansicht nur zurückkehren, wenn Sie alle Änderungen verwerfen oder den
Regelsatz erneut importieren.
Der Standard-Regelsatz Common Rules enthält fünf untergeordnete
Regelsätze, die standardmäßig aktiviert sind. Sie können die einzelnen
Regelsätze auch in der Schlüsselelementansicht für den Regelsatz Common
Rules aktivieren oder deaktivieren.
So arbeiten Sie mit den Schlüsselelementen der untergeordneten
Regelsätze:
1 Klicken Sie auf Unlock View (Ansicht entsperren) für den Regelsatz
Common Rules.
2 Klicken Sie auf einen der untergeordneten Regelsätze, die in der
Regelsatz-Baumstruktur unter Common Rules angezeigt werden.
3 Konfigurieren Sie die Schlüsselelemente dieses untergeordneten
Regelsatzes nach Bedarf.
Wenn Sie die Schlüsselelementansicht für einen untergeordneten Regelsatz
schließen und in der Ansicht für vollständige Regeln arbeiten möchten,
müssen Sie erneut auf Unlock View (Ansicht entsperren) klicken.
Wenn Sie mit den untergeordneten Regelsätzen der Regelsätze Media Type
Filtering und SSL Scanning arbeiten möchten, müssen Sie nur einmal auf
Unlock View (Ansicht entsperren) klicken. Erweitern Sie dann die
untergeordneten Regelsätze, um mit ihnen zu arbeiten.
Permissions (Berechtigungen)
Öffnet ein Fenster, in dem Sie festlegen können, welche Personen auf den
Regelsatz zugreifen dürfen, dessen Schlüsselelemente Sie gerade
konfigurieren.
Schlüsselelemente für
einen Regelsatz
Die Schlüsselelemente variieren für die verschiedenen Regelsätze.
Schlüsselelemente für zusammengehörende Funktionen werden in einer
Gruppe angezeigt. Jeder Gruppe ist ein Gruppen-Header vorangestellt.
In der Schlüsselelementansicht für die URL-Filterung werden
Schlüsselelemente z. B. in Basic Filtering (Grundlegende Filterung), SafeSearch
und anderen Gruppen angezeigt.
Diese Gruppen enthalten Schlüsselelemente für die grundlegende
URL-Filterung, für die zusätzliche Verwendung von SafeSearch-Funktionen
im Filterprozess sowie für andere Funktionen.
Konfigurieren eines Schlüsselelements
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Schlüsselelements einer
Web-Sicherheitsregel.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Schlüsselelement für eine Regel
im Standard-Regelsatz zur URL-Filterung.
Produkthandbuch
29
2
Benutzeroberfläche
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus.
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus.
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
3
Klicken Sie unter Basic Filtering (Standardfilter) neben URL Whitelist (URL-Whitelist) auf Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
4
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) den Ausdruck http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
5
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
6
Klicken Sie auf Save Changes (Änderungen speichern).
Ansicht für vollständige Regeln
Die Ansicht für vollständige Regeln zeigt die in einem Regelsatz enthaltenen vollständigen Regeln an.
In dieser Ansicht können Sie mit den zugehörigen Elementen, auch den Schlüsselelementen, arbeiten.
Sie können Regeln bearbeiten und löschen sowie eigene Regeln erstellen. Sie können auch Regelsätze
bearbeiten, löschen und erstellen. Neue Regelsätze können sowohl mit bestehenden Regeln als auch
mit eigenen Regeln gefüllt werden.
30
Produkthandbuch
Benutzeroberfläche
2
Sie können auch Regelsätze aus einer Regelsatz-Bibliothek auf Web Gateway oder aus einer
Online-Regelsatz-Bibliothek importieren. Sie können auf die gleiche Weise wie mit anderen Regeln und
Regelsätzen auch mit diesen Regelsätzen und ihren Regeln arbeiten.
Abbildung 2-5 Ansicht für vollständige Regeln
Weitere Informationen zur Ansicht für vollständige Regeln finden Sie im Kapitel Regeln.
Konfigurieren eines Regelelements in der Ansicht für
vollständige Regeln
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Elements einer
Web-Sicherheitsregel in der Ansicht für vollständige Regeln.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Element einer Regel im
Standard-Regelsatz zur URL-Filterung. Um dies zu erreichen, muss beinahe genauso vorgegangen
werden wie beim Ausführen dieses Tasks in der Schlüsselelement-Ansicht. Der einzige Unterschied ist
die Art und Weise des Zugriffs auf die URL-Whitelist.
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
2
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
Produkthandbuch
31
2
Benutzeroberfläche
3
Klicken Sie auf Unlock View (Anzeige entsperren), um die Schlüsselelement-Ansicht zu verlassen.
Sie werden nun in einer Meldung aufgefordert, das Verlassen der Ansicht für die Schlüsselelemente
zu bestätigen, und zudem gewarnt, dass Sie nicht zu dieser Ansicht zurückkehren können.
4
Klicken Sie auf Yes (Ja).
Nur wird die Ansicht der vollständigen Regeln angezeigt.
5
Klicken Sie in der Regel Allow URLs that match in URL WhiteList auf URL WhiteList.
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
6
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) beispielsweise http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
7
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
8
Weitere Informationen zum Arbeiten mit Regeln und Regelsätzen finden Sie im Kapitel Regeln.
Mit der zusätzlich zur Verfügung stehenden Schnittstelle können Sie Verwaltungsvorgänge für Web
Gateway vornehmen, ohne bei der standardmäßigen Benutzeroberfläche angemeldet zu sein. Diese
alternative Schnittstelle wird als REST-Schnittstelle (Representational State Transfer) bezeichnet.
Hiermit können Sie auf einer bestimmten Web Gateway-Appliance und auch auf anderen damit
verbundenen Appliances Verwaltungsaktivitäten durchführen, z. B. eine Appliance ausschalten und neu
starten, mit Listen und Einstellungen arbeiten oder Aktualisierungen starten.
Eine Einführung zur REST-Schnittstelle mit Erklärungen zu den grundlegenden Arbeitsweisen sowie
Beispielskripten für die Kommunikation mit der Schnittstelle finden Sie im Abschnitt REST-Schnittstelle
im Anhang dieses Handbuchs.
32
Produkthandbuch
3
Regeln
Web-Filterung und Authentifizierung werden durch Regeln gesteuert, die Sie implementieren und so
modifizieren können, dass sie genau auf die Anforderungen Ihres Netzwerks zugeschnitten sind.
Die Regeln werden in Gruppen zusammengefasst und in Regelsätzen verfügbar gemacht, die jeweils
ein bestimmtes Feld der Filteraktivitäten abdecken. Es kann z. B. einen Regelsatz für die Viren- und
Malware-Filterung, einen Regelsatz für die URL-Filterung, einen Regelsatz für Authentifizierungen usw.
geben.
Bei der Ersteinrichtung der Appliance wird ein Standard-Regelsatzsystem implementiert. Diese
Regelsätze und die zugehörigen Regeln können Sie überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Regeln und Regelsätze oder sogar ein komplettes System selbst erstellen.
Darüber hinaus können Sie Regelsätze aus Bibliotheken importieren und sie ebenfalls auf diese Weise
ändern.
Inhalt
Informationen zur Filterung
Regelelemente
Regelsätze
Regelsatzsystem
Regelsatz-Bibliothek
Registerkarte „Rule Sets“ (Regelsätze)
Erstellen einer Regel
Erstellen eines Regelsatzes
Importieren eines Regelsatzes
Beschränken des Zugriffs auf Konfigurationselemente
Auf der Appliance wird ein Filterprozess ausgeführt, der mithilfe der implementierten Regeln
durchgehend für die Web-Sicherheit im Netzwerk sorgt.
Dieser Prozess filtert den Web-Datenverkehr. Hierbei wird einigen Objekten der Durchgang verwehrt,
während andere durchgelassen werden, in etwa so wie ein Teesieb Teeblätter auffängt und den Tee
selbst in die Tasse fließen lässt.
Woher kann der Prozess nun zwischen Blättern und Flüssigkeit unterscheiden? Das Teesieb arbeitet
offensichtlich nach dem Konzept der Größenunterschiede: Was zu groß ist, wird nicht durchgelassen.
Auf ähnliche Weise nutzt der Filterprozess auf der Appliance in seinen Regeln alle möglichen
Eigenschaften, die Web-Objekte haben können bzw. die sich auf irgendeine Weise auf Web-Objekte
beziehen, um entsprechende Filterentscheidungen zu treffen.
Produkthandbuch
33
3
Regeln
Eigenschaften gefilterter Objekte
Eine der möglichen Eigenschaften eines während des Filterprozesses überprüften Web-Objekts ist
being virus-infected (mit Virus infiziert). Ein Web-Objekt kann also die Eigenschaft „mit Virus infiziert“
haben. Um es klarer auszudrücken: es kann mit einem Virus infiziert sein.
Weitere Beispiele sind u. a. die Eigenschaft, zu einer bestimmten URL-Kategorie zu gehören oder die
Eigenschaft, eine bestimmte IP-Adresse zu besitzen.
Bezüglich dieser und auch anderer Eigenschaften können nun folgende Fragen gestellt werden:
•
Welchen Wert hat die Eigenschaft p eines bestimmten Web-Objekts?
•
Sowie: Wenn dieser Wert gleich x ist, welche Aktion ist dann erforderlich?
Die Antwort auf die zweite Frage ergibt bereits eine Regel:
Wenn der Wert der Eigenschaft p gleich x ist, dann muss Aktion y durchgeführt werden.
Eigenschaften sind Schlüsselelemente, die in allen Regeln auf der Appliance verwendet werden. Das
genaue Verständnis einer Eigenschaft ist grundlegend wichtig für das Verständnis der gesamten Regel.
Beim Erstellen einer Regel ist es immer sinnvoll, mit der Überlegung zu beginnen, welche Eigenschaft
genutzt werden soll. Nimmt man die Eigenschaft einer bereits vorhandenen Regel als Beispiel, so
könnten Sie folgende Überlegung anstellen:
Ich möchte Viren und andere Malware filtern. Hierfür nutze ich die Eigenschaft „mit Virus infiziert“ und
verwende diese als Grundlage zum Erstellen einer Regel. Wenn ein bestimmtes Web-Objekt diese
Eigenschaft besitzt, lasse ich die Regel eine Blockierungsaktion vornehmen.
Die entsprechende Regel könnte folgendermaßen aussehen:
Wenn „mit Virus infiziert“ den Wert „true“ hat (für ein bestimmtes Web-Objekt), dann blockiere den
Zugriff auf dieses Objekt.
Das Web-Objekt könnte z. B. eine Datei sein, die von einem Web-Server auf Anfrage eines Benutzers
im Netzwerk gesendet wurde und die auf der Appliance abgefangen und gefiltert wird.
In diesem Abschnitt werden die Eigenschaften und Regeln auf Deutsch benannt und beschrieben. Auf
der Benutzeroberfläche der Appliance werden diese dann auf Englisch angezeigt, das Format
unterscheidet sich jedoch nicht wesentlich von der normalerweise verwendeten Sprache.
Die oben beschriebene Regel bezüglich Virusinfektionen könnte auf der Benutzeroberfläche
folgendermaßen aussehen:
Antimalware.Infected equals true –> Block (Default)
Hierbei ist Antimalware.infected (Malware-Schutz infiziert) die Eigenschaft und Block (blockieren) die
Aktion, die standardmäßig durchgeführt wird.
Der Pfeil wird auf der Benutzeroberfläche nicht angezeigt, sondern nur in dieser Darstellung
hinzugefügt, um zu verdeutlichen, dass die Blockierungsaktion ausgelöst wird, wenn ein Web-Objekt
tatsächlich die besagte Eigenschaft aufweist.
Filtern von Benutzern
Eigenschaften können nicht nur im Zusammenhang mit Web-Objekten, sondern auch mit den sie
anfragenden Benutzern verwendet werden.
Beispielsweise könnte eine Regel die Eigenschaft Benutzergruppen, in denen dieser Benutzer Mitglied
ist nutzen, um alle Anfragen von Benutzern zu blockieren, die nicht zu einer zugelassenen Gruppe
gehören:
34
Produkthandbuch
3
Regeln
Wenn Benutzergruppen, deren Mitglied der Benutzer ist (für einen bestimmten Benutzer), nicht in der
Liste zugelassener Gruppen enthalten sind, dann werden von diesem Benutzer gesendete Anfragen
blockiert.
Filterzyklen
Der Filterprozess auf der Appliance weist drei Zyklen auf: „Request“ (Anfrage), „Response“ (Antwort)
und „Embedded Objects“ (Eingebettete Objekte). Es kann immer nur jeweils einer dieser Zyklen
laufen.
Der Zyklus „Request“ (Anfrage) wird zum Filtern von Anfragen ausgeführt, die Benutzer Ihres
Netzwerks an das Web senden, der Zyklus Response (Antwort) hingegen für die Antworten, die auf
diese Anfragen aus dem Web empfangen werden.
Wenn mit den Anfragen oder Antworten eingebettete Objekte gesendet werden, wird als zusätzlicher
Verarbeitungszyklus der Zyklus „Embedded Objects“ (Eingebettete Objekte) ausgeführt.
Ein eingebettetes Objekt ist z. B. eine Datei, die mit einer Anfrage zum Hochladen einer Datei
gesendet wird und die in die betreffende Datei eingebettet ist. Der Filterprozess beginnt mit dem
Zyklus „Request“ (Anfrage), wobei die Anfrage gefiltert und die Datei überprüft wird, deren Upload
angefordert wurde. Anschließend wird der Zyklus „Embedded Objects“ (Eingebettete Objekte) für die
eingebettete Datei gestartet.
Ebenso werden der Zyklus Response (Antwort) und der Zyklus „Embedded Objects“ (Eingebettete
Objekte) nacheinander für eine Datei gestartet, die als Antwort von einem Web-Server gesendet wird
und in die eine andere Datei eingebettet ist.
Für jede Regel auf der Appliance wird angegeben, in welchem Zyklus sie verarbeitet wird. Der Zyklus
wird jedoch nicht einzeln für eine Regel angegeben, sondern für den Regelsatz, in dem sie enthalten
ist.
Ein Regelsatz kann in nur einem Zyklus oder in einer Kombination von Zyklen verarbeitet werden.
Prozessablauf
Im Filterprozess werden die implementierten Regeln nacheinander verarbeitet, je nach den Positionen,
an denen sie in ihren jeweiligen Regelsätzen aufgeführt sind.
Die Regelsätze selbst werden in der Reihenfolge des Regelsatzsystems verarbeitet, die auf der
Registerkarte Rule Sets (Regelsätze) der Benutzeroberfläche angezeigt wird.
In jedem der drei Zyklen werden die implementierten Regelsätze der Reihe nach durchsucht, um
festzustellen, welche Regelsätze im jeweiligen Zyklus verarbeitet werden müssen.
Wenn eine Regel verarbeitet wird und anzuwenden ist, löst sie eine Aktion aus. Die Aktion führt eine
Filtermaßnahme aus, z. B. Blockieren einer Anfrage für den Zugriff auf ein Web-Objekt oder Entfernen
eines angeforderten Objekts.
Darüber hinaus wirkt sich eine Aktion auf den Filterprozess aus. Sie kann angeben, dass der
Filterprozess komplett beendet werden muss, dass einige Regeln übersprungen werden und der
Prozess anschließend fortgesetzt wird oder dass einfach mit der nächsten Regel fortgefahren werden
soll.
Die Verarbeitung wird auch beendet, nachdem alle implementierten Regeln verarbeitet wurden.
Produkthandbuch
35
3
Regeln
Demzufolge kann der Prozessablauf wie folgt aussehen:
Alle Regeln wurden für alle
konfigurierten Zyklen
verarbeitet, und es wurde
keine weitere anwendbare
Regel mehr gefunden.
–> Die Verarbeitung wird beendet.
Im Anfragezyklus wird gestattet, dass die Anfrage an den
entsprechenden Web-Server übergeben wird.
Im Antwortzyklus wird die aus dem Web gesendete Antwort an
den entsprechenden Benutzer weitergeleitet.
Im Zyklus für eingebettete Objekte wird gestattet, dass das
eingebettete Objekt zusammen mit der Anfrage bzw. der
Antwort übergeben wird, mit der es gesendet wurde.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
Eine Regel wird angewendet,
und sie erfordert, dass die
Verarbeitung vollständig
beendet werden muss.
–> Die Verarbeitung wird beendet.
Ein Beispiel für eine Regel, die die Verarbeitung vollständig
beendet, ist eine Regel mit einer Blockierungsaktion.
Wenn beispielsweise eine Anfrage blockiert wird, weil die
angeforderte URL in einer Blockierungsliste aufgeführt wird, ist
eine weitere Verarbeitung ohne jeden Nutzen.
Es wird keine Antwort empfangen, da die Anfrage blockiert und
nicht an den entsprechenden Web-Server übergeben wurde.
Auch ein möglicherweise mit der Anfrage gesendetes
eingebettetes Objekt muss nicht gefiltert werden, weil die
Anfrage ohnehin blockiert wird.
An den von der Aktion betroffenen Benutzer wird eine Meldung
gesendet; in dieser wird der Benutzer z. B. über die Blockierung
der Anfrage und die Gründe für diese Aktion informiert.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
Verarbeitung für den aktuellen
Regelsatz beendet werden
muss.
–> Die Verarbeitung für diesen Regelsatz wird beendet.
Die auf die beendende Regel folgenden Regeln des Regelsatzes
werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines
Regelsatzes beendet, ist eine Whitelist-Regel, auf die in
demselben Regelsatz eine Blockierungsregel folgt.
Wird ein angefordertes Web-Objekt in einer Whitelist gefunden,
wird das Weiterleiten der Anfrage ohne weitere Filtervorgänge
zugelassen. Daher erfolgt keine weitere Verarbeitung des
Regelsatzes, und die Regel, die das Objekt schließlich blockiert,
wird übersprungen.
Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt.
Der nächste Regelsatz kann Regeln enthalten, die z. B. eine
Anfrage blockieren, obwohl deren Weiterleitung durch den
vorhergehenden Regelsatz zugelassen wurde.
Verarbeitung für den aktuellen
Zyklus beendet werden muss.
–> Die Verarbeitung für diesen Zyklus wird beendet.
Die Regel und die Regelsätze, die auf die beendende Regel im
Zyklus folgen, werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines Zyklus
beendet, ist eine Regel für globale Whitelists.
36
Produkthandbuch
Regeln
Regelelemente
3
Wird ein angefordertes Web-Objekt in einer globalen Whitelist
gefunden, wird das Weiterleiten der Anfrage an den
entsprechenden Web-Server zugelassen. Um sicherzustellen,
dass die Anfrage nicht schließlich durch eine der folgenden
Regeln und Regelsätze blockiert wird, wird die Verarbeitung des
Anfragezyklus beendet.
Die Verarbeitung wird mit dem nächsten Zyklus fortgesetzt.
Verarbeitung mit der nächsten
Regel fortgesetzt wird.
–> Die Verarbeitung wird mit der nächsten Regel fortgesetzt.
Dabei kann es sich um die nächste Regel im aktuellen Regelsatz
oder um die erste Regel im nächsten Regelsatz oder Zyklus
handeln.
Ein Beispiel für eine Regel, die die nahtlose Fortsetzung des
Filterprozesses ermöglicht, ist eine Statistikregel.
Diese Regel zählt lediglich Anfragen durch Erhöhen eines
Zählers; andere Aktionen werden von ihr nicht durchgeführt.
Regelelemente
Eine Web Security-Regel auf der Appliance weist drei Hauptelemente auf: Criteria, Action und
(optional) Event (Kriterien, Aktion und Ereignis).
1
Criteria (Kriterien)
Diese bestimmen, ob eine Regel angewendet wird.
In anderer Regelsyntax wird anstelle von Criteria (Kriterien) der Begriff Condition (Bedingung)
verwendet.
If the category of a URL is on list x, ...
Die Kriterien setzen sich aus drei Elementen zusammen: Property, Operator und Operand
(Eigenschaft, Operator und Operand)
•
Property (Eigenschaft)
Bezieht sich auf ein Web-Objekt oder einen Benutzer.
... the category of a URL ...
•
Operator
Verknüpft die Eigenschaft mit einem Operanden.
... is on list ...
•
Operand
Gibt einen Wert an, den die Eigenschaft aufweisen kann.
... x (list name), ...
Der Operand wird auf der Benutzeroberfläche auch als Parameter bezeichnet.
Produkthandbuch
37
3
Regeln
Regelelemente
2
Action (Aktion)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... block the URL ...
3
Event (Ereignis)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... and log this action.
Ein Ereignis ist für eine Regel optional. Eine Regel kann zudem über mehrere Ereignisse verfügen.
Format von Regeln auf der Benutzeroberfläche
Auf der Benutzeroberfläche werden Regeln im folgenden Format dargestellt.
Abbildung 3-1 Format einer Regel auf der Benutzeroberfläche
In der folgenden Tabelle wird die Bedeutung der einzelnen Elemente einer Regel erläutert.
Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche
Option
Definition
Enabled
(Aktiviert)
Ermöglicht Ihnen das Aktivieren bzw. Deaktivieren der Regel.
Name
Der Name der Regel
• Block URLs... Text für den Namen
• Category BlockList (im Namen der Regel): Von der Regel verwendete Liste
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist und Sie Einträge hinzufügen müssen.
38
Produkthandbuch
3
Regeln
Regelelemente
Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche (Fortsetzung)
Option
Definition
Criteria (Kriterien) Kriterien der Regel
Die Kriterien werden erst angezeigt, nachdem Sie auf die Schaltfläche Show details
(Details anzeigen) geklickt haben.
• URL.Categories: Eigenschaft
• <Default>: Einstellungen des Moduls, das einen Wert für die Eigenschaft abruft
Die hier angezeigten Einstellungen für Default sind z. B. die Einstellungen des URL
Filter-Moduls.
Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im
Bearbeitungsmodus geöffnet.
Der Modulname wird in der Regel nicht angezeigt. Er wird jedoch im Fenster Edit
(Bearbeiten) für die Regelkriterien angegeben.
• at least one in list: Operator
• Category BlockList: Operand (wird auch als Parameter bezeichnet)
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
Der Listenname wird sowohl im Regelnamen als auch in den Kriterien angezeigt,
sodass er auch dann verfügbar ist, wenn die Kriterien nicht sichtbar sind.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist.
Action (Aktion)
Die Aktion der Regel
• Block: Name der Aktion
• <URLBlocked>: Einstellungen der Aktion
Events
(Ereignisse)
Ein oder mehrere Ereignisse der Regel
Die Ereignisse werden erst dann vollständig angezeigt, nachdem Sie auf die
Schaltfläche Show Details (Details anzeigen) geklickt haben.
• Statistics.Counter. Increment: Name des Ereignisses
• "BlockedByURLFilter, 1": Parameter des Ereignisses
• <Default>: Einstellungen des Ereignisses
Komplexe Kriterien
Die Kriterien einer Regel können durch die Konfiguration mit zwei oder mehr Teilen komplex gestaltet
werden.
Bei komplexen Kriterien verfügt jeder Teil über eine Eigenschaft mit Operator und Operand. Die Teile
sind durch UND bzw. ODER verbunden.
Produkthandbuch
39
3
Regeln
Regelsätze
Die Kriterien sind erfüllt, wenn eine gefilterte URL zu einer Kategorie gehört, die sich in einer der
beiden angegebenen Kategorielisten (oder in beiden) befindet.
Wenn Sie Kriterien mit drei oder mehr Teilen konfigurieren, und sowohl UND als auch ODER zwischen
ihnen verwenden, müssen Sie durch Setzen von Klammern angeben, wie die Teile logisch verbunden
sind. Beispielsweise hat (a UND b) ODER c eine andere Bedeutung als a UND (b ODER c).
Wenn Sie auf der Benutzeroberfläche einen dritten Kriterienteil hinzufügen, werden Kleinbuchstaben
vor den Teilen angezeigt, und unten im Konfigurationsbereich wird ein zusätzliches Feld eingefügt.
Das Feld zeigt Ihre Kriterienteile in Kurzform an, z. B. a UND b ODER c. Sie können dann nach Bedarf
Klammern im Feld eingeben.
Regelsätze
Regeln werden in Regelsätzen auf der Appliance gruppiert und eingeschlossen. Eine Regel kann nicht
eigenständig verwaltet werden, sie muss in einem Regelsatz enthalten sein.
Ein Regelsatz kann eine einzige Regel oder mehrere Regeln enthalten. Er kann auch einen oder
mehrere untergeordnete Regelsätze enthalten. Wenn untergeordnete Regelsätze enthalten sind,
können sich einzelne Regeln auf derselben Ebene wie die untergeordneten Regelsätze befinden.
Regelsätze enthalten normalerweise Regeln, die zusammenwirken, um eine bestimmte Funktion zum
Gewährleisten der Web-Sicherheit bereitzustellen.
Ein Regelsatz für die Viren- und Malware-Filterung beispielsweise enthält eine Regel, die infizierte
Objekte blockiert und eine oder mehrere andere Regeln, die Objekte in Whitelists aufnehmen, damit
für diese die Blockierungsregel umgangen wird und Benutzer darauf zugreifen können.
Sie können die implementierten Regelsätze ändern und eigene Regelsätze erstellen, um
Funktionseinheiten aufzubauen, die den konkreten Anforderungen Ihres Netzwerks gerecht werden.
Regelsatzkriterien
Ebenso wie Regeln weisen Regelsätze Kriterien auf und werden angewendet, wenn ihre Kriterien erfüllt
sind.
Normalerweise unterscheiden sich die Kriterien eines Regelsatzes von denen seiner Regeln. Damit eine
Regel angewendet wird, müssen sowohl ihre eigenen Kriterien als auch die Kriterien ihres Regelsatzes
erfüllt sein.
Regelsatzzyklen
Regelsätze werden mit ihren Regeln in drei Zyklen des Filterprozesses verarbeitet.
Ein Regelsatz kann in einer beliebigen Kombination dieser Zyklen verarbeitet werden, z. B.
ausschließlich im Anfragezyklus, sowohl im Anfrage- als auch im Antwortzyklus oder aber in allen drei
Zyklen.
Die Zyklen eines Regelsatzes sind gleichzeitig diejenigen der einzelnen in ihm enthaltenen Regeln. Eine
Regel kann in Bezug auf Zyklen kein Verhalten aufweisen, das von dem des Regelsatzes abweicht.
Untergeordnete Regelsätze
Regelsätze können untergeordnete Regelsätze enthalten. Ein untergeordneter Regelsatz verfügt über
eigene Kriterien.
Hinsichtlich der Zyklen kann er nur in den Zyklen des übergeordneten Regelsatzes verarbeitet werden;
er muss jedoch nicht in allen diesen Zyklen verarbeitet werden.
40
Produkthandbuch
Regeln
Regelsatzsystem
3
Auf diese Weise kann ein untergeordneter Regelsatz so konfiguriert werden, dass er ausschließlich in
einem bestimmten Zyklus angewendet wird, während ein anderer untergeordneter Regelsatz in einem
anderen Zyklus verarbeitet wird.
Ein Regelsatz für die Medientyp-Filterung kann sich z. B. auf alle Zyklen beziehen, er kann jedoch
untergeordnete Regelsätze enthalten, die nur in bestimmten Zyklen verarbeitet werden.
Regelsatz Media Type Filtering (für Anfragen, Antworten und eingebettete Objekte)
•
Untergeordneter Regelsatz Media Type Upload (für Anfragen)
•
Untergeordneter Regelsatz Media Type Download (für Antworten und eingebettete Objekte)
Regelsatzsystem
Regelsätze werden auf der Appliance in einem Regelsatzsystem implementiert.
Wenn eine Web-Zugriffanfrage auf der Appliance empfangen wird, werden für diese Anfrage alle
Regelsätze im System der Reihe nach von oben nach unten verarbeitet.
Wenn festgestellt wird, dass eine Regel in einem Regelsatz anwendbar ist, wird die Aktion der
betreffenden Regel ausgeführt. Wenn die Aktion „Block“ (Blockieren) ist, wird die Verarbeitung
beendet. Andere Aktionen hingegen setzen die Verarbeitung auf bestimmte Weise fort.
Ebenso werden die Regelsätze des implementierten Systems für Antworten und eingebettete Objekte
verarbeitet, die mit Anfragen und Antworten gesendet werden.
Arbeiten mit dem Regelsatzsystem
Während der Erstkonfiguration der Appliance wird ein Standardsystem von Regelsätzen implementiert.
Sie können dieses System wie folgt optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen:
•
Ändern von Regeln und Regelsätzen
•
Löschen von Regeln und Regelsätzen
•
Erstellen von neuen Regeln und Regelsätzen
•
Importieren von Regelsätzen
•
Verschieben von Regeln und Regelsätzen an neue Positionen
•
Kopieren von Regeln und Einfügen der Regeln in anderen Regelsätzen
Standard-Regelsatzsystem
Das Standard-Regelsatzsystem sieht wie folgt aus (untergeordnete Regelsätze sind nicht abgebildet).
Tabelle 3-2 Standard-Regelsatzsystem
Regelsatz
Beschreibung
SSL Scanner
Bereitet SSL-gesicherten Web-Datenverkehr für die Verarbeitung
durch andere Filterfunktionen vor.
(standardmäßig nicht aktiviert)
Global Whitelist
Gibt an, dass die Filterung von Anfragen für in Whitelists enthaltene
URLs oder IP-Adressen übersprungen wird.
Common Rules
Stellt Funktionen bereit, die den Filterprozess unterstützen, z. B.
Web-Caching, Fortschrittsanzeige und Öffnen von Archiven.
Produkthandbuch
41
3
Regeln
Tabelle 3-2 Standard-Regelsatzsystem (Fortsetzung)
Regelsatz
Beschreibung
URL Filtering
Steuert das Filtern von einzelnen URLs und von URL-Kategorien.
Media Type Filtering
Steuert das Filtern von bestimmten Medientypen.
Gateway AntiMalware
Steuert die Viren- und Malware-Filterung mithilfe von
Virussignaturen und proaktiven Methoden.
Die Regelsatz-Bibliothek stellt Regelsätze bereit, die Sie in Ihr Regelsatzsystem importieren können.
Sie können einen Regelsatz importieren, um z. B. eine Funktion hinzuzufügen, die in Ihrem System
nicht vorhanden ist oder wenn die implementierten Regelsätze für Ihr Netzwerk nicht geeignet sind.
•
Die Regelsatz-Bibliothek enthält zudem die Regelsätze, die Teil des Standard-Regelsatzsystems
sind.
•
Weitere Regelsätze sind in einer Online-Regelsatz-Bibliothek verfügbar. Ein Link zu dieser Bibliothek
befindet sich im Fenster der Regelsatz-Standardbibliothek.
Im Standard-Regelsatzsystem sind Regelsätze in Kategorien gruppiert, z. B. Authentifizierung oder
URL-Filterung.
In der folgenden Tabelle sind die Kategorien der Regelsatz-Standardbibliothek aufgelistet.
Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen
42
Regelsatzkategorie
Zweck der enthaltenen Regelsätze
Application Control
(Anwendungssteuerung)
Filtern von Anwendungen und einzelnen Funktionen von
Anwendungen
Authentication (Authentifizierung)
Authentifizieren von Benutzern
Coaching/Quota (Coaching/Kontingente)
Festlegen von Kontingenten und anderen
Einschränkungen für den Web-Zugriff von Benutzern
Common Rules (Allgemeine Regeln)
Unterstützen des Filterprozesses, z. B. durch
Web-Caching, Fortschrittsanzeige oder Öffnen von
Archiven
DLP
Implementieren von Data Loss Prevention
ePO
Aktivieren der Verwendung von ePolicy Orchestrator
Error Handling (Fehlerbehandlung)
Implementieren von Maßnahmen der Fehlerbehandlung
Gateway Anti-Malware
Filtern von Web-Objekten auf Infektionen mit Viren und
sonstiger Malware
HTML/Script Filter (HTML-/Skript-Filter)
Filtern von HTML-Seiten und Skripts
ICAP Client (ICAP-Client)
Ausführen eines ICAP-Clients auf einer Appliance
Logging (Protokollierung)
Protokollieren der Filterung und anderer Aktivitäten
Media Type Filter (Medientypfilter)
Filtern von bestimmten Medientypen
Mobile Security (Sicherheit für
Mobilgeräte)
Filtern des Datenverkehrs von Mobilgeräten
Next Hop Proxy (Nächster-Hop-Proxy)
Verwenden von Nächster-Hop-Proxys für die
Datenübertragung
Privacy (Datenschutz)
Ändern von Anfragen zum Gewährleisten des
Datenschutzes
Produkthandbuch
Regeln
3
Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen (Fortsetzung)
Regelsatzkategorie
Zweck der enthaltenen Regelsätze
SiteAdvisor Enterprise
Verwenden des SiteAdvisor zum Filtern von Anfragen
SSL Scanner (SSL-Scanner)
Verarbeiten von SSL-gesichertem Web-Datenverkehr
URL Filter (URL-Filter)
Filtern einzelner URLs und von URL-Kategorien
Web Hybrid
Aktivieren der Synchronisierung mit dem McAfee SaaS
Web Protection Service
Auf der Registerkarte Rule Sets (Regelsätze) können Sie mit Regeln und Regelsätzen arbeiten.
Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Rule Sets (Regelsätze)
beschrieben.
Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze)
Element
Beschreibung
Symbolleiste „Rule Sets“ (Regelsätze) Elemente zum Arbeiten mit den Regelsätzen in der
Regelsatz-Baumstruktur
Regelsatz-Baumstruktur
Verzeichnisstruktur, in der die Regelsätze der Appliance-Konfiguration
angezeigt werden
Produkthandbuch
43
3
Regeln
Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze) (Fortsetzung)
Element
Beschreibung
Menü „Rule sets“ (Regelsätze)
Schaltflächen zum Anzeigen der Verzeichnisstrukturen für folgende
Elemente:
• (Allgemeine) Regelsätze
• Protokoll-Handler-Regelsätze
• Fehler-Handler-Regelsätze
• Benutzerdefinierte Eigenschaften (für die Verwendung in
Regelsatzkriterien, Regelkriterien und Regelereignissen)
Symbolleiste „Rules“ (Regeln)
Elemente zum Arbeiten mit Regeln
Regeln
Regeln des derzeit ausgewählten Regelsatzes
Symbolleiste „Rule Sets“ (Regelsätze)
Die Symbolleiste „Rules Sets“ (Regelsätze) bietet die folgenden Optionen.
Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze)
Option
Definition
Add (Hinzufügen)
Öffnet ein Menü oder ein Fenster zum Hinzufügen eines Elements, in
Abhängigkeit von der aktuellen Auswahl im Menü „Rule sets“ (Regelsätze).
• (Rule Sets (Regelsätze) ist ausgewählt): Öffnet ein Menü, in dem Folgendes
ausgewählt werden kann:
• Rule Set from Library (Regelsatz aus Bibliothek): Öffnet das Fenster Add from Rule
Set Library (Aus Regelsatz-Bibliothek hinzufügen), in dem ein Regelsatz aus
der Regelsatz-Bibliothek hinzugefügt werden kann.
• Rule Set (Regelsatz): Öffnet das Fenster Add New Rule Set (Neuen Regelsatz
hinzufügen), in dem Sie der Appliance-Konfiguration einen Regelsatz
hinzufügen können.
• Top-Level Rule Set (Regelsatz der obersten Ebene): Öffnet das Fenster Add New
Top-Level Rule Set (Neuen Regelsatz der obersten Ebene hinzufügen), in dem
Sie in der Regelsatz-Baumstruktur einen Regelsatz an oberster Position
hinzufügen können.
• (Log Handler (Protokoll-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Log Handler (Protokoll-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Log Handler (Neuen Protokoll-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Protokoll-Handler-Regelsatz hinzufügen
können.
• (Error Handler (Fehler-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Error Handler (Fehler-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Error Handler (Neuen Fehler-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Fehler-Handler-Regelsatz hinzufügen können.
• (User-Defined Property (Benutzerdefinierte Eigenschaft) ist ausgewählt): Hiermit
können Sie User-Defined Property (Benutzerdefinierte Eigenschaft) auswählen, um
das Fenster Add New User-Defined Property (Neue benutzerdefinierte Eigenschaft
hinzufügen) zum Hinzufügen einer Eigenschaft zu öffnen.
44
Export (Exportieren)
Öffnet das Fenster Export Rule Set (Regelsatz exportieren), in dem Sie einen
Regelsatz in die Bibliothek oder in eine Datei exportieren können.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule Set (Regelsatz bearbeiten), in dem Sie einen
ausgewählten Regelsatz bearbeiten können.
Produkthandbuch
Regeln
3
Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze) (Fortsetzung)
Option
Definition
Delete (Löschen)
Löscht einen ausgewählten Regelsatz.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen
müssen.
Move up (Nach oben)
Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach oben.
Move down (Nach unten) Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach unten.
Move out of
(Verschieben aus)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz auf die gleiche
Ebene wie der übergeordnete Regelsatz.
Move into (Verschieben
in)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz in den
Regelsatz, der auf den betreffenden Regelsatz folgt.
Expand all (Alle
einblenden)
Zeigt alle ausgeblendeten Elemente in der Regelsatz-Baumstruktur an.
Collapse all (Alle
ausblenden)
Blendet alle angezeigten Elemente in der Regelsatz-Baumstruktur aus.
Symbolleiste „Rules“ (Regeln)
Die Symbolleiste „Rules“ (Regeln) bietet die folgenden Optionen.
Tabelle 3-6 Symbolleiste „Rules“ (Regeln)
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Rule (Regel hinzufügen), in dem eine Regel
hinzugefügt werden kann.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule (Regel bearbeiten), in dem eine ausgewählte
Regel bearbeitet werden kann.
Delete (Löschen)
Löscht eine ausgewählte Regel.
müssen.
Move up (Nach oben)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach oben.
Move down (Nach unten)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach unten.
Copy (Kopieren)
Kopiert eine ausgewählte Regel.
Paste (Einfügen)
Fügt eine kopierte Regel ein.
Show details (Details anzeigen) Zeigt die Details des Regeleintrags einschließlich der Kriterien an bzw.
blendet diese aus.
Das Erstellen einer Regel umfasst verschiedene Schritte, die jeweils für die unterschiedlichen Elemente
einer Regel erforderlich sind.
Zum Erstellen einer Regel wird das Fenster Add Rule (Regel hinzufügen) verwendet. Hier können Sie die
zum Konfigurieren der Regelelemente erforderlichen Aktivitäten in der von Ihnen gewünschten
Reihenfolge durchführen.
Sie können beispielsweise mit dem Benennen und Aktivieren einer Regel beginnen und anschließend
Kriterien, die Aktion sowie ein Ereignis hinzufügen.
Produkthandbuch
45
3
Regeln
Aufgaben
•
Benennen und Aktivieren einer Regel auf Seite 46
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
•
Hinzufügen von Regelkriterien auf Seite 49
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
•
Hinzufügen einer Regelaktion auf Seite 50
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien
ausgeführt wird.
•
Hinzufügen eines Regelereignisses auf Seite 51
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei
Übereinstimmung mit den Regelkriterien ausgeführt wird bzw. werden.
Benennen und Aktivieren einer Regel
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die neue Regel aus.
3
Klicken Sie über dem Einstellungsbereich auf Add Rule (Regel hinzufügen).
Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt
ist.
4
Konfigurieren Sie allgemeine Einstellungen für die Regel:
a
Geben Sie im Feld Name einen Namen für die Regel ein.
b
Wählen Sie Enable rule (Regel aktivieren), damit die Regel zusammen mit dem Regelsatz
verarbeitet wird.
c
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur
Regel ein.
Setzen Sie das Hinzufügen der Regelelemente fort.
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen)
Das Fenster zum Hinzufügen der Regelkriterien bietet eine Reihe von Funktionen, die die Auswahl
geeigneter Elemente für Kriterien erleichtern.
Gemäß den drei Elementen der Regelkriterien ist auch das Fenster in die folgenden drei Spalten
unterteilt:
•
Linke Spalte zum Auswählen einer Eigenschaft
•
Mittlere Spalte zum Auswählen eines Operators
•
Rechte Spalte zum Auswählen eines Operanden
Innerhalb einer Spalte werden Eigenschaften, Operatoren und Operanden in Listen angezeigt.
46
Produkthandbuch
Regeln
3
Sie können beispielsweise Folgendes auswählen:
•
Linke Spalte: MediaType.EnsuredTypes
•
Mittlere Spalte: non in list
•
Rechte Spalte: Anti-Malware Media Type Whitelist
Damit wird das Kriterium MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist
erstellt. Wenn Sie Block (Blockieren) als Aktion hinzufügen, erhalten Sie eine Regel zum Blockieren
des Zugriffs auf Medien sämtlicher Typen, die sich nicht in der angegebenen Whitelist befinden.
Im Fenster werden Sie durch Folgendes bei der Auswahl geeigneter Elemente unterstützt:
•
Listen werden gemäß den von Ihnen angegebenen Filtereinstellungen gefiltert.
•
Bei der Auswahl eines Elements in einer Spalter werden die Listen in anderen Spalten entsprechend
angepasst, sodass nur Elemente angezeigt werden, die sich für die Konfiguration mit dem
ausgewählten Element eignen.
•
Listenelemente in der linken und der rechten Spalte werden in die Kategorien Recommended
(Empfohlen), Suggested (Vorgeschlagen) und Other (Sonstige) gruppiert, wenn eine solche
Kategorisierung für die derzeit angezeigten Elemente möglich ist.
•
Es werden zwei oder drei Elemente (je ein Element pro Spalte) vorab ausgewählt, wenn diese
Kombination empfehlenswert ist.
Beginnen mit der linken oder rechten Spalte
Je nach Ihren Vorstellungen in Bezug auf die weiteren Kriterien können Sie mit der Auswahl eines
Elements aus der linken oder der rechten Spalte beginnen.
Wenn das Kriterium z. B. Bestandteil einer Regel zum Filtern infizierter Web-Objekte sein soll, können
Sie beginnen, indem Sie die Antimalware.Infected-Eigenschaft in der linken Spalte auswählen und
anschließend überprüfen, welche geeigneten Elemente damit kombiniert werden können. Mögliches
Ergebnis: Antimalware.Infected (Eigenschaft) equals (Operator) true (Operand).
Wenn Sie jedoch die Kriterien in eine Regel einschließen möchten, die den Zugriff Ihrer Benutzer im
Netzwerk auf Drogenhändler-Websites verhindern soll, könnten Sie beginnen, indem Sie die
URL-Kategorieliste Drugs (Drogen) als Operanden auswählen und diesen anschließend mit einem
geeigneten Operator und einer geeigneten Eigenschaft kombinieren. Mögliches Ergebnis:
URL.Categories (Eigenschaft) at least one in list (Operator) Drugs (Operand).
Linke Spalte
In der Liste in der linken Spalte des Fensters können Sie eine Eigenschaft auswählen. Die derzeit
ausgewählte Eigenschaft wird in der Spalte an oberster Stelle im Feld Selected property (Ausgewählte
Eigenschaft) angezeigt.
Sie können die Liste wie folgt anpassen:
•
Filtern Sie die Liste.
•
Filtern Sie mithilfe des Menüs Filter nach Folgendem:
•
Eigenschaftentyp
•
Modul (auch als Engine bezeichnet), das aufgerufen wird, um einen Wert für eine Eigenschaft
zu liefern
Produkthandbuch
47
3
Regeln
•
Gruppe von Kriterien, z. B. Kriterien für „Anti-Malware“, für „Media Type“ usw.
Dieser Teil des Menüs wird auch unmittelbar vor dem Öffnen des Fensters angezeigt. Nach
dem Auswählen einer Gruppe von Kriterien werden in den Listen sämtlicher Spalten lediglich
die Elemente angezeigt, die für das Konfigurieren von Kriterien der ausgewählten Gruppe
geeignet sind.
•
•
•
Benutzerdefinierte Eigenschaften (sodass nur die betreffenden Eigenschaften angezeigt
werden)
Mit einem Filterbegriff, den Sie im Eingabefeld unterhalb des Menüs eingeben
Fügen Sie der Liste mithilfe der Schaltfläche und des Fensters Add User-Defined Property
(Benutzerdefinierte Eigenschaft hinzufügen) selbstkonfigurierte Eigenschaften hinzu.
Wenn Sie einen Operanden in der Liste in der rechten Spalte auswählen, wird die Liste automatisch
angepasst. Es werden dann nur Eigenschaften angezeigt, die sich für die Konfiguration mit dem
betreffenden Operanden eignen.
Nach dem Auswählen einer Eigenschaft können Sie deren Einstellungen und Parameter konfigurieren
(sofern vorhanden). Anschließend werden die Schaltflächen Settings (Einstellungen) und Parameter
angezeigt, über die Fenster zum Konfigurieren der entsprechenden Elemente aufgerufen werden.
Mittlere Spalte
In der Liste in der mittleren Spalte des Fensters können Sie einen Operator auswählen. Der derzeit
ausgewählte Operator wird in der Spalte an oberster Stelle im Feld Selected operator (Ausgewählter
Operator) angezeigt.
Wenn Sie ein Element in der Liste in der linken bzw. rechten Spalte auswählen, wird die Liste
automatisch angepasst. Es werden dann nur Operatoren angezeigt, die sich für die Konfiguration mit
den betreffenden Elementen eignen.
Rechte Spalte
In der Liste in der rechten Spalte des Fensters können Sie einen Operanden auswählen. Der derzeit
ausgewählte Operand wird in der Spalte an oberster Stelle im Feld Selected operand (Ausgewählter
Operand) angezeigt.
Ein Operand kann ein Einzelelement von verschiedenen Typen, einer Liste von Elementen oder einer
anderen Eigenschaft sein. Die Einzeloperanden können vom Typ Boolean, String, Number, Category
usw. sein.
Sie können die Liste wie folgt anpassen:
•
Wählen Sie einen Operandentyp (einschließlich des Listen- und Eigenschaftentyps) in der Liste
oben in der Spalte aus.
In der Hauptliste werden dann nur Elemente dieses Typs angezeigt.
•
(Nur für Listen und Eigenschaften:) Filtern Sie die Liste mithilfe des Dropdown-Menüs Filter oder des
darunter befindlichen Eingabefelds.
Wenn Listen als Operanden angezeigt werden, werden am unteren Rand der Spalte die Schaltflächen
Add <Listentyp> (<Listentyp> hinzufügen) und Edit <Listentyp> (<Listentyp> bearbeiten) angezeigt. Über
diese Schaltflächen können Sie Fenster öffnen, in denen Sie auf normale Weise Listen hinzufügen und
bearbeiten können.
Die Liste wird automatisch angepasst, wenn Sie eine Eigenschaft in der Liste in der linken Spalte
auswählen. Anschließend werden nur Operanden angezeigt, die für die Konfiguration mit der
betreffenden Eigenschaft geeignet sind.
48
Produkthandbuch
Regeln
3
Hinzufügen von Regelkriterien
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Rule Criteria (Regelkriterien).
2
Im Abschnitt Apply this rule (Diese Regel anwenden) können Sie auswählen, wann die Regel
angewendet werden soll:
•
Always (Immer): Die Regel wird immer angewendet.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Die Regel wird angewendet, wenn
die konfigurierten Kriterien erfüllt werden.
Fahren Sie mit dem nächsten Schritt fort.
3
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie im Dropdown-Menü
eine Kriteriengruppe aus.
Nun wird das Fenster Add Criteria (Kriterien hinzufügen) geöffnet, das die geeigneten Elemente zum
Konfigurieren der Kriterien aus der ausgewählten Gruppe enthält.
Wenn Sie die Elemente aller Kriterien anzeigen möchten, klicken Sie auf Advanced criteria (Kriterien –
erweitert).
Im Fenster werden drei Spalten angezeigt:
•
Links: Auswahl einer Eigenschaft
•
Mitte: Auswahl eines Operators
•
Rechts: Auswahl eines Operanden
Die aktuell ausgewählten Elemente werden in den einzelnen Spalten jeweils oben unter Selected
property (Ausgewählte Eigenschaft), Selected operator (Ausgewählter Operator) bzw. Compare with
(Vergleichen mit) angezeigt.
Das Fenster unterstützt die Auswahl geeigneter Elemente, indem die Listen der anderen Spalten
automatisch angepasst werden, sobald Sie in einer Spalte ein Element ausgewählt haben. In den
anderen Spalten werden nun ausschließlich Elemente angezeigt, die gemeinsam mit dem
ausgewählten Element konfiguriert werden können.
Sie können mit der Auswahl sowohl in der linken als auch in der rechten Spalte beginnen.
Entsprechend können die Schritte 4 bis 6 auch in umgekehrter Reihenfolge erfolgen.
Wenn eines Ihrer Kriterien die Nutzung einer Liste als Operand ist, wird empfohlen, diese Liste aus
der rechten Spalte auszuwählen.
4
Wählen Sie eine Eigenschaft aus.
a
Wählen Sie aus der Liste in der linken Spalte ein Element aus, bzw. lassen Sie das
vorausgewählte Element unverändert (falls dies zutrifft).
Sie können die Liste auch filtern und selbstkonfigurierte Eigenschaften hinzufügen.
Produkthandbuch
49
3
Regeln
b
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der Einstellungen
erforderlich sind, wählen Sie diese aus dem Dropdown-Menü Settings (Einstellungen) aus, das für
die Eigenschaft angezeigt wird, oder lassen Sie die vorkonfigurierten Einstellungen unverändert.
c
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der das Festlegen von
Parametern erforderlich ist, klicken Sie unter dem Eigenschaftsnamen auf Parameters (Parameter).
In dem nun angezeigten Fenster können Sie mittels der vorhandenen Optionen die Werte für
alle benötigten Parameter festlegen.
5
Wählen Sie aus der Liste in der mittleren Spalte einen Operator aus, bzw. lassen Sie den
vorausgewählten unverändert (falls dies zutrifft).
6
Wählen Sie aus der Liste in der rechten Spalte einen Operanden aus, bzw. übernehmen Sie den
vorausgewählten (sofern vorhanden). Sollte die Liste leer sein, geben Sie einen geeigneten Wert
ein, z. B. eine Zahl.
Wenn der Typ der angezeigten Operanden geändert werden soll, wählen Sie aus der Liste
oben in der Spalte einen anderen Typen aus.
Nach der Auswahl eines bestimmten Operanden bzw. Operandentyps werden die Listen in der
mittleren und der linken Spalte angepasst und zeigen ausschließlich passenden Operatoren und
Eigenschaften an.
7
Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
Die neuen Kriterien werden nun im Fenster Add Rule (Regel hinzufügen) angezeigt.
Wenn Sie komplexere Kriterien konfigurieren möchten, wiederholen Sie die Schritte 3 bis 6 zum
Konfigurieren weiterer Teilkriterien.
Die einzelnen Teilkriterien können durch die in diesem Fall verfügbaren Optionen AND (UND) bzw.
OR (ODER) kombiniert werden. Beim Vorhandensein von drei oder mehr Teilkriterien wird das Feld
Criteria combination (Kriterienkombination) angezeigt. Legen Sie dort durch Eingabe von Klammern
fest, welche logische Verbindung zwischen den Teilkriterien bestehen soll.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
Hinzufügen einer Regelaktion
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien ausgeführt wird.
Vorgehensweise
50
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Action (Aktion).
2
Wählen Sie aus der Liste Action (Aktion) eine der folgenden Aktionen aus:
•
Continue (weiter): Fährt mit der Verarbeitung der nächsten Regel fort.
•
Block (Blockieren): Blockiert den Zugriff auf ein Objekt und beendet die Regelverarbeitung.
•
Redirect (Umleiten): Leitet den Client, der den Zugriff auf ein Objekt anfragt, auf ein anderes
Objekt um.
•
Authenticate (Authentifizieren): Beendet die Verarbeitung des aktuellen Zyklus und sendet eine
Authentifizierungsanfrage.
•
Stop Rule Set (Regelsatz anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes und fährt
mit dem nächsten Regelsatz fort.
Produkthandbuch
3
Regeln
3
•
Stop Cycle (Zyklus anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes, blockiert
jedoch nicht den Zugriff auf das angefragte Objekt.
•
Remove (Entfernen): Entfernt das angefragte Objekt und beendet die Verarbeitung des aktuellen
Zyklus.
[Falls zutreffend] Wenn Sie eine Aktion ausgewählt haben, für die Einstellungen erforderlich sind
(Blockieren, Umleiten, Authentifizieren), wählen Sie aus der Liste Settings (Einstellungen) die
entsprechenden Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
4
Wenn Sie alle erforderlichen Regelelemente erstellt haben, aber kein Ereignis hinzufügen möchten,
dann führen Sie folgende Schritte durch:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
Klicken Sie auf Finish (Fertig stellen).
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem
dafür ausgewählten Regelsatz angezeigt.
Hinzufügen eines Regelereignisses
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei Übereinstimmung mit
den Regelkriterien ausgeführt wird bzw. werden.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Events (Ereignisse).
2
Klicken Sie im Abschnitt Events (Ereignisse) auf Add (Hinzufügen), und wählen Sie im
Dropdown-Menü den Eintrag Events (Ereignisse) aus.
Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen).
3
Wählen Sie in der Liste Event (Ereignis) ein Ereignis aus.
Tragen Sie zum Filtern der Liste einen Filterbegriff in das oberhalb der Liste befindliche Eingabefeld
ein.
4
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von
Einstellungen erforderlich ist, wählen Sie aus der Liste Settings (Einstellungen) die entsprechenden
Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
5
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von Parametern
erforderlich ist, klicken Sie auf Parameters (Parameter). In dem nun angezeigten Fenster können Sie
mittels der vorhandenen Optionen die Werte für alle benötigten Parameter festlegen.
6
Klicken Sie auf OK.
Das Fenster Add Event (Ereignis hinzufügen) wird geschlossen, und das neue Ereignis wird nun in der
Liste Events (Ereignisse) angezeigt.
Produkthandbuch
51
3
Regeln
7
Sofern dies der letzte Schritt beim Hinzufügen ist:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
dafür ausgewählten Regelsatz angezeigt.
Sie können einen Regelsatz erstellen und diesen zur Konfiguration hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Klicken Sie über der Regelsatz-Baumstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich ein Dropdown-Menü.
4
Wählen Sie die Option Rule Set (Regelsatz) aus.
Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen).
5
6
7
8
Konfigurieren Sie für den Regelsatz die folgenden allgemeinen Einstellungen:
•
Name: Name der Regel
•
Enable (Aktivieren): Bei Auswahl dieser Option wird der Regelsatz aktiviert.
•
[Optional] Comment (Kommentar): Kommentar zum Regelsatz im Nur-Text-Format
Konfigurieren Sie im Abschnitt Applies to (Anwendung auf) die Verarbeitungszyklen. Sie können nur
einen Zyklus oder auch eine beliebige Kombination dieser drei Zyklen auswählen:
•
Requests (Anfragen): Der Regelsatz wird verarbeitet, wenn auf der Appliance Anfragen von
Benutzern des Netzwerks eingehen.
•
Responses (Antworten): Der Regelsatz wird verarbeitet, wenn Antworten von Web-Servern
empfangen werden.
•
Embedded objects (eingebettete Objekte): Der Regelsatz wird verarbeitet, wenn mit Anfragen oder
Antworten eingebettete Objekte mitgesendet werden.
Im Abschnitt Apply this rule set (Diesen Regelsatz anwenden) können Sie konfigurieren, wann der
Regelsatz angewendet werden soll:
•
Always (Immer): Der Regelsatz wird immer angewendet.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Der Regelsatz wird angewendet,
wenn die unten konfigurierten Kriterien erfüllt werden.
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen).
52
Produkthandbuch
Regeln
9
3
Konfigurieren Sie im Bereich Property (Eigenschaft) eine Eigenschaft unter Verwendung folgender
Elemente:
•
Property (Eigenschaft): Auswahlliste für Eigenschaften (Typ der jeweiligen Eigenschaft wird in
Klammern angezeigt)
•
Search (Suchen): Öffnet das Fenster Property Search (Eigenschaftensuche), in dem Sie nach
Eigenschaften suchen können.
•
Parameter: Öffnet das Fenster Property Parameters (Eigenschaftenparameter), in dem bis zu drei
Parameter hinzugefügt werden können (siehe Schritt 10).
Wenn die Eigenschaft keine Parameter beinhaltet, ist dieses Symbol abgeblendet.
•
Settings (Einstellungen): Auswahlliste für Einstellungen des Moduls, das für die Eigenschaft einen
Wert ausgibt (Modulnamen werden in Klammern angezeigt).
Wenn für eine Eigenschaft keine Einstellungen erforderlich sind, ist dieses Symbol abgeblendet,
und es wird ergänzend die Information (not needed) (nicht erforderlich) angezeigt.
•
Add (Hinzufügen; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie dies im
Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Edit (Bearbeiten): Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
der ausgewählten Einstellungen.
Falls für die Eigenschaft keine Parameter konfiguriert werden müssen, klicken Sie auf OK, und
fahren Sie mit Schritt 11 fort.
10 Wenn Eigenschaftenparameter hinzugefügt werden müssen, verfahren Sie folgendermaßen:
a
Klicken Sie auf Parameter.
Daraufhin öffnet sich das Fenster Property Parameters (Eigenschaftenparameter).
b
Fügen Sie die benötigte Anzahl an Parametern hinzu.
Es gibt die zwei folgenden Parametertypen:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
11 Wählen Sie in der Liste Operator einen Operator aus.
12 Fügen Sie im Bereich Parameter einen Parameter (auch als Operand bezeichnet) hinzu.
Die beiden möglichen Parametertypen sind:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert).
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
13 Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
14 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf den neuen Regelsatz berechtigt ist.
Produkthandbuch
53
3
Regeln
15 Klicken Sie auf OK, um das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) zu schließen.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird geschlossen, und der Regelsatz wird
in das Regelsatzsystem eingefügt.
16 Klicken Sie auf Save Changes (Änderungen speichern).
Sie können einen Regelsatz aus der Bibliothek in Ihr Regelsatzsystem importieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Wählen Sie im Dropdown-Menü Add (Hinzufügen) die Option Rule Set from Library (Regelsatz aus
Bibliothek) aus.
Daraufhin öffnet sich ein Fenster mit einer Liste der Bibliotheks-Regelsätze.
4
Wählen den zu importierenden Regelsatz aus, z. B. den Regelsatz Gateway Antimalware.
Wenn beim Importieren des betreffenden Regelsatzes Konflikte auftreten, werden diese im Fenster
angezeigt.
Konflikte treten auf, wenn ein Regelsatz Konfigurationsobjekte wie Listen oder Einstellungen
verwendet, die bereits im Regelsatzsystem vorhanden sind.
5
Sie können Konflikte mit einer der folgenden Methoden beheben:
•
•
6
Klicken Sie auf Auto-Solve Conflicts (Konflikte automatisch beheben), und wählen Sie eine der
folgenden Strategien für alle Konflikte aus:
•
Solve by referring to the existing objects (Beheben durch Verweisen auf vorhandene Objekte): Wenn
Regeln des importierten Regelsatzes auf Objekte verweisen, die in der
Appliance-Konfiguration unter denselben Namen vorhanden sind, werden Verweise auf die
vorhandenen Objekte erstellt.
•
Solve by copying and renaming to suggested (Beheben durch Kopieren und Umbenennen in
vorgeschlagene Namen): Wenn Regeln des importierten Regelsatzes auf Objekte verweisen,
die in der Appliance-Konfiguration unter denselben Namen vorhanden sind, werden die
betreffenden Objekte ebenfalls verwendet, jedoch umbenannt, sodass Konflikte vermieden
werden.
Klicken Sie nacheinander auf die aufgelisteten Konflikte, um sie einzeln zu beheben, indem Sie
jedes Mal eine der beiden obigen Strategien auswählen.
Klicken Sie auf OK.
Der Regelsatz wird nun in der Regelsatz-Baumstruktur eingefügt. Er ist standardmäßig aktiviert.
Vom Regelsatz zum Durchführen der Filteraufgaben benötigte Listen und Einstellungen werden
zusammen mit dem Regelsatz implementiert. Sie werden in der Struktur der Listen und der
Einstellungs-Baumstruktur angezeigt.
54
Produkthandbuch
Regeln
7
Verwenden Sie ggf. die blauen Pfeile oberhalb der Regelsatz-Baumstruktur, um den Regelsatz an
die gewünschte Position zu verschieben.
8
3
Beim Erstellen von bzw. beim Arbeiten mit vorhandenen Regelsätzen, Listen oder Einstellungen
können Sie den Zugriff darauf beschränken.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) bzw. Lists (Listen) oder Settings (Einstellungen)
aus.
2
Navigieren Sie in der Verzeichnisstruktur zu der Position, an der Sie das neue Element hinzufügen
möchten.
3
Klicken Sie oben in der Verzeichnisstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add (Hinzufügen).
4
Führen Sie die Schritte zum Hinzufügen eines neuen Elements aus. Klicken Sie anschließend auf die
Registerkarte Permissions (Berechtigungen).
Es können drei Zugriffsmodi konfiguriert werden: Read and Write (Lesen und Schreiben), Read
(Lesen) und No Access (Kein Zugriff).
5
Klicken Sie unter dem Abschnitt Read and Write (Lesen und Schreiben) auf Add (Hinzufügen).
Das Fenster Add Role or User (Rolle oder Benutzer hinzufügen) wird geöffnet.
6
Wählen Sie in der Liste im entsprechenden Abschnitt eine Rolle oder einen Benutzer (oder mehrere
Einträge des entsprechenden Typs gleichzeitig) aus. Sie können auch im Feld Wildcard (Platzhalter)
einen Platzhalterausdruck als Namen einer Rolle oder eines Benutzers eingeben.
7
Fügen Sie im Feld Read and Write (Lesen und Schreiben) die erforderliche Anzahl von Einträgen hinzu.
Löschen Sie Einträge, indem Sie unter dem Abschnitt auf die Schaltfläche Delete (Löschen) klicken.
8
Füllen Sie die Abschnitte Read (Lesen) und No Access (Kein Zugriff) auf dieselbe Weise.
9
Konfigurieren Sie mithilfe der Optionsfelder unter All other roles have (Alle anderen Rollen verfügen
über) den Zugriff für alle Rollen und Benutzer, die in keiner der Listen auf der Registerkarte
enthalten sind.
10 Klicken Sie auf OK, um das Fenster zu schließen.
Produkthandbuch
55
3
Regeln
56
Produkthandbuch
4
Listen
Listen werden von Regeln zum Abrufen von Informationen über Web-Objekte und Benutzer verwendet.
Es gibt verschiedene Arten von Listen, die sich zum Beispiel hinsichtlich des Erstellers oder der darin
enthaltenen Elementtypen unterscheiden. Dementsprechend arbeiten Sie auf unterschiedliche Art mit
diesen Listen.
Listen erscheinen an verschiedenen Stellen auf der Benutzeroberfläche, zum Beispiel in den Kriterien
von Regeln und Regelsätzen, auf der Registerkarte „Lists“ (Listen) und in den Einstellungen.
Nach der ersten Einrichtung der Appliance werden die Listen gemeinsam mit dem Regelsatzsystem
implementiert.
Sie können die Listen des implementierten Systems überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Listen erstellen.
Inhalt
Listentypen
Registerkarte „Lists“ (Listen)
Zugreifen auf eine Liste
Erstellen einer Liste
Arbeiten mit verschiedenen Listentypen
Externe Listen
Abonnierte Listen
Zuordnungstyplisten
Allgemeiner Katalog
JSON-Daten (JavaScript Object Notation)
Produkthandbuch
57
4
Listen
Listentypen
Listentypen
Web-Sicherheitsregeln verwenden verschiedene Listentypen zum Abrufen von Informationen zu
Web-Objekten und Benutzern.
Nachfolgend finden Sie die wichtigsten Listentypen auf einer Appliance:
•
Benutzerdefinierte Listen: Diese Listen können von Ihnen verändert werden. Sie werden in der
Listen-Baumstruktur im oberen Zweig auf der Registerkarte Lists (Listen) angezeigt.
Benutzerdefinierte Listen enthalten Zeichenfolge, Nummer, Kategorie und andere Listentypen.
Verschiedene Listentypen erfordern möglicherweise unterschiedliche Methoden zur Verwaltung.
•
Systemlisten: Diese Listen können nicht direkt von Ihnen verändert werden. Sie werden in der
Listenbaumstruktur im unteren Zweig auf der Registerkarte Lists (Listen) angezeigt.
Systemlisten enthalten Kategorie, Medientyp und Anwendungsnamenliste. Sie werden immer dann
aktualisiert, wenn Sie ein Upgrade auf eine neue Version von Web Gateway vornehmen.
Zusätzlich werden Systemlisten, die für Data Loss Prevention (DLP) und zur Anwendungsfilterung
verwendet werden, in von Ihnen geplante automatische Aktualisierungen einbezogen.
Die Kategorielisten, aus denen Sie beim Konfigurieren des Teils der URL-Filtereinstellungen, die für
den Dynamic Content Classifier gelten, auswählen können, werden bei diesen Aktualisierungen
ebenfalls einbezogen.
•
Interne Listen: Diese Listen können ebenfalls geändert werden, werden auf der Registerkarte Lists
(Listen) jedoch nicht angezeigt. Sie werden intern in den Einstellungen eines
Konfigurationselements angezeigt, z. B. im Rahmen der Einstellungen eines Netzwerkprotokolls.
Neben den hier aufgeführten Listen können Sie mit Listen arbeiten, für die Sie den Inhalt aus einer
externen Quelle abrufen (externe und abonnierte Listen).
58
Produkthandbuch
Listen
4
Auf der Registerkarte Lists (Listen) können Sie mit Listen arbeiten.
Hauptelemente der Registerkarte „Lists“ (Listen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Liste (Listen) beschrieben.
Tabelle 4-1 Hauptelemente der Registerkarte „Lists“ (Listen)
Element
Beschreibung
Listen-Symbolleiste
Elemente zum Arbeiten mit den Listen in der Listenbaumstruktur
Listen-Baumstruktur
Verzeichnisstruktur, die die Listen der Appliance-Konfiguration anzeigt
Listeneinträge-Symbolleiste Einstellungen für das derzeit ausgewählte Element in der
Einstellungs-Baumstruktur
Listeneinträge
Einträge der aktuell ausgewählten Liste
Listen-Symbolleiste
Die Listen-Symbolleiste bietet die folgenden Optionen.
Produkthandbuch
59
4
Listen
Tabelle 4-2 Listen-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen einer Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Liste bearbeiten) zum Bearbeiten einer
ausgewählten Liste.
Delete (Löschen)
Löscht eine ausgewählte Liste.
müssen
Import (Importieren)
Öffnet den Datei-Manager auf Ihrem System, damit Sie eine Liste
importieren können.
Öffnet den Datei-Manager auf Ihrem System, damit Sie die in der
Listen-Baumstruktur ausgewählte Liste exportieren können.
View (Anzeigen)
Öffnet ein Menü zum Anzeigen der Listen auf unterschiedliche Weise (A-Z,
Z-A, nach Listentyp, mit oder ohne Listentypen, für die derzeit keine Listen
vorhanden sind).
Expand All (Alle einblenden)
Zeigt alle bis dahin ausgeblendeten Elemente der Listen-Baumstruktur
wieder an.
Collapse All (Alle ausblenden) Blendet alle in der Listen-Baumstruktur eingeblendeten Elemente aus.
Listeneinträge-Symbolleiste
Die Listeneinträge-Symbolleiste bietet die folgenden Optionen.
Tabelle 4-3 Listeneinträge-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
eines Listeneintrags, z. B. das Fenster Add String (Zeichenfolge hinzufügen).
Add multiple (Mehrere
hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
mehrerer Listeneinträge, wenn dies für einen Listentyp möglich ist.
Edit (Bearbeiten)
Öffnet das Fenster Edit <List type> (<Listentyp> bearbeiten) zum Bearbeiten
eines ausgewählten Listeneintrags, z. B. das Fenster Edit String (Zeichenfolge
bearbeiten).
Delete (Löschen)
Löscht einen ausgewählten Listeneintrag.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang
bestätigen müssen.
Move up (Nach oben)
Verschiebt einen Eintrag in der Liste nach oben.
Move down (Nach unten)
Verschiebt einen Eintrag in der Liste nach unten.
Filter (Filtern)
Feld zur Eingabe eines Filterbegriffs, sodass nur übereinstimmende
Einträge angezeigt werden
Die Filterfunktion wird sofort ausgeführt, sobald Sie ein Zeichen in das Feld
eingeben.
60
Produkthandbuch
4
Listen
Sie können auf eine Liste über die Registerkarte Lists (Listen) zugreifen oder indem Sie in einer Regel
auf den entsprechenden Listennamen klicken.
Aufgaben
•
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) auf Seite 61
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie
die entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
•
Zugreifen auf eine Liste in einer Regel auf Seite 61
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der
Registerkarte Rule Sets (Regelsätze), und klicken Sie darauf.
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen)
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie die
entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
Vorgehensweise
1
Wählen Sie Policy | Lists (Richtlinie | Listen) aus.
2
Navigieren Sie in der Listen-Baumstruktur zu dem Zweig, der die gewünschte Liste enthält, und
klicken Sie auf den Listennamen.
Daraufhin werden im Einstellungsbereich die Listeneinträge angezeigt.
Nun können Sie mit der Liste arbeiten.
Zugreifen auf eine Liste in einer Regel
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der Registerkarte
Rule Sets (Regelsätze), und klicken Sie darauf.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit der gewünschten
Liste enthält.
Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Führen Sie in der Regel mit der Liste, auf die Sie zugreifen möchten, einen der folgenden Schritte
aus:
•
Klicken Sie im Regelnamen auf den Listennamen, sofern dieser dort enthalten ist.
•
Klicken Sie in den Regelkriterien auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List <Typ> (Liste <Typ> bearbeiten), wobei <Typ> hier für den
Typ der gewünschten Liste steht.
Nun können Sie mit der Liste arbeiten.
Produkthandbuch
61
4
Listen
Zusätzlich zu den bei der Erstkonfiguration der Appliance implementierten oder aus der Bibliothek
importierten Listen können Sie auch eigene Listen erstellen.
Für das Erstellen einer Liste sind die beiden folgenden Schritte erforderlich:
•
Hinzufügen einer neuen Liste
•
Füllen der neuen Liste mit Einträgen
Aufgaben
•
Hinzufügen einer neuen Liste auf Seite 62
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
•
Füllen einer Liste mit Einträgen auf Seite 62
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit
Einträgen füllen.
Hinzufügen einer neuen Liste
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
Vorgehensweise
1
2
Navigieren Sie in der Listen-Baumstruktur zu der Position, an der die gewünschte Liste eingefügt
werden soll.
3
Klicken Sie auf der Symbolleiste auf Add (Hinzufügen).
Daraufhin wird das Fenster Add List (Liste hinzufügen) geöffnet, in dem die Registerkarte Add List
(Liste hinzufügen) ausgewählt ist.
4
Mithilfe der folgenden Elemente können Sie die allgemeinen Einstellungen der Liste konfigurieren:
•
Name: Name der Liste
•
Comment (Kommentar): [Optional] Kommentar zur Liste im Nur-Text-Format
•
Type (Typ): Liste zur Auswahl des Listentyps
5
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf die Liste berechtigt ist.
6
Klicken Sie auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der
Listen-Baumstruktur angezeigt.
7
Nun können Sie Einträge in die Liste einfügen.
Füllen einer Liste mit Einträgen
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit Einträgen füllen.
Vorgehensweise
62
1
2
Wählen Sie in der Struktur der Listen die Liste aus, der Einträge hinzugefügt werden sollen.
Produkthandbuch
Listen
3
4
Klicken Sie im Abschnitt für Einstellungen auf Add (Hinzufügen).
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geöffnet, z. B. das Fenster Add String
(Zeichenfolge hinzufügen).
4
Fügen Sie einen Eintrag in der entsprechenden Weise für den jeweiligen Listentyp hinzu.
5
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Listeneintrag ein.
6
Klicken Sie auf OK.
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geschlossen, und der Eintrag wird nun in
der Liste angezeigt.
7
Die Vorgehensweise bei der Arbeit mit Listen hängt vom Listentyp ab.
Wenn der Typ beispielsweise String (Zeichenfolge) ist, können Sie Einträge hinzufügen, indem Sie im
Fenster Add String (Zeichenfolge hinzufügen) im Feld String (Zeichenfolge) Zeichenfolgen eingeben. Wenn
der Typ jedoch MediaType ist, müssen Sie einen Eintrag aus einem Medientypordner auswählen, der
Teil eines Ordnersystems ist.
Listen für Zeichenfolgen und Platzhalterausdrücke verfügen über eine Option zum gleichzeitigen
Hinzufügen mehrerer Einträge. Klicken Sie dazu auf „Add multiple“ (Mehrere hinzufügen), und geben
Sie für jeden Eintrag Text in einer neuen Zeile ein.
In einer Medientypliste können Sie gleichzeitig mehrere Einträge oder Ordner auswählen, wenn Sie
diese nicht separat hinzufügen möchten.
Aufgaben
•
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs auf Seite 63
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für
eine globale Whitelist verwendet wird.
•
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste auf Seite 64
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf
alle URLs blockieren lassen, die in diese Kategorie fallen.
•
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen auf Seite 65
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen
hinzufügen.
Hinzufügen eines Platzhalterausdrucks zu einer globalen
Whitelist für URLs
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für eine
globale Whitelist verwendet wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz aus, der Regeln für das Führen einer
globalen Whitelist enthält, beispielsweise Global Whitelist.
Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt.
Produkthandbuch
63
4
Listen
3
Suchen Sie nach der Regel, die mittels einer Whitelist Anfragen freistellt, wenn die Hosts der dabei
übermittelten URLs mit den Platzhalterausdrücken in der Liste übereinstimmen, z. B. URL.Host matches
in list Global Whitelist, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie
Einträge hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Wildcard Expression) (Liste bearbeiten, Platzhalterausdruck).
4
Klicken Sie auf Add (Hinzufügen).
5
Geben Sie im Feld Wildcard expression (Platzhalterausdruck) einen Platzhalterausdruck ein.
Wenn Sie gleichzeitig mehrere Platzhalterausdrücke hinzufügen möchten, klicken Sie auf Add multiple
(Mehrere hinzufügen), und beginnen Sie für jeden Platzhalterausdruck eine neue Zeile.
6
[Optional] Geben Sie in das Feld Comment (Kommentar) einen Kommentar zum Platzhalterausdruck
im Nur-Text-Format ein.
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Platzhalterausdruck wird nun in der Whitelist angezeigt.
8
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf alle URLs
blockieren lassen, die in diese Kategorie fallen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regeln zur URL-Filterung
enthält.
3
Suchen Sie nach der Regel, die eine auf Kategorien basierende Blockierungsliste verwendet, z. B.
Block URLs whose category is in Category BlockList, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben der Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge
hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie).
4
Erweitern Sie den Gruppenordner, der die zu blockierende Kategorie enthält, z. B. Purchasing
(Einkauf), und wählen Sie die Kategorie aus, z. B. Online Shopping (Online-Shopping).
Wenn Sie mehrere Kategorien auf einmal hinzufügen möchten, wählen Sie mehrere Kategorien
oder einen bzw. mehrere Gruppenordner aus.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Kategorie wird nun in der Blockierungsliste angezeigt.
6
64
Produkthandbuch
4
Listen
Externe Listen
Hinzufügen eines Medientyps zu einer Filterliste für
Medientypen
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu einem Regelsatz mit Regeln zur Medienfilterung,
z. B. dem untergeordneten Regelsatz Download Media Types, und wählen Sie diesen aus.
3
Wählen Sie die Regel Block types from Media Type Blocklist aus, und klicken Sie auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List (MediaType) (Liste bearbeiten, Medientyp).
4
Klicken Sie auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten). Es enthält eine Liste mit Gruppenordnern mit
Medientypen.
5
Erweitern Sie den Gruppenordner, der den hinzuzufügenden Medientypen enthält, z. B. Audio, und
wählen Sie den Medientypen aus, beispielsweise audio/mp4.
Wenn Sie mehrere Medientypen auf einmal hinzufügen möchten, wählen Sie mehrere Medientypen
oder einen bzw. mehrere Gruppenordner aus.
6
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Medientyp wird nun in der Filterliste angezeigt.
7
Externe Listen
Daten können aus externen Quellen (z. B. von Web-Servern) abgerufen und in Regeln auf der
Appliance verwendet werden.
Bei diesen Daten kann es sich um eine ganze Liste oder um einen einzelnen Wert handeln. Im
Allgemeinen werden sie als externe Listen oder Daten aus externen Listen bezeichnet. In einer
externen Liste können unterschiedliche Datentypen wie Zeichenfolgen, Zahlen, IP-Adressen usw.
vorhanden sein.
Ein wichtiges Merkmal von externen Listen besteht darin, dass sie dynamisch auf der Appliance
verarbeitet werden. Das Abrufen und Konvertieren der Daten aus externen Listen erfolgt komplett zur
Laufzeit, wenn die Daten erstmalig in einer Regel verwendet werden.
Nach dem Abrufen der Daten werden diese für einen konfigurierbaren Zeitraum in einem internen
Cache, jedoch nicht auf einem Datenträger gespeichert, sodass sie bei einem Neustart der Appliance
nicht erhalten bleiben. Zudem werden externe Listen nicht in der Struktur der Listen auf der
Benutzeroberfläche aufgeführt.
Eigenschaften für externe Listen
Der Zugriff auf die aus externen Quellen abgerufenen Daten wird über spezielle Eigenschaften
ermöglicht. Der Name einer Eigenschaft für externe Listen ist ExtLists.<Typ>, wobei <Typ> den Typ
der Elemente in der Liste angibt, die den Wert der Eigenschaft darstellt. Der Wert von
ExtLists.IntegerList ist beispielsweise eine Liste von ganzen Zahlen. Mögliche Listenelementtypen sind
Zeichenfolge, Zahl, Platzhalterausdruck u. a.
Produkthandbuch
65
4
Listen
Externe Listen
Normalerweise ist der Wert einer Eigenschaft für externe Listen eine Liste, es gibt jedoch auch
Eigenschaften für externe Listen für einzelne Werte. Wenn eine externe Quelle mehrere Werte als
Eingabe für den letzteren Typ von Eigenschaft liefert, wird lediglich der letzte Wert abgerufen und
gespeichert.
Daten aus externen Listen können je nach Quelltyp gefiltert werden. Zudem können sie in ein anderes
Format konvertiert werden; dies hängt vom Typ der Eigenschaft ab, die in der jeweiligen Regel
verwendet wird.
Indem Sie Parameter für eine Eigenschaft für externe Listen konfigurieren, können Sie Platzhalter
angeben, die zur Laufzeit durch Eigenschaftenparameter ersetzt werden. Durch die Angabe dieser
Platzhalter können Sie den Inhalt einer externen Liste von Kriterien wie einem Benutzernamen oder
Benutzergruppennamen abhängig machen.
Für Protokollierungszwecke können Sie die Eigenschaft ExtLists.LastUsedListName verwenden, deren
Wert der Name der Einstellungen für das Modul „External Lists (Externe Listen) ist, die zuletzt
verwendet wurden.
Modul „External Lists“
Um anzugeben, welche Daten aus einer externen Quelle abgerufen werden sollen, müssen Sie die
Einstellungen des Moduls External Lists konfigurieren, das die Daten abruft (dieses Modul wird auch
als Filter für externe Listen bezeichnet).
Wenn keine externen Daten abgerufen werden können, gibt das Modul „External Lists“ einen
Fehlercode zurück, der mit Fehler-Handler-Regeln verarbeitet werden kann. Für diesen Zweck ist ein
gesonderter Bereich von Fehler-IDs verfügbar.
Das Modul „External Lists“ belegt Speicher beim Caching von Daten, die es aus externen Quellen
abruft. Dies sollten Sie beim Einrichten von Regeln für die Verarbeitung externer Listen
berücksichtigen.
Quellen von Daten aus externen Listen
Zu den Quellen der Inhalte, mit denen externe Listen gefüllt werden, zählen Folgende:
•
Ein Web-Dienst, auf den unter dem HTTP-, HTTPS- oder FTP-Protokoll zugegriffen wird
•
Eine Datei in Ihrem lokalen Dateisystem
•
Ein LDAP- oder LDAPS-Server
•
Eine Datenbank:
•
PostgreSQL
•
SQLite3
Beim Abfragen der Datenbanken wird die SQL-Abfragesprache verwendet. Das konkrete Abfrageformat
kann sich jedoch für beide Datenbanktypen unterscheiden.
Da eine SQLite3-Datenbank dateibasiert arbeitet, empfiehlt es sich, sie für Testzwecke und nicht in
einer Produktionsumgebung zu nutzen. Dennoch können Sie diesen Typ ggf. nutzen, wenn Sie bereits
über Daten in einer Datenbank dieses Typs verfügen. Andernfalls ist es einfacher, einen Web-Dienst
oder eine Dateidatenquelle zu nutzen, um Inhalte externer Listen abzurufen.
Empfohlene Verwendung
Die Arbeit mit externen Listen empfiehlt sich u. a. in den nachfolgend beschriebenen Fällen.
66
Produkthandbuch
4
Listen
Externe Listen
Sie müssen eine große Anzahl von Listen verwalten, die zum Großteil in externen Quellen gespeichert
sind, Sie führen mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung aus,
und Sie müssen häufig Änderungen an den Listendaten vornehmen.
Beim Synchronisieren sämtlicher Listendaten auf allen Knoten ist möglicherweise keine Skalierbarkeit
mehr gegeben.
Verwenden externer Listendaten in Regeln
Zum Verarbeiten externer Listendaten müssen Sie Regeln konfigurieren, die passende Eigenschaften
für externe Listen in ihren Kriterien enthalten.
Angenommen, Sie möchten eine Anfrage für ein Web-Objekt blockieren, wenn dessen URL über eine
Ziel-IP-Adresse verfügt, die in einem der IP-Adressenbereiche in einer Liste liegt, die auf einer
externen Quelle gespeichert ist.
Sie können dies mit der folgenden Regel erreichen:
Block URLs with IP addresses in forbidden range
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –> Block<URL
Blocked>
Beim Verarbeiten der Regel wird überprüft, ob die IP-Adresse, bei der es sich um den Wert der
Eigenschaft URL.Destination.IP handelt, in einem der Bereiche in der Liste liegt, die der Wert für
ExtLists.IPRangeList ist.
Zusammen mit der Eigenschaft der externen Liste werden die <External Lists>-Einstellungen
angegeben. Hierbei handelt es sich um die Einstellungen, mit denen das Modul „External Lists“
(Externe Listen) die entsprechenden Daten als Wert für die Eigenschaft der externen Liste abruft.
Sie müssen diese Einstellungen konfigurieren, um dem Modul anzugeben, von welchem Speicherort
und auf welche Weise eine bestimmte externe Liste abgerufen werden soll. Wenn beispielsweise die
Liste in einer Textdatei auf einem Web-Server gespeichert wird, können Sie die URL für den Zugriff auf
die Datei angeben.
Außerdem können Sie Einstellungen wie Zeitlimits und Größenbeschränkungen konfigurieren.
Die Parameter der Eigenschaft einer externen Liste sind optional. In diesem Beispiel sind die
Parameter leer.
Standardmäßig sind auf der Appliance keine Regeln zur Verarbeitung externer Listen vorhanden. Wenn
Sie über Daten der externen Liste den Web-Zugriff für die Benutzer Ihres Netzwerks einschränken
möchten, müssen Sie eine oder mehrere Regeln wie die obigen Regeln einrichten und in einen
passenden Regelsatz einfügen.
Ersetzung und Platzhalter
Für eine höhere Flexibilität beim Abrufen externer Listendaten können Platzhalter beim Konfigurieren
der Einstellungen des Moduls „External Lists“ (Externe Listen) verwendet werden, z. B. in URLs.
Ein Platzhalter wird zur Laufzeit durch einen Wert ersetzt, den Sie als Parameter einer Eigenschaft für
externe Listen bereitstellen.
Angenommen, Sie möchten Daten von einem Web-Dienst abrufen, der Listen mit Medientypen
bereitstellt, die für einzelne Benutzer zulässig sind. Eine URL für einen bestimmten Medientyp sähe
dann wie folgt aus:
http://my-web-service.com/ mediatypes?user= <Wert>
Dabei ist <Wert> der Name eines Benutzers.
Produkthandbuch
67
4
Listen
Externe Listen
Da das Konfigurieren separater Einstellungen für das Modul „External Lists“ (Externe Listen) zur
individuellen Berücksichtigung jedes einzelnen Benutzers sehr aufwändig wäre, können Platzhalter wie
folgt verwendet werden:
•
Für den Parameter Web service’s URL (URL des Web-Diensts) in den Einstellungen geben Sie
Folgendes an:
http://my-web-service.com/mediatypes?user=${0}
Dabei ist ${0} ein Platzhalter für den ersten der drei Parameter der Eigenschaft für externe Listen,
die Sie in einer Regel verwenden.
•
Für den ersten Parameter der Eigenschaft für externe Listen geben Sie die Eigenschaft
Authentication.Username an.
Dadurch wird eine Liste mit den Medientypen abgerufen, die für einen individuellen Benutzer zulässig
sind. Der Benutzername ist der Name, den dieser Benutzer angegeben hat, als er sich nach dem
Senden einer Anfrage für den Zugriff auf einen bestimmten Medientyp authentifizieren musste.
Die folgenden beiden Platzhaltertypen können verwendet werden:
•
${<n>}: Durch einen konvertierten Wert ersetzter Platzhalter
<n> ist die Positionsnummer (0, 1, 2) für einen Parameter der Eigenschaft für externe Listen. Zur
Laufzeit wird dieser Platzhalter durch den Wert ersetzt, den Sie beim Konfigurieren des Parameters
angegeben haben.
Vor dem Ersetzen des Platzhalters wird der Wert konvertiert. Dieser Vorgang wird auch als
„Escaping“ bezeichnet. Die Konvertierung erfolgt gemäß den internen Regeln der beteiligten
Datenquelle.
Wenn die Quelle beispielsweise ein Web-Dienst ist, werden alle Zeichen ersetzt, die durch
%XX-Folgen nicht zulässig sind, wie im entsprechenden HTTP-Standard (RFC 2616) angegeben.
•
$<<n>>: Durch einen nicht konvertierten Wert ersetzter Platzhalter
Wie oben, jedoch ohne Konvertierung. Sie müssen also selber dafür sorgen, dass die Ersetzung zu
keinen unerwünschten Ergebnissen führt.
Sie können diesen Platzhaltertyp verwenden, wenn URLs vollständig und nicht nur teilweise ersetzt
werden.
Konfigurieren des Moduls „External Lists“
Sie können die Einstellungen für das Modul „External Lists“ konfigurieren, um die erforderlichen
Informationen anzugeben, anhand derer das Modul Daten aus externen Listen abruft.
Standardmäßig sind für dieses Modul auf der Appliance keine Einstellungen vorhanden. Sie müssen
einzelne Einstellungen hinzufügen und diese für jede externe Liste konfigurieren, aus der in einer
Regel Daten abgerufen werden sollen.
Vorgehensweise
1
Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus.
2
Wählen Sie in der Einstellungs-Baumstruktur External Lists (Externe Listen) aus, und klicken Sie auf
Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen).
3
68
Geben Sie im Feld Name den Namen der Einstellungen ein.
Produkthandbuch
Listen
Externe Listen
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
5
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an,
welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten.
6
Konfigurieren Sie die anderen Parameter der Einstellungen nach Bedarf.
7
Klicken Sie auf OK.
4
Das Fenster wird nun geschlossen, und die Einstellungen werden in der Einstellungs-Baumstruktur
unter External Lists (Externe Listen) angezeigt.
8
Einstellungen für das Modul „External Lists“
Mit den Einstellungen für das Modul „External Lists“ (Externe Listen) können Sie das Modul
konfigurieren, das Daten aus externen Quellen abruft.
Typ der Datenquelle
Einstellungen für den Typ der Quelle, von der die Daten abgerufen werden
Sie können bestimmte Einstellungen für jeden Quellentyp in einem anderen Abschnitt konfigurieren,
der je nachdem erscheint, was Sie hier auswählen.
Tabelle 4-4 Typ der Datenquelle
Option
Definition
Web service (Web-Dienst)
Daten werden mithilfe eines Web-Diensts unter dem HTTP-, HTTPS- oder
FTP-Protokoll abgerufen.
File on disk (Datei auf Datenträger) Daten werden aus einer Datei innerhalb Ihres lokalen Dateisystems
abgerufen.
LDAP
Data werden von einem LDAP-Server abgerufen.
Database (Datenbank)
Daten werden aus einer PostgreSQL- oder SQLite3-Datenbank
abgerufen.
Allgemeine Parameter
Einstellungen für Zeitbegrenzungen bei der Verarbeitung externer Listen
Produkthandbuch
69
4
Listen
Externe Listen
Tabelle 4-5 Allgemeine Parameter
Option
Definition
Operation timeout
(Vorgangszeitlimit)
Begrenzung der Zeit (in Sekunden), die verstreicht, bevor ein
Verarbeitungsvorgang für externe Listen abgebrochen wird, wenn er nicht
erfolgreich abgeschlossen werden kann.
Diese Option wird angewendet, wenn die Quelle einer externen Liste ein
Web-Server ist. Das Zeitlimit ist erreicht, wenn beispielsweise ein Web-Server
nicht auf die Anfrage der Appliance antwortet.
Das Ende des Zeitlimits können Sie wie folgt angeben:
• Simple expiration (Einfaches Ende): Bei Auswahl dieser Option können Sie im
Eingabefeld „Expiration time“ (Ablaufzeit) die Zeit (in Minuten) angeben, die
verstreichen soll, bevor abgerufene Listendaten aus dem internen Cache
gelöscht werden.
• Scheduled expiration (Geplantes Ende): Bei Auswahl dieser Option können Sie in
mehreren angezeigten Eingabefeldern die Zeit angeben, die verstreichen soll,
bevor eine externe Liste aus dem internen Cache gelöscht wird.
Expiration time
(Ablaufzeit)
Begrenzung der Zeit (in Minuten), die verstreicht, bevor abgerufene Daten aus
dem internen Cache gelöscht werden.
Minutes/Hours/Days/
Months/Week days
(Minuten/Stunden/Tage/
Monate/Wochentage)
Begrenzung der Zeit, die verstreicht, bevor abgerufene Daten aus dem internen
Cache gelöscht werden.
Diese Eingabefelder werden angezeigt, wenn Sie Scheduled expiration
(Geplantes Ende) auswählen.
Ihre Eingabe muss in einem „cron“-kompatiblen Format erfolgen, da der
Löschvorgang von einem Cron-Job berechnet und durchgeführt wird.
Weitere Informationen hierzu finden Sie auf der Hilfeseite crontab (5) der
Dokumentation für Linux (UNIX)-Betriebssysteme.
Sie können in einem dieser Felder oder in einer beliebigen Kombination aus
Feldern Werte angeben.
Datenkonvertierungseinstellungen
Einstellungen für die Konvertierung von Daten, die aus einer externen Quelle abgerufen wurden
Diese Einstellungen sind nur verfügbar, wenn Sie als Datenquelle Web service (Web-Dienst) oder File on
disk (Datei auf Datenträger) ausgewählt haben.
70
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-6 Datenkonvertierungseinstellungen
Option
Definition
Data type (Datentyp)
Hier können Sie das Eingabeformat der zu konvertierenden Daten auswählen.
Sie können eine der folgenden Optionen auswählen:
• Plain text (Nur-Text): Die Daten liegen im Nur-Text-Format vor.
Jede Zeile erscheint als separater Eintrag in einer konvertierten Liste.
Optional können Sie einen regulären Ausdruck als Filterbegriff im darunter
befindlichen Eingabefeld angeben. Dann werden nur Zeichenfolgen, die mit
diesem Begriff übereinstimmen, in die Liste eingetragen.
Wenn sich im regulären Ausdruck kein Gruppierungsoperator befindet, wird die
gesamte Zeichenfolge in einer Liste gespeichert. Andernfalls werden die von
der ersten Gruppe erfassten Daten gespeichert.
• XML: Die Daten liegen im XML-Format vor.
Sie müssen einen XPath-Ausdruck angeben, um die Daten abzurufenden
auszuwählen. Die Daten können beispielsweise nach XML-Tags oder -Attributen
abgerufen werden.
Regular expression
(Regulärer Ausdruck)
Hier können Sie einen regulären Ausdruck angeben, mit dem die zu
konvertierenden Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option Plain
text (Nur-Text) ausgewählt haben.
XPath expression
(XPath-Ausdruck)
Hier können Sie einen XPath-Ausdruck angeben, mit dem die zu konvertierenden
Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option XML
text (XML-Text) ausgewählt haben.
Informationen über die Verwendung von XPath-Ausdrücken finden Sie in der
entsprechenden Dokumentation, beispielsweise im XPath-Tutorial auf der Website
w3schools.
XPath expression for
second attribute (only
for MapType)
(XPath-Ausdruck für
zweites Attribut (nur für
MapType))
Hier können Sie einen XPath-Ausdruck für ein zweites Attribut angeben, das zum
Abrufen von Konvertierungsdaten vom Typ „Zuordnungstyp“ verwendet wird.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs abgerufen, das
durch das Angeben eines XPath-Ausdrucks im Feld XPath expression
(XPath-Ausdruck) konfiguriert wird.
Die Anzahl der Einträge, die mithilfe dieses XPath-Ausdrucks aus einer externen
Liste abgerufen werden, muss genauso groß wie die Anzahl der Einträge sein, die
mithilfe des Ausdrucks für das erste Attribut abgerufen werden.
Die Reihenfolge, in der die Einträge mithilfe der beiden Ausdrücke abgerufen
werden, muss ebenfalls gleich sein.
Web-Dienst-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein Web-Dienst ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option
„Web service“ (Web-Dienst) ausgewählt ist.
Produkthandbuch
71
4
Listen
Externe Listen
Tabelle 4-7 Web-Dienst-spezifische Parameter
Option
Definition
Web service’s URL (URL des Web-Diensts)
Hier können Sie die URL einer Datei auf einem Web-Server
angeben, die eine externe Liste enthält und die von einem
bestimmten Web-Dienst (HTTP, HTTPS oder FTP) bereitgestellt
wird.
In der URL können Sie einen Platzhalter angeben.
Specify authentication data
(Authentifizierungsdaten angeben)
Bei Auswahl dieser Option können Sie Informationen für eine
Authentifizierung angeben, die erfolgreich durchgeführt werden
muss, bevor Daten von einem Web-Dienst abgerufen werden
können
Type of HTTP authentication
(HTTP-Authentifizierungstyp)
Hier können Sie aus einer Liste einen HTTP-Authentifizierungstyp
auswählen.
Die folgenden Typen werden unterstützt: None (Keine), Basic
(Einfach), Digest
User's name (Benutzername)
Hier können Sie einen Benutzernamen angeben, der zur
Authentifizierung gesendet wird.
User's password (Benutzerkennwort)
Hier können Sie ein Kennwort festlegen, das zur Authentifizierung
gesendet wird.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des
Kennworts zu öffnen
Use next-hop proxy for access to server
(Proxy des nächsten Hops für
Server-Zugriff verwenden)
Bei Auswahl dieser Option erfolgt der Zugriff auf den Web-Server
über einen Proxy-Server des nächsten Hops
Wenn Sie dieses Kontrollkästchen aktivieren, können die
folgenden drei Elemente ausgewählt werden.
List of next-hop proxy servers to use (Liste Hier können Sie aus einer Liste einen Server auswählen, der als
der zu verwendenden Proxy-Server des
Proxy des nächsten Hops für den Zugriff auf den Web-Server
nächsten Hops)
verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein
Fenster zum Hinzufügen einer neuen Liste bzw. zum Bearbeiten
einer vorhandenen Liste zu öffnen.
List of certificate authorities (Liste der
Zertifizierungsstellen)
Hier können Sie aus einer Liste eine Zertifizierungsstelle
auswählen, die für die SSL-gesicherte Kommunikation mit einem
Web-Dienst verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein
Fenster zum Hinzufügen einer neuen Liste bzw. zum Bearbeiten
einer vorhandenen Liste zu öffnen.
List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header)
Hier können Sie aus einer Liste einen Header auswählen, der zu
einer HTTP-Anfrage hinzugefügt wird, nachdem sie auf einer
Appliance empfangen wurde.
In der folgenden Tabelle sind die Elemente eines Eintrags unter List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header) beschrieben.
72
Produkthandbuch
4
Listen
Externe Listen
Tabelle 4-8 Zusätzliche HTTP-Header – Listeneintrag
Option
Definition
Header name (Header-Name) Hier können Sie den Namen eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Header value (Header-Wert)
Hier können Sie den Wert eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Comment (Kommentar)
Hier können Sie einen Kommentar im Nur-Text-Format zum Header eingeben.
Dateispezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datei in Ihrem
lokalen Dateisystem ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option File
on disk (Datei auf Datenträger) ausgewählt ist.
Tabelle 4-9 Dateispezifische Parameter
Option
Definition
Full path to the file (Vollständiger Pfad zur Datei) Hier können Sie den Pfad zu der Datei in Ihrem lokalen
Dateisystem angeben, die die Quelle einer externen Liste ist.
LDAP-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein LDAP-Server ist
LDAP ausgewählt ist.
Tabelle 4-10 LDAP-spezifische Parameter
Option
Definition
LDAP server’s URL (URL des Hier können Sie den Namen der Datei in Ihrem lokalen Dateisystem
LDAP-Servers)
angeben, die die Quelle einer externen Liste ist.
In der URL können Sie einen Platzhalter angeben.
Um den möglichen Speicherort der Datei einzugrenzen, können Sie bei der
Konfiguration der Systemeinstellungen für externe Listen einen bestimmten
Teil Ihres lokalen Dateisystems angeben.
Die Datei muss sich dann in diesem Teil befinden, z. B. opt/mwg/temp.
List of certificate authorities
(Liste der
Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die für
die SSL-gesicherte Kommunikation mit einem Web-Dienst verwendet werden
kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum
Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste
zu öffnen.
User name (Benutzername)
Hier können Sie den Benutzernamen angeben, den die Appliance zum
Herstellen einer Verbindung mit einem LDAP-Server sendet.
LDAP password
(LDAP-Kennwort)
Hier können Sie das Kennwort festlegen, das die Appliance zum Herstellen
einer Verbindung mit einem LDAP-Server sendet.
Zum Festlegen oder Ändern des Kennworts verwenden Sie die Schaltfläche
Set/Change (Festlegen/Ändern).
Produkthandbuch
73
4
Listen
Externe Listen
Tabelle 4-10 LDAP-spezifische Parameter (Fortsetzung)
Option
Definition
Search DN (DN durchsuchen) Hier können Sie den Namen einer Domäne in der Datenbank auf einem
LDAP-Server angeben, die nach einer externen Liste durchsucht wird.
In diesem Namen können Sie einen Platzhalter angeben.
Search scope (Suchbereich)
Hier können Sie den Suchbereich für die Suche nach einer externen Liste auf
einem LDAP-Server auswählen.
• Subtree (Unterstruktur): Die gesamte Unterstruktur der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• One level (Eine Ebene): Nur eine Ebene unter der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• Base (Basis): Nur die Basis der unter Search DN (DN durchsuchen)
angegebenen Domäne wird durchsucht.
Search filter (Suchfilter)
Hier können Sie einen Begriff für die Filterung der Suchergebnisse nach einer
externen Liste auf einem LDAP-Server angeben.
Nur wenn der Name eines Eintrags in der Datenbank mit dem Filterbegriff
übereinstimmt, wird das Element, für das der Eintrag steht, abgerufen.
In diesem Begriff können Sie einen Platzhalter angeben.
Attribute (Attribut)
Hier können Sie das Attribut eines Elements in der Datenbank auf einem
LDAP-Server angeben, nach dem gesucht wird, beispielsweise eine
E-Mail-Adresse.
Second attribute (only for
MapType) (Zweites Attribut
(nur für MapType))
Hier können Sie ein zweites Attribut eines Datenbankelements auf einem
LDAP-Server angeben, nach dem gesucht wird, wenn die Daten für dieses
Element vom Typ „Zuordnungstyp“ sind.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs
abgerufen, das im Feld Attribute (Attribut) konfiguriert wird.
Enable LDAP version 3
(LDAP-Version 3 aktivieren)
Bei Auswahl dieser Option wird die Version 3 des LDAP-Protokolls verwendet
Wenn Sie diese Option deaktivieren, müssen Sie die Codierung angeben, die
für die Kommunikation mit dem LDAP-Server verwendet wird.
Das folgende Eingabefeld für diese Informationen wird angezeigt, wenn Sie
die Auswahl von Enable LDAP version 3 (LDAP-Version 3 aktivieren) aufheben.
Allow LDAP library to follow
referrals (Verfolgen von
Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option können Weiterleitungen zu Speicherorten
außerhalb des LDAP-Servers, auf dem eine Suche nach einer externen Liste
durchgeführt wurde, verfolgt werden, um die Liste abzurufen.
Datenbankspezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datenbank ist
Database (Datenbank) ausgewählt ist.
74
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-11 Datenbankspezifische Parameter
Option
Definition
SQL query
(SQL-Abfrage)
Hier können Sie eine Zeichenfolge zur Kennzeichnung des Abfragetyps angeben,
der in einer Datenbank durchgeführt wird.
Der Standardabfragetyp zum Abrufen externer Listeninformationen lautet SELECT.
Optional können Sie die Zeichenfolge mit einem Semikolon (;) abschließen.
Eine Abfrage kann auch Platzhalter enthalten, um variable Daten einzuschließen.
Wenn der Platzhalter $N verwendet wird, werden die als Variablenwert eingefügten
Daten „escaped“, um eine SQL-Injektion zu verhindern. Dann wird ein \
(umgekehrter Schrägstrich) durch einen \\ (doppelten umgekehrten Schrägstrich)
ersetzt, und einem ' (Apostroph) wird ein \ (umgekehrter Schrägstrich)
vorangestellt.
Eine SQL-Abfrage gibt normalerweise eine Datenspalte zurück. Wenn Sie eine
Abfrage durchführen, die mehrere Spalten zurückgibt, wird nur die erste Spalte für
externen Listeninhalt verwendet.
Um Inhalt aus mehreren Spalten abzurufen, müssen Sie mithilfe der
entsprechenden SQL-Operatoren kombinierte Spalten für die Ausgabe angeben.
Type of database
(Datenbanktyp)
Hier können Sie den Datenbanktyp angeben, aus dem Inhalt externer Listen
abgerufen wird.
Die folgenden Typen stehen zur Verfügung:
• PostgreSQL
• SQLite3
Nach der Auswahl des Datenbanktyps werden die entsprechenden
datenbankspezifischen Parameter angezeigt.
Tabelle 4-12 PostgreSQL-Datenbank-spezifische Parameter
Option
Definition
Database host (Datenbank-Host)
Hier können Sie den Host-Namen des Servers angeben, auf dem
sich eine Datenbank befindet.
Database port (Datenbank-Port)
Hier können Sie die Port-Nummer des Ports auf einem
Datenbank-Host angeben, der auf Anfragen zum Abrufen externer
Listeninhalte überwacht.
Die Standard-Port-Nummer lautet 5432.
Name of database on database server
(Name der Datenbank auf dem
Datenbank-Server)
Hier können Sie den Namen einer Datenbank angeben, unter dem
die Datenbank auf dem Datenbank-Server bekannt ist.
Database user name (Benutzername für
Datenbank)
Hier können Sie den Benutzernamen einer Appliance angeben, der
zum Herstellen einer Verbindung mit einem Datenbank-Server
verwendet wird.
Database password (Kennwort für
Datenbank)
Hier können Sie ein Kennwort für den Benutzernamen einer
Appliance festlegen.
Kennworts zu öffnen.
Tabelle 4-13 SQLite-Datenbank-spezifische Parameter
Option
Definition
File path to SQLite database (Dateipfad zu
SQLite-Datenbank)
Hier können Sie den vollständigen Pfad zu der Datei auf
einer Appliance angeben, die eine Datenbank enthält.
Produkthandbuch
75
4
Listen
Externe Listen
Erweiterte Parameter
Einstellungen für erweiterte Methoden bei der Verarbeitung externer Listen
Tabelle 4-14 Erweiterte Parameter
Option
Definition
Skip „bad“ entries during data
conversion (Fehlerhafte Einträge bei
Datenkonvertierung überspringen)
Bei Auswahl dieser Option werden Daten, die nicht in den
gewünschten Typ konvertiert werden können, z. B. Integer, Double
oder Boolean, übersprungen
Maximal number of entries to fetch
(Maximale Anzahl abzurufender
Einträge)
Hier können Sie die Anzahl der Einträge begrenzen, die aus der
externen Liste abgerufen werden.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Maximal size of entries to fetch
(Maximale Größe abzurufender
Einträge)
Hier können Sie die Datenmenge begrenzen (in KB), die aus einer
externen Liste abgerufen wird.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Diese Option ist nicht verfügbar, wenn die Quelle der externen Liste
ein LDAP-Server ist.
Konfigurieren von allgemeinen Einstellungen für externe Listen
Sie können Einstellungen konfigurieren, die für alle externen Listen gelten, die für die Verwendung auf
der Appliance abgerufen werden.
Vorgehensweise
1
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen
konfigurieren möchten, und klicken Sie auf External Lists (Externe Listen).
Nun werden die Einstellungen für die externen Listen im Einstellungsbereich angezeigt.
3
Konfigurieren Sie diese Einstellungen nach Bedarf.
4
Systemeinstellungen für „External Lists“ (Externe Listen)
Die Systemeinstellungen für „External Lists“ (Externe Listen) gelten für alle externen Listen, die auf
der Appliance verarbeitet werden.
Global Configuration (Globale Konfigurationen)
Einstellung für den internen Cache auf der Appliance, in dem Daten aus externen Listen gespeichert
werden
76
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-15 Global Configuration (Globale Konfigurationen)
Option
Definition
Flush External Lists Cache
Entfernt die im internen Cache gespeicherten Daten.
(Cache für externe Listen leeren)
Time before retry after failure
Beschränkt den Zeitraum (in Sekunden), für den vom Modul „External
(Zeitraum bis Wiederholung nach Lists“ (Externe Listen) ein Fehler beim Abrufen von Daten aus einer
Fehler)
bestimmten externen Quelle gespeichert wird, auf den angegebenen Wert.
Das Modul führt keine Wiederholungsversuche für eine Quelle aus,
solange der Fehler gespeichert ist.
Es wird empfohlen, den Standardwert zu übernehmen oder diesen
entsprechend den jeweiligen Anforderungen Ihres Netzwerks zu ändern.
Auf diese Weise vermeiden Sie eine weitere Belastung eines ohnehin
bereits überlasteten Web-Servers durch ständige Wiederholungsversuche.
File Data Source Configuration (Konfiguration von Dateidatenquellen)
Einstellung für das lokale Dateisystem, aus dem Daten aus externen Listen abgerufen werden können
Tabelle 4-16 File Data Source Configuration (Konfiguration von Dateidatenquellen)
Option
Definition
File system allowed for file data
access (Zulässiges Dateisystem für
Dateidatenzugriff)
Gibt den Pfad zu dem Ordner im lokalen Dateisystem an, in dem
externe Listen gespeichert sind.
Externe Listen, aus denen Daten abgerufen werden, müssen in diesem
Ordner gespeichert sein.
Andernfalls wird beim Versuch, die Daten abzurufen, der Fehler
„Zugriff verweigert“ ausgegeben.
Wenn Daten aus externen Listen aus einer SQLite-Datenbank
abgerufen werden, wird hier der Pfad zum Ordner im lokalen
Dateisystem angegeben, der die Datenbank enthält.
Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Einstellung für alle Web-Dienste, die Quellen für Daten aus externen Listen darstellen
Tabelle 4-17 Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Option
Definition
Check SSL certificate identity
(Identität für SSL-Zertifikat
überprüfen)
Bei Auswahl dieser Option wird ein von einem Web-Server in der
SSL-gesicherten Kommunikation unter dem HTTPS-Protokoll
gesendetes Zertifikat überprüft
Die Überprüfung erfolgt gemäß den SSL-Scan-Regeln, die auf der
Appliance implementiert sind.
Dies kann z. B. zu einem Fehler führen, wenn der Web-Server ein
selbstsigniertes Zertifikat verwendet.
Produkthandbuch
77
4
Listen
Abonnierte Listen
Abonnierte Listen
Listen zur Verwendung in Web-Sicherheitsregeln können mit Inhalt gefüllt werden, der von
entsprechenden Servern abgerufen wird. Diese Listen werden als abonnierte Listen bezeichnet.
Beim Arbeiten mit abonnierten Listen müssen Sie lediglich allgemeine Einstellungen wie den
Listennamen selber konfigurieren. Der Listeninhalt, z. B. IP-Adressen oder URLs, stammt von einem
Server. Dies kann der McAfee-Server, der zur Verwaltung abonnierter Listen zur Verfügung steht, oder
ein anderer, von Ihnen angegebener Server sein.
Abonnierte Listen, die den Inhalt vom McAfee-Server abrufen, werden als McAfee-verwaltete Listen
bezeichnet. Listen, die den Inhalt von anderen Server abrufen, werden als Kundenverwaltete Listen
bezeichnet.
Nachdem Sie eine abonnierte Liste erstellt haben, wird diese auf der Benutzeroberfläche in der
Listen-Baumstruktur im Zweig der abonnierten Listen angezeigt. Sie können mit abonnierten Listen
auf die gleiche Weise wie mit anderen Listen der Listen-Baumstruktur arbeiten.
Für abonnierte Listen gilt eine Größenbeschränkung. Eine abonnierte Liste darf nicht größer als 4 MB
sein oder nicht mehr als 100.000 Einträge enthalten.
Durch das Konfigurieren von Aktualisierungsplänen oder durch manuelle Aktualisierungen stellen Sie
sicher, dass den Web-Sicherheitsregeln der aktuelle Inhalt durch eine abonnierte Liste bereitgestellt
wird.
Abrufen des Listeninhalts vom McAfee-Server
Wenn der Inhalt einer abonnierten Liste vom McAfee-Server abgerufen wird, der zu diesem Zweck
bereitgestellt wird, wählen Sie die Art des Inhalts für diese Liste aus einem Katalog aus.
Der Inhalt wird auf dem McAfee-Server verwaltet. Um sicherzustellen, dass McAfee-verwaltete Listen
über aktuellen Inhalt verfügen, führen Sie manuelle Aktualisierungen auf der Benutzeroberfläche Ihrer
Appliance durch.
Abrufen des Listeninhalts von einem anderen Server
Wenn der Inhalt einer abonnierten Liste von einem anderen Server als dem McAfee-Server abgerufen
wird, geben Sie die URL für die Datei an, die diesen Inhalt auf dem Server enthält.
Der Inhalt wird auf diesem Server verwaltet. Aktualisierungen für diese Art von abonnierten Listen
werden nach einem Zeitplan durchgeführt, den Sie beim Konfigurieren der Listeneinstellungen
festlegen.
Erstellen einer abonnierten Liste
Zum Erstellen einer abonnierten Liste müssen Sie allgemeine Listeneinstellungen sowie Einstellungen
für den Listeninhalt konfigurieren.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen).
3
78
Konfigurieren Sie die allgemeinen Einstellungen für die Liste.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie aus der Liste Type (Typ) den Listentyp aus.
Produkthandbuch
4
Listen
Abonnierte Listen
c
Wählen Sie unter Contains (Enthält) die Art der Einträge, die in der Liste enthalten sein werden.
d
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur
Liste ein.
e
4
Wählen Sie die Option List content is managed remotely (Verwaltung des Listeninhalts per Fernzugriff)
aus.
5
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Bei Listeninhalt, der vom McAfee-Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle McAfee maintained list (Von McAfee gepflegte Liste).
•
Klicken Sie auf Choose (Auswählen).
Daraufhin öffnet sich das Fenster Choose List Content (Listeninhalt auswählen).
•
•
Wählen Sie einen Inhaltstyp aus.
•
Klicken Sie auf OK, um das Fenster zu schließen.
Bei Listeninhalt, der von einem anderen Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle Customer maintained list (Von Kunden gepflegte Liste).
•
Klicken Sie auf Setup (Einrichten).
Daraufhin öffnet sich Fenster Setup (Einrichten).
6
•
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Klicken Sie erneut auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die Liste wird nun in der
Listen-Baumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt.
7
Einstellungen für Inhalt abonnierter Listen
Wenn eine abonnierte Liste auf einem anderen Server als dem McAfee-Server verwaltet wird, müssen
Einstellungen für den Inhalt konfiguriert werden.
Tabelle 4-18 Einstellungen für Inhalt abonnierter Listen
Option
Definition
URL to download
(Herunterzuladende URL)
Gibt die URL einer Datei mit Inhalt für eine abonnierte Liste an.
Die URL wird im folgenden Format angegeben:
HTTP| HTTPS| FTP ://<Pfad>/<Dateiname>.<Erweiterung>
Use this (Dies verwenden)
Bei Auswahl dieser Option wird das Zertifikat verwendet, das in der
Zertifizierungsstellenkette enthalten ist, die neben dem Optionsfeld
angezeigt wird.
Dies ist erforderlich, wenn es sich bei der Verbindung zum Server, der den
Listeninhalt bereitstellt, um eine SSL-gesicherte Verbindung zur
Kommunikation unter dem HTTPS-Protokoll handelt.
Produkthandbuch
79
4
Listen
Abonnierte Listen
Tabelle 4-18 Einstellungen für Inhalt abonnierter Listen (Fortsetzung)
Option
Definition
Ignore certificate errors
(Zertifikatfehler ignorieren)
Bei Auswahl dieser Option führen Zertifikatfehler nicht zu einem Fehler
beim Abrufen des Listeninhalts von einem Server
URL authentication
(URL-Authentifizierung)
Bietet Einstellungen zum Konfigurieren eines Benutzernamens und eines
Kennworts, wenn für den Zugriff auf einen Server eine Authentifizierung
erforderlich ist.
• User name (Benutzername): Gibt einen Benutzernamen für die
Authentifizierung beim Server an.
• Password (Kennwort): Legt ein Kennwort für die Authentifizierung beim
Server fest.
Proxy
Bietet eine Liste zur Auswahl von Proxy-Servern, die für den Zugriff auf
einen Server mit Listeninhalt verwendet werden.
Standardmäßig wird kein Proxy-Server für den Zugriff auf einen Server
mit Listeninhalt verwendet.
Add Proxy (Proxy hinzufügen)
Öffnet ein Fenster zum Hinzufügen eines Proxy-Servers zur Liste.
List content update
(Aktualisierung des
Listeninhalts)
Bietet Einstellungen zum Konfigurieren eines Aktualisierungsplans für
Listeninhalt.
Eine Aktualisierung kann wie folgt durchgeführt werden:
• Hourly at (Stündlich um): Legt die Minuten nach der vollen Stunde fest.
• Daily at (Täglich um): Legt Stunden und Minuten fest.
• Weekly at (Wöchentlich um): Legt einen Wochentag mit Stunden und
Minuten fest.
• Every (Alle): Legt die Minuten des Intervalls fest, nach dessen Ablauf die
nächste Aktualisierung erfolgt.
Aktualisieren abonnierter Listen
Aktualisierungen der Inhalte abonnierter Listen erfolgen manuell oder entsprechend einem Plan,
abhängig davon, ob der Inhalt von dem zu diesem Zweck bereitgestellten McAfee-Server oder einem
anderen Server abgerufen wird.
Für Listeninhalt, der vom McAfee-Server abgerufen wird, müssen die Aktualisierungen manuell
durchgeführt werden. Bei jeder manuellen Aktualisierung werden alle McAfee-verwalteten Listen
zusammen aktualisiert.
Der Inhalt McAfee-verwalteter Listen wird ebenfalls beim Erstellen jeder neuen Liste dieses Typs
aktualisiert.
Für Listeninhalt, der von einem anderen Server als dem McAfee-Server abgerufen wird, werden die
Aktualisierungen gemäß einem Zeitplan durchgeführt. Jede abonnierte Liste verfügt über einen
eigenen Plan. Sie können den Plan beim Konfigurieren der Einstellungen für den Listeninhalt einrichten
und bearbeiten.
Beim Verwalten abonnierter Listen auf einem Knoten in einer Konfiguration mit zentraler Verwaltung
werden Aktualisierungen mit allen anderen Knoten innerhalb der Aktualisierungsgruppe geteilt.
Die Aktualisierungsgruppe wird im Abschnitt This Node Is a Member of the Following Groups (Dieser Knoten
gehört zu folgenden Gruppen) der Einstellungen für die zentrale Verwaltung konfiguriert.
80
Produkthandbuch
4
Listen
Abonnierte Listen
Aktualisieren der auf dem McAfee-Server verwalteten abonnierten Listen
Für abonnierte Listen, die auf dem McAfee-Server verwaltet werden, müssen Aktualisierungen manuell
durchgeführt werden.
Der Inhalt McAfee-verwalteter Listen wird auch beim Erstellen einer neuen Liste aktualisiert.
Vorgehensweise
1
2
Klicken Sie auf der Symbolleiste über der Appliances-Baumstruktur auf Manual Engine Update (Manuelle
Modulaktualisierung).
Der Inhalt aller McAfee-verwalteter Listen wird aktualisiert.
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste
Wenn eine abonnierte Liste als eine von Kunden gepflegte Liste konfiguriert ist, muss eine Inhaltsdatei
zur Beschreibung der Listen-Baumstruktur erstellt und auf dem Web-Server gespeichert werden, von
dem der Inhalt für diese Liste abgerufen wird.
Inhaltsdateien werden im TXT- oder XML-Format erstellt, je nachdem, ob sie die Struktur einer
einfachen oder einer komplexen von Kunden gepflegten Liste beschreiben. Bei einfachen Listen kann
die Erstellung der Inhaltsdatei in beiden Formaten erfolgen, bei komplexen Listen muss das
XML-Format verwendet werden.
Von Kunden gepflegte einfache Listen können Listen folgenden Typs sein: Application Name
(Anwendungsname), Category (Kategorie), Dimension (Größe), IP, IPRange (IP-Bereich), MediaType
(Medientyp), Number (Zahl), String (Zeichenfolge), Wildcard Expression (Platzhalterausdruck).
Von Kunden gepflegte komplexe Listen können dagegen Listen folgenden Typs sein: Certificate
Authority (Zertifizierungsstelle), Extended List Element (erweitertes Listenelement),
HostAndCertificate (Host und Zertifikat), ICAP Server (ICAP-Server), NextHopProxy
(Nächster-Hop-Proxy).
Inhaltsdatei einer einfachen Liste im TXT-Format
Dies ist ein Beispiel für eine Inhaltsdatei im TXT-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck).
type=regex"*.txt" "txt file extension""*.xml" "xml file extension"
Das Beispiel veranschaulicht die für eine Inhaltsdatei im TXT-Format geltenden Konventionen.
•
Die erste Zeile der Datei gibt den Typ der von Kunden gepflegten Liste an, der die Inhaltsdatei
zugeordnet ist. Die Zeile hat das folgende Format: type=<Listentyp>
Als Listentyp muss einer der folgenden Begriffe verwendet werden: applcontrol, category,
dimension, ip, iprange, mediatype, number, string, regex.
•
Die nach der ersten Zeile folgenden Zeilen sind für Listeneinträge in der von Kunden gepflegten
Liste reserviert.
Eine Zeile enthält jeweils die gleiche Anzahl an Elementen, die in einem Listeneintrag in der von
Kunden gepflegten Liste vorhanden ist. Jedes einzelne Element ist in doppelte Anführungszeichen
gefasst.
Die Einträge in einer Liste des Typs „Wildcard Expression“ (Platzhalterausdruck) enthalten jeweils
zwei Elemente. Ein Element ist der Platzhalterausdruck, das zweite ein Kommentar, der diesen
Platzhalterausdruck beschreibt.
Produkthandbuch
81
4
Listen
Abonnierte Listen
Das folgende Beispiel veranschaulicht noch weitere Konventionen für Inhaltsdateien.
type=string"withoutDescription""*emptyDescription\"\"\" """data with description and more
spaces in-between"
"description""data with spaces*
"
"description""Hello
\"Michael\" \"Michael!\"" ""
•
Die Einträge in Listen des Typs „String“ (Zeichenfolge) enthalten ebenfalls jeweils zwei Elemente:
die Zeichenfolge sowie einen beschreibenden Kommentar. Eine Beschreibung ist jedoch nicht
obligatorisch.
Wenn die Beschreibung weggelassen wird, kann das entsprechende Element dafür in der
Inhaltsdatei ebenfalls entfallen. Dies wird in Zeile 2 gezeigt.
•
Eine weggelassene Beschreibung kann alternativ auch durch zwei direkt aufeinander folgende
doppelte Anführungszeichen dargestellt werden. Dies ist in Zeile 3 zu sehen.
In dieser Zeile wird außerdem Folgendes veranschaulicht:
•
Auf in einer Zeichenfolge verwendete doppelte Anführungszeichen muss immer ein umgekehrter
Schrägstrich folgen.
•
Ein umgekehrter Schrägstrich, der nicht unmittelbar hinter doppelten Anführungszeichen steht,
stellt einen tatsächlichen umgekehrten Schrägstrich dar.
•
Als erstes Zeichen in einer Zeichenfolge dürfen auch nicht-alphanumerische Zeichen, wie z. B.
das Sternchen (*), verwendet werden.
Der in Zeile 3 angegebene Listeneintrag würde auf der Benutzeroberfläche folgendermaßen
dargestellt werden: *emptyDescription\""
•
Wenn sich zwischen den in der Inhaltsdatei vorhandenen Elementen mehrfache Leerzeichen
befinden, werden diese in den Listeneinträgen der von Kunden gepflegten Liste ignoriert.
Der in Zeile 4 angegebene Eintrag würde auf der Benutzeroberfläche daher folgendermaßen
dargestellt werden: "data with description and more spaces in-between" "description"
•
Mehrfache Leerzeichen innerhalb einer Zeichenfolge in einer Inhaltsdatei werden in den
Listeneinträgen der von Kunden gepflegten Liste ebenfalls ignoriert.
Der in Zeile 5 angegebene Eintrag würde auf der Benutzeroberfläche also folgendermaßen
dargestellt werden: "data with spaces* " "description"
•
Zeile 6 veranschaulicht mehrere der bereits erläuterten Konventionen.
Inhaltsdatei einer einfachen Liste im XML-Format
Dies ist ein Beispiel für eine Inhaltsdatei im XML-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck). Der Listeninhalt ist mit dem im ersten Beispiel des
vorhergehenden Unterabschnitts dargestellten Listeninhalt identisch.
<content type="regex"> <listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
Für den Inhaltstyp müssen dieselben Begriffe wie für eine Inhaltsdatei im TXT-Format verwendet
werden.
Inhaltsdateien für komplexe Listen
Das manuelle Erstellen einer Inhaltsdatei für eine von Kunden gepflegte komplexe Liste ist relativ
schwierig. Sie können jedoch mithilfe der Optionen auf der Benutzeroberfläche eine vorhandene
komplexe Liste importieren und in einer Datei speichern.
82
Produkthandbuch
4
Listen
Zuordnungstyplisten
In dieser Datei ist die komplexe Liste dann im XML-Format hinterlegt. Wenn Sie in der Datei nun alle
Zeilen vor dem öffnenden Tag <content> sowie alle Zeilen nach dem schließenden Tag </content>
löschen, hat diese Datei schon fast die Struktur einer Inhaltsdatei für die entsprechende komplexe
Liste.
Nun müssen Sie nur noch das öffnende Tag von <content> in <content type="<Dateityp>" ändern,
beispielsweise: <content type="nexthopproxy">.
Zur Angabe des Dateityps können Sie folgende Begriffe verwenden: ca, extendedlist, icapserver,
hostandcertificate, nexthopproxy.
Zuordnungstyplisten
Mit Zuordnungstyplisten, auch als Zuordnungen bezeichnet, können einander zugeordnete Schlüsselund Wertepaare gespeichert werden. Bei den Schlüsseln und den zugehörigen Werten handelt es sich
jeweils um Zeichenfolgen.
Vorhandene Zuordnungen können für Suchvorgänge verwendet werden, um beispielsweise
herauszufinden, ob ein bestimmter Schlüssel in einer Zuordnung vorhanden ist oder welcher Wert
einem Schlüssel zugeordnet ist.
Weiterhin ist es möglich, Werte für einen bestimmten Schlüssel zu setzen oder zu löschen und eine
komplette Zuordnung in eine einzelne Zeichenfolge zu konvertieren.
Sie können Zuordnungstyplisten auf der Benutzeroberfläche von Web Gateway erstellen und füllen
oder sie mithilfe der Funktionen „Externe Listen“ und „Abonnierte Listen“ von einem
Remote-Speicherort abrufen.
Wenn Sie mit anderen Datentypen für Ihre Zuordnungen arbeiten möchten, z. B. Nummern oder
IP-Adressen, können Sie diese mithilfe von Eigenschaften wie Number.ToString oder IP.ToString
konvertieren.
Erstellen einer Zuordnungstypliste
Zum Erstellen einer Zuordnungstypliste fügen Sie eine Liste dieses Typs hinzu und füllen diese mit
Paaren aus Schlüsseln und Werten.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
3
Fügen Sie eine Zuordnungsliste hinzu.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie in der Liste Type (Typ) die Option MapType (Zuordnungstyp) aus.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Zuordnungsliste wird nun in der Listen-Baumstruktur
unter Custom Lists | MapType (Benutzerdefinierte Listen | Zuordnungstyp) angezeigt.
Mithilfe des Einstellungsbereichs können Sie nun Einträge in die Liste einfügen.
Produkthandbuch
83
4
Listen
Zuordnungstyplisten
4
Klicken Sie im Einstellungsbereich auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Map Type (Zuordnungstyp hinzufügen).
5
Für jedes Eintragungspaar müssen Sie Folgendes in die Liste eingeben:
a
Geben Sie im Feld key (Schlüssel) einen Schlüsselnamen ein.
b
Geben Sie im Feld value (Wert) einen Wert ein.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und das Eintragungspaar wird in der ersten Zeile des
Einstellungsbereichs angezeigt.
6
Verwenden von Eigenschaften zur Arbeit mit
Zuordnungstyplisten
Es gibt mehrere Eigenschaften zur Arbeit mit Zuordnungstyplisten. Durch das Verwenden dieser
Eigenschaften in Regelkriterien können Sie Informationen zu einer Zuordnungstypliste abrufen, eine
Liste bearbeiten, eine neue Liste erstellen und auch eine Liste in eine Zeichenfolge konvertieren.
Zum Abrufen von Informationen über eine Zuordnungstypliste (Zuordnung) können Sie folgende
Aktionen ausführen:
•
Abrufen einer Zuordnung, für die Sie einen Namen angeben
•
Überprüfen, ob in einer Zuordnung ein bestimmter Schlüssel vorhanden ist
•
Abrufen der Anzahl an Schlüsselwertpaaren in einer Zuordnung
•
Abrufen einer Liste der Schlüssel in einer Zuordnung
•
Abrufen des Werts für einen bestimmten Schlüssel in einer Zuordnung
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.ByName
Stellt eine Zuordnung mit dem von Ihnen angegebenen Namen bereit.
Map.HasKey
Ist „True“, wenn die angegebene Zuordnung den angegebenen Schlüssel
enthält.
Map.Size
Gibt die Anzahl der Schlüsselwertpaare in einer Zuordnung an.
Map.GetKeys
Bietet eine Liste der Schlüssel in einer Zuordnung.
Map.GetStringValue Bietet die Zeichenfolge, die den Wert des angegebenen Schlüssels in der
angegebenen Zuordnung darstellt.
Sie können beispielsweise mithilfe der Eigenschaft Map.GetStringValue in den Kriterien einer Regel
feststellen, ob ein Schlüssel in einer Liste über einen bestimmten Wert verfügt. Der Schlüssel könnte
ein Benutzername und der Wert eine Zeichenfolge sein, die als Token zur Authentifizierung dient.
Die Kriterien würden dann folgendermaßen konfiguriert werden:
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
Wenn der Schlüssel sampleuser den Wert sampletoken hat, stimmen die Kriterien überein, und die
Regel führt eine bestimmte Aktion aus, z. B. Weiter.
84
Produkthandbuch
Listen
Zuordnungstyplisten
4
Wenn eine Zuordnung bearbeitet wird, werden die Änderungen für eine Kopie der ursprünglichen
Zuordnung übernommen, und die ursprüngliche Zuordnung bleibt selber unverändert. Um eine
Zuordnung auf diese Weise zu bearbeiten, können Sie folgende Aktionen durchführen:
•
Festlegen eines bestimmten Werts für einen Schlüssel
•
Löschen eines Schlüssels
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.SetStringValue Bietet eine Zuordnung, in der der angegebene Wert für den angegebenen
Schlüssel festgelegt ist.
Map.DeleteKey
Bietet eine Zuordnung, in der der angegebene Wert gelöscht wird.
Zum Erstellen einer neuen Zuordnung oder zum Konvertieren einer Zuordnung in eine Zeichenfolge
werden die folgenden Eigenschaften verwendet.
Eigenschaft
Beschreibung
Map.CreateStringMap
Bietet eine neue Zuordnung, die noch leer ist.
Map.ToString
Bietet eine in eine Zeichenfolge konvertierte Zuordnung.
Abrufen von Zuordnungsdaten aus externen und abonnierten
Listen
Daten für Zuordnungstyplisten (Zuordnungen) können aus externen und abonnierten Listen abgerufen
werden.
Externe Listen
Zum Abrufen von Zuordnungsdaten aus einer externen Liste wird die Eigenschaft ExtLists.StringMap
bereitgestellt, die in den Kriterien einer geeigneten Regel angegeben werden kann. Der Wert dieser
Eigenschaft ist eine Liste von Zuordnungen, deren Quelle eine externe Liste ist.
Wenn Sie z. B. feststellen möchten, ob ein bestimmter Schlüssel in einer aus einer externen Quelle
abgerufenen Liste enthalten ist, können Sie die folgenden Regelkriterien konfigurieren:
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
Zum Angeben der externen Liste und der Quelle, aus der sie abgerufen werden soll, müssen Sie die
Einstellungen des Moduls „External Lists“ (Externe Listen) konfigurieren, das den Abrufvorgang
ausführt. In den obigen Kriterien werden diese Einstellungen unter dem Namen von External Lists
angezeigt.
Produkthandbuch
85
4
Listen
Allgemeiner Katalog
Daten aus externen Listen können von einem Web-Dienst, aus einer Datei, einer PostgreSQL- oder
SQLite3-Datenbank oder über LDAP abgerufen werden. Beim Konfigurieren des Abrufens von Daten
für eine Zuordnung ist bei diesen Quelltypen Folgendes zu beachten:
•
Web-Dienst oder Datei
Der Typ der Daten, die von einem Web-Dienst oder aus einer Datei abgerufen werden, muss Plain
Text (Nur-Text-Format) sein.
Zum Auffinden der Daten wird ein regulärer Ausdruck verwendet, der zwei Teile umfasst. Der erste
Teil ist für die Schlüssel und der zweite Teil für die Werte bestimmt.
•
Datenbanken
Die Datenbankabfrage zum Abrufen der Daten muss zwei Spalten zurückgeben. Die erste Spalte
liefert die Schlüssel, während in der zweiten Spalte die Werte enthalten sind.
•
LDAP
Zum Abrufen der Daten werden in den LDAP-Einstellungen ein erstes und ein zweites Attribut
konfiguriert. Das erste Attribut liefert die Schlüssel, während das zweite Attribut die Werte angibt.
Abonnierte Listen
Einträge in abonnierten Listen, aus denen Zuordnungsdaten abgerufen werden, müssen das folgende
Format aufweisen.
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
Im Element listEntry ist ein complexEntry eingebettet. Dadurch kann das Modul „Subscribed Lists“ das
Format verarbeiten.
Allgemeiner Katalog
Der allgemeine Katalog bietet Listen, die von einem McAfee ePO-Server mithilfe von Push an eine
Web Gateway-Appliance übertragen werden können.
Die folgenden Listentypen können mithilfe von Push übertragen werden: IP-Adresse, Domänenname,
Zeichenfolge, Platzhalterausdruck.
Der Inhalt dieser Listen auf der Web Gateway-Appliance darf nicht verändert werden, da dieser Inhalt
regelmäßig auf dem McAfee ePO-Server aktualisiert wird. Diese Aktualisierungen überschreiben alle von
Ihnen vorgenommenen Änderungen.
Die Listendaten werden über eine intern auf beiden Systemen ausgeführte REST-Schnittstelle
(Representational State Transfer) übertragen. Außerdem muss eine McAfee ePO-Erweiterung für
Web Gateway auf dem McAfee ePO-Server ausgeführt werden.
Diese Erweiterung umfasst eine Hilfserweiterung, die eine Online-Hilfe zum Umgang mit der
Erweiterung bietet. Ein Erweiterungspakt ist auf der Benutzeroberfläche von Web Gateway unter den
Systemeinstellungen für ePolicy Orchestrator verfügbar.
Um Anfragen des McAfee ePO-Servers die Filterung durch Web-Sicherheitsregeln auf Web Gateway
umgehen zu lassen, müssen Sie einen passenden Regelsatz aus der Bibliothek importieren, diesen an
der höchstmöglichen Stelle der Regelsatz-Baumstruktur platzieren und aktivieren.
86
Produkthandbuch
4
Listen
Allgemeiner Katalog
Zusätzlich müssen Sie ein McAfee ePO-Benutzerkonto einrichten, da sich auf der Appliance eine
Instanz befinden muss, die die Listenübertragung bearbeiten darf. Zum Einrichten dieses Kontos
werden die ePolicy Orchestrator-Systemeinstellungen verwendet.
Der Benutzer des McAfee ePO-Kontos muss auch als ein Administrator mit einem Konto zwischen den
internen Web Gateway-Administratorkonten angezeigt werden.
Nachdem die Listen mithilfe von Push aus dem allgemeinen Katalog an Web Gateway übertragen
wurden, werden sie auf der Registerkarte Lists (Listen) ihrer Benutzeroberfläche angezeigt. Ein Präfix
im Listennamen gibt an, dass ein McAfee ePO-Server die Quelle einer Liste ist.
Wie alle anderen Listen auf der Registerkarte Lists (Listen) können Sie diese Listen zum Konfigurieren
von Regeln verwenden.
Vorbereiten der Verwendung von Common Catalog-Listen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Common Catalog-Listen
vorzubereiten, die von einem McAfee ePO-Server mithilfe von Push auf eine Web Gateway-Appliance
übertragen werden.
Vorgehensweise
1
Richten Sie ein Konto für einen McAfee ePO-Benutzer in Web Gateway ein.
2
Richten Sie ein Administratorkonto mit demselben Benutzernamen und demselben Kennwort in
Web Gateway ein.
3
Aktivieren Sie die Verwendung der REST-Schnittstelle in Web Gateway.
4
Importieren Sie den Regelsatz Bypass ePO Requests aus der Bibliothek auf der Benutzeroberfläche
von Web Gateway, verschieben Sie ihn in der Regelsatz-Baumstruktur an die oberste Position, und
aktivieren Sie ihn.
5
Laden Sie ein McAfee ePO-Erweiterungspaket für Web Gateway herunter, und installieren Sie es auf
dem McAfee ePO-Server.
6
Registrieren Sie auf der Benutzeroberfläche des McAfee ePO-Servers einen neuen Server für die
Kommunikation mit Web Gateway, und geben Sie dabei eine Appliance an, auf der Web Gateway
ausgeführt wird.
Im Dashboard auf der Benutzeroberfläche werden nach ca. 15 Minuten Daten zum in Web Gateway
verarbeiteten Web-Datenverkehr angezeigt.
7
Übertragen Sie Listen vom McAfee ePO-Server mithilfe von Push zu Web Gateway.
Die mithilfe von Push zu Web Gateway übertragenen Listen werden in der Listen-Baumstruktur der
Benutzeroberfläche angezeigt.
Weitere Informationen zum Installieren eines McAfee ePO-Erweiterungspakets und zum Durchführen
von Aktivitäten auf dem McAfee ePO-Server finden Sie in der Dokumentation zu McAfee ePO.
Produkthandbuch
87
4
Listen
Allgemeiner Katalog
Einrichten eines Benutzerkontos für Common Catalog-Listen
Um die Verwendung von Common Catalog-Listen zu ermöglichen, müssen Sie auf Web Gateway ein
McAfee ePO-Benutzerkonto einrichten, um eine Instanz zu erstellen, die die Listenübertragung
verarbeiten darf.
Vorgehensweise
1
Wählen Sie Configuration | ePolicy Orchestrator (Konfiguration | ePolicy Orchestrator) aus.
2
Konfigurieren Sie unter ePolicy Orchestrator Settings (ePolicy Orchestrator-Einstellungen) ein
Benutzerkonto.
a
Übernehmen Sie im Feld ePO user account (ePO-Benutzerkonto) den vorkonfigurierten Wert epo.
b
Klicken Sie neben dem Feld Password (Kennwort) auf Change (Ändern).
Daraufhin öffnet sich das Fenster New Password (Neues Kennwort).
c
Legen Sie über die Fensteroptionen ein neues Kennwort fest.
3
Achten Sie darauf, dass Enable data collection for ePO (Datensammlung für ePO aktivieren) aktiviert ist.
4
Der Benutzer des von ihnen konfigurierten McAfee ePO-Kontos muss auch als Administrator in einem
Administratorkonto auf Web Gateway angezeigt werden.
Einrichten eines Administratorkontos für Common CatalogListen
Um die Verwendung von Common Catalog-Listen zu aktivieren, müssen Sie auf Web Gateway ein
Administratorkonto mit demselben Benutzernamen und Kennwort wie für das McAfee
ePO-Benutzerkonto einrichten.
Vorgehensweise
1
Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus.
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
3
88
Richten Sie ein Administratorkonto zur Verwendung von Common Catalog-Listen ein.
a
Geben Sie im Feld User name (Benutzername) den Wert epo ein.
b
Geben Sie in den Feldern Password (Kennwort) und Password repeated (Kennwort wiederholen) das
Kennwort ein, das Sie beim Einrichten des Benutzerkontos für den ePO-Benutzer konfiguriert
haben.
c
Wählen Sie in der Liste Role (Rolle) die Rolle ePO Common Catalog Administrator (ePO-Common
Catalog-Administrator) aus.
d
Klicken Sie auf Edit (Bearbeiten), um die aktuellen Rolleneinstellungen zu überprüfen.
Produkthandbuch
4
Listen
Allgemeiner Katalog
Daraufhin öffnet sich das Fenster Edit Role (Rolle bearbeiten). Aktivieren Sie bei Bedarf die
folgenden Einstellungen:
e
•
Policy — Lists accessible (Richtlinie: Listen zugänglich)
•
Policy — Lists creation (Richtlinie: Listen erstellen)
•
REST Interface accessible (REST-Schnittstelle zugänglich)
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das neue Administratorkonto wird unter Internal
Administrator Accounts (Interne Administratorkonten) angezeigt.
Zusammen mit dem Benutzerkonto für den McAfee ePO-Benutzer dient dieses Administratorkonto als
die Instanz auf Web Gateway, die zur Verarbeitung der Übertragung von Listen von einem McAfee
ePO-Server vorhanden sein muss.
Aktivieren der Nutzung der REST-Schnittstelle für Common
Catalog-Listen
Für die Kommunikation mit dem McAfee ePO-Server, von dem aus die Common Catalog-Listen
übertragen werden können, müssen Sie in Web Gateway die interne REST-Schnittstelle
(Representational State Transfer) aktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf die Sie die Common
Catalog-Listen übertragen möchten, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Aktivieren Sie unter UI Access (Benutzeroberflächen-Zugriff) die beiden Optionen Enable REST interface
over HTTP (REST-Schnittstelle über HTTP aktivieren) und Enable REST interface over HTTPS
(REST-Schnittstelle über HTTPS aktivieren).
4
Aktivieren Sie unter Login Page Options (Optionen Anmeldeseite) die Option Allow multiple logins per login
name (Mehrere Anmeldungen pro Anmeldename zulassen).
5
Beispieleinstellungen zum Registrieren von Web Gateway auf
einem McAfee ePO-Server
Um Common Catalog-Listen an eine Web Gateway-Appliance übertragen zu können, müssen Sie die
Appliance auf dem McAfee ePO-Server als neuen Server registrieren.
Nachfolgend finden Sie Beispieleinstellungen für diese Registrierung.
Option
Beispielwert
Server type (Servertyp)
McAfee Web Gateway 7
Name
mwg7-3.sample-lab.local
Notes (Hinweise)
(optional)
Host name (Host-Name)
mwg7-3.sample-lab.local
Host address (Host-Adresse)
171.18.19.226
Administration port (Verwaltungs-Port)
4712
Statistics retrieval port (Statistikabruf-Port)
9090
Produkthandbuch
89
4
Listen
Option
Beispielwert
User name (for access to the host GUI)
(Benutzername (für Zugriff auf Host-GUI))
<Initialer oder aktueller Benutzername für Zugriff auf Web
Gateway-Benutzeroberfläche>
Password (Kennwort)
<Initiales oder aktuelles Kennwort für Zugriff auf die Web
Gateway-Benutzeroberfläche>
epo
User name (for statistics retrieval and list
management) (Benutzername (für Statistikabruf und
Listenverwaltung)
Password (Kennwort)
<Gleiches Kennwort wie das für den ePO-Benutzer und die
Administratorkonten auf Web Gateway konfigurierte
Kennwort>
Options (Optionen)
Allow ePO to manage lists on this system (Zulassen, dass ePO Listen
auf diesem System verwaltet) (aktiviert)
Der initiale Benutzername und das initiale Kennwort für den Zugriff auf die Benutzeroberfläche von Web
Gateway sind admin und webgateway.
In Web Gateway können im JSON-Format (JavaScript Object Notation) codierte Daten gelesen,
bearbeitet und erstellt werden.
JavaScript Object Notation ist ein textbasiertes Format für den Datenaustausch. Es ist unkompliziert
mit JavaScript lesbar, die Verwendung von JavaScript ist jedoch nicht zwingend notwendig. Diese
Notation wird für die Kommunikation mit interaktiven Websites und auch mit NoSQL- und
dokumentenorientierten Datenbanken (z. B. MongoDB oder CouchDB) verwendet.
JSON-basierte Programmierschnittstellen werden beispielsweise in populären sozialen Netzwerken wie
Facebook und Twitter genutzt.
®
In Web Gateway werden z. B. in von McAfee Advanced Threat Defense erstellten Scan-Berichten
JSON-Daten verwendet. Auch aus externen Quellen stammende Listen, die in Web Gateway
verarbeitet werden, können das JSON-Datenformat aufweisen.
JSON-Daten
JSON-Daten werden als Objekte zur Verfügung gestellt. Ein JSON-Objekt ist sozusagen ein Container,
in dem Daten eines einzigen oder unterschiedlicher einfacher Typen enthalten sind, beispielsweise
Zeichenfolgen, Zahlen usw.
Die grundlegende Struktur eines JSON-Objekts kann folgendermaßen dargestellt werden:
Objekt: {"Schlüssel": Wert,
"Schlüssel": Wert, ...}
Beispiel:
Angestellter: {"Vorname": "Andreas",
"Nachname": "Meier",
"Alter": 32}
Als Wert eines JSON-Elements sind Daten der folgenden Typen möglich: Zeichenfolge, Zahl,
boolescher Wert, leer.
JSON-Objekte können auch ein Array enthalten:
Objekt: {"Schlüssel": Wert,
90
"Schlüssel": Wert,
Array: [Wert, Wert,
...]}
Produkthandbuch
Listen
4
Beispiel:
Angestellter: {"Vorname": "Andreas",
"Nachname": "Meier",
"Kinder": [Max, Lisa]}
In der ursprünglichen JavaScript Object Notation dürfen sich auf der obersten Ebene einer
hierarchischen Datenstruktur ausschließlich Objekte und Felder befinden. Sofern dies in Web Gateway
unterstützt wird, kann sich jedoch auch ein einfaches Element auf der obersten Ebene befinden.
JSON-Objekte können auch in andere JSON-Objekte eingebettet werden.
Umgang mit JSON-Daten mithilfe von Eigenschaften
In Web Gateway stehen mehrere Eigenschaften zum Lesen, Bearbeiten und Erstellen von JSON-Daten
zur Verfügung.
Beispielsweise kann mithilfe der Eigenschaft JSON.FromString aus einer Zeichenfolge ein
JSON-Element erstellt werden. Die Zeichenfolge wird als Parameter der Eigenschaft angegeben. Auf
diese Weise gibt die Eigenschaft JSON.FromString("Meier") die Zeichenfolge "Meier" als Wert eines
JSON-Elements aus.
Mit der Eigenschaft JSON.CreateObject kann ein JSON-Objekt erstellt werden. Nach der Erstellung ist
das Objekt vorerst leer. Um in dem Objekt nun ein JSON-Element speichern zu können, müssen beide
durch die Vergabe eines Namens identifiziert werden.
Das Objekt wird benannt, indem daraus eine benutzerdefinierte Eigenschaft gemacht wird, da
Eigenschaften immer mit einem Namen konfiguriert werden.
Beispielsweise können Sie eine benutzerdefinierte Eigenschaft mit dem Namen
User-Defined.myjsonemployee erstellen und dieser dann anhand eines Regelereignisses den Wert der
Eigenschaft „JSON.CreateObject“ zuweisen.
Name
JSON-Objekt als benutzerdefinierte Eigenschaft erstellen
Kriterien
Always
Aktion
–>
Continue
Ereignis
– Set User-Defined.myjsonemployee = JSON.CreateObject
Das leere JSON-Objekt User-Defined.myjsonemployee kann mittels der Eigenschaft
JSON.StoreByName gefüllt werden, die Parameter für den Namen des Objekts sowie für Schlüssel und
Wert des Elements enthält.
Beispielsweise wird wie folgt ein Element mit dem Schlüssel "Nachname" und dem Wert "Meier" im
Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", JSON.FromString("Meier"))
Das Speichern eines Elements in einem Objekt lässt sich aber auch einfacher realisieren:
•
Es ist gar nicht notwendig, das Objekt vor Verwendung der Eigenschaft „JSON.StoreByName“ zu
erstellen.
Wenn Sie einen Objektnamen als Parameter der Eigenschaft angeben, wird dieses Objekt
automatisch erstellt, sofern es noch nicht vorhanden ist.
•
Die Verwendung der Eigenschaft „JSON.FromString“ zur Erfassung des Elementwerts ist nicht
notwendig.
Dieser Wert wird bei der direkten Angabe einer Zeichenfolge automatisch erstellt. Dies gilt ebenfalls
für die anderen einfachen Datentypen, zu denen der Wert eines JSON-Elements gehören kann.
Produkthandbuch
91
4
Listen
Demzufolge wird mit folgender Aktion ebenfalls ein Element in einem Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", "Meier"))
Zusammenfassung der JSON-Eigenschaften in Gruppen
Viele JSON-Eigenschaften gleichen einander insofern, als dass sie für ähnliche Aktivitäten bezüglich
Daten verwendet werden.
So liefern die Eigenschaften des Formats JSON.From<x> (z. B. JSON.FromString) ein JSON-Element,
das den Wert eines einfachen Datentyps enthält. Dieser Wert mit einfachem Datentyp ist als
Parameter der JSON-Eigenschaft angegeben.
Dies sind einige wichtige Gruppen von JSON-Eigenschaften:
•
JSON.From<x> = Liefert ein JSON-Element, das den Wert eines einfachen Datentyps enthält.
Eigenschaften: JSON.FromString, JSON.FromNumber, JSON.FromBool, JSON.FromStringList,
JSON.FromNumberList
•
JSON.As<x> = Liefert den Wert eines JSON-Elements in einem einfachen Datenformat.
Mit den Eigenschaften dieser Gruppe wird eine entgegengesetzte Aktion zu derjenigen
durchgeführt, für die die Eigenschaften der Form JSON.From<x> verwendet werden.
Damit die Eigenschaften dieser Gruppe korrekt eingesetzt werden können, muss das Format des
JSON-Elements dem einfachen Datenformat entsprechen.
Beispielsweise gibt die Eigenschaft „JSON.AsString“ nur dann eine (einfache) Zeichenfolge aus,
wenn der Wert des JSON-Elements tatsächlich eine (JSON-)Zeichenfolge ist.
Eigenschaften: JSON.AsString, JSON.AsNumber, JSON.AsBool
•
JSON.Create<x> = Erstellt ein JSON-Objekt, ein entsprechendes Feld oder den Elementwert 0.
Eigenschaften: JSON.CreateObject, JSON.CreateArray, JSON.CreateNull
•
JSON.Get<x> = Gibt ein in einem Objekt enthaltenes JSON-Element oder den Datentypen eines
solchen Elements aus.
JSON.GetByName: Gibt ein in einem Objekt enthaltenes Element aus, das durch seinen Schlüssel
bezeichnet wird.
JSON.GetAt: Gibt ein Element aus, das durch seine Position innerhalb eines JSON-Felds identifiziert
wird.
JSON.GetType: Gibt den Typen eines Elements aus.
JSON-Eigenschaften in Filterregeln verwenden
Die Eigenschaft JSON.ToString gibt den Wert eines JSON-Elements im Zeichenfolgenformat aus.
Sie können diese Eigenschaft z. B. in einer einfachen Regel zum Hinzufügen einer bestimmten
Client-IP-Adresse zur Whitelist verwenden.
Bei dieser Regel wird eine vorgegebene Client-IP-Adresse auf Übereinstimmung mit der Adresse
überprüft, die zur Whitelist hinzugefügt werden soll.
Name
Als JSON-Elementwert gelieferte Client-IP-Adresse zulassen
Kriterien
92
Aktion
Produkthandbuch
Listen
Client.IP equals
String.ToIP(JSON.ToString(User-Defined.myjsonipaddress))
4
–> StopCycle (Zyklus
anhalten)
Die Client-IP-Adresse, die zur Whitelist hinzugefügt werden soll, liegt als Wert der benutzerdefinierten
Eigenschaft User-Defined.myjsonipaddress vor.
Die Eigenschaft JSON.ToString gibt diesen Wert im Zeichenfolgenformat aus. Die Eigenschaft
„String.ToIP“ konvertiert die Zeichenfolge wieder in eine IP-Adresse, damit diese mit der im Wert der
Eigenschaft „Client.IP“ am Beginn der Regel enthaltenen Adresse verglichen werden kann.
Vor der Verwendung der Eigenschaft „UserDefined.myjsonipaddress“ in der Beispielregel muss diese
Eigenschaft erst im JSON-Datenformat erstellt und als deren Wert die zur Whitelist hinzuzufügenden
Adresse festlegen.
Für das Zuweisen dieses Werts können Sie, wie im Folgenden gezeigt, ein Ereignis in einer weiteren
Beispielregel verwenden.
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Client-IP-Adresse festlegen
Kriterien
Always
Aktion
Ereignis
–> Continue – Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
Die Eigenschaft „JSON.FromString“ des Regelereignisses konvertiert die Client-IP-Adresse, die als
Eigenschaftsparameter im Zeichenfolgenformat angegeben ist, in den Wert eines JSON-Elements.
Abrufen von JSON-Daten aus einem Advanced Threat Defense-Bericht
Wenn eine Regel in Web Gateway zum Scannen eines Web-Objekts Advanced Threat Defense aufruft,
wird das Scan-Ergebnis als Wert der Eigenschaft Antimalware.MATD.Report gespeichert.
Die Ausgabe des Ergebnisses erfolgt als Zeichenfolge, in der die Ergebniselemente im JSON-Format
angeordnet sind. Mithilfe der Eigenschaft „JSON.ReadFromString“ kann das Ergebnis in ein
JSON-Element umgewandelt werden. Diese Eigenschaft verwendet die Eigenschaft
„AntiMalware.MATD.Report“ als Parameter.
Anschließend kann das JSON-Element als Wert einer benutzerdefinierten Eigenschaft festgelegt
werden.
Die entsprechende Regel für die Verwendung dieser Eigenschaften könnte z. B. so aussehen:
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Advanced Threat
Defense-Bericht festlegen
Kriterien
Always
Aktion
Ereignis
–> Continue – Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
Die Ergebnisdaten können mit der Eigenschaft „JSON.GetByName“ abgerufen und z. B. in eine
Protokolldatei geschrieben werden.
Name
JSON-Daten aus Advanced Threat Defense-Bericht in Protokolldatei schreiben
Kriterien
Aktion
Ereignis
Produkthandbuch
93
4
Listen
Always
– Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
Im Ereignis dieser Regel stellt "Summary" (Zusammenfassung) den Schlüssel eines JSON-Elements
dar, dessen Wert aus den Daten eines Scan-Ergebnisses besteht. Dieser Schlüssel sowie sein Wert
stammen aus einem JSON-Objekt, das den Wert der Eigenschaft „Antimalware.MATD.Report“ darstellt.
Die Struktur dieses JSON-Objekts wird im Folgenden dargestellt.
Das Objekt enthält mehrere weitere eingebettete Objekte. Die aufgeführten Elementschlüssel sind
genauso in Berichten enthalten, für die Werte wurden lediglich Beispielangaben verwendet.
Report: {"Summary": {"Selectors": [{"Engine": "GAM engine", "MalwareName": "EICAR test
file", "Severity": "5" }], "Verdict": {"Severity": "5", "Description": "Subject is
malicious" }, "Stats":
[{"ID": "0", "Category": "Persistence, Installation Boot
Survival", "Severity": "5" }] }
Externe Listen im JSON-Datenformat abrufen
Um den weiteren Umgang mit JSON-Daten einer aus einer externen Quelle abgerufenen Liste zu
ermöglichen, kann die Eigenschaft Ext.Lists.JSON verwendet werden. Nach dem Abrufen der externen
Liste mittels dieser Eigenschaft ist der Listeninhalt in einem JSON-Element enthalten, das den Wert
der Eigenschaft bildet.
Genau wie alle anderen Eigenschaften für externe Listen verfügt auch Ext.Lists.JSON über drei
Parameter im Zeichenfolgenformat, die Angaben zur externen Quelle enthalten.
94
Produkthandbuch
5
Einstellungen
Mit Einstellungen werden in Web Gateway die Module, Regelaktionen und Systemfunktionen
konfiguriert.
Die Namen der Einstellungen werden an verschiedenen Stellen auf der Benutzeroberfläche angezeigt,
z. B. in den Regelkriterien, -aktionen und -ereignissen oder auf den Registerkarten Settings
(Einstellungen) und Appliances.
Nachdem Sie auf den Namen einer Einstellung geklickt haben, können Sie die Parameter und
Einstellungswerte aufrufen und konfigurieren.
Bei der Ersteinrichtung der Appliance werden neben dem Regelsatzsystem Modul- und
Aktionseinstellungen sowie Einstellungen für das Appliance-System implementiert. Weitere Modul- und
Aktionseinstellungen werden implementiert, wenn Sie einen Regelsatz aus der Regelsatz-Bibliothek
importieren.
Die ursprünglich implementierten oder importierten Einstellungen können Sie überprüfen und ändern.
Sie können die Modul- und Aktionseinstellungen auch vollständig löschen und eigene Modul- und
Aktionseinstellungen erstellen.
Inhalt
Einstellungstypen
Registerkarte „Settings“ (Einstellungen)
Zugreifen auf Einstellungen
Erstellen von Aktions- und Moduleinstellungen
Einstellungstypen
In der Regelverarbeitung und für andere Funktionen auf der Appliance werden verschiedene Arten von
Einstellungen verwendet.
•
Moduleinstellungen: Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen
•
Aktionseinstellungen: Einstellungen für die von Regeln ausgeführten Aktionen
•
Systemeinstellungen: Einstellungen des Appliance-Systems
Moduleinstellungen
Moduleinstellungen sind Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen.
Beispielsweise ruft das Modul „URL Filter“ Informationen zu URL-Kategorien ab, um Werte für die
Eigenschaft „URL.Categories“ in einer Filterregel bereitzustellen.
Produkthandbuch
95
5
Einstellungen
Einstellungstypen
In einer Regel wird der Einstellungsname für ein durch die Regel aufgerufenes Modul neben einer
Regeleigenschaft angezeigt. Beispielsweise kann in einer Regel zur Viren- und Malware-Filterung
Gateway Antimalware als Einstellungsname neben der Eigenschaft Antimalware.Infected angezeigt
werden.
Wenn also das Modul „Anti-Malware“ aufgerufen wird, um den Wert True oder False für die Eigenschaft
bereitzustellen, wird das Modul mit den Gateway Antimalware-Einstellungen ausgeführt. Diese
Einstellungen geben beispielsweise an, welche Methoden zum Scannen von Web-Objekten auf
Infektionen verwendet werden.
Auf Moduleinstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
unteren Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Aktionseinstellungen
Aktionseinstellungen sind Einstellungen für die von Regeln ausgeführten Aktionen.
Sie werden hauptsächlich konfiguriert, um die Meldungen anzugeben, die an durch Regelaktionen wie
„Block“ (Blockieren) oder „Authenticate“ (Authentifizieren) betroffene Benutzer gesendet werden.
Aktionen, die Benutzer nicht betreffen, verfügen über keine Einstellungen, z. B. „Continue“ (Weiter)
oder „Stop Rule Set“ (Regelsatz anhalten).
Auf diese Einstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
oberen Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Systemeinstellungen
Systemeinstellungen sind Einstellungen des Appliance-Systems, z. B. Einstellungen der
Netzwerkschnittstelle oder des Domain Name Systems
Sie können auf diese Einstellungen auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) zugreifen.
Sie können diese Einstellungen bearbeiten, jedoch keine neuen Systemeinstellungen erstellen.
96
Produkthandbuch
Einstellungen
5
Auf der Registerkarte Settings (Einstellungen) können Sie mit Einstellungen für Aktionen und Module
arbeiten.
Hauptelemente der Registerkarte „Settings“ (Einstellungen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Settings (Einstellungen) erläutert.
Tabelle 5-1 Hauptelemente der Registerkarte „Settings“ (Einstellungen)
Element
Beschreibung
Einstellungs-Symbolleiste Steuerelemente zum Arbeiten mit Einstellungen für Aktionen und Module
Einstellungs-Baumstruktur Verzeichnisstruktur mit Aktionen und Modulen
Einstellungen
Parameter und Werte der aktuell ausgewählten Aktion oder des aktuell
ausgewählten Moduls
Einstellungssymbolleiste
Die Einstellungssymbolleiste bietet die folgenden Optionen.
Produkthandbuch
97
5
Einstellungen
Tabelle 5-2 Einstellungssymbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Settings (Einstellungen hinzufügen) zum Erstellen neuer
Einstellungen.
Edit (Bearbeiten)
Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
vorhandener Einstellungen.
Delete (Löschen)
Löscht die ausgewählten Einstellungen.
müssen.
Expand all (Alle einblenden)
Blendet alle ausgeblendeten Elemente der Verzeichnisstruktur ein.
Collapse all (Alle ausblenden) Blendet alle eingeblendeten Elemente der Verzeichnisstruktur aus.
Sie können auf Einstellungen über die Registerkarte Settings (Einstellungen) zugreifen oder indem Sie in
einer Regel auf den entsprechenden Einstellungsnamen klicken. Der Zugriff auf Systemeinstellungen
erfolgt hingegen über die Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration).
Aufgaben
•
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
auf Seite 98
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen
und Module zugreifen.
•
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel auf Seite 99
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden,
zugreifen zu können, klicken Sie auf die Namen der entsprechenden Einstellungen.
•
Zugreifen auf Systemeinstellungen auf Seite 99
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die
Systemeinstellungen zugreifen.
Zugreifen auf Einstellungen für Aktionen und Module auf der
Registerkarte „Einstellungen“
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen und
Module zugreifen.
Vorgehensweise
1
2
Navigieren Sie in der Einstellungs-Baumstruktur zu einem der Zweige Actions (Aktionen) oder Engines
(Module), um auf die gewünschten Einstellungen zugreifen zu können.
3
Führen Sie zur Auswahl der Einstellungen einen der folgenden Schritte durch:
•
Klicken Sie im Zweig Actions (Aktionen) auf eine Aktion, damit diese vollständig angezeigt wird,
und wählen Sie dann die gewünschte Einstellung aus.
•
Klicken Sie im Zweig Engine (Modul) auf ein Modul (auch als Engine bezeichnet), damit dieses
vollständig angezeigt wird, und wählen Sie dann die gewünschte Moduleinstellung aus.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Nun können Sie mit den Einstellungen arbeiten.
98
Produkthandbuch
Einstellungen
5
Zugreifen auf Einstellungen für Aktionen und Module in einer
Regel
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden, zugreifen zu
können, klicken Sie auf die Namen der entsprechenden Einstellungen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit den gewünschten
Einstellungen enthält.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Klicken Sie in der Regel mit den Einstellungen, auf die Sie zugreifen möchten, auf den Namen der
entsprechenden Einstellungen:
•
In den Regelkriterien für Zugriff auf die Moduleinstellungen
•
In der Regelaktion für Zugriff auf die Aktionseinstellungen
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten) mit den ausgewählten
Einstellungen.
Zugreifen auf Systemeinstellungen
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die Systemeinstellungen
zugreifen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, deren Systemeinstellungen Sie
konfigurieren möchten, und klicken Sie dort auf den entsprechenden Einstellungsnamen.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Sie können für Module und Aktionen neue Einstellungen erstellen.
Beim Erstellen solcher Einstellungen werden diese nicht komplett neu angelegt. Vielmehr verwenden
Sie vorhandene Einstellungen, denen Sie einen neuen Namen geben und an denen Sie je nach Bedarf
alle erforderlichen Änderungen vornehmen.
Produkthandbuch
99
5
Einstellungen
Vorgehensweise
1
2
Für die Auswahl der Einstellungen, die als Ausgangsbasis für das Erstellen neuer Eigenschaften
dienen sollen, stehen die beiden folgenden Möglichkeiten zur Verfügung:
•
Wählen Sie die entsprechenden Einstellungen in der Einstellungs-Baumstruktur aus, und klicken
Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen) mit den Parametern und
Werten der ausgewählten Einstellungen.
•
Klicken Sie nun wieder auf Add (Hinzufügen).
Wählen Sie im Bereich Settings for (Einstellungen für) des Fensters die gewünschten Einstellungen
aus.
Die Parameter und Werte dieser Einstellungen werden nun im Fenster angezeigt.
3
Geben Sie im Fenster im Feld Name einen Namen für die neuen Einstellungen ein.
4
Einstellungen ein.
5
Ändern Sie die bestehenden Werte der Einstellungen nach Bedarf.
6
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der
8
100
Produkthandbuch
6
Proxys
Mithilfe der Proxy-Funktionen fängt die Appliance den Web-Datenverkehr ab und überträgt ihn weiter,
wenn dies durch die Filterregeln zugelassen wird. Diese Funktionen können Sie so konfigurieren, dass
sie den Anforderungen in Ihrem Netzwerk entsprechen.
Hier die wichtigsten Einstellungen für Proxys:
•
Netzwerkmodus: Expliziter Proxy-Modus oder ein transparenter Modus
Für jeden Modus können spezifische Einstellungen konfiguriert werden.
•
Netzwerkprotokoll: HTTP, HTTPS, FTP, ICAP sowie Instant Messaging-Protokolle
Die Protokolleinstellungen gehören zu den allgemeinen Proxy-Einstellungen, die für jeden
Netzwerkmodus konfiguriert werden können.
Sie können auch andere allgemeine Proxy-Einstellungen konfigurieren und spezielle Proxy-Lösungen
implementieren, zum Beispiel eine Reverse-HTTPS-Proxy-Konfiguration oder eine automatische
Proxy-Konfiguration.
Inhalt
Konfigurieren von Proxys
Modus „Expliziter Proxy“
Transparenter Router-Modus
Transparenter Bridge-Modus
Secure ICAP
SOCKS-Proxy
Instant Messaging
XMPP-Proxy
Konfigurieren von allgemeinen Proxy-Einstellungen
Proxy-Einstellungen
Verwenden der Raptor-Syntax für die FTP-Anmeldung
Protokolle für die Kommunikation zwischen Knoten
Verwendung von DNS-Servern in Abhängigkeit von Domänen
Reverse-HTTPS-Proxy
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Verwenden des Helix-Proxys
Konfigurieren von Proxys
Sie können die Proxy-Funktionen der Appliance passend für Ihr Netzwerk konfigurieren.
Führen Sie die folgenden allgemeinen Schritte aus.
Produkthandbuch
101
6
Proxys
Vorgehensweise
1
Überprüfen Sie die Proxy-Einstellungen.
Die folgenden Schlüsseleinstellungen sind standardmäßig konfiguriert:
2
•
Netzwerkmodus: Expliziter Proxy
•
Netzwerkprotokoll: HTTP
Ändern Sie diese Einstellungen gegebenenfalls.
Sie können beispielsweise Folgendes ausführen:
•
Konfigurieren Sie einen anderen Netzwerkmodus.
Sie können eine der folgenden Optionen auswählen:
•
•
Expliziter Proxy-Modus mit Hochverfügbarkeitsfunktionen
•
•
Konfigurieren Sie ein anderes Netzwerkprotokoll.
Sie können HTTP ein oder mehrere der folgenden Protokolle hinzufügen (oder die Protokolle
hinzufügen und HTTP deaktivieren):
•
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
Instant Messaging-Protokolle: Yahoo, ICQ, Windows Live Messenger, XMPP (für Jabber und
andere Dienste)
Ändern Sie weitere Proxy-Einstellungen, z. B. Zeitlimits und die höchstzulässige Anzahl von
Client-Verbindungen.
3
Konfigurieren Sie bei Bedarf eine spezielle Proxy-Lösung, z. B. einen HTTPS-Reverse-Proxy oder die
automatische Konfiguration von Proxys.
4
Speichern Sie die Änderungen.
Im Modus „Expliziter Proxy“ ist den Clients, deren Web-Datenverkehr auf der Appliance gefiltert wird,
bekannt, dass eine entsprechende Verbindung besteht. Sie müssen explizit so konfiguriert sein, dass
ihr Web-Datenverkehr an die betreffende Appliance weitergeleitet wird.
Wenn dies sichergestellt ist, kommt dem Umstand, an welcher Stelle die Appliance im Netzwerk
bereitgestellt ist, geringere Bedeutung zu. Normalerweise wird sie hinter einer Firewall platziert und
über einen Router mit ihren Clients und der Firewall verbunden.
102
Produkthandbuch
6
Proxys
Die folgende Abbildung veranschaulicht eine Konfiguration im Modus „Expliziter Proxy“.
Abbildung 6-1 Modus „Expliziter Proxy“
Konfigurieren des expliziten Proxy-Modus
Sie können die Proxy-Funktionen einer Appliance im expliziten Proxy-Modus konfigurieren, der den
Standardmodus für diese Funktionen darstellt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der explizite Proxy-Modus
konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) eine der beiden Optionen für den expliziten
Proxy-Modus aus.
•
Proxy: Für den expliziten Proxy-Modus
Dies ist der Proxy-Standardmodus.
Wenn dieser ausgewählt ist, werden spezifische Einstellungen zum Konfigurieren transparenter
Funktionen des expliziten Proxy-Modus unter den Einstellungen für Network Setup
(Netzwerkeinrichtung) angezeigt.
•
Proxy HA (Proxy-Hochverfügbarkeit): Für einen expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen
Wenn Sie diese Option ausgewählt haben, werden spezifische Einstellungen für Proxy HA
(Proxy-Hochverfügbarkeit) unter den Einstellungen für Network Setup (Netzwerkeinrichtung)
angezeigt.
4
Konfigurieren Sie für die ausgewählte Option spezifische und allgemeine Einstellungen nach Bedarf.
5
Produkthandbuch
103
6
Proxys
Siehe auch
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration
auf Seite 104
Einstellungen für „Transparenter Proxy“ auf Seite 105
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 113
Proxy-Einstellungen auf Seite 133
Empfohlene Vorgehensweisen – Größenbeschränkungen für
Hochverfügbarkeitskonfiguration
Beim Konfigurieren des Proxy HA-Netzwerkmodus (High Availability, Hochverfügbarkeit) müssen Sie
die Anzahl der in die Konfiguration einzubindenden Web Gateway-Appliances berücksichtigen.
In den meisten Fällen werden mehrere Appliances in einem Netzwerk ausgeführt und sind als Knoten
konfiguriert, die über die Funktionen zur zentralen Verwaltung verwaltet werden.
Üblicherweise ist einer dieser Knoten als der Master-Knoten konfiguriert, der eingehenden
Datenverkehr an die anderen Knoten weiterleitet, die als Scan-Knoten bezeichnet werden, da sie für
das Scannen dieses Datenverkehrs zuständig sind.
Auf einer bestimmten Appliance werden Netzwerkschnittstellen üblicherweise in einer zweigleisigen
Lösung konfiguriert, die separate Schnittstellen für eingehenden und ausgehenden Datenverkehr
verwendet, oder in einer dreigleisigen Lösung, die eine zusätzliche Schnittstelle zur Kommunikation
der zentralen Verwaltung verwendet.
Ausgehend von einem auf diese Weise konfigurierten Netzwerk muss Folgendes berücksichtigt
werden:
•
Die Anzahl der Scan-Knoten muss so ausgewählt werden, dass der hinzugefügte maximale
Durchsatz nicht den maximalen Durchsatz verbraucht oder übersteigt, der vom Master-Knoten
erreicht werden kann, der standardmäßig 1 Gigabit pro Sekunde beträgt.
Dieser Wert ergibt sich aus den folgenden internen Beschränkungen: Die vom Master-Knoten
standardmäßig verwendete Netzwerkschnittstelle ist auf die Verarbeitung eines Datenvolumens von
1 Gigabit pro Sekunde eingeschränkt.
Zudem lässt der Kernel-Modustreiber des MLOS-Betriebssystems, das auf einer
Web Gateway-Appliance ausgeführt wird, nur eine Skalierung von bis zu 1 Gigabit pro Sekunde zu.
•
Es wird empfohlen, einen deutlichen Sicherheitsabschlag beim Konfigurieren der Anzahl der
Scan-Knoten zu lassen, die unter diesen Bedingungen theoretisch möglich wäre.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen
Scan-Knoten zehn Knoten möglich, empfohlen werden jedoch fünf.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde wären drei Knoten möglich, empfohlen
werden jedoch zwei.
Der maximale Durchsatz auf einem Scan-Knoten variiert mit dem Appliance-Modell, das als Knoten
verwendet wird, und mit der Art und Weise der Knotenkonfiguration, ob beispielsweise die
Malware-Schutz-Filterung oder der Web-Cache aktiviert ist. Diesen Wert für einen Knoten können Sie
mithilfe eines Größenrechners ermitteln.
Die Berechnungen sehen anders aus, wenn eine 10G-Netzwerkschnittstelle von einem Master-Knoten
anstelle der standardmäßigen 1G-Netzwerkschnittstelle verwendet wird oder wenn IP-Spoofing in
einer Konfiguration aktiviert ist. Dies wird nachfolgend erläutert.
104
Produkthandbuch
6
Proxys
10G-Netzwerkschnittstellen
Wenn eine 10G-Netzwerkschnittstelle auf einer als Master-Knoten konfigurierten Appliance installiert
ist, erhöht sich der maximale Durchsatz für diesen Knoten. Jedoch darf die maximale Skalierung des
MLOS-Kernel-Modustreibers weiterhin nicht ausgelastet oder überschritten werden.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
mehr als fünf Knoten möglich, es wird jedoch weiterhin empfohlen, die Anzahl nicht auf zehn zu
erhöhen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde sind drei Knoten möglich, es wird empfohlen,
nicht mehr zu verwenden.
IP-Spoofing
Wenn IP-Spoofing konfiguriert ist, durchlaufen Datenpakete den Master-Knoten zweimal. Einmal, wenn
der Master-Knoten die Pakete an die Scan-Knoten weiterleitet, und ein weiteres Mal, wenn die Pakete
von den Scan-Knoten an den Master-Knoten zurückgegeben werden, da dieser Knoten die
Datenpakete an ihre ursprünglichen IP-Adressen weiterleitet.
Das bedeutet, dass der maximale Durchsatz auf dem Master-Knoten lediglich 500 Megabits pro
Sekunde beträgt, wenn eine 1G-Netzwerkschnittstelle verwendet wird, während die maximale
Skalierung des MLOS-Kernel-Modustreibers unverändert bleibt.
Die Anzahl der Scan-Knoten muss entsprechend angepasst werden.
•
Beispielsweise müsste bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
und einen Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, die Anzahl der
Scan-Knoten weniger als fünf sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle kann die Anzahl der Scan-Module höher sein, es
werden jedoch trotzdem fünf empfohlen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde für einen Scan-Knoten und einen
Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, darf nur ein Scan-Knoten vorhanden
sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle wird empfohlen, nicht mehr als drei San-Knoten
zu konfigurieren.
Einstellungen für „Transparenter Proxy“
Die Einstellungen für „Transparenter Proxy“ werden zur Konfiguration der transparenten Funktionen
des expliziten Proxy-Modus verwendet.
Transparenter Proxy
Einstellungen zur Konfiguration des expliziten Proxy-Modus mit transparenten Funktionen
Produkthandbuch
105
6
Proxys
Tabelle 6-1 Transparenter Proxy
Option
Definition
Supported client
redirection methods
(Unterstützte Methoden
zur Client-Umleitung)
Bietet Methoden, um den Web-Datenverkehr abzufangen und an eine Appliance
umzuleiten.
• WCCP: Wenn diese Option ausgewählt ist, werden unter dem IPv4-Protokoll an
Web-Server gesendete HTTP-Client-Anfragen von einem zusätzlichen
Netzwerkgerät abgefangen und über das WCCP-Protokoll an die Appliance
weitergeleitet.
Die Clients sind sich der Umleitung nicht bewusst, diese bleibt für sie
transparent, also unsichtbar.
Auf die gleiche Weise wie für Client-Anfragen werden Antworten der
Web-Server zurück an die Appliance geleitet.
Wenn Sie die WCCP-Umleitungsmethode verwenden, müssen Sie auf der
Appliance einen oder mehrere WCCP-Dienste konfigurieren, die die Umleitung
durchführen.
Zudem müssen Sie das Netzwerkgerät konfigurieren, das die Client-Anfragen
und Server-Antworten abfängt. Das Gerät kann als Router oder Switch mit
Router-Funktion konfiguriert werden.
Nach Auswahl dieser Option wird die Inline-Liste WCCP Services (WCCP-Dienste)
zum Konfigurieren und Hinzufügen von WCCP-Diensten angezeigt.
• L2 transparent: Wenn diese Option ausgewählt ist, werden unter den IPv4- und
IPv6-Protokollen an Web-Server gesendete Client-Anfragen von einem
zusätzlichen Netzwerkgerät abgefangen und über die
Layer 2-Umleitungsmethode an die Appliance weitergeleitet.
Bei dieser Methode werden Client-Anfragen auch dann auf der Appliance
akzeptiert, wenn ihre Ziel-IP-Adressen keine Adressen der Appliance sind. Die
Umleitung ist für die Geräte transparent, also unsichtbar.
Sie müssen die ursprünglichen Ports für die abzufangenden und umzuleitenden
Client-Anfragen in einer Liste auf der Appliance eingeben, zusammen mit den
Ports, an die diese Anfragen umgeleitet werden.
Das zusätzliche Netzwerkgerät muss entsprechend konfiguriert werden.
Wenn diese Option ausgewählt ist, können Anfragen nicht über eine
Verbindung im aktiven FTP-Modus übertragen werden. Es steht dann nur der
passive FTP-Modus zur Verfügung.
Nach Auswahl dieser Option wird die Inline-Liste Port Redirects
(Port-Umleitungen) zur Eingabe der Ports angezeigt.
Die folgenden beiden Tabellen beschreiben Listeneinträge in den Listen der WCCP-Dienste und
Port-Umleitungen.
Tabelle 6-2 WCCP-Dienste – Listeneintrag
Option
Definition
Service ID (Dienst-ID)
Gibt einen Dienst an, der Web-Datenverkehr unter dem
WCCP-Protokoll an eine Appliance weiterleitet.
WCCP router definition
(WCCP-Router-Definition)
Gibt die Multicast-IP-Adresse und den DNS-Namen eines Routers
(oder Switch mit Router-Funktion) an, der Web-Datenverkehr über
einen WCCP-Dienst an eine Appliance weiterleitet.
Sie können hier mehrere Router konfigurieren und die Einträge
durch Kommas voneinander trennen.
106
Produkthandbuch
6
Proxys
Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung)
Option
Definition
Ports to be redirected (Umzuleitende
Ports)
Führt die Ports beispielsweise der Web-Server auf, die in den
Adressinformationen der Pakete enthalten sein müssen, damit diese
umgeleitet werden.
Sie könne hier bis zu acht Port-Nummern angeben, durch Kommas
getrennt.
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
Gibt an, ob die umzuleitenden Ports Quell-Ports sind.
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
Gibt die IP-Adresse einer Appliance beim Ausgeben von
Client-Anfragen an.
Proxy listener port (Proxy-Listener-Port)
Gibt einen Port zum Reagieren auf Client-Anfragen an.
Beim Konfigurieren eines WCCP-Dienstes müssen Sie diese Option
auswählen, wenn der Dienst dazu verwendet wird, Antworten der
Web-Server zurück zur Appliance umzuleiten.
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
Legt ein Kennwort fest, das unter dem MD5-Algorithmus zum
Signieren und Verifizieren der Kontrolldatenpakete verwendet wird.
Kennworts zu öffnen.
Das Kennwort kann aus bis zu acht Zeichen bestehen.
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Liste nicht enthalten, wird in den
Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die
folgenden beiden Elemente beziehen sich auf das Element und
geben die Zuweisungsmethode an.
• Assignment by mask (Zuweisung nach Maske): Wenn diese Option
ausgewählt ist, wird die Maskierung der Quell- oder
Ziel-IP-Adressen zur Lastenverteilung verwendet.
• Assignment by hash (Zuweisung nach Hash): Wenn diese Option
ausgewählt ist, wird ein Hash-Algorithmus zur Lastenverteilung
verwendet.
Produkthandbuch
107
6
Proxys
Option
Definition
Input for load distribution
(Eingabe für Lastenverteilung)
folgenden Elemente beziehen sich auf dieses Element und geben
an, was in einem Datenpaket als Kriterien zur Lastenverteilung
verwendet wird.
Abhängig davon, ob Sie die Zuweisung nach Maske oder nach Hash
ausgewählt haben, stehen verschiedene Elemente zur Verfügung.
Beim Ausführen mehrere Appliances, kann die Lastenverteilung für
die Proxys auf diesen konfiguriert werden. Datenpakete können
basierend auf ihren Quell- oder Ziel-IP-Adressen und
Port-Nummern an diese Proxys verteilt werden.
Wenn Quell- oder Ziel-IP-Adressen für die Lastenverteilung
verwendet werden, können diese maskiert werden, oder es kann
ein Hash-Algorithmus für diese angewendet werden. Siehe
Optionen unter Assignment method (Zuweisungsmethode).
Wenn Quell- oder Ziel-Ports verwendet werden, kann nur die
Hash-Algorithmusmethode ausgewählt werden.
Lastenverteilungsoptionen für die Zuweisung nach Maske:
• Source IP mask (Quell-IP-Maske): Gibt die Maske für eine
Quell-IP-Adresse an.
Der Standardmaskenwert ist 0x15.
• Destination IP mask (Ziel-IP-Maske): Gibt die Maske für eine
Ziel-IP-Adresse an.
108
Produkthandbuch
6
Proxys
Option
Definition
Der Standardmaskenwert ist 0x15.
Die Maske darf maximal 4 Ziffern lang sein, z. B. 0xa000.
Für beide Masken zusammen können 6 Bit als Maximum festgelegt
werden.
Wenn eine Maske auf 0x0 gesetzt ist, hat diese keinen Einfluss auf
die Lastenverteilung.
Wenn Sie also beispielsweise nur die Quell-IP-Adressen zur
Lastenverteilung verwenden möchten, müssen Sie die Maske für
Ziel-IP-Adressen auf diesen Wert setzen.
Lastenverteilungsoptionen für Zuweisung nach Hash:
• Source IP (Quell-IP): Wenn diese Option ausgewählt ist, basiert die
Lastenverteilung auf Quell-IP-Adressen.
• Destination IP (Ziel-IP): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Ziel-IP-Adressen.
• Source port (Quell-Port): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Quell-Port-Nummern.
• Destination port (Ziel-Port): Wenn diese Option ausgewählt ist,
basiert die Lastenverteilung auf Ziel-Port-Nummern.
Wenn Sie einen WCCP-Dienst für die Verarbeitung von
Client-Anfragen und einen anderen für die Verarbeitung von
Web-Server-Antworten konfigurieren, müssen Sie Source IP
(Quell-IP) und Destination IP (Ziel-IP) entsprechend „über Kreuz“
auswählen.
Das heißt also, wenn Sie Source IP (Quell-IP) für den
Client-Anfragendienst auswählen, müssen Sie Destination IP (Ziel-IP)
für den Web-Server-Antwortendienst auswählen. Wenn Sie Source IP
(Quell-IP) für den Web-Server-Antwortendienst auswählen, müssen
Sie Destination IP (Ziel-IP) für den Client-Anfragendienst auswählen
usw.
Das Gleiche gilt für die Auswahl von Source port (Quell-Port) und
Destination port (Ziel-Port).
Assignment weight
(Zuweisungsgewichtung)
Legt einen Wert fest, um zu bestimmen, wie viel Last einem Proxy
zugewiesen ist.
Verwenden Sie diesen Wert, um einem Proxy auf einer Appliance
mit größerer CPU-Kapazität mehr Last zuzuweisen. 0 bedeutet,
dass keine Last an einen Proxy verteilt wird.
Forwarding method
(Weiterleitungsmethode)
folgenden beiden Elemente beziehen sich auf das Element und
geben die Weiterleitungsmethode an.
• GRE-encapsulated (GRE-gekapselt): Wenn diese Option ausgewählt
ist, werden Datenpakete vor der Umleitung durch den Router
gekapselt.
• L2-rewrite to local NIC (L2-Neuschreibung in lokalen NIC): Wenn diese
Option ausgewählt ist, werden Datenpakete an die Appliance
umgeleitet, indem die MAC-Adresse auf dem nächsten Gerät (auf
dem Weg zum Web-Server) durch die Adresse der Appliance
ersetzt wird.
Produkthandbuch
109
6
Proxys
Option
Definition
L2-redirect target (L2-Umleitung Ziel)
Gibt eine Netzwerkschnittstelle auf einer Appliance an, an die
Pakete umgeleitet werden
Magic (Mask assignment) (Magic
(Maskenzuweisung))
Ermöglicht das Festlegen eines unbekannten Felds in der Maske, die
eine Appliance an den Router sendet.
Diese Einstellung ist erforderlich, um die Kompatibilität mit
verschiedenen Versionen des Betriebssystems des Anbieters zu
gewährleisten, das für den Router verwendet wird.
Comment (Kommentar)
Bietet einen Kommentar im Nur-Text-Format zu einem
WCCP-Dienst.
Tabelle 6-3 Port-Umleitungen – Listeneintrag
Option
Definition
Original destination port (Ursprünglicher
Ziel-Port)
Gibt den Port an, an den die Datenpakete einer Client-Anfrage
ursprünglich gerichtet waren.
Destination proxy port (Ziel-Proxy-Port)
Gibt einen Port an, an den Pakete umgeleitet werden.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Erweiterte Einstellungen der ausgehenden Verbindung
Einstellungen zur Angabe von Methoden für den Umgang mit Informationen aus an Web-Server
gesendeten Client-Anfragen, die Voraussetzungen für die Netzwerkumgebung der Appliance sind
110
Produkthandbuch
6
Proxys
Tabelle 6-4 Erweiterte Einstellungen der ausgehenden Verbindung
Option
Definition
IP-Spoofing (HTTP,
HTTPS, FTP)
Wenn diese Option ausgewählt ist, behält die Appliance die Client-IP-Adresse aus
einer Client-Anfrage als Quell-Adresse bei und verwendet diese zur
Kommunikation mit dem angefragten Web-Server unter verschiedenen
Protokollen.
Wenn zum Abfangen des Web-Datenverkehrs und zur Umleitung an die Appliance
WCCP-Dienste verwendet werden, müssen Sie für jeden Port der Appliance, die
auf Client-Anfragen reagiert, zwei Dienste konfigurieren: einen für die Anfragen
des Clients und einen für die Antworten auf diese Anfragen, die von den
Web-Servern gesendet werden.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen Quell-Port und
verwendet diesen in dieser Kommunikation.
• IP spoofing for explicit proxy connections (IP-Spoofing für explizite Proxy-Verbindungen):
Wenn diese Option ausgewählt ist, verbleiben die Client-Adressen im expliziten
Proxy-Modus, in dem Web-Datenverkehr nicht durch ein zusätzliches Gerät
abgefangen wird.
• Use same source port as client for IP spoofing (Gleichen Quell-Port als Client für
IP-Spoofing verwenden): Wenn diese Option ausgewählt ist, werden
Client-Quell-Ports beibehalten und zusätzlich zu Client-Quell-Adressen für die
Kommunikation mit Web-Servers verwendet.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen zufälligen
Quell-Port und verwendet diesen in dieser Kommunikation.
HTTP: Host header
has priority over
original destination
address (transparent
proxy) (HTTP:
Host-Header hat
Priorität gegenüber
ursprünglicher
Zieladresse
(transparenter Proxy))
Wenn diese Option ausgewählt ist, wird die Zieladresse, die im HOST-Header-Teil
einer Client-Anfrage unter dem HTTP-Protokoll bereitgestellt wird, für die
Kommunikation mit dem angefragten Web-Server verwendet.
In einer transparenten Proxy-Konfiguration könnte für die Kommunikation mit
einem Web-Server auch die Zieladresse verwendet werden, die unter dem
TCP-Protokoll für die zur Übertragung einer Client-Anfrage dienenden Verbindung
angegeben wurde. Diese Adresse ist auch als die ursprüngliche Zieladresse
bekannt.
Beide Kommunikationsmethoden stehen einem transparenten Proxy auf einer
Appliance, die Client-Anfragen abfängt, oder einem WCCP-Dienst, der Anfragen
abfängt und an eine Appliance umleitet, zur Verfügung.
Die Verwendung der HOST-Header-Zieladresse ist die bevorzugte Methode, bei
einigen Konfigurationen kann es jedoch erforderlich sein, die Auswahl dieser
Option aufzuheben und die ursprüngliche Zieladresse für die Kommunikation mit
einem Web-Server zu verwenden.
• Wenn der Web-Datenverkehr auf mehreren Appliances verarbeitet wird, auf
denen transparente Proxys ausgeführt werden und an die Client-Anfragen
entsprechend den Zieladressen geleitet werden, muss sichergestellt werden,
dass die Proxys für die Verbindung mit den Web-Servern die ursprünglichen
Zieladressen verwenden.
• Dies gilt auch, wenn ein WCCP-Dienst unter Verwendung der Zieladressen zur
Lastenverteilung Client-Anfragen abfängt und an mehrere Appliances umleitet.
Beispiel-WCCP-Diensteinstellungen für IP-Spoofing
Beispieleinstellungen zur Konfiguration der WCCP-Dienste mit IP-Spoofing
Konfigurieren Sie diese Einstellungen nur, wenn Sie IP-Spoofing ausführen möchten. Normalerweise ist
es nicht erforderlich, zwei Dienste für die Umleitung des Web-Datenverkehrs an die Appliance unter
dem WCCP-Protokoll zu definieren.
Produkthandbuch
111
6
Proxys
Sie können IP-Spoofing in einer Konfiguration mit WCCP-Diensten verwenden, die Web-Datenverkehr
abfangen und an die Appliance umleiten. In diesem Fall müssen Sie zwei Dienste für alle Ports auf der
Appliance konfigurieren, die auf Anfragen reagieren.
Einer dieser Dienste gilt für die von Clients eingehenden Anfragen und der andere für die von den
Web-Servern gesendeten Antworten auf diese Anfragen.
Die folgende Tabelle zeigt Beispielparameterwerte für diese Dienste.
Tabelle 6-5 Beispielparameterwerte für zwei mit IP-Spoofing konfigurierte WCCP-Dienste
Option
Dienst für
Client-Anfragen
Dienst für
Web-Server-Antworten
Service ID (Dienst-ID)
51
52
WCCP router definition
(WCCP-Router-Definition)
10.150.107.254
10.150.107.254
Ports to be redirected (Umzuleitende Ports)
80, 443
80, 443
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
false
true
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
10.150.107.251
10.150.107.251
Proxy listener port (Proxy-Listener-Port)
9090
9090
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
*****
*****
Input for load distribution (Eingabe Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
für Lastenverteilung)
wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Source IP (Quell-IP)
true
false
Destination IP (Ziel-IP)
false
true
Source port (Quell-Port)
true
false
Destination port (Ziel-Port)
false
true
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Assignment by mask (Zuweisung nach
Maske)
true
true
Assignment by hash (Zuweisung nach Hash)
false
false
Assignment weight (Zuweisungsgewichtung)
100
100
Forwarding method
(Weiterleitungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die Elemente „GRE-encapsulated“ (GRE-gekapselt)
und „L2-rewrite to local NIC“ (L2-Neuschreibung in lokalen NIC)
beziehen sich auf dieses Element
GRE-encapsulated (GRE-gekapselt)
false
false
L2-rewrite to local NIC (L2-Neuschreibung in
lokalen NIC)
true
true
L2-redirect target (L2-Umleitung Ziel)
eth1
eth1
Magic (Mask assignment) (Magic
(Maskenzuweisung))
-1
-1
Comment (Kommentar)
112
Produkthandbuch
6
Proxys
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit)
Mit den Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) werden die Proxy-Funktionen der
Appliance im expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen konfiguriert.
Proxy HA (Proxy-Hochverfügbarkeit)
Einstellungen für den expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen
Tabelle 6-6 Proxy HA (Proxy-Hochverfügbarkeit)
Option
Definition
Port redirects
(Port-Umleitungen)
Stellt eine Liste zum Eingeben der Ports bereit, an die von Benutzern
gesendete Anfragen umgeleitet werden.
Director priority
(Weiterleitungspriorität)
Legt die Priorität (im Bereich von 0 bis 99) fest, die eine Appliance bei der
Weiterleitung von Datenpaketen befolgt.
Der größte Wert gibt die höchste Priorität an. 0 (null) bedeutet, dass die
Appliance Datenpakete nie weiterleitet, sondern diese nur filtert.
In einer Hochverfügbarkeitskonfiguration sind normalerweise zwei
Appliances als Master-Knoten mit einer höheren Priorität als 0 (null)
festgelegt, die Datenpakete weiterleiten und Failover-Funktionen für den
jeweils anderen Knoten bereitstellen.
Die übrigen Knoten sind mit einer Priorität von 0 (null) konfiguriert; sie
werden auch als Scan-Knoten bezeichnet.
Der Prioritätswert wird auf einem Schieberegler eingestellt.
Management IP
(Verwaltungs-IP-Adresse)
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden
von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle
IP-Adressen)
Stellt eine Liste von virtuellen IP-Adressen bereit.
Es wird dringend empfohlen, wenn Sie den expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen („Proxy HA“) in Web Gateway konfiguriert
haben, keine virtuelle IP-Adresse beim Anmelden bei der
Benutzeroberfläche zu verwenden.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
Tabelle 6-7
Port redirects (Port-Umleitungen) – Listeneintrag
Option
Definition
Protocol name (Protokollname)
Gibt den Namen des Protokolls an, das beim Senden einer Anfrage
durch einen Benutzer für eingehende Datenpakete verwendet wird.
Original destination ports (Ursprüngliche
Ziel-Ports)
Gibt die Ports an, an die umgeleitete Datenpakete ursprünglich
gesendet wurden.
Destination proxy port (Ziel-Proxy-Port)
Gibt den Port an, an den die an die obigen Ports gesendeten
Datenpakete ursprünglich umgeleitet wurden.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Produkthandbuch
113
6
Proxys
Tabelle 6-8
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, die für
Heartbeats unter dem VRRP-Protokoll (Virtual Router Redundancy
Protocol) verwendet wird.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Der transparente Router-Modus ist einer der beiden transparenten Modi, die Sie für die
Proxy-Funktionen der Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden
möchten.
Im transparenten Router-Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur
Weiterleitung ihres Web-Datenverkehrs an die Appliance konfiguriert werden müssen.
Die Appliance wird als Router direkt hinter der Firewall platziert. Die Appliance kann über einen Switch
mit ihren Clients verbunden werden. Zum Weiterleiten des Datenverkehrs wird eine Routing-Tabelle
verwendet.
Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Router-Modus.
Abbildung 6-2 Transparenter Router-Modus
Konfigurieren des transparenten Router-Modus
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im
transparenten Router-Modus zu konfigurieren.
Vorgehensweise
114
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente
Router-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
(HTTP(S), FTP, ICAP und IM)).
Produkthandbuch
6
Proxys
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter
Router) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Router
(Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie für jeden dieser Knoten den transparenten Router-Modus konfigurieren.
Konfigurieren von Knoten im transparenten Router-Modus
Sie können den transparenten Router-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen konfiguriert werden.
Aufgaben
•
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 115
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 116
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Router-Modus auf Seite 117
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie
mindestens eine Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren.
Konfigurieren Sie die Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in
diesem Modus, mit Ausnahme der Scan-Rolle.
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten
im transparenten Router-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für eingehenden und eine Schnittstelle für
ausgehenden Web-Datenverkehr.
4
Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet.
Produkthandbuch
115
6
Proxys
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, aktivieren Sie den Regelsatz
„SSL Scanner“, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt wird,
jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
116
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) eine IP-Adresse für jeden Scan-Knoten
ein, mit denen der Master Verbindungen herstellen können soll.
7
Konfigurieren Sie unter Virtual IPs (Virtuelle IP-Adressen) virtuelle IP-Adressen für die eingehende
und die ausgehende Netzwerkschnittstelle; geben Sie hierbei freie IP-Adressen an.
8
Behalten Sie die Zahl unter Virtual router ID (ID für virtuellen Router) unverändert bei.
Produkthandbuch
Proxys
9
6
Wählen Sie in der Liste VRRP interface (VRRP-Schnittstelle) die Schnittstellen für Heartbeats unter
diesem Protokoll aus.
10 Konfigurieren Sie ggf. das IP-Spoofing.
11 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
Konfigurieren eines Scan-Knotens im transparenten Router-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie mindestens eine
Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren. Konfigurieren Sie die
Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in diesem Modus, mit Ausnahme
der Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Scan-Knoten
konfigurieren möchten, und klicken Sie auf Network Interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für ausgehenden Web-Datenverkehr.
4
5
6
7
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
8
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
9
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
10 Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
11 Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
Produkthandbuch
117
6
Proxys
Wenn in einer Konfiguration mit zentraler Verwaltung mehrere Scan-Knoten ausgeführt werden sollen,
konfigurieren Sie weitere Appliances entsprechend der obigen Beschreibung.
Einstellungen für „Transparenter Router“
Die Einstellungen für „Transparenter Router“ sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im Modus „Transparenter Router“.
Transparenter Router
Einstellungen zum Konfigurieren des Modus „Transparenter Router“
Tabelle 6-9 Transparenter Router
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim
Weiterleiten der in einer Anfrage gesendeten Datenpakete hat.
Die Weiterleitungspriorität wird relevant, wenn es sich bei der
Appliance um einen von mehreren Knoten innerhalb einer
Konfiguration mit zentraler Verwaltung handelt. Der Knoten mit dem
höchsten Wert ist dann der Weiterleitungsknoten für die Pakete,
während die anderen Knoten diese lediglich filtern.
Wenn Sie für einen Knoten 0 angeben, kann dieser niemals ein
Weiterleitungsknoten sein.
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle IP-Adressen)
Stellt eine Liste zur Eingabe virtueller IP-Adressen bereit.
Virtual router ID (ID des virtuellen
Routers)
Gibt einen virtuellen Router an.
VRRP interface (VRRP-Schnittstelle)
Gibt die Netzwerkschnittstelle auf einer Appliance zum Senden und
Empfangen von Heartbeat-Meldungen an.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese
zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen
der Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing (FTP)) Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie
unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen.
Diese Option muss für ein aktives FTP aktiviert sein.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
118
Produkthandbuch
6
Proxys
Tabelle 6-10
Port-Umleitungen – Listeneintrag
Option
Definition
Protocol name
(Protokollname)
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die Anfragen ursprünglich gesendet werden müssen,
wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
• Für jede IP-Adresse muss auch eine Netzmaske angegeben werden.
• Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese von
keiner der implementierten Filterregeln verarbeitet.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um von
vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Verarbeitung auf Web Gateway überspringen zu lassen, oder zur
Fehlerbehebung bei Verbindungsproblemen.
Destination IP based
exceptions (Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um an
vertrauenswürdige Ziele gesendeten Anfragen die weitere Verarbeitung auf
Web Gateway überspringen zu lassen, oder zur Fehlerbehebung bei
Verbindungsproblemen.
Comment (Kommentar)
Tabelle 6-11
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, der die hier
konfigurierte virtuelle IP-Adresse zugewiesen wird.
Diese virtuelle IP-Adresse wird nur dann der Schnittstelle
zugewiesen, wenn der aktuelle Knoten die Rolle des aktiven
Weiterleitungsknotens annimmt.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Der transparente Bridge-Modus ist einer der transparenten Modi, die Sie für die Proxy-Funktionen der
Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden möchten.
In diesem Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur Weiterleitung ihres
Web-Datenverkehrs an die Appliance konfiguriert werden müssen. Die Appliance befindet sich
üblicherweise zwischen einer Firewall und einem Router, wo sie als unsichtbare Bridge dient.
Produkthandbuch
119
6
Proxys
Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Bridge-Modus.
Abbildung 6-3 Transparenter Bridge-Modus
Konfigurieren des transparenten Bridge-Modus
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im
transparenten Bridge-Modus zu konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente
Bridge-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente
Bridge) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Bridge
(Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie für jeden dieser Knoten den transparenten Bridge-Modus konfigurieren.
Konfigurieren von Knoten im transparenten Bridge-Modus
Sie können den transparenten Bridge-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen sowie Einstellungen für die
zentrale Verwaltung konfiguriert werden.
120
Produkthandbuch
6
Proxys
Aufgaben
•
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die zentrale Verwaltung für
einen Weiterleitungsknoten im transparenten Bridge-Modus auf Seite 121
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren
IP-Adresse für die Verwendung bei der Kommunikation mit der zentralen Verwaltung
freigeben.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus auf Seite 122
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus auf Seite 123
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie
dieselben Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit
Ausnahme der Scan-Rolle.
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die
zentrale Verwaltung für einen Weiterleitungsknoten im transparenten
Bridge-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren IP-Adresse
für die Verwendung bei der Kommunikation mit der zentralen Verwaltung freigeben.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Bereiten Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge vor.
a
Wählen Sie eine bisher nicht verwendete Netzwerkschnittstelle auf der Appliance aus, aktivieren
Sie diese jedoch noch nicht.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
e
4
Konfigurieren Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. Wählen Sie anschließend
erneut die Appliance aus, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
Eine weitere Netzwerkschnittstelle mit dem Namen ibr0 ist nun verfügbar. Dabei handelt es sich
um die bisher nicht verwendete Netzwerkschnittstelle, der Sie in Schritt 3 den Namen ibr0
zugewiesen haben.
b
Wählen Sie die Schnittstelle ibr0 aus.
Produkthandbuch
121
6
Proxys
5
c
Konfigurieren Sie auf der Registerkarte IPv4 eine IP-Adresse, eine Subnetz-Maske und eine
Standardroute für diese Schnittstelle.
d
Aktivieren Sie das Kontrollkästchen neben der Schnittstelle, um diese zu aktivieren.
Konfigurieren Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle als
Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle aus.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
6
Aktivieren Sie die Netzwerkschnittstelle ibr0, die Sie in Schritt 3 aus den bisher nicht verwendeten
Netzwerkschnittstellen ausgewählt haben.
7
Konfigurieren Sie die Einstellungen für die zentrale Verwaltung.
8
a
Wählen Sie Central Management (Zentrale Verwaltung) aus.
b
Fügen Sie unter Central Management Settings (Einstellungen für zentrale Verwaltung) der
bereitgestellten Liste die IP-Adresse hinzu, die Sie für die Netzwerkschnittstelle ibr0 festgelegt
haben.
Wenn mehrere Netzwerkschnittstellen für den transparenten Bridge-Modus verwendet werden sollen,
konfigurieren Sie weitere nicht verwendete Netzwerkschnittstellen einer Appliance auf dieselbe Weise.
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
Vorgehensweise
1
2
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
122
Produkthandbuch
6
Proxys
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, müssen Sie den Regelsatz „SSL
Scanner“ aktivieren, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt
wird, jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) die IP-Adresse ein, die Sie beim
Konfigurieren der Netzwerkeinstellungen für ibr0 angegeben haben.
7
Konfigurieren Sie ggf. das IP-Spoofing.
8
Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
9
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie dieselben
Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit Ausnahme der
Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Produkthandbuch
123
6
Proxys
Vorgehensweise
1
2
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
4
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
5
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
6
Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
7
Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
8
Wenn in einer Konfiguration mit zentraler Verwaltung mehrere Scan-Knoten ausgeführt werden sollen,
konfigurieren Sie weitere Appliances entsprechend der obigen Beschreibung.
Einstellungen für die transparente Bridge
Die Einstellungen für die transparente Bridge sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im transparenten Bridge-Modus.
Transparente Bridge
Einstellungen zum Konfigurieren des transparenten Bridge-Modus
Tabelle 6-12 Transparente Bridge
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von den Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim Weiterleiten
der in einer Anfrage gesendeten Datenpakete hat.
Der größte Wert gibt die höchste Priorität an. 0 bedeutet, dass es sich bei
einer Appliance um einen so genannten Scan-Knoten handelt, der
Datenpakete nur filtert und nie weiterleitet.
Sie können diese Option nur zum Konfigurieren eines Knotens
als Scan-Knoten (Priorität = 0) oder als Master-Knoten
(Priorität > 0) verwenden.
Unterschiede in der Knotenprioritäten größer als 0 werden nicht
ausgewertet.
Nach dem Konfigurieren von Knotenprioritäten größer als 0 für
mehrere Appliances im transparenten Bridge-Modus müssen Sie
deren Verhalten beobachten, um herauszufinden, welche
tatsächlich zum Master-Knoten wurde und die Datenpakete
weiterleitet.
124
Produkthandbuch
6
Proxys
Tabelle 6-12 Transparente Bridge (Fortsetzung)
Option
Definition
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese
zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen der
Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing
(FTP))
Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie
unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen
Diese Option muss für ein aktives FTP aktiviert sein.
In der folgenden Tabelle wird ein Eintrag in der Liste der Port-Umleitungen erläutert.
Tabelle 6-13
Port-Umleitungen – Listeneintrag
Option
Definition
Protocol name
(Protokollname)
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die umgeleitete Anfragen ursprünglich gesendet werden
müssen, wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um von
vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Verarbeitung auf Web Gateway überspringen zu lassen, oder zur
Fehlerbehebung bei Verbindungsproblemen.
Destination IP based
exceptions (Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um an
vertrauenswürdige Ziele gesendete Anfragen die weitere Verarbeitung
überspringen zu lassen
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Produkthandbuch
125
6
Proxys
Secure ICAP
Secure ICAP
Wenn eine Appliance unter dem ICAP-Protokoll die Server- und Client-Rolle übernimmt, kann die
Kommunikation im SSL-gesicherten Modus erfolgen.
Um diesen Modus verwenden zu können, müssen Sie ein Server-Zertifikat für jeden ICAP-Port der
Appliance importieren, bei der SSL-gesicherte Anfragen der Clients eingehen sollen. Die Clients sind
zum Übermitteln der Zertifikate nicht erforderlich.
Anfragen, die von der Appliance in ihrer Rolle als ICAP-Client an den ICAP-Server weitergeleitet
werden sollen, müssen ICAPS als Spezifikation in der Server-Adresse enthalten, um die SSL-gesicherte
Kommunikation mit dem Server zu ermöglichen.
Die Appliance sendet kein Client-Zertifikat an den ICAP-Server.
SOCKS-Proxy
Sie können Web Gateway als Proxy konfigurieren, der den Web-Datenverkehr über das
SOCKS-Protokoll (Socket-Protokoll) weiterleitet.
Web-Datenverkehr über das SOCKS-Protokoll folgt außerdem auch einem zugrunde liegenden
Protokoll, bei dem es sich z. B. um HTTP oder HTTPS handeln kann. Das zugrunde liegende Protokoll
kann auf Web Gateway erkannt werden, und wenn die Filterung für den Web-Datenverkehr unter
diesem Protokoll unterstützt wird, kann die konfigurierte Filterregel für diesen Datenverkehr
verarbeitet werden. Wenn die Filterung nicht unterstützt wird, kann der Datenverkehr durch eine
passende Regel blockiert werden.
Bezüglich der Verwendung des SOCKS-Protokolls für die Proxy-Funktionen auf Web Gateway gelten
einige Einschränkungen:
•
Die SOCKS-Protokollversion muss 5, 4 oder 4a sein. Außerdem muss diese TCP-basiert sein.
•
Die Verwendung von Nächster-Hop-Proxys wird beim Arbeiten mit dem SOCKS-Protokoll nicht
unterstützt.
•
Die BIND-Methode wird zum Einrichten von Verbindungen unter dem SOCKS-Protokoll nicht
unterstützt.
Konfigurieren eines SOCKS-Proxys
Zum Konfigurieren von Web Gateway als SOCKS-Proxy müssen Sie Folgendes durchführen:
•
Den SOCKS-Proxy aktivieren.
•
Einen oder mehrere Proxy-Ports angeben, die auf SOCKS-Proxy-Clients reagieren, wenn diese
Anfragen an Web Gateway senden.
Diese Ports werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway angegeben.
•
Regeln erstellen, die das Verhalten des SOCKS-Proxys steuern.
Diese Einstellungen werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway
konfiguriert.
126
Produkthandbuch
6
Proxys
SOCKS-Proxy
Verwenden von Eigenschaften und eines Ereignisses in Regeln für den
SOCKS-Proxy
Zwei Eigenschaften und ein Ereignis stehen zum Erstellen von Regeln zum Steuern des Verhaltens von
Web Gateway zur Verfügung, wenn dies als ein SOCKS-Proxy ausgeführt wird.
Im Standard-Regelsatzsystem oder der Regelsatz-Bibliothek ist kein vorkonfigurierter
SOCKS-Proxy-Regelsatz verfügbar. Wenn Sie solche Regeln verwenden möchten, müssen Sie diese
erstellen und in einen bestehenden Regelsatz einfügen oder einen Regelsatz für die Regeln erstellen.
•
ProtocolDetector.DetectedProtocol: Mit dieser Eigenschaft kann das zugrunde liegende Protokoll
erkannt werden, das bei Web-Datenverkehr unter dem SOCKS-Protokoll befolgt wird, z. B. HTTP
oder HTTPS.
Der Wert ist der Protokollname im Zeichenfolgeformat. Wenn das zugrunde liegende Protokoll nicht
erkannt werden kann, ist die Zeichenfolge leer.
•
ProtocolDetector.ProtocolFilterable: Mit dieser Eigenschaft kann festgestellt werden, ob die
Filterung für Web-Datenverkehr unterstützt wird, der das erkannte zugrunde liegende Protokoll
befolgt.
Der Wert ist True, wenn dieser Datenverkehr gefiltert wird, andernfalls ist der Wert False.
Wenn diese Eigenschaft in einer Regel verarbeitet wird, wird der Eigenschaft
ProtocolDetector.DetectedProtocol ebenfalls ein Wert zugewiesen. Wenn dieser Wert eine leere
Zeichenfolge für letztere Eigenschaft ist, das zugrunde liegende Protokoll also nicht erkannt wurde,
wird der Wert der Eigenschaft ProtocolDetector.ProtocolFilterable entsprechend auf False gesetzt.
•
ProtocolDetector.ApplyFiltering: Mit diesem Ereignis kann die Verarbeitung weiterer Regeln aktiviert
werden, die auf Web Gateway zum Filtern von Web-Datenverkehr unter dem erkannten Protokoll
konfiguriert wurden.
Entsprechend aktiviert die folgende Regel die Verarbeitung anderer Regeln zum Filtern des
Web-Datenverkehrs unter dem SOCKS-Protokoll, wenn ein zugrunde liegendes Protokoll erkannt
wurde, das sich filtern lässt.
Name
Enable filtering for SOCKS traffic following an underlying protocol that is filterable
Kriterien
ProtocolDetector.ProtocolFilterable is true
–>
Aktion
Ereignis
StopCycle
ProtocolDetector.ApplyFiltering
Die folgende Regel blockiert SOCKS-Datenverkehr, wenn kein zugrunde liegendes Protokoll erkannt
wird.
Name
Block SOCKS traffic if no underlying protocol can be detected
Kriterien
ProtocolDetector.DetectedProtocol equals " "
Aktion
–>
Block
Wenn keine Regel konfiguriert ist, die das Filtern des SOCKS-Datenverkehrs aktivieren oder diesen
blockieren würde, wenn kein zugrunde liegendes Protokoll erkannt wird, ist dieser Datenverkehr
zulässig.
Wenn also eine Web-Zugriffsanfrage von einem SOCKS-Client auf Web Gateway eingeht, wird diese
ohne weitere Verarbeitung an den angefragten Web-Server weitergeleitet.
Produkthandbuch
127
6
Proxys
Instant Messaging
Konfigurieren von SOCKS-Proxy-Einstellungen
Sie können Einstellungen für einen SOCKS-Proxy im Rahmen der allgemeinen Proxy-Einstellungen in
Web Gateway konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als SOCKS-Proxy
Nun werden die Einstellungen zum Konfigurieren von Proxy-Funktionen im Konfigurationsbereich
angezeigt.
3
Führen Sie einen Bildlauf nach unten zu den Einstellungen für SOCKS Proxy (SOCKS-Proxy) aus.
4
5
Siehe auch
Proxy-Einstellungen auf Seite 133
Instant Messaging
Instant Messaging-Proxys können auf einer Appliance zum Filtern von Instant Messaging-Chats
und -Dateiübertragungen eingesetzt werden.
Wenn Benutzer Ihres Netzwerks an einer Instant Messaging-Kommunikation teilnehmen, senden diese
beispielsweise Chat-Nachrichten an einen Instant Messaging-Server, erhalten Antworten auf ihre
Nachrichten oder senden und empfangen Dateien. Ein Instant Messaging-Proxy auf einer Appliance
kann diesen Datenverkehr entsprechend den implementierten Filterregeln abfangen und filtern. Zu
diesem Zweck wird der Instant Messaging-Datenverkehr an die Appliance umgeleitet.
Folgende Netzwerkkomponenten sind am Filterprozess beteiligt:
•
Instant Messaging-Proxys: Proxys können auf Appliances zum Filtern des Instant Messagings
unter verschiedenen Protokollen eingesetzt werden, z. B. ein Yahoo-Proxy, ein Windows Live
Messenger-Proxy usw.
•
Instant Messaging-Clients: Diese Clients werden auf den Systemen der Benutzer in Ihrem
Netzwerk ausgeführt, um die Kommunikation mit Instant Messaging-Servern zu ermöglichen.
•
Instant Messaging-Server: Dies sind die Ziele, an die sich der Client aus dem Netzwerk heraus
richtet.
•
Weitere Komponenten Ihres Netzwerks: Weitere am Filtern des Instant Messagings beteiligte
Komponenten können beispielsweise eine Firewall oder ein lokaler DNS-Server sein, der den
Instant Messaging-Datenverkehr an eine Appliance umleitet.
Beim Konfigurieren der Instant Messaging-Filterung müssen Sie Konfigurationsaktivitäten für den
Proxy oder die Proxys des Instant Messagings ausführen, um sicherzustellen, dass diese den Instant
Messaging-Datenverkehr abfangen und filtern.
Zudem müssen Sie sicherstellen, dass der Instant Messaging-Datenverkehr an die Instant
Messaging-Proxys umgeleitet wird. Diese Konfigurationsaktivitäten erfolgen jedoch nicht auf den
Clients, sondern auf anderen Komponenten Ihres Netzwerks. Beispielsweise werden DNS-Umleitungen
oder Firewall-Regel auf entsprechende Weise konfiguriert.
128
Produkthandbuch
6
Proxys
Instant Messaging
Ein Instant Messaging-Proxy auf einer Appliance ist hauptsächlich für den Einsatz zusammen mit der
verfügbaren IM-Client-Software des Anbieter vorgesehen, z. B. Yahoo, Microsoft, ICQ oder Google.
Diese Client-Software kann dennoch ihre Verhaltensweise ändern und beispielsweise einen neuen
Anmelde-Server ohne Vorwarnung nach einer versteckten Aktualisierung verwenden.
Bei der Verwendung von Client-Software eines Drittanbieters sollten Sie sich generell bewusst sein,
dass Anmelde-Server, Protokollversionen oder Authentifizierungsmethoden im Vergleich zur
ursprünglichen Client-Software möglicherweise verändert wurden, was einen Instant Messaging-Proxy
auf einer Appliance daran hindern kann, den Instant-Messaging-Datenverkehr abzufangen und zu
filtern.
Konfigurieren eines Instant Messaging-Proxys
Zum Konfigurieren eines Instant Messaging-Proxys auf einer Appliance müssen Sie die relevanten Teile
der Einstellungen für Proxies (Proxys) im übergeordneten Menü Configuration (Konfiguration)
konfigurieren.
Diese Einstellungen gelten hauptsächlich für:
•
Aktivierung eines Instant Messaging-Proxys
•
IP-Adressen und Ports, die auf von Instant Messaging-Clients gesendete Anfragen reagieren
•
Einstellungen für Instant Messaging-Server
•
Zeitlimits für die Instant Messaging-Kommunikation
Die Standardwerte für alle diese Einstellungen werden nach der Ersteinrichtung einer Appliance
vorkonfiguriert.
Instant Messaging unter den folgenden Protokollen kann gefiltert werden:
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP, ein Protokoll, das für Google Talk, Facebook Chat, Jabber und andere Instant
Messaging-Dienste verwendet wird
Die Regeln, die auf einer Appliance zum Filtern des Instant Messaging-Datenverkehrs verarbeitet
werden, sind die, bei denen in den Einstellungen der Regelsätze Requests (and IM) als
Verarbeitungszyklus definiert ist.
Der Responses-Zyklus kann jedoch auch beteiligt sein, wenn Instant Messaging unter dem
Yahoo-Protokoll gefiltert wird. Unter diesem Protokoll wird eine angefragte Datei in einer Antwort an
einen Client übertragen, die der Antwort entspricht, die bei der Übertragung von Dateien in normalem
Web-Datenverkehr verwendet wird. Die Datei wird auf einem Server gespeichert und vom Client unter
HTTP abgerufen, z. B. anhand einer geeigneten URL.
Wenn bei der Kommunikation zwischen dem Instant Messaging-Client und Proxy unter einem
bestimmten Protokoll Probleme auftreten, kann der Client auch zu einem anderen Protokoll wechseln
und somit den Proxy umgehen. Der Client kann sogar ein Protokoll für normalen Web-Datenverkehr
verwenden. Im Dashboard einer Appliance würde dies bei der Anzeige zu einer Abnahme des
IM-Datenverkehrs und einem Anstieg des Web-Datenverkehrs führen.
Produkthandbuch
129
6
Proxys
Instant Messaging
Sitzungsinitialisierung
Während der Initialisierung einer Instant Messaging-Sitzung zwischen Client und Server können
Client-Anfragen auf einer Appliance nur empfangen werden. Das Senden einer Antwort ist nicht
möglich. Solange dies der Fall ist, hat die IM.Message.CanSendBack-Eigenschaft den Wert false, wenn
diese in einer Regel verwendet wird.
Wir empfehlen, Blockierungsregeln hinsichtlich der Sitzungsinitialisierung nur dann zu implementieren,
wenn Sie Instant Messaging-Datenverkehr vollständig blockieren möchten. Sie sollten auch benötigte
Hilfsverbindungen zulassen. Dabei handelt es sich üblicherweise um DNS-Anfragen oder
HTTP-Übertragungen.
Von Ihnen implementierte Beschränkungen, die beispielsweise nur authentifizierte Benutzer zulassen,
sollten eher für Datenverkehr gelten, der während der Sitzung selber auftritt, z. B. Chat-Nachrichten
und Dateiübertragungen.
Konfigurieren anderer Netzwerkkomponenten für die Instant Messaging-Filterung
Der Zweck der Konfiguration weiterer Netzwerkkomponenten für die Instant Messaging-Filterung ist
es, den zwischen Clients und Servern auftretenden Instant Messaging-Datenverkehr an eine Appliance
umzuleiten, auf der ein oder mehrere Instant Messaging-Proxys ausgeführt werden.
Beispielsweise senden Clients unter dem ICQ-Protokoll ihre Anfragen an einen Server mit dem
Host-Namen api.icq.net. Für die Instant Messaging-Filterung müssen Sie eine DNS-Umleitungsregel
erstellen, sodass dieser Host-Name nicht für die IP-Adresse des ICQ-Servers, sondern für die der
Appliance aufgelöst wird.
Auf ähnliche Weise können Firewall-Regeln erstellt werden, um Instant Messaging-Datenverkehr an
eine Appliance und nicht an einen Instant Messaging-Server weiterzuleiten.
Filtern des Instant Messaging-Datenverkehrs unter Windows Live Messenger
Beim Konfigurieren der Filterung des unter dem Windows Live Messenger-Protokolls laufenden Instant
Messaging-Datenverkehrs sollte Folgendes beachtet werden.
Der Host-Name des Instant Messaging-Servers ist messenger.hotmail.com. Dies ist der Host-Name,
der in einer Umleitungsregel von der IP-Adresse einer Appliance mit einem Instant Messaging-Proxy
aufgelöst werden muss.
Manchmal stellt ein Client eine Verbindung mit einem Server her, ohne den in einer DNS-Suche
aufzulösenden Host-Namen anzufragen. In diesem Fall kann es helfen, in den Client-Einstellungen den
folgenden Registrierungseintrag zu suchen und zu entfernen:
geohostingserver_messenger.hotmail.com:1863, REG_SZ
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgende URL zugreifen können:
http://login.live.com
Aus diesem Grund müssen Sie diese URL in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
Filterung des Instant Messaging-Datenverkehrs unter ICQ
Beim Konfigurieren der Filterung des unter dem ICQ-Protokoll laufenden Instant
130
Produkthandbuch
6
Proxys
Instant Messaging
Die Host-Namen der Instant Messaging-Server lauten wie folgt:
•
api.icq.net (Service-Anfrage-Server: neu seit Trennung von AOL)
•
ars.icq.com (Dateiübertragungs-Proxy: neu seit Trennung von AOL)
•
api.oscar.aol.com (alter Service-Anfrage-Server)
•
ars.oscar.aol.com (alter Dateiübertragungs-Proxy)
•
login.icq.com (für neues Anmeldeverfahren)
•
login.oscar.aol.com (für altes Anmeldeverfahren)
Die Anmeldung der ICQ-Clients an einem Server erfolgt mit einem verschlüsselten Prozess, der vom
Instant Messaging-Proxy auf einer Appliance nicht abgefangen werden kann.
Anschließend fragt der ICQ-Client jedoch unter Verwendung des nach der Anmeldung erhaltenen
Magic-Tokens beim Service-Anfrage-Server nach Informationen zum Sitzungs-Server. Hier fängt der
Instant Messaging-Proxy den Datenverkehr ab. Der Filterungsprozess verwendet dann ein anderes
Anmeldeverfahren, nachdem der Client-Name in der Kommunikation mit dem Sitzungs-Server bekannt
gegeben wurde.
Im Gegensatz zum Yahoo-Client ignoriert der ICQ-Client jegliche Verbindungseinstellungen von
Internet Explorer.
Filterung des Instant Messaging-Datenverkehrs unter Yahoo
Beim Konfigurieren der Filterung des unter dem Yahoo-Protokoll laufenden Instant
Die Liste der Instant Messaging-Server, an die Anfragen gesendet werden, kann sehr lang sein. Die
nachfolgende Liste zeigt die Host-Namen der Server, die verwendet werden oder wurden.
Möglicherweise sind in der Zwischenzeit neue Server dazugekommen, die der Liste hinzugefügt
werden müssen.
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
•
scsd.msg.yahoo.com
•
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
Produkthandbuch
131
6
Proxys
XMPP-Proxy
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgenden URLs zugreifen können:
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
Aus diesem Grund müssen Sie diese URLs in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
Auch wenn die Option Connect directly to the Internet (Direktverbindung mit dem Internet) in den
Einstellungen eines Yahoo-Clients aktiviert wurde, werden möglicherweise weiterhin die
Verbindungseinstellungen des Internet Explorers verwendet. Dies kann dazu führen, dass die
Anmeldung zu einem späteren Zeitpunkt des Prozesses fehlschlägt. Wir empfehlen daher, auch die
URL *login.yahoo.com* in einer Whitelist einzufügen.
Probleme bei der Instant Messaging-Filterung
Probleme mit der Instant Messaging-Filterung können beispielsweise bei der Verbindung zwischen
Client und Server oder bei der Anwendung der implementierten Filterregeln auftreten.
Keep-Alive-Datenpakete werden in regelmäßigen Abständen als Bestandteil des Instant
Messaging-Datenverkehrs gesendet, um anzuzeigen, dass die Kommunikationspartner weiterhin
verbunden sind und antworten. Die Abstände variieren je nach IM-Protokoll und Client-Software
zwischen 20 und 80 Sekunden. Diese Datenpakete werden von den auf einer Appliance
implementierten Filterregeln nicht verarbeitet.
Wenn Sie solche Datenpakete in einer Fehlerbehebungssituation erkennen, können Sie mithilfe der
Regelmodulverfolgung die Regeln sehen, die weiterhin aktiv sind.
Wenn ein Client eine Anfrage zur Anmeldung an den Server sendet, erfolgt eine Umleitung an die
Appliance, sofern Sie die entsprechenden Einstellungen konfiguriert haben. Ein Client kann jedoch
gleichzeitig versuchen, sich bei einem anderen Server anzumelden, der eine SSL-verschlüsselte
Authentifizierung erfordert. Wenn dies fehl schlägt, kann auch die Verbindung dieses Clients mit der
Appliance getrennt werden.
Einige Clients bieten Optionen zur Durchführung grundlegender Fehlerbehebungstests nach einer
fehlgeschlagenen Anmeldung am Server.
XMPP-Proxy
Beim Filtern der Instant Messaging-Kommunikation auf einer Appliance ist eine der möglichen
Methoden das Einrichten eines Proxys unter XMPP (Extensible Messaging and Presence Protocol).
Dieses Protokoll ist auch unter dem Namen Jabber bekannt. Es wird beispielsweise zur Teilnahme an
Facebook-oder Google Talk-Chats zwischen einem XMPP-Client und dem Server verwendet.
Sie können Einstellungen für den XMPP-Proxy auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) konfigurieren.
Wenn der SSL-Scanner-Regelsatz auf einer Appliance nicht aktiviert ist, wird der Datenverkehr
zwischen einem XMPP-Client und dieser Appliance nicht verschlüsselt, jedoch mit allen Regeln gefiltert,
die auf der Appliance aktiviert sind. Wenn der Client unverschlüsselten Datenverkehr nicht annimmt,
wird die Verbindung geschlossen.
Wenn der SSL-Scanner-Regelsatz aktiviert ist, wird der Datenverkehr verschlüsselt und durch
SSL-Scanning untersucht, um diesen zur Filterung durch andere Regeln auf der Appliance zur
Verfügung zu stellen.
132
Produkthandbuch
6
Proxys
Sie können neben den speziellen Einstellungen für einen Netzwerkmodus allgemeine
Proxy-Einstellungen konfigurieren. Zu den allgemeinen Proxy-Einstellungen zählen Einstellungen für
die verschiedenen Typen von Proxys, die in Web Gateway konfiguriert werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie allgemeine
Proxy-Einstellungen konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM)
(Proxys (HTTP(S), FTP, ICAP und IM)).
3
4
Proxy-Einstellungen
Mit den Proxy-Einstellungen werden spezifische Parameter für die verschiedenen Netzwerkmodi
konfiguriert, die in Web Gateway implementiert werden können, sowie die gemeinsamen Parameter,
die für jeden dieser Modi gelten. Die regelmäßige Auslösung des Regelmoduls kann ebenfalls
konfiguriert werden.
Network Setup (Netzwerkeinrichtung)
Einstellungen für das Implementieren eines Netzwerkmodus
Bei Auswahl eines Netzwerkmodus werden spezifische Einstellungen für den betreffenden
Netzwerkmodus unter diesen Einstellungen angezeigt.
Tabelle 6-14 Network Setup (Netzwerkeinrichtung)
Option
Definition
Proxy (optional WCCP) (Proxy (optionale
WCCP-Dienste))
Bei Auswahl dieser Option wird der explizite Proxy-Modus
verwendet, und WCCP-Dienste können Web-Datenverkehr an eine
Appliance umleiten.
Proxy HA (Proxy – Hochverfügbarkeit)
Bei Auswahl dieser Option wird der explizite Proxy-Modus mit
Hochverfügbarkeitsfunktionen verwendet.
Transparent router (Transparenter Router)
Bei Auswahl dieser Option wird der transparente Router-Modus
verwendet.
Transparent bridge (Transparente Bridge)
Bei Auswahl dieser Option wird der transparente Bridge-Modus
verwendet.
HTTP-Proxy
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem HTTP-Protokoll
Dieses Protokoll wird zum Übertragen von Webseiten und anderen Daten genutzt (zudem wird
SSL-Verschlüsselung für verstärkte Sicherheit bereitgestellt).
Produkthandbuch
133
6
Proxys
Proxy-Einstellungen
Tabelle 6-15 HTTP-Proxy
Option
Definition
Enable HTTP proxy (HTTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der
Appliance unter dem HTTP-Protokoll ausgeführt.
HTTP Port Definition list (Liste von
HTTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die Anfragen von Clients
empfangen.
Anonymous login for FTP over HTTP (Anonyme
Anmeldung für FTP über HTTP)
Diese Option gibt den Benutzernamen für die
Anmeldung als anonymer Benutzer an, wenn Anfragen
über einen HTTP-Proxy auf einer Appliance an einen
FTP-Server übertragen werden.
Password for anonymous login for FTP over HTTP
(Kennwort für anonyme Anmeldung für FTP über HTTP)
Diese Option legt ein Kennwort für einen
Benutzernamen fest.
FTP-Proxy
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem FTP-Protokoll
Dieses Protokoll wird zum Übertragen von Dateien verwendet, wobei separate Verbindungen für
Steuerungsfunktionen und Datenübertragung genutzt werden.
Wenn eine Datei von einem FTP-Client in das Web hochgeladen und in Web Gateway
verarbeitet wird, können Sie Fortschrittsanzeigen an den Client senden, indem Sie das
Ereignis FTP Upload Progress Indication in eine geeignete Regel einfügen.
Dadurch wird eine Zeitüberschreitung auf dem Client vermieden, wenn die Verarbeitung
länger dauert, z. B. wegen des Scannens der Datei auf Infektion mit Viren oder sonstiger
Malware.
Tabelle 6-16 FTP-Proxy
134
Option
Definition
Enable FTP proxy (FTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der
Appliance unter dem FTP-Protokoll ausgeführt.
FTP port definition list (Liste von FTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die Anfragen von Clients
empfangen.
Allow character @ in FTP server user name
(Authentication using USER ftpserveruser@ftpserver)
(Zeichen @ in FTP-Server-Benutzername zulassen
(Authentifizierung mit USER ftpserveruser@ftpserver)
Bei Auswahl dieser Option ist das genannte Zeichen in
Benutzernamen zulässig.
Enable authentication using USER
proxyuser@ftpserveruser@ftpserver (Authentifizierung
mit USER proxyuser@ftpserveruser@ftpserver
aktivieren)
Bei Auswahl dieser Option ist die genannte Syntax für
einen Benutzernamen zulässig.
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-16 FTP-Proxy (Fortsetzung)
Option
Definition
Enable authentication using USER
ftpserveruser@proxyuser@ftpserver (Authentifizierung
mit USER ftpserveruser@proxyuser@ftpserver
aktivieren)
Bei Auswahl dieser Option ist die genannte Syntax für
einen Benutzernamen zulässig.
Enable customized Welcome Message
(Benutzerdefinierte Begrüßungsnachricht aktivieren)
Bei Auswahl dieser Option können Sie die
Begrüßungsnachricht bearbeiten, die für einen Benutzer
angezeigt wird, der eine Anfrage in Bezug auf den
Web-Zugriff unter dem FTP-Protokoll sendet.
Geben Sie die Begrüßungsnachricht im Textfeld
Customized Welcome Message (Benutzerdefinierte
Begrüßungsnachricht) ein, und verwenden Sie dabei die
entsprechenden Werte für die in der Nachricht
enthaltenen Variablen.
Willkommen bei §MWG-ProductName$ $MWG-Version$ Build $MWG.BuildNumber$ auf $System.HostName$ $System.UUID$ $Proxy.IP$:$Proxy.Port$
In der folgenden Tabelle wird ein Eintrag in der Liste der FTP-Port-Definitionen beschrieben.
Tabelle 6-17 FTP port definition list (Liste von FTP-Port-Definitionen)
Option
Definition
Listener address (Listener-Adresse)
Gibt die IP-Adresse und Port-Nummer für einen Port an, der
auf FTP-Anfragen überwacht.
Data port (Daten-Port)
Gibt die Port-Nummer für einen Port an, der für das
Verarbeiten der Datenübertragung unter dem FTP-Protokoll
verwendet wird.
Port range for client listener (Port-Bereich für
Client-Listener)
Konfiguriert einen Bereich von Nummern für Ports, die auf
von Clients empfangene FTP-Anfragen überwachen.
Der Bereich wird durch Angabe der ersten und der letzten
Port-Nummer konfiguriert.
Port range for server listener (Port-Bereich für
Server-Listener)
Konfiguriert einen Bereich von Nummern für Ports, die auf
FTP-Antworten überwachen, die von Web-Servern empfangen
werden, an die Anfragen weitergeleitet wurden.
Allow clients to use passive FTP connections
(Clients das Verwenden von passiven
FTP-Verbindungen gestatten)
Bei Auswahl dieser Option können Anfragen von Clients über
passive Verbindungen unter dem FTP-Protokoll gesendet
werden.
McAfee Web Gateway uses same connections
(active/passive) as clients does (McAfee Web
Gateway verwendet dieselben Verbindungen
(aktiv/passiv) wie Clients)
Bei Auswahl dieser Option verwendet Web Gateway zum
Weiterleiten des Web-Datenverkehrs denselben
Verbindungstyp wie ein Client, der eine Anfrage an Web
Gateway gesendet hat.
McAfee Web Gateway uses passive FTP
connections (McAfee Web Gateway verwendet
passive FTP-Verbindungen)
Bei Auswahl dieser Option kann Web Gateway
Web-Datenverkehr über passive Verbindungen unter dem
FTP-Protokoll weiterleiten.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port an,
der auf FTP-Anfragen überwacht.
ICAP Server (ICAP-Server)
Einstellungen zum Ausführen eines ICAP-Servers auf einer Appliance, die Anfrage und Antworten bei
der Kommunikation mit ICAP-Clients modifiziert
Produkthandbuch
135
6
Proxys
Proxy-Einstellungen
Tabelle 6-18 ICAP Server (ICAP-Server)
Option
Definition
Enable ICAP server (ICAP-Server aktivieren)
Bei Auswahl dieser Option wird ein ICAP-Server auf einer
Appliance ausgeführt.
ICAP Port Definition list (Liste von
ICAP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports auf
einer Appliance bereit, die Anfragen von ICAP-Clients
empfangen.
IFP Proxy (IFP-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem IFP-Protokoll
Dieses Protokoll wird zum Übertragen von Webseiten genutzt.
Tabelle 6-19 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der Appliance
unter dem IFP-Protokoll ausgeführt.
IFP port definition list (Liste von
IFP-Port-Definitionen)
einer Appliance bereit, die Client-Anfragen für den
IFP-Proxy empfangen.
Maximum number of concurrent IFP requests
allowed (Maximal zulässige Anzahl gleichzeitiger
IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Sie können mithilfe dieser Eigenschaft eine Überlastung des
IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben.
Tabelle 6-20 IFP port definition list (Liste von IFP-Port-Definitionen)
Option
Definition
Gibt die IP-Adresse und Port-Nummer für einen Port an, der auf
IFP-Anfragen überwacht.
Send error message as redirect (Bei
Umleitung Fehlermeldung senden)
Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat,
durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht unter dem IFP-Protokoll gesendet.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf
IFP-Anfragen überwacht.
SOCKS Proxy (SOCKS-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem SOCKS-Protokoll
(Sockets)
Tabelle 6-21 SOCKS Proxy (SOCKS-Proxy)
Option
Definition
Enable SOCKS proxy (SOCKS-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der Appliance
unter dem SOCKS-Protokoll ausgeführt.
SOCKS port definition list (Liste von
SOCKS-Port-Definitionen)
einer Appliance bereit, die auf Client-Anfragen für den
SOCKS-Proxy überwachen.
In der folgenden Tabelle wird ein Eintrag in der Liste der SOCKS-Port-Definitionen beschrieben.
136
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-22 SOCKS port definition list (Liste von SOCKS-Port-Definitionen)
Option
Definition
Listener address (Listener-Adresse) Gibt die IP-Adresse und Port-Nummer eines Ports an, der auf
SOCKS-Anfragen überwacht.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf
SOCKS-Anfragen überwacht.
Web Cache (Web-Cache)
Einstellung zum Aktivieren des Web-Cache auf einer Appliance
Neben dem Aktivieren des Web-Cache müssen Sie einen Regelsatz für das Steuern von Lese- und
Schreibvorgängen im Cache implementieren.
Tabelle 6-23 Web Cache (Web-Cache)
Option
Definition
Enable cache (Cache aktivieren) Bei Auswahl dieser Option wird der Web-Cache auf einer Appliance
aktiviert.
Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP)
Einstellungen für Zeitlimits bei Kommunikationsverbindungen unter den Protokollen HTTP, HTTPS, FTP
und ICAP
Tabelle 6-24 Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP)
Option
Definition
Initial connection timeout (Anfängliches
Verbindungszeitlimit)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine neu
geöffnete Verbindung geschlossen wird, wenn keine Anfrage
empfangen wird, auf den angegebenen Wert.
Connection timeout (Verbindungszeitlimit)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine
Verbindung geschlossen wird, wenn ein Client oder Server
während einer nicht abgeschlossenen Kommunikation mit
einer Anfrage inaktiv bleibt, auf den angegebenen Wert.
Client connection timeout (Zeitlimit für
Client-Verbindungen)
Verbindung vom Proxy auf einer Appliance mit einem Client
zwischen einer und der nächsten Anfrage geschlossen wird,
auf den angegebenen Wert.
Maximum idle time for unused HTTP server
connections (Maximale Leerlaufzeit für nicht
verwendete HTTP-Server-Verbindungen)
Verbindung vom Proxy auf einer Appliance mit einem Server
zwischen einer und der nächsten Anfrage geschlossen wird,
auf den angegebenen Wert.
DNS Settings (DNS-Einstellungen)
Einstellungen für die Kommunikation mit einem DNS-Server (Domain Name System)
Produkthandbuch
137
6
Proxys
Proxy-Einstellungen
Tabelle 6-25 DNS Settings (DNS-Einstellungen)
Option
Definition
IP protocol version preference
(Voreinstellung für
IP-Protokollversion)
Hiermit können Sie die Version des IP-Protokolls auswählen, das für die
Kommunikation verwendet wird.
• (Versionsoptionen)
• Same as incoming connection (Gleiche Version wie eingehende
Verbindung): Bei Auswahl dieser Option wird die Protokollversion
verwendet, die bereits für die eingehende Verbindung verwendet
wird.
• IP4: Bei Auswahl dieser Version wird Version 4 des IP-Protokolls
verwendet.
• IP6: Bei Auswahl dieser Version wird Version 6 des IP-Protokolls
verwendet.
• Use other protocol version as fallback (Andere Protokollversion als Alternative
verwenden): Bei Auswahl dieser Version wird die jeweils andere
Protokollversion verwendet, wenn eine von zwei Versionen nicht
verfügbar ist.
Minimal TTL for DNS cache (Min.
TTL für DNS-Cache)
Legt eine Mindestzeit (in Sekunden) fest, die abgelaufen sein muss, ehe
Daten im Cache gelöscht werden.
Maximal TTL for DNS cache (Max.
TTL für DNS-Cache)
Beschränkt die Zeit (in Sekunden), die abläuft, ehe im Cache
gespeicherte Daten gelöscht werden, auf den angegebenen Wert.
Yahoo
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Yahoo-Protokoll auf einer
Appliance
Tabelle 6-26 Yahoo
Option
Definition
Enable Yahoo proxy (Yahoo-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem Yahoo-Protokoll ausgeführt.
Gibt die IP-Adresse eines Proxy und die Nummer des Ports an,
der auf Client-Anfragen überwacht.
Support file transfer over 0.0.0.0:80
(Dateiübertragung über 0.0.0.0:80
unterstützen)
Bei Auswahl dieser Option können diese IP-Adresse und dieser
Port für Dateiübertragungsanfragen verwendet werden.
Login server (Anmelde-Server)
Gibt den Host-Namen und die Port-Nummer des Servers an, bei
dem sich Benutzer anmelden, bevor sie Anfragen senden.
Relay server (Japan) (Relais-Server (Japan)
Gibt den Host-Namen und die Port-Nummer des Servers an, der
als Relais-Station für die Dateiübertragung verwendet wird.
Yahoo client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
Yahoo-Client-Verbindungen)
Verbindung von einem Instant Messaging-Proxy mit einem Client
geschlossen wird, auf den angegebenen Wert.
Yahoo server connection timeout (Zeitlimit
für Yahoo-Server-Verbindungen)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
Verbindung von einem Instant Messaging-Proxy mit einem
Server geschlossen wird, auf den angegebenen Wert.
ICQ
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem OSCAR-Protokoll (Open
System for Communication in Real Time) auf einer Appliance
138
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-27 ICQ
Option
Definition
Enable ICQ proxy (ICQ-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem OSCAR-Protokoll ausgeführt.
Login and file transfer proxy port
(Proxy-Port für Anmeldung und
Dateiübertragung)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports für
die Verarbeitung von Anmeldung und Dateiübertragung.
• Enable additional file transfer proxy port (Zusätzlichen Proxy-Port für
Dateiübertragung aktivieren): Bei Auswahl dieser Option kann
für das Verarbeiten von Dateiübertragungen ein zusätzlicher Port
verwendet werden.
• Additional file transfer proxy port (Zusätzlicher Proxy-Port für
Dateiübertragung): Gibt eine zusätzliche IP-Adresse und eine
zusätzliche IP-Adresse für das Verarbeiten von
Dateiübertragungen an.
BOS listener port (BOS-Listener-Port)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports,
der auf BOS-Anfragen (Basic OSCAR Service) überwacht.
Bei diesen Anfragen handelt es sich um Anfragen zum Senden von
Chat-Nachrichten und nicht beispielsweise um Anfragen für
Dateiübertragungen.
ICQ login server (ICQ-Anmeldeserver)
Gibt den Host-Namen und die Port-Nummer des Servers an, bei
dem sich Benutzer anmelden, bevor sie Anfragen senden.
ICQ service request server
(ICQ-Service-Anfrageserver)
Anfragen verarbeitet.
ICQ file transfer proxy (ICQ-Proxy für
Dateiübertragungen)
Dateiübertragungen verarbeitet.
ICQ client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
ICQ-Client-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Client
ICQ server connection timeout (Zeitlimit
für ICQ-Server-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Server
Windows Live Messenger
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Windows Live
Messenger-Protokoll auf einer Appliance
Tabelle 6-28 Windows Live Messenger
Option
Definition
Enable Windows Live Messenger proxy (Windows Live
Messenger-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein
Proxy für Instant Messaging unter dem Windows Live
Messenger-Protokoll ausgeführt.
Windows Live Messenger NS proxy listener 1
(Windows Live Messenger-NS-Proxy-Listener 1)
Gibt die IP-Adresse einer Appliance an, auf der ein
Instant Messaging-Proxy ausgeführt wird, sowie die
Nummer des ersten Ports, der auf Client-Anfragen
überwacht.
Windows Live Messenger NS proxy listener 2
(Windows Live Messenger-NS-Proxy-Listener 2)
Gibt die IP-Adresse einer Appliance an, auf der ein
Nummer des zweiten Ports, der auf Client-Anfragen
überwacht.
Produkthandbuch
139
6
Proxys
Proxy-Einstellungen
Tabelle 6-28 Windows Live Messenger (Fortsetzung)
Option
Definition
Windows Live Messenger SB proxy port (Windows Live Gibt die IP-Adresse einer Appliance an, auf der ein
Messenger-SB-Proxy-Port)
Nummer des Ports, der auf im SB-Modus
(Telefonzentrale) gesendete Client-Anfragen überwacht.
Windows Live Messenger client connection timeout
(Zeitlimit für Windows Live
Messenger-Client-Verbindungen)
inaktive Verbindung vom Instant Messaging-Proxy mit
einem Client geschlossen wird, auf den angegebenen
Wert.
Windows Live Messenger server connection timeout
(Zeitlimit für Windows Live
Messenger-Server-Verbindungen)
inaktive Verbindung vom Instant Messaging-Proxy mit
einem Server geschlossen wird, auf den angegebenen
Wert.
XMPP
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem XMPP-Protokoll auf einer
Appliance
Dies ist das Protokoll, das für eine Reihe von Instant Messaging-Diensten verwendet wird, u. a. für
Jabber, Google Talk und Facebook-Chat.
Tabelle 6-29 XMPP
Option
Definition
Enable XMPP proxy (XMPP-Proxy
aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem XMPP-Protokoll ausgeführt.
Proxy port (Proxy-Port)
IP-Adresse einer Appliance, auf der ein Instant Messaging-Proxy
ausgeführt wird, sowie die Nummer des Ports, der auf unter dem
XMPP-Protokoll gesendete Anfragen überwacht.
Client connection timeout (Zeitlimit für
Client-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Client
Server connection timeout (Zeitlimit für
Server-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Server
Advanced Settings (Erweiterte Einstellungen)
Einstellungen für erweiterte Proxy-Funktionen
Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen)
Option
Definition
Maximal number of client connections (Maximale Beschränkt die Anzahl der Verbindungen zwischen einem
Anzahl von Client-Verbindungen)
Proxy auf der Appliance und dessen Clients auf den
angegebenen Wert.
Wenn der Wert 0 angegeben wird, ist keine Beschränkung
festgelegt.
140
Number of working threads (Anzahl der
Arbeits-Threads)
Gibt die Anzahl der Threads an, die bei Ausführung eines
Proxys auf einer Appliance zum Filtern und Übertragen von
Web-Objekten verwendet werden.
Number of threads for AV scanning (Anzahl der
Threads für das Antiviren-Scannen)
Gibt die Anzahl der Threads an, die bei Ausführung eines
Proxy auf einer Appliance zum Scannen von Web-Objekten
auf Infektionen durch Viren und sonstige Malware verwendet
werden.
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung)
Option
Definition
Use TCP no delay (TCP ohne Verzögerung)
Bei Auswahl dieser Option werden Verzögerungen in einer
Proxy-Verbindung vermieden, indem der Nagle-Algorithmus
zum Zusammenstellen von Datenpaketen nicht verwendet
wird.
Dieser Algorithmus erzwingt, dass Pakete erst dann gesendet
werden, wenn eine bestimmte Datenmenge gesammelt
wurde.
Maximal TTL for DNS cache in seconds (Max. TTL Beschränkt die Zeit (in Sekunden), für die
für DNS-Cache in Sekunden)
Host-Nameninformationen im DNS-Cache gespeichert
werden, auf den angegebenen Wert.
Timeout for errors for long running connections
in minutes (Zeitlimit für Fehler bei lange
andauernden Verbindungen in Minuten)
Beschränkt die Zeit (in Minuten), die abläuft, bis eine
aufgrund eines Fehlers inaktive lange andauernde Verbindung
Check interval for long running connections
(Intervall für lange andauernde Verbindungen
überprüfen)
Beschränkt die Zeit (in Minuten), die zwischen über lange
andauernde Verbindungen gesendeten
Überprüfungsmeldungen abläuft, auf den angegebenen Wert.
Internal path ID (Interne Pfad-ID)
Gibt den Pfad an, dem eine Appliance beim Weiterleiten von
internen Anfragen (Anfragen, die nicht von Clients
empfangen wurden) folgt, z. B. Anfragen für Stylesheets zum
Anzeigen von Fehlermeldungen.
Bypass RESPmod for responses that must not
contain a body (RESPmod bei Antworten
umgehen, die keinen Textteil enthalten dürfen)
Bei Auswahl dieser Option werden in einer Kommunikation
unter dem ICAP-Protokoll gesendete Antworten nicht
entsprechend dem RESPMOD-Mode geändert, wenn sie
keinen Textteil enthalten.
Call log handler for progress page updates and
objects embedded in error templates
(Protokoll-Handler für Aktualisierungen von
Fortschrittsseiten und in
Fehlermeldungsvorlagen eingebettete Objekte
aufrufen)
Bei Auswahl dieser Option werden die Regeln im auf der
Appliance implementierten Protokoll-Handler-Regelsatz
verarbeitet, um die angegebenen Aktualisierungen und
Objekte zu behandeln.
Allow connections to use local ports using proxy Bei Auswahl dieser Option können lokale Ports für Anfragen
(Verbindungen das Verwenden lokaler Ports über auf einer Appliance verwendet werden, auf der der Proxy
Proxy gestatten)
ausgeführt wird.
Use virtual IP as the Proxy.IP property value
(Virtuelle IP-Adresse als
Proxy.IP-Eigenschaftenwert verwenden)
Bei Auswahl dieser Option ist der Wert für die
Proxy.IP-Eigenschaft im Hochverfügbarkeitsmodus eine
virtuelle IP-Adresse für alle Knoten in einer Konfiguration.
Dabei handelt es sich um die virtuelle Adresse, mit der
Clients Verbindungen mit dem Proxy herstellen.
Wenn der Master-Knoten eine Anfrage eines Clients an einen
Scan-Knoten umleitet, ist diese Adresse auch auf dem
Scan-Knoten der Wert der Proxy.IP-Eigenschaft (und nicht die
physische Adresse des Scan-Knotens).
HTTP(S): Remove all hop-by-hop headers
(HTTP(S): Alle Hop-by-Hop-Header entfernen)
Bei Auswahl dieser Option werden Hop-by-Hop-Header aus
Anfragen entfernt, die auf einer Appliance empfangen
werden, auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt
wird.
Produkthandbuch
141
6
Proxys
Proxy-Einstellungen
Option
Definition
HTTP(S): Inspect via headers to detect proxy
loops (HTTP(S): VIA-Header untersuchen, um
Proxy-Schleifen zu erkennen)
Bei Auswahl dieser Option werden VIA-Header in Anfragen,
die auf einer Appliance, auf der ein HTTP- bzw. HTTPS-Proxy
ausgeführt wird, auf Schleifen untersucht.
HTTP(S): Host from absolute URL has priority
over host header (Host von absoluter URL hat
Priorität gegenüber Host-Header)
Bei Auswahl dieser Option haben die Host-Namen, die
absoluten URLs in Anfragen entsprechen, die auf einer
Appliance empfangen werden, auf der ein HTTP- bzw.
HTTPS-Proxy ausgeführt wird, Vorrang gegenüber den
Host-Namen in den Anfrage-Headern.
Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser)
Einstellungen für das Herstellen von Verbindungen mit Web-Servern, das Aufrufen des Regelmoduls
und das Herunterladen von Daten
Tabelle 6-31 Periodic Rule Engine Trigger List (Liste der regelmäßigen
Regelmodul-Auslöser)
Option
Definition
Enable Periodic Rule Engine
Trigger List (Liste der
regelmäßigen
Regelmodul-Auslöser aktivieren)
Bei Auswahl dieser Option werden Verbindungen mit den Web-Servern,
die in der URL definition list (Liste der URL-Definitionen) angegeben sind, in
regelmäßigen Intervallen eingerichtet.
Außerdem werden in der Liste auch die Intervalle für die einzelnen
Web-Serververbindungen angegeben.
Nach Ablauf des Intervalls wird das Modul für die Regelverarbeitung
(Regelmodul) auf einer Appliance aufgerufen, eine Verbindung mit dem
Web-Server wird eingerichtet, und Daten werden vom Web-Server
heruntergeladen und zur Verarbeitung an das Regelmodul übergeben.
Daten werden nur unter dem HTTP-Protokoll und dem HTTPS-Protokoll
heruntergeladen.
Zu den Web-Servern, für die auf diese Weise Verbindungen eingerichtet
werden, zählen Nächster-Hop-Proxy-Server und sonstige Server, über
die im Web spezielle Dienste bereitgestellt werden.
URL definition list (Liste der
URL-Definitionen)
Stellt eine Liste von Web-Servern bereit, mit denen eine Verbindung
eingerichtet werden kann.
In der folgenden Tabelle wird ein Eintrag in der Liste der URL-Definitionen beschrieben.
Tabelle 6-32 URL definition list (Liste der URL-Definitionen) – Listeneintrag
Option
Definition
Host
Gibt die IP-Adresse und die Port-Nummer oder die URL eines
Web-Servers an, mit dem eine Verbindung eingerichtet werden kann.
Trigger interval (Auslöserintervall) Gibt das Intervall (in Sekunden) an, nach dessen Ablauf erneut versucht
wird, eine Verbindung mit einem Web-Server einzurichten.
Comment (Kommentar)
142
Gibt einen Kommentar im Nur-Text-Format zu einer Verbindung mit
einem Web-Server an.
Produkthandbuch
6
Proxys
Wenn Web Gateway so konfiguriert ist, dass es als FTP-Proxy ausgeführt wird, kann die Raptor-Syntax
zur Anmeldung am FTP-Server mit Web Gateway als Proxy verwendet werden.
Um diese Anmeldung durchzuführen, kann der Benutzer, der auf den FTP-Server zugreifen möchte, die
Befehle USER, PASS und ACCEPT über einen passenden FTP-Client ausführen. Unter Verwendung
dieser Befehle wird der FTP-Server zusammen mit Benutzernamen und Kennwörtern für den
FTP-Server und den Web Gateway-Proxy angegeben.
Die Befehlssyntax lautet wie folgt:
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
In der folgenden Tabelle werden die Bedeutungen der Befehlsparameter beschrieben.
Tabelle 6-33 Befehlsparameter für die FTP-Anmeldung
Option
Definition
ftpserver
FTP-Server, für den Zugriff angefragt wird
ftpuser
Benutzername für den FTP-Server
ftpuserpass
Kennwort für den FTP-Server
proxyuser
Benutzername für den Web Gateway-Proxy
proxyuserpass
Kennwort für den Web Gateway-Proxy
Protokolle für die Kommunikation zwischen Knoten
Wenn Web Gateway-Appliances in einer Konfiguration mit zentraler Verwaltung als Master- und
Scan-Knoten ausgeführt werden, erfolgt die Kommunikation zwischen den Knoten über das Virtual
Router Redundancy Protocol (VRRP) und das MWG-Verwaltungsprotokoll.
Die Verwendung der Protokolle hängt von den Proxy-Einstellungen ab, die Sie auf den als Knoten
ausgeführten Appliances konfiguriert haben. Die Protokolle decken unterschiedliche Aktivitäten von
Master- und Scan-Knoten ab.
Virtual Router Redundancy Protocol
Das Virtual Router Redundancy Protocol wird verwendet, wenn Sie Web Gateway als Proxy im Modus
„Transparenter Router“ oder im Proxy-Modus „Hohe Verfügbarkeit“ konfiguriert haben.
Unter diesem Protokoll werden aktiven Master-Knoten und Backup-Master-Knoten virtuelle
IP-Adressen zugewiesen. Das Protokoll bestimmt auch, welcher Master-Knoten die aktive Master-Rolle
übernimmt.
MWG-Verwaltungsprotokoll
Das MWG-Verwaltungsprotokoll wird im Proxy-Modus „Transparenter Router“, „Transparente Bridge“
und „Hohe Verfügbarkeit“ verwendet. Unter diesem Protokoll werden Scan-Knoten erkannt, die für die
Verarbeitung des Web-Verkehrs zur Verfügung stehen.
Der Knoten, der die aktive Master-Rolle übernimmt, sendet über die IP-Adressen, die Sie unter
Management IP (Verwaltungs-IP) der jeweiligen Proxy-Einstellungen als IP-Quelladresse konfiguriert
haben, Broadcast-Nachrichten an die Scan-Knoten.
Produkthandbuch
143
6
Proxys
Das Protokoll sorgt dafür, dass die innerhalb eines Netzwerksegments verfügbaren Scan-Knoten in
regelmäßigen Abständen auf die Erkennungsnachrichten des Master-Knotens antworten.
Sicherheitsüberlegungen
Die Sicherheitsmerkmale des Virtual Router Redundancy Protocol und des MWG-Verwaltungsprotokolls
sind denen des Address Resolution Protocol (ARP) sehr ähnlich.
Das Virtual Router Redundancy Protocol verwendet Multicast mit einer IP-Adresse, die nicht über die
lokale Broadcast-Domäne hinaus geroutet wird. Das MWG-Verwaltungsprotokoll verwendet
Broadcast-Nachrichten.
Wenn ein bösartiger Knoten im gleichen Netzwerksegment VRRP-Nachrichten sendet, gibt er sich als
aktiven Master-Knoten und Inhaber der jeweiligen virtuellen IP-Adresse zu erkennen. Wenn dieser
Knoten plötzlich alle Datenpakete für die virtuelle IP-Adresse verweigert, wird die Netzwerkverbindung
für die mit dem Web Gateway-Proxy verbundenen Clients beendet.
Damit bösartige Knoten den Betrieb des Web Gateway-Proxys nicht stören, wird bei der Konfiguration
der Proxy-Einstellungen gemäß Virtual Router Redundancy Protocol und MWG-Verwaltungsprotokoll die
Verwendung von IP-Adressen aus einem geschützten Netzwerksegment empfohlen.
Die Verwendung von DNS-Servern (Domain Name Service) zur Auflösung von über URLs
bereitgestellten Domäneninformationen in IP-Adressen, wenn Web-Zugriffsanfragen auf Web Gateway
verarbeitet werden, kann gemäß den Domänen der angeforderten Ziele konfiguriert werden.
Diese Verwendung von DNS-Servern wird auch als bedingte DNS-Weiterleitung bezeichnet.
Domänen, z. B. testnet.webwasher.com, werden in eine Liste eingegeben, zusammen mit der
IP-Adresse des DNS-Servers, der zum Auflösen der URL-Informationen verwendet werden soll. Auf
diese Weise kann für eine Domäne mehr als ein DNS-Server angegeben werden.
Wenn eine Anfrage an ein bestimmtes Ziel im Web an Web Gateway gesendet wird, wird diese gemäß
dieser Liste an einen DNS-Server weitergeleitet.
Die Verwendung eines bestimmten DNS-Servers kann dynamisch über DHCP (Dynamic Host
Configuration Protocol) konfiguriert werden. Dies ist auch die Standardeinstellung nach der
Erstkonfiguration einer Web Gateway-Appliance.
Wenn beide Konfigurationen mit DHCP sowie bedingter DNS-Weiterleitung konfiguriert sind, hat DHCP
Vorrang, und die bedingte DNS-Weiterleitung wird umgangen.
Wenn ein BIND-Server als ein DNS-Server konfiguriert ist, werden die in einer Konfigurationsdatei auf
Web Gateway gespeicherten DNS-Sever-Einstellungen überschrieben. Um diese Einstellungen für die
Auflösung des Domänennamens beizubehalten, müssen Sie diese manuell erneut eingeben.
144
Produkthandbuch
6
Proxys
Konfigurieren Sie die Verwendung von DNS-Servern
entsprechend Domänen
Konfigurieren Sie die Domain Name Service-Einstellungen in geeigneter Weise, um die Verwendung
von DNS-Servern entsprechend den Ziel-Domänen im Web zu ermöglichen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Verwendung von
DNS-Servern konfigurieren möchten, und klicken Sie auf Domain Name Service.
3
Konfigurieren Sie die Einstellungen im Abschnitt Conditional DNS Forwarder Configuration (Konfiguration
von bedingten DNS-Weiterleitungen) nach Bedarf.
4
Einstellungen für den Domain Name Service
Die Einstellungen für den Domain Name Service werden zum Konfigurieren der DNS-Server
verwendet. Dies gilt auch für die Nutzung von DNS-Servern in Abhängigkeit von bestimmten
Domänen, was auch als bedingte DNS-Weiterleitung bezeichnet wird.
Domain Name Service Settings (Einstellungen des Domain Name Service)
Einstellungen für DNS-Server
Tabelle 6-34 Domain Name Service Settings (Einstellungen des Domain Name Service)
Option
Definition
Primary domain name server (Primärer Domänennamen-Server)
Gibt die IP-Adresse des ersten Servers an.
Secondary domain name server (Sekundärer Domänennamen-Server)
Gibt die IP-Adresse des zweiten Servers an.
Tertiary domain name server (Tertiärer Domänennamen-Server)
Gibt die IP-Adresse des dritten Servers an.
Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Einstellungen für die Verwendung von DNS-Servern in Abhängigkeit von Domänen
Produkthandbuch
145
6
Proxys
Tabelle 6-35 Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Option
Definition
Enable conditional forwarding
(Bedingte Weiterleitung aktivieren)
Bei Auswahl dieser Option löst ein DNS-Server aus der Liste Conditional
Forwarder List (Liste für bedingte Weiterleitung) die in einer Anfrage an
Web Gateway gesendete Domäneninformation in eine IP-Adresse auf.
• In Abhängigkeit von der Domäne des angefragten Ziels wird ein
DNS-Server aus der Liste ausgewählt.
• Die DNS-Server sind in der Liste mit ihren IP-Adressen aufgeführt.
• Für eine Domäne können bis zu fünf DNS-Server angegeben
werden.
Wenn diese Option ausgewählt ist, kann auch auf die folgenden fünf
Optionen zugegriffen werden.
Default resolver(s)
(Standard-DNS-Server)
Gibt die IP-Adressen des bzw. der Server an, die standardmäßig zur
Auflösung der Domäneninformationen verwendet werden.
Hier können IP-Adressen für bis zu fünf DNS-Server angegeben
werden.
TTL for positive answer
(Speicherdauer für positive
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den positive Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 604800 Sekunden.
TTL for negative answer
(Speicherdauer für negative
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den negative Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 10800 Sekunden.
Conditional Forwarder List (Liste für
bedingte Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
für die bedingte Weiterleitung genutzt werden.
Conditional Forwarder Reverse
Lookup List (Liste für umgekehrte
Suche in bedingter Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
verwendet werden, wenn bei der bedingten Weiterleitung eine
umgekehrte Suche durchgeführt wird.
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder List“ (Liste für bedingte
Weiterleitung) erläutert.
Tabelle 6-36 Liste für bedingte Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt einen Domänennamen an.
Beim Senden einer Anfrage für ein Ziel auf einer bestimmten Domäne
an Web Gateway wird für die Suche der DNS-Server (bzw. die
DNS-Server) verwendet, der für diese Domäne angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
146
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder Reverse Lookup List“
(Liste für umgekehrte Suche in bedingter Weiterleitung) erläutert.
Tabelle 6-37 Liste für umgekehrte Suche in bedingter Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt die IP-Adresse einer Domäne an.
• Die Angabe der IP-Adresse erfolgt in der CIDR-Notation.
• Bei der Durchführung einer umgekehrten Suche nach einer
IP-Adresse wird der DNS-Server (bzw. die DNS-Server) verwendet,
der für diese Adresse angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Reverse-HTTPS-Proxy
Mit einer Reverse-HTTPS-Proxy-Konfiguration kann verhindert werden, dass Clients unerwünschte
Daten wie Malware oder bestimmte Medientypen auf Web-Server unter dem HTTPS-Protokoll
hochladen.
In einer solchen Konfiguration wird HTTPS-Datenverkehr an eine Appliance umgeleitet, auf der ein
Proxy ausgeführt wird. Er wird untersucht und schließlich je nach den auf der Appliance
implementierten Regeln weitergeleitet oder blockiert.
Es gibt die folgenden Konfigurationsmöglichkeiten:
•
Einrichten einer transparenten Bridge oder eines transparenten Routers
•
Einrichten einer DNS-Konfiguration, die direkt auf die Appliance zeigt, wenn der Zugriff auf einen
bestimmten Web-Server angefordert wird
Die Umleitung an eine Appliance kann auch erzielt werden, indem Verbindungen mit Proxy-Erkennung
konfiguriert werden, die auf der Verwendung von CONNECT-Headern basieren.
Diese Methode erfordert jedoch ein zusätzliches Netzwerkgerät, um diese Header für eingehende
Anfragen zusammenzustellen. Daher wird sie nicht empfohlen.
Neben dem Konfigurieren Ihres Netzwerks müssen Sie die Verarbeitung von SSL-Zertifikaten
konfigurieren.
Optional können Sie zusätzliche Einstellungen festlegen, die sich nicht auf SSL beziehen, um einen
reibungslosen Betrieb des Reverse-HTTPS-Proxys sicherzustellen.
Umleiten von HTTPS-Datenverkehr im Modus „Transparente
Bridge“ oder „Transparenter Router“
Im Modus „Transparente Bridge“ oder „Transparenter Router“ können Sie eine Port-Umleitungsregel
(die auch als Port-Weiterleitungsregel bezeichnet wird) verwenden, um HTTPS-Datenverkehr an den
Proxy-Port einer Appliance weiterzuleiten.
Sie müssen zudem sicherstellen, dass die umgeleiteten Anfragen als SSL-gesicherte Kommunikation
behandelt werden.
Produkthandbuch
147
6
Proxys
Reverse-HTTPS-Proxy
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, an die Datenverkehr umgeleitet
werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
Wählen Sie im Abschnitt Network Setup (Netzwerkeinrichtung) Transparent bridge (Transparente Bridge)
oder Transparent router (Transparenter Router) aus.
Der Abschnitt mit den spezifischen Einstellungen für die transparente Bridge bzw. den
transparenten Router wird angezeigt.
4
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
5
Konfigurieren Sie die folgenden Einstellungen für einen neue Port-Umleitungsregel:
•
Protocol name (Protokollname): HTTP
Diese Einstellung deckt Verbindungen unter den Protokollen HTTP und HTTPS ab.
•
Original destination ports (Ursprüngliche Ziel-Ports): 443
Wenn die Web-Server, die die Anfrageziele darstellen, auch unter dem HTTP-Protokoll erreicht
werden können, können Sie hier Port 80 hinzufügen (getrennt durch ein Komma). Dieser Typ
von Datenverkehr wird dann ebenfalls an die Appliance weitergeleitet.
•
Destination proxy port (Ziel-Proxy-Port): 9090
Dies ist der standardmäßige Proxy-Port auf einer Appliance.
6
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Regel wird in der Liste angezeigt.
7
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen).
8
9
Vergewissern Sie sich, dass Folgendes konfiguriert ist:
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): 443
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue HTTP-Proxy-Port wird in der Liste angezeigt.
Festlegen der Überwachung von über DNS-Einträge
umgeleiteten Anfragen durch die Appliance
Wenn unter dem HTTPS-Protokoll gesendete Anfragen entsprechend DNS-Einträgen an eine Appliance
umgeleitet werden, können Sie den Proxy auf der Appliance so konfigurieren, dass er den
148
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
entsprechenden Port direkt überwacht. Sie müssen zudem sicherstellen, dass die Verarbeitung nur für
SSL-gesicherte Verbindungen erfolgt.
Bevor Sie beginnen
Wenn Sie den Proxy auf diese Weise konfigurieren möchten, stellen Sie Folgendes sicher:
•
Es erfolgt keine Auflösung der Host-Namen der angeforderten Web-Server auf der
Appliance, wenn von der Appliance eine DNS-Suche ausgeführt wird.
Sie können dies erreichen, indem Sie die IP-Adressen der Web-Server in der Datei „/etc/
hosts“ auf der Appliance eingeben, oder indem Sie einen entsprechend konfigurierten
internen DNS-Server verwenden.
•
Ein Regelsatz zur Verarbeitung der Inhaltsüberprüfung ist auf der Appliance
implementiert und aktiviert.
Ein geeigneter Regelsatz wird als untergeordneter Regelsatz des Regelsatzes
„SSL Scanner“ im Standard-Regelsatzsystem bereitgestellt.
Bei der Verwendung von DNS-Einträgen kann keine Port-Umleitungsregel angewendet werden, da der
Zweck einer solchen Regel im Weiterleiten von Anfragen für andere Ziele an die Appliance besteht.
Aufgrund der DNS-Einträge stellt die Appliance jedoch bereits das Ziel dar.
Sie müssen zudem sicherstellen, dass die Verarbeitung nur für SSL-gesicherte Verbindungen erfolgt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die die Anfragen überwachen soll,
und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
4
Konfigurieren Sie die folgenden Einstellungen für einen neuen HTTP-Proxy-Port:
•
Listener address (Listener-Adresse): 0.0.0.0:443
Mit dieser Einstellung überwacht die Appliance Anfragen für beliebige Web-Server, ungeachtet
ihrer jeweiligen IP-Adresse. Sie können an dieser Stelle auch eine bestimmte IP-Adresse
angeben und die Überwachung von Anfragen durch die Appliance auf den betreffenden Server
beschränken.
Wenn Sie über mehrere Netzwerkschnittstellenkarten auf der Appliance verfügen, können Sie
IP-Adressen (durch Kommas getrennt) für eine Anzahl von Web-Servern angeben, die der
Anzahl von Netzwerkschnittstellenkarten gleichkommt.
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): *
Produkthandbuch
149
6
Proxys
Reverse-HTTPS-Proxy
5
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue Proxy-Port wird in der Liste angezeigt.
Wenn ein Web-Server auch unter dem HTTPS-Protokoll zugänglich sein soll, müssen Sie einen
weiteren HTTP-Proxy mit der Listener-Adresse 0.0.0.0:80 oder der Adresse eines bestimmten
Web-Servers hinzufügen.
6
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration
Eine Reverse-HTTPS-Proxy-Konfiguration wird üblicherweise eingerichtet, um eine begrenzte Anzahl an
Web-Servern vor dem Hochladen unerwünschter Daten durch Clients zu schützen. Sie müssen für
diese Server SSL-Zertifikate importieren und diese der Appliance-Konfiguration hinzufügen.
In einer Reverse-HTTPS-Proxy-Konfiguration kommuniziert die Appliance im SSL-gesicherten Modus
mit ihren Clients. Die SSL-Zertifikate, die die Appliance während des SSL-Handshakes an die Clients
sendet, können jedoch nicht durch das Modul „SSL Scanner“ ausgestellt werden. Die Appliance
verwendet daher die Originalzertifikate der Web-Server, für die die Clients Zugriff anfragen.
Sie können diese Zertifikate beim Konfigurieren der Einstellungen für den SSL-Client-Kontext ohne
CA-Modul konfigurieren.
Die Appliance verwendet mehrere Methoden, um die passenden Zertifikate zum Senden an die Clients
zu finden.
Auswählen der an die Clients zu sendenden Zertifikate
Um herauszufinden, welche Zertifikate in einer bestimmten Situation an einen Client zu senden sind,
scannt die Appliance die Liste der importierten Zertifikate. In dieser Liste sind die Zertifikate den
Host-Namen der Web-Server zugeordnet, zu denen sie gehören. Die Appliance sendet dann das
Zertifikat, das dem Namen des Hosts zugeordnet ist, auf den ein Client Zugriff anfragt.
In einer expliziten Proxy-Einrichtung würde der Host-Name übertragen und der Appliance im Header
der CONNECT-Anfrage angegeben werden.
In einer transparenten Einrichtung verwendet die Appliance die folgenden Methoden zur Erkennung
des Host-Namens:
•
Wenn ein Client eine SNI-Erweiterung sendet, kann der Host-Name auf eine Weise ermittelt
werden, die der Erkennung des Host-Namens in einer expliziten Proxy-Konfiguration ähnelt.
•
Wenn Client-Anfragen entsprechend den DNS-Einträgen an die Appliance umgeleitet werden, wird
der Host-Name anhand der IP-Adresse erkannt, die Sie beim Konfigurieren der Umleitung
angegeben haben.
In diesem Fall müssen Sie auch einen Regelsatz mit Regeln erstellen, die die Eigenschaft
„URL.Host“ auf den entsprechenden Wert für jede IP-Adresse setzen, auf die die Appliance
reagieren soll. Damit wird der Appliance angegeben, wohin Anfragen weitergeleitet werden sollen,
nachdem sie gefiltert und zugelassen wurden.
•
Wenn die transparente Einrichtung keine Umleitung durch DNS-Einträge verwendet, sendet die
Appliance eine Handshake-Meldung an den von einem Client angefragten Web-Server, extrahiert
den allgemeinen Namen aus dem vom Web-Server erhaltenen Zertifikat, und ermittelt anhand
dieses allgemeinen Namens den Host-Namen.
Bei dieser Methode müssen auch die Appliance und der Web-Server im SSL-gesicherten Modus
kommunizieren. Sie können eine Einstellung auf der Appliance konfigurieren, um sicherzustellen,
dass dieser Modus verwendet wird.
150
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Erstellen von Eigenschaften für SSL-Zertifikate in einer Reverse-HTTPSProxy-Konfiguration
Für die SSL-Zertifikate, die für Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration verwendet
werden, können Sie Einstellungen erstellen und die Zertifikate beim Konfigurieren dieser Einstellungen
importieren.
Vorgehensweise
1
Wählen Sie Policies | Settings (Richtlinien | Einstellungen) aus.
2
Wählen Sie in der Einstellungs-Baumstruktur Enable SSL Client Context without CA (SSL-Client-Kontext
ohne CA aktivieren) aus.
3
Klicken Sie über der Einstellungs-Baumstruktur auf Add (Hinzufügen).
4
Geben Sie im Feld Name einen Namen für die hinzuzufügenden Einstellungen ein, z. B. Imported
web server certificates.
5
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
6
[Optional] Wählen Sie die Registerkarte Permissions (Berechtigungen) aus, und geben Sie an,
7
Konfigurieren Sie im Abschnitt Define SSL Client Context (Without Certificate Authority) (SSL-Client-Kontext
definieren, ohne Zertifizierungsstelle) die dort befindlichen Einstellungsparameter.
a
Klicken Sie auf der Symbolleiste der Inline-Liste Select server certificate by host or IP (Server-Zertifikat
nach Host oder IP auswählen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Klicken Sie auf Import (Importieren), und importieren Sie mithilfe der Optionen des nun
geöffneten Fensters Import Server Certificate (Server-Zertifikat importieren) ein SSL-Zertifikat für
einen Web-Server.
c
Konfigurieren Sie die weiteren Parameter im Fenster Add Host to Certificate Mapping (Host zur
Zertifikatzuordnung hinzufügen) nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster wird geschlossen, und in der Inline-Liste wird ein neuer Eintrag für die Zuordnung
eines SSL-Zertifikats zum Host-Namen eines Web-Servers angezeigt.
e
Wenn Sie zur Inline-Liste weitere Zuordnungseinträge hinzufügen möchten, dann wiederholen
Sie die untergeordneten Schritte a bis d.
f
Aktivieren bzw. deaktivieren Sie die Option SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion nur auf Client-Verbindung anwenden), je nachdem, ob die Verbindung
zum Web-Server SSL-gesichert sein soll oder nicht.
Wenn Sie sich für eine ungesicherte Verbindung entscheiden, müssen Sie eine Regel zum
Ändern des Netzwerkprotokolls von HTTPS in HTTP erstellen.
Produkthandbuch
151
6
Proxys
Reverse-HTTPS-Proxy
g
Konfigurieren Sie die anderen Parameter der Einstellungen für den SSL-Client-Kontext nach
Bedarf.
h
Klicken Sie auf OK.
Das Fenster Add Settings (Einstellungen hinzufügen) wird nun geschlossen, und die neuen
Einstellungen werden in der Einstellungs-Baumstruktur angezeigt.
8
Klicken Sie auf OK.
9
Sie können diese Einstellungen auch in der Regel zum Festlegen des Client-Kontexts verwenden. Diese
Regel befindet sich im SSL-Scanner-Regelsatz des Standard-Regelsatzsystems.
Festlegen der Eigenschaft „URL.Host“ in einer Reverse-HTTPS-ProxyKonfiguration
Wenn Client-Anfragen durch DNS-Einträge in einer Reverse-HTTPS-Proxy-Konfiguration an die
Appliance umgeleitet werden, müssen Sie die IP-Adresse eines Web-Servers als Werte der Eigenschaft
„URL.Host“ festlegen, um der Appliance das Weiterleitungsziel für die Anfragen anzugeben.
Nachdem das Filtern einer Anfrage ergeben hat, dass diese zulässig ist, verwendet die Appliance die
mit der Anfrage übermittelte Eigenschaft „URL.Host“, um die Anfrage an den angefragten Web-Server
weiterzuleiten.
Bei der Umleitung von Anfragen entsprechend den DNS-Einträgen sind die Web-Server der Appliance
durch ihre IP-Adressen bekannt. Wenn die Eigenschaft „URL.Host“ über die IP-Adresse eines
Web-Servers als Wert verfügt, leitet die Appliance die Anfrage an das entsprechende Ziel weiter.
Der Wert der Eigenschaft „URL.Host“ kann mithilfe einer Regel auf eine IP-Adresse gesetzt werden. Sie
müssen eine solche Regel für jeden Web-Server erstellen, an den die Appliance Anfragen weiterleiten
soll.
Diese Regeln können in einem eigenen Regelsatz enthalten sein.
Aufgaben
•
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“ auf Seite 152
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die
IP-Adresse eines Web-Servers als Wert zuweisen.
•
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“ auf Seite 153
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Vorgehensweise
152
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Set value of URL.Host
to IP address.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the Always (Immer) aus.
8
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum Regelsatz im
Nur-Text-Format ein.
9
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und konfigurieren Sie, wer
zum Zugriff auf den Regelsatz berechtigt ist.
10 Klicken Sie auf OK.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als
Wert zuweisen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die neuen Regeln erstellt
haben, z. B. Set value of URL.Host to IP address.
3
Klicken Sie auf Add Rule (Regel hinzufügen).
ist.
4
Geben Sie im Feld Name einen Namen für die neue Regel ein, z. B. Set value of URL.Host to
10.141.101.51.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen).
6
Konfigurieren Sie die Regelkriterien folgendermaßen:
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Destination.IP
aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte den Operator equals (ist gleich)
aus.
c
Geben Sie in der rechten Spalte in das Operandenfeld unter Compare with (Vergleichen mit) eine
IP-Adresse ein.
Produkthandbuch
153
6
Proxys
Reverse-HTTPS-Proxy
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Continue (Weiter) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im
angezeigten Dropdown-Menü die Option Set Property Value (Eigenschaftenwert festlegen).
Daraufhin öffnet sich das Fenster Add Set Property (Festgelegte Eigenschaft hinzufügen).
10 So legen Sie eine Eigenschaft fest:
a
Wählen Sie unter Set this property (Diese Eigenschaft festlegen) die Eigenschaft URL.Host aus.
b
Klicken Sie unter To concatenation of these strings (Für Verkettung dieser Zeichenfolgen) auf Add
(Hinzufügen).
Daraufhin öffnet sich das Fenster Please Enter a String (Zeichenfolge eingeben).
c
Geben Sie im Feld Parameter value (Parameterwert) den Host-Namen des Web-Servers ein, zu dem
die in dieser Regel verwendete IP-Adresse gehört.
d
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Host-Name wird im Fenster Add Set Property
(Festgelegte Eigenschaft hinzufügen) angezeigt.
Das Fenster wird geschlossen, und das Ereignis zum Festlegen der EigenschaftURL.Host wird unter
Events (Ereignisse) angezeigt.
12 Klicken Sie auf Finish (Fertig stellen).
Regelsatz angezeigt, den Sie für die Regeln zur Festlegung von Werten erstellt haben.
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPSProxy-Konfiguration
Zusätzlich zur Konfiguration der Netzwerkeinrichtung und der SSL-Zertifikatsverarbeitung können Sie
mehrere weitere optionale Aktivitäten ausführen, um einen reibungslosen Betrieb des
Reverse-HTTPS-Proxys zu gewährleisten.
154
•
Erkennung von Proxy-Schleifen deaktivieren
•
Beschränken des Zugriffs auf die Appliance-Ports
•
Beschränken des Zugriffs auf Web-Server
•
Senden von Daten an mehrere Web-Server
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Aufgaben
•
Erkennung von Proxy-Schleifen deaktivieren auf Seite 155
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage
Proxy-Schleifen erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen,
diese Erkennung zu deaktivieren.
•
Beschränken des Zugriffs auf die Appliance-Ports auf Seite 155
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer
Appliance beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
•
Beschränken des Zugriffs auf Web-Server auf Seite 156
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte
Anzahl von Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In
dieser Konfiguration sollten Sie den Zugriff ausschließlich auf diese Server gestatten und
den Zugriff auf andere blockieren.
•
Senden von Daten an mehrere Web-Server auf Seite 159
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche
Web-Server weiterleiten und so für Lastausgleich und Redundanz sorgen.
Erkennung von Proxy-Schleifen deaktivieren
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage Proxy-Schleifen
erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen, diese Erkennung zu
deaktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Erkennung von
Proxy-Schleifen deaktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Deaktivieren Sie im Abschnitt Advanced Settings (Erweiterte Einstellungen) die Option HTTP(S): Inspect Via
header to detect proxy loops (HTTP(S): VIA-Header untersuchen, um Proxy-Schleifen zu erkennen).
4
Beschränken des Zugriffs auf die Appliance-Ports
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer Appliance
beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der Port-Zugriff beschränkt
werden soll, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
4
Wählen Sie File Server (Datei-Server) aus.
5
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
6
Produkthandbuch
155
6
Proxys
Reverse-HTTPS-Proxy
Beschränken des Zugriffs auf Web-Server
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte Anzahl von
Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In dieser Konfiguration
sollten Sie den Zugriff ausschließlich auf diese Server gestatten und den Zugriff auf andere blockieren.
Wenn der Zugriff auf andere Server angefordert und blockiert wurde, empfiehlt es sich zudem, die
Verbindungen durch die Appliance schließen zu lassen.
So beschränken Sie den Zugriff:
•
Erstellen Sie eine Liste der Web-Server, die geschützt werden sollen.
•
Erstellen Sie einen Regelsatz für eine Blockierungsregel.
•
Erstellen Sie einen Regelsatz, der den Zugriff auf andere Web-Server blockiert und die
Verbindungen mit Clients schließt, nachdem ihre Anfragen blockiert wurden.
Aufgaben
•
Erstellen einer Liste mit geschützten Web-Servern auf Seite 156
Sie können eine Liste mit Web-Servern erstellen, die in einer
Reverse-HTTPS-Proxy-Konfiguration geschützt werden sollen.
•
Erstellen eines Regelsatzes für eine Blockierungsregel auf Seite 157
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
•
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server auf Seite 158
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht
in der Liste geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Erstellen einer Liste mit geschützten Web-Servern
Sie können eine Liste mit Web-Servern erstellen, die in einer Reverse-HTTPS-Proxy-Konfiguration
geschützt werden sollen.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
3
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): WildcardExpression
4
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort
fest, wer zum Zugriff auf die Liste berechtigt ist.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | WildcardExpression (Benutzerdefinierte Listen | Platzhalterausdruck) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
156
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der zu schützenden
Web-Server entsprechen. Verwenden Sie bei mehreren Einträgen Kommas als Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen eines Regelsatzes für eine Blockierungsregel
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Block web
servers in a reverse HTTPS proxy configuration.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (Wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus. Klicken Sie anschließend auf Add (Hinzufügen).
8
9
Konfigurieren Sie die Regelsatzkriterien folgendermaßen:
a
Wählen Sie in der Liste Property (Eigenschaft) die Eigenschaft URL.Protocol aus.
b
Wählen Sie in der Liste Operator den Operator equals (ist gleich) aus.
c
Geben Sie unter Operand die Zeichenfolge https ein.
d
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum neuen Regelsatz im
wer zum Zugriff auf den Regelsatz berechtigt ist.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
Produkthandbuch
157
6
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht in der Liste
geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die Blockierungsregel
erstellt haben, z. B. Block web servers in a reverse HTTPS proxy configuration.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Allow access only to
protected web servers.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (wenn
6
7
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte matches in list (entspricht in Liste)
aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die von Ihnen konfigurierte
Web-Server-Liste, z. B. Protected web servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Block (Blockieren) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
angezeigten Dropdown-Menü die Option Event (Ereignis) aus.
10 Konfigurieren Sie das Ereignis folgendermaßen:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Proxy Control aus.
b
Wählen Sie in der Liste Settings (Einstellungen) die Option Do not keep connection to client persistent
(Verbindung mit Client nicht dauerhaft aufrechterhalten) aus.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
158
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die Regel wird in dem von Ihnen
neu erstellten Regelsatz angezeigt.
Senden von Daten an mehrere Web-Server
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche Web-Server
weiterleiten und so für Lastausgleich und Redundanz sorgen.
Hierfür müssen Sie folgende Schritte durchführen:
•
Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Regelsatz-Bibliothek.
•
Erstellen Sie eine Liste mit Nächster-Hop-Proxys.
•
Erstellen Sie Einstellungen für die Nächster-Hop-Proxys.
•
Erstellen Sie eine Regel, die mithilfe der Liste und den Einstellungen das Ereignis „Enable Next Hop
proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird.
Die Liste arbeitet zudem mit einer Liste geschützter Server. Hierfür können Sie die Liste nutzen, die
Sie beim Erstellen der Zugriffseinschränkung für diese Server angelegt haben.
Aufgaben
•
Erstellen einer Liste mit Nächster-Hop-Proxys auf Seite 159
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt
werden sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“
auslöst.
•
Erstellen von Einstellungen für den Nächster-Hop-Proxy auf Seite 160
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus
der Liste der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen
für den Nächster-Hop-Proxy erstellen.
•
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“ auf Seite 161
Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn
ein Web-Server aus der Liste der geschützten Server angefragt wird.
Erstellen einer Liste mit Nächster-Hop-Proxys
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt werden
sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“ auslöst.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
3
4
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers as next-hop proxies
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): NextHopProxy
Produkthandbuch
159
6
Proxys
Reverse-HTTPS-Proxy
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | NextHopProxy (Benutzerdefinierte Listen | Nächster-Hop-Proxy) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der Web-Server
entsprechen, die angewählt werden sollen. Verwenden Sie bei mehreren Einträgen Kommas als
Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen von Einstellungen für den Nächster-Hop-Proxy
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste
der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen für den
Nächster-Hop-Proxy erstellen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Enable Next Hop Proxy (Nächster-Hop-Proxy aktivieren)
aus, und klicken Sie dann auf Add (Hinzufügen).
3
4
5
Konfigurieren Sie die folgenden Einstellungsparameter:
•
Name: Name der Einstellung, z. B. Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Einstellung im Nur-Text-Format
Konfigurieren Sie unter Next Hop Proxy Servers (Proxy-Server des nächsten Hops) die folgenden
Optionen:
a
Wählen Sie aus der Liste List of next hop proxy servers (Liste der Proxy-Server des nächsten Hops) die
von Ihnen erstellte Liste der Proxys des nächsten Hops, z. B. Protected web servers as next
hop proxies.
b
Vergewissern Sie sich, dass die Option Round Robin (Round-Robin-Verfahren) ausgewählt ist.
c
Deaktivieren Sie die Option Proxy style requests (Proxy-ähnliche Anfragen).
Klicken Sie auf OK.
6
160
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“
Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein
Web-Server aus der Liste der geschützten Server angefragt wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Next Hop Proxy aus.
Die Regeln dieses Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Address protected web
servers as next-hop proxies.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
6
7
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte does not match in list (entspricht
nicht in Liste) aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die Web-Server-Liste, die Sie zur
Einschränkung des Zugriffs auf diese Server erstellt haben, also beispielsweise Protected web
servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), und belassen Sie die Standardoption Continue (Fortfahren).
9
angezeigten Dropdown-Menü die Option Event (Ereignis) aus.
10 Konfigurieren Sie das Ereignis folgendermaßen:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Next Hop Proxy.
b
Wählen Sie in der Liste Settings (Einstellungen) die Einstellungen, die Sie für diese Regel
konfiguriert haben, beispielsweise Protected web servers.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
Produkthandbuch
161
6
Proxys
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Das Fenster Add Rule (Regel hinzufügen) wird geschlossen, und die neue Regel wird im Regelsatz
„Next Hop Proxy“ angezeigt.
Automatische Proxy-Konfiguration (Proxy Auto-Configuration,
PAC)
Für Web-Browser auf Clients können eine oder mehrere PAC-Dateien (Proxy Auto-Configuration)
verfügbar gemacht werden. Mithilfe dieser Dateien können Web-Browser Proxys für den Zugriff auf
bestimmte Webseiten suchen.
Eine Proxy Auto-Configuration-Datei weist i. d. R. die Dateinamenerweiterung .pac auf. Es können
mehrere Dateien auf einer Appliance vorhanden sein, z B. die Dateien proxy.pac und webgateway.pac.
Unter dem WPAD-Protokoll (Web Proxy Auto-Discovery) muss eine Proxy Auto-Configuration-Datei den
Dateinamen wpad.dat aufweisen. Daher kann sie auf einer Appliance jeweils nur einmal vorhanden
sein.
Bereitstellen einer PAC-Datei
Sie können eine PAC-Datei für einen Web-Browser auf einem Client zur automatischen
Proxy-Konfiguration bereitstellen.
Vorgehensweise
1
Speichern Sie die PAC-Datei im Ordner /opt/mwg/files auf der Appliance.
2
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
3
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
4
Wählen Sie Automatic proxy configuration URL (Automatische Proxy-Konfiguration URL), und geben Sie
den Pfad und den Namen der PAC-Datei ein.
Geben Sie beispielsweise Folgendes ein:
http://mwgappl.webwasher.com:4711/files/proxy.pac
Wenn die Clients einen dedizierten Port zum Herunterladen der Datei verwenden sollen, müssen Sie
diesen Port zuerst konfigurieren.
Wenn kein dedizierter Port verwendet wird, werden Clients an den HTTP-Port für die
Benutzeroberfläche geleitet (die Port-Standardnummer ist 4711).
5
162
Klicken Sie auf OK.
Produkthandbuch
6
Proxys
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“
Damit der Web-Browser eines Clients die Datei „wpad.dat“ herunterladen kann, müssen Sie eine Regel
konfigurieren, die eine entsprechende Download-Anfrage an den passenden Port einer Appliance
weiterleitet.
Vorgehensweise
1
Wählen Sie auf der Benutzeroberfläche der Appliance Configuration | Appliances (Konfiguration |
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die Datei „wpad.dat“
verfügbar machen wollen, und klicken Sie auf Port Forwarding (Port-Weiterleitung).
3
Klicken Sie unter Port Forwarding Rules (Regeln für die Port-Weiterleitung) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add AppliancePortForwarding (Appliance-Port-Weiterleitung
hinzufügen).
4
Konfigurieren Sie die Einstellungen für die Regel zur Port-Weiterleitung folgendermaßen:
•
Source Host (Ursprungs-Host): 0.0.0.0
•
Target Port (Bestimmungs-Port): 80
•
Destination Host (Ziel-Host): 127.0.0.1
•
Destination Port (Ziel-Port): <Port für Datei-Download>
Geben Sie als <Port für Datei-Download> den HTTP-Port für die Benutzeroberfläche der
Appliance (standardmäßig: 4711) oder einen von Ihnen konfigurierten dedizierten Port ein.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Regel wird nun in der Liste angezeigt.
Konfigurieren der automatischen Erkennung eines WPAD-Hosts
Sie können für einen Web-Browser die automatische Erkennung einrichten, um die Appliance
aufzufinden, die als Host zum Speichern einer Datei „wpad.dat“ fungiert.
Vorgehensweise
1
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
2
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
3
Wählen Sie Auto-detect proxy settings for this network (Proxy-Einstellungen für dieses Netzwerk automatisch
erkennen) aus.
4
Klicken Sie auf OK.
Der Helix-Proxy ist ein Proxy eines Drittanbieters für die Verarbeitung von Echtzeit-Streaming-Daten.
Auf diesen wird ursprünglich nicht über die Benutzeroberfläche der Appliance zugegriffen, sondern
über eine Befehlszeilenoberfläche, die beispielsweise in Ihrem Verwaltungssystem bereitgestellt wird.
Nach dem Zugriff auf den Helix-Proxy können Sie diesen auf seiner eigenen Benutzeroberfläche
verwalten.
Produkthandbuch
163
6
Proxys
Konfigurieren der Verwendung des Helix-Proxys
Sie können die Verwendung des Helix-Proxys von der Befehlszeilen-Schnittstelle aus konfigurieren.
Vorgehensweise
1
Geben Sie an der Befehlszeilen-Schnittstelle einen Aktivierungsbefehl für den Helix-Proxy ein.
Dieser Befehl kann beispielsweise wie folgt aussehen:
service helix-proxy activate
Sie werden aufgefordert, einen Benutzernamen und ein Kennwort für das ursprüngliche
Administratorkonto einzugeben.
2
Geben Sie beides ein.
Nun wird der Helix-Proxy gestartet.
Nach dem Starten finden Sie die Konfigurationsdateien für den Proxy im Ordner /opt/helix-proxy
auf der Appliance; Sie können diese ggf. manuell bearbeiten.
3
Stellen Sie mit dem folgenden Befehl eine Verbindung mit der Benutzeroberfläche des Helix-Proxys
her:
http://<IP-Adresse des Helix-Proxys>:21774/admin/index.html
Nun öffnet sich die Benutzeroberfläche, und ein Anmeldefenster wird angezeigt.
4
Geben Sie den Benutzernamen und das Kennwort aus Schritt 2 ein.
Nach der erfolgreichen Anmeldung wird die Benutzeroberfläche des Helix-Proxys zugänglich.
5
Nutzen Sie diese Benutzeroberfläche für die ggf. erforderliche weitere Konfiguration des
Helix-Proxys nach Bedarf.
6
Konfigurieren Sie Ihre Real Player-Anwendung so, dass sie die Appliance als Proxy verwendet.
Dabei können Sie z. B. wie folgt vorgehen:
164
a
Starten Sie den Real Player.
b
Navigieren Sie in seiner Benutzeroberfläche zu den Proxy-Einstellungen.
c
Geben Sie im entsprechenden Eingabefeld, z. B. im Feld RTSP (Real Time Streaming Protocol)
die IP-Adresse der Appliance ein, und geben Sie dabei als Port-Nummer 554 an.
Produkthandbuch
7
Authentifizierung
Benutzer können auf einer Appliance „gefiltert“ werden, d. h., Sie können den Web-Zugriff nur für die
Benutzer zulassen, die sich authentifizieren können.
Die Authentifizierung wird nicht standardmäßig implementiert, es gibt jedoch vorkonfigurierte
Authentifizierungsregelsätze, die Sie verwenden können.
Die folgenden Authentifizierungstypen können implementiert werden:
•
Standardauthentifizierung: Sie können die Authentifizierung für Benutzer konfigurieren, die
Anfragen auf Web-Zugriff unter einem Standardprotokoll, wie z. B. HTTP, HTTPS oder FTP, senden.
Wenn der Authentifizierungsregelsatz des Standard-Regelsatzsystems aktiviert ist, werden die
Benutzerinformationen standardmäßig aus einer internen Benutzerdatenbank abgerufen.
Sie können diese Einstellung ändern und eine andere Methode konfigurieren, z. B. NTLM, LDAP
oder Kerberos.
•
Instant Messaging-Authentifizierung: Sie können die Authentifizierung für Benutzer
konfigurieren, die Anfragen auf Web-Zugriff unter einem Instant Messaging-Protokoll, wie z. B.
Yahoo, Windows Live Messenger oder ICQ, senden.
Außerdem können Sie Administratorkonten und -rollen einrichten und pflegen und so den
Administratorzugriff auf eine Appliance steuern.
Inhalt
LDAP-Digest-Authentifizierung
Konfigurieren der Authentifizierung
Konfigurieren des Moduls „Authentication“
Authentifizierungseinstellungen
Implementieren einer anderen Authentifizierungsmethode
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen
Instant Messaging-Authentifizierung
Einmalkennwörter
Authentifizierung der Client-Zertifikate
Administratorkonten
Das Authentifizieren der Benutzer des Netzwerks gewährleistet, dass diese nur dann auf das Internet
zugreifen können, wenn sie sich ordnungsgemäß angemeldet haben. Beim Authentifizierungsvorgang
Produkthandbuch
165
7
Authentifizierung
werden Benutzerinformationen abgerufen, z. B. aus einer internen Datenbank oder von einem
Web-Server, und der Zugriff dementsprechend zugelassen oder blockiert.
Dieser Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Authentifizierungsregeln steuern den gesamten Vorgang.
•
Das Modul „Authentication“ wird von den Regeln aufgerufen und ruft aus einer Datenbank
Informationen über Benutzer ab.
Nach der standardmäßigen Ersteinrichtung ist in Web Gateway noch kein Authentifizierungsvorgang
implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus der
Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Für das Konfigurieren des Authentifizierungsvorgangs können Sie folgende Elemente
verwenden:
•
Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Authentifizierung
aus der Bibliothek importiert und in der Baumstruktur auf einen Regelsatz geklickt
haben, können Sie die wichtigsten Elemente dieser Regeln für den
Authentifizierungsvorgang konfigurieren.
•
Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige
entsperren) klicken, werden die Regeln für den Authentifizierungsvorgang vollständig
angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren
sowie neue Regeln erstellen oder Regeln löschen.
Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie
alle Änderungen verwerfen oder den Regelsatz erneut importieren.
Authentifizierungsregeln
Für gewöhnlich enthalten Authentifizierungsregeln eine Regel, die nicht authentifizierte Benutzer zur
Authentifizierung auffordert und die Anfragen aller Benutzer blockiert, deren Authentifizierung
fehlschlägt.
Außerdem sind auch Whitelist-Regeln möglich, die anfragenden Benutzern je nach
Absender-IP-Adresse bzw. angefragter URL das Überspringen des Authentifizierungsvorgangs
erlauben.
In der Regelsatz-Bibliothek stehen Regelsätze für unterschiedliche Authentifizierungsarten bereit,
beispielsweise für die IM- oder Cookie-Authentifizierung.
Modul „Authentication“
Ein Modul wird auch als Engine bezeichnet. Das Modul „Authentication“ ruft aus einer Datenbank
Informationen über die Benutzer ab. Das Modul wird durch Regeln aufgerufen, die die Information
benötigen, ob ein Benutzer, der den Zugriff auf ein Web-Objekt anfragt, ordnungsgemäß authentifiziert
ist.
Diese Informationen kann mit unterschiedlichen Methoden abgerufen werden:
166
•
NTLM: Nutzt eine Datenbank auf dem Server einer Windows-Domäne.
•
NTLM Agent (NTLM-Agent): Nutzt zur Anwendung der NTLM-Authentifizierungsmethode einen
externen Agenten auf einem Windows-System.
Produkthandbuch
7
Authentifizierung
•
User Database (Benutzerdatenbank): Nutzt eine auf der Appliance vorhandene interne Datenbank.
Wenn der Regelsatz des Standard-Regelsatzsystems aktiviert ist, wird diese Methode standardmäßig
verwendet.
•
LDAP: Nutzt eine auf einem LDAP-Server befindliche Datenbank.
•
Novell eDirectory: Nutzt die Daten eines Verzeichnisses auf einem Server, der die Funktion eines
LDAP-Servers übernimmt.
•
RADIUS: Nutzt eine auf einem RADIUS-Server befindliche Datenbank.
•
Kerberos: Nutzt eine auf einem Kerberos-Server befindliche Datenbank.
•
Authentication Server (Authentifizierungs-Server): Nutzt eine auf einem anderen externen Server
befindliche Datenbank.
Sie können die Einstellungen für das Modul „Authentication“ konfigurieren und somit die
Authentifizierungsmethode und weitere Parameter des Authentifizierungsvorgangs festlegen.
Bei der LDAP-Digest-Authentifizierungsmethode, die auf der LDAP-Authentifizierung basiert, wird ein
gemeinsamer geheimer Schlüssel verwendet, der beiden Seiten des Authentifizierungsprozesses
bekannt ist: einem Benutzer, der mit einem Browser auf einem Web Gateway-Client Web-Zugriff
anfragt, und Web Gateway.
Web Gateway nutzt seine Proxy-Funktionen zum Abfangen der Anfrage, um die Authentifizierung zu
ermöglichen und weitere Filtervorgänge gemäß der konfigurierten Web-Sicherheitsrichtlinie
auszuführen.
Im Gegensatz zu einfacheren Authentifizierungsmethoden (z. B. zur Standardauthentifizierung) sendet
der Browser kein Kennwort direkt an Web Gateway. Stattdessen ist das Kennwort Bestandteil des
gemeinsamen geheimen Schlüssels, der beiden Seiten des Authentifizierungsprozesses bekannt ist.
Für den gemeinsamen geheimen Schlüssel und eine Reihe zusätzlicher Parameter auf dem Client wird
ein Hash-Wert berechnet und an Web Gateway übermittelt. Web Gateway berechnet den Hash-Wert
dann anhand des dort vorhandenen gemeinsamen geheimen Schlüssels erneut, um zu überprüfen, ob
die Ergebnisse identisch sind. Wenn dies der Fall ist, wird der Benutzer authentifiziert.
Der vom Client an Web Gateway übermittelte Hash-Wert wird auch als Digest bezeichnet.
Web Gateway ruft den gemeinsamen geheimen Schlüssel von einem LDAP-Server ab, der zum
Neuberechnen des Hash-Werts benötigt wird.
Berechnen eines Hash-Wertes für die LDAP-Digest-Authentifizierung
Die MD5-Methode zum Berechnen eines Hash-Werts wird verwendet, wenn die
LDAP-Digest-Authentifizierung in einem Authentifizierungsprozess mit Web Gateway durchgeführt
wird.
Bevor der Client den Hash-Wert sendet, sendet Web Gateway eine Authentifizierungsanfrage an den
Client, die eine so genannte Nonce (Number only once, Einmalnummer) enthält. Dabei handelt es sich
um eine Zahl, die von Web Gateway nach dem Zufallsprinzip erzeugt wird und einen der Parameter
darstellt, der zusätzlich zum gemeinsamen geheimen Schlüssel verwendet werden muss, um den
Hash-Wert zu berechnen.
Produkthandbuch
167
7
Authentifizierung
Im Folgenden finden Sie die vollständige Liste der Parameter zum Berechnen des Hash-Wertes:
•
Benutzername (Teil des gemeinsamen geheimen Schlüssels)
•
Bereichsname (Teil des gemeinsamen geheimen Schlüssels)
•
Kennwort (Teil des gemeinsamen geheimen Schlüssels)
•
Nonce (Einmalnummer)
•
Vom Client gesendete HTTP-Anfrage
•
URL des angefragten Ziels im Web
Konfigurieren der LDAP-Digest-Authentifizierung in Web Gateway
Für die LDAP-Digest-Authentifizierung in Web Gateway ist Folgendes erforderlich:
•
Die LDAP-Authentifizierung muss als allgemeine Authentifizierungsmethode in Web Gateway
konfiguriert sein.
•
Der Bereichsname muss als Teil der allgemeinen Authentifizierungseinstellungen in Web Gateway
konfiguriert sein. Dieser Name muss auch für den gemeinsamen geheimen Schlüssel verwendet
werden.
•
Sie müssen die folgenden Parameter für die LDAP-Digest-Authentifizierung konfigurieren:
•
Aktivierung der LDAP-Digest-Authentifizierung
•
Name des Attributs auf dem LDAP-Server, das den Authentifizierungs-Hash speichert
•
Maximale Verwendungshäufigkeit der Nonce (Einmalnummer)
•
Maximaler Zeitraum für die Verwendung einer Nonce (Einmalnummer)
Optional können Sie die LDAP-Digest-Authentifizierung als verbindlich festlegen; d. h., die
Standardauthentifizierung ist als alternative Methode zum Authentifizieren von Benutzern unzulässig.
Der für den gemeinsamen geheimen Schlüssel verwendete Bereichsname wird im Abschnitt Common
Authentication Parameters (Allgemeine Authentifizierungsparameter) festgelegt. Dies ist der Abschnitt,
der unter jeder Authentifizierungsmethode am Anfang der Authentifizierungseinstellungen verfügbar
ist.
Die Parameter für die LDAP-Digest-Authentifizierung werden in Web Gateway im Rahmen der
Einstellungen für das Modul (oder auch Engine) „Authentication“ konfiguriert.
Wenn am Anfang dieser Einstellungen LDAP als allgemeine Authentifizierungsmethode ausgewählt ist,
wird nach dem Abschnitt für andere LDAP-spezifische Parameter der Abschnitt Digest Authentication
(Digest-Authentifizierung) verfügbar.
Siehe auch
Authentifizierungseinstellungen auf Seite 170
Sie können die Authentifizierung implementieren und an die Anforderungen Ihres Netzwerks
anpassen.
168
Produkthandbuch
Authentifizierung
7
Vorgehensweise
1
Aktivieren Sie den Regelsatz „Authenticate and Authorize“ im Standard-Regelsatzsystem.
2
Überprüfen Sie den untergeordneten Regelsatz „Authenticate with User Database“.
Dieser Regelsatz enthält eine einzige Regel, durch die nicht authentifizierte Benutzer zum
Authentifizieren aufgefordert werden.
Das Regelkriterium enthält Einstellungen für das Authentifizierungsmodul, die die Verwendung der
Authentifizierungsmethode mittels Benutzerdatenbank angeben. Das heißt, Informationen zum
Authentifizieren von Benutzern werden aus einer internen Datenbank auf der Appliance abgerufen.
3
Ändern Sie den Standard-Regelsatz nach Bedarf.
•
Ändern der allgemeinen Parameter des Authentifizierungsmoduls
•
Ändern der spezifischen Parameter für die Benutzerdatenbank-Methode
•
Implementieren einer anderen Authentifizierungsmethode, z. B. NTLM oder LDAP
•
Ändern der spezifischen Parameter für die neue Authentifizierungsmethode
4
Sie können auch einen Regelsatz aus der Bibliothek importieren, um die Authentifizierung für eine
andere Art von Kommunikation zu implementieren, z. B. die Instant Messaging-Authentifizierung.
5
Sie können das Modul „Authentication“ konfigurieren, um zu ändern, auf welche Weise
Benutzerinformationen für das Authentifizieren von Benutzern abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Authentifizierung aus.
Im Standard-Regelsatzsystem ist dies der Regelsatz Authenticate and Authorize.
3
Wählen Sie eine Regel zum Steuern der Benutzerauthentifizierung aus, und klicken Sie auf die
Einstellungen, die in den Regelkriterien angegeben sind.
Im Regelsatz des Regelsatz-Systems ist dies z. B. die Regel Authenticate with User Database im
untergeordneten Regelsatz Authenticate with User Database, und der Einstellungsname lautet User Database
(Benutzerdatenbank).
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen
für das Modul „Authentication“.
4
5
6
Siehe auch
Produkthandbuch
169
7
Authentifizierung
Die Authentifizierungseinstellungen werden für das Konfigurieren der Methode genutzt, die vom
Authentifizierungsmodul während des Authentifizierungsvorgangs für den Abgleich von Informationen
über Benutzer angewendet wird.
Authentication Method (Authentifizierungsmethode)
Einstellungen für die Auswahl einer Authentifizierungsmethode
Tabelle 7-1 Select Scanning Engines (Scan-Module auswählen)
Option
Definition
Authentication method
(Authentifizierungsmethode)
Zeigt eine Auswahlliste für die Authentifizierungsmethode an.
Folgende Methoden stehen zur Wahl:
• NTLM
• RADIUS
• NTLM-Agent
• Kerberos
• User Database
(Benutzerdatenbank)
• SSL Client Certificate
(SSL-Client-Zertifikat)
• LDAP
• Authentication Server
(Authentifizierungs-Server)
• Novell eDirectory
• One-Time Password
(Einmalkennwort)
Nach der Auswahl einer Methode werden unter den allgemeinen
Einstellungen die speziellen Einstellungen für diese Methode
angezeigt.
Authentication Test (Authentifizierungsprüfung)
Einstellungen für die Überprüfung, ob ein Benutzer sich mit seinen Anmeldeinformationen tatsächlich
authentifizieren könnte.
Tabelle 7-2 Authentication Test (Authentifizierungsprüfung)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort)
Gibt das zu überprüfende Kennwort an.
Authenticate User (Benutzer authentifizieren)
Mit dieser Option wird die Prüfung durchgeführt.
Test result (Prüfergebnis)
Zeigt das Ergebnis der Prüfung an.
Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
Einstellungen, die für alle Authentifizierungsmethoden gelten
Tabelle 7-3 Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
170
Option
Definition
Proxy Realm (Proxy-Bereich)
Gibt den Standort des Proxys an, der Anfragen von Benutzern
erhält, die zur Authentifizierung aufgefordert werden.
Authentication attempt timeout (Zeitlimit
für Authentifizierungsversuch)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf der
Authentifizierungsvorgang abbricht, wenn er bis dahin nicht
erfolgreich abgeschlossen wurde.
Produkthandbuch
7
Authentifizierung
Tabelle 7-3 Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
(Fortsetzung)
Option
Definition
Use authentication cache
(Authentifizierungs-Cache verwenden)
Bei Auswahl dieser Option werden die
Authentifizierungsinformationen in einem Cache gespeichert.
Die Authentifizierung erfolgt dann auf Grundlage dieser
gespeicherten Informationen und nicht auf Daten, die von einem
anderen Authentifizierungs-Server oder aus der internen
Benutzerdatenbank abgerufen werden.
Authentication cache TTL (Speicherdauer Gibt den Zeitraum (in Minuten) vor, für den
Authentifizierungs-Cache)
Authentifizierungsinformationen im Cache gespeichert werden.
Advanced Parameters (Erweiterte Parameter)
Einstellungen für die Konfiguration der erweiterten Authentifizierungsfunktionen
Diese Einstellung ist für alle Authentifizierungsmethoden gleich. Aus diesem Grund folgt die
Beschreibung dieser Einstellung hier nach den allgemeinen Einstellungen. Auf der Benutzeroberfläche
wird die Einstellung jedoch nach den speziellen Einstellungen der aktuell angezeigten
Authentifizierungsmethode aufgeführt.
Tabelle 7-4 Advanced Parameters (Erweiterte Parameter)
Option
Definition
Always evaluate property
value (Eigenschaftswert
immer bewerten)
Bei Auswahl dieser Option wird bei jeder Verarbeitung einer Regel, die diese
Eigenschaft enthält, eine neue Bewertung durchgeführt, mit der dieser
Eigenschaft ein Wert zugeordnet wird.
Auch wenn für diese Eigenschaft ein im Cache gespeicherter Wert vorhanden
ist, wird dieser nicht genutzt.
Es ist zwar normalerweise zum Erreichen einer besseren Leistung
empfehlenswert, Werte aus dem Cache zu verwenden, jedoch ist es in
manchen Situationen erforderlich, eine Neubewertung von Eigenschaften
vorzunehmen.
Dies sind Situationen, in denen dieselbe Eigenschaft innerhalb der
Authentifizierungsregeln mehrmals und mit denselben Einstellungen des
Authentifizierungsmoduls verwendet wird. Durch eine Neubewertung wird
gewährleistet, dass der Eigenschaft bei jedem einzelnen Durchlauf der jeweils
aktuelle Wert zugeordnet wird.
NTLM Specific Parameters (NTLM-spezifische Parameter)
Einstellungen für die NTLM-Authentifizierungsmethode
Tabelle 7-5 NTLM Specific Parameters (NTLM-spezifische Parameter)
Option
Definition
Default NTLM domain (Standardmäßige Gibt den Namen der standardmäßigen Windows-Domäne an, der für
NTLM-Domäne)
die Suche nach Authentifizierungsinformationen verwendet wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über globale Benutzergruppen gesucht.
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über lokale Benutzergruppen gesucht.
Produkthandbuch
171
7
Authentifizierung
Tabelle 7-5 NTLM Specific Parameters (NTLM-spezifische Parameter) (Fortsetzung)
Option
Definition
Prefix group name with domain name Beim Senden von Authentifizierungsinformationen über eine Gruppe
(domain\group) (Domänennamen dem vom Server der Domäne wird bei Auswahl dieser Option dem Namen
Gruppennamen voranstellen, "Domäne der Benutzergruppe der Name der Windows-Domäne vorangestellt.
\Gruppe")
Enable basic authentication
(Standardauthentifizierung aktivieren)
Bei Auswahl dieser Option wird bei der Authentifizierung von
Benutzern die standardmäßige NTLM-Authentifizierungsmethode
angewendet.
Die vom Benutzer eingegebenen Authentifizierungsinformationen
werden dann im Nur-Text-Format (unsicherer) an den Server der
Windows-Domäne gesendet.
Enable integrated authentication
(Integrierte Authentifizierung
aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
werden vor dem Senden an den Server der Windows-Domäne
verschlüsselt.
Enable NTLM cache (NTLM-Cache
aktivieren)
Bei Auswahl dieser Option werden in diesem Cache die
NTLM-Authentifizierungsinformationen gespeichert.
gespeicherten Informationen und nicht auf Daten, die vom Server
der Windows-Domäne abgerufen werden.
NTLM cache TTL (Speicherdauer
NTLM-Cache)
Gibt den Zeitraum (in Sekunden) vor, für den
Authentifizierungsinformationen in diesem Cache gespeichert
werden.
International text support
(Unterstützung internationaler
Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus
gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Einstellungen für die Authentifizierungsmethode mit NTLM-Agent
Tabelle 7-6 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Option
Definition
Use secure agent connection (Sichere
Agentenverbindung verwenden)
Bei Auswahl dieser Option wird die für die Kommunikation mit dem
NTLM-Agenten genutzte Verbindung SSL-verschlüsselt.
Authentication connection timeout in
seconds (Zeitlimit für
Authentifizierungsverbindung in
Sekunden)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die
Verbindung mit dem NTLM-Agenten abgebrochen wird, wenn in
dieser Zeit keinerlei Aktivitäten verzeichnet werden.
Agent Definition (Agenten-Definition)
Enthält eine Liste, in die an der Durchführung der
NTLM-Authentifizierung beteiligte Agenten eingegeben werden.
Default NTLM domain (Standardmäßige
NTLM-Domäne)
Gibt den Namen der standardmäßigen Windows-Domäne an, der
für die Suche nach Authentifizierungsinformationen verwendet
wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
172
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über globale
Benutzergruppen gesucht.
Produkthandbuch
7
Authentifizierung
Tabelle 7-6 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
(Fortsetzung)
Option
Definition
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über lokale
Benutzergruppen gesucht.
Prefix group name with domain name
(domain\group) (Domänennamen dem
Gruppennamen voranstellen, "Domäne
\Gruppe")
Beim Senden von Authentifizierungsinformationen über eine
Gruppe vom Server der Domäne wird bei Auswahl dieser Option
dem Namen der Benutzergruppe der Name der Windows-Domäne
vorangestellt.
angewendet.
(Integrierte Authentifizierung aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
NTLM-Cache)
werden.
International text support (Unterstützung
internationaler Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client
aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Einstellungen für die Authentifizierungsmethode mittels Benutzerdatenbank
Tabelle 7-7 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Option
Definition
Send domain and machine name to the
client (Domänen- und Computernamen
an den Client senden)
Bei Auswahl dieser Option werden der Name der Appliance sowie der
Domäne, der die Appliance zugeordnet ist, an den Client gesendet,
von dem aus der zu authentifizierende Benutzer eine Anfrage stellt.
angewendet.
Produkthandbuch
173
7
Authentifizierung
Tabelle 7-7 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank) (Fortsetzung)
Option
Definition
(Integrierte Authentifizierung aktivieren) Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
NTLM-Cache)
werden.
International text support
(Unterstützung internationaler
Textformate)
LDAP Specific Parameters (LDAP-spezifische Parameter)
Einstellungen für die LDAP-Authentifizierungsmethode
Tabelle 7-8 LDAP Specific Parameters (LDAP-spezifische Parameter)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste, in die LDAP-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP) verwendet
wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung bei
einem LDAP-Server an.
Password (Kennwort)
Legt das Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
174
Enable LDAP version 3 (LDAP-Version 3
aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Allow LDAP library to follow referrals
(Verfolgen von Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option kann die Suche nach
Benutzerinformationen vom LDAP-Server auf andere Server
umgeleitet werden.
Connection live check (Aktivitätsprüfung
der Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf überprüft
wird, ob die Verbindung zum LDAP-Server noch aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit dem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
Produkthandbuch
7
Authentifizierung
Tabelle 7-8 LDAP Specific Parameters (LDAP-spezifische Parameter) (Fortsetzung)
Option
Definition
Base distinguished name to user objects
(Eindeutiger Basisname für
Benutzerobjekte)
Gibt den eindeutigen Namen (DN) im Verzeichnis eines
LDAP-Servers an, in dem mit der Suche nach Benutzerattributen
begonnen werden soll.
Map user name to DN (Benutzername zu
DN zuordnen)
Bei Auswahl dieser Option muss der Name des Benutzers, der die
Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können.
Dieser Name dient zur Identifizierung des Benutzers im
Verzeichnis auf dem LDAP-Server.
Filter expression to locate a user object
(Filterphrase zur Suche nach
Benutzerobjekten)
Gibt eine Filterphrase zur Einschränkung der Suche nach
Benutzerattributen an.
Get user attributes (Benutzerattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
LDAP-Server abgerufen werden sollen.
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden, z. B.
„/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
In der Filterphrase kann „u%“ als Ersatz für den Benutzernamen
verwendet werden.
Base distinguished name to group objects Gibt den eindeutigen Namen (DN) im Verzeichnis eines
(Eindeutiger Basisname für
LDAP-Servers an, in dem mit der Suche nach Gruppenattributen
Gruppenobjekte)
begonnen werden soll.
Filter expression to locate a group object
(Filterphrase zur Suche nach
Gruppenobjekten)
Gruppenattributen an.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste zur Eingabe der Gruppenattribute, die vom
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Digest Authentication (Digest-Authentifizierung)
Einstellungen für die LDAP-Digest-Authentifizierung
Tabelle 7-9 Digest Authentication (Digest-Authentifizierung)
Option
Definition
Enable digest authentication
(Digest-Authentifizierung aktivieren)
Bei Auswahl dieser Option erfolgt die Authentifizierung von
Benutzern im Rahmen der LDAP-Authentifizierungsmethode mittels
Digest-Authentifizierung.
User attribute with password hash
(Benutzerattribut mit Kennwort-Hash)
Gibt das Attribut eines Benutzereintrags auf dem LDAP-Server an,
das den Wert für den Authentifizierungs-Hash speichert.
Nonce maximal use count (Maximale
Verwendungshäufigkeit der Nonce)
Begrenzt die mehrmalige Verwendung der Nonce (Number only
once, Einmalnummer), die beim Authentifizierungsvorgang
übertragen wird und als Parameter bei der Berechnung des
Authentifizierungs-Hashes erforderlich ist.
Die maximale Anzahl an Verwendungen einer Nonce ist
standardmäßig auf 100 gesetzt.
Produkthandbuch
175
7
Authentifizierung
Tabelle 7-9 Digest Authentication (Digest-Authentifizierung) (Fortsetzung)
Option
Definition
Nonce maximal TTL (Maximale
Gültigkeitsdauer der Nonce)
Gibt einen maximalen Zeitraum (in Minuten) vor, für den eine
Nonce gültig bleibt.
Die maximale Gültigkeitsdauer einer Nonce ist standardmäßig auf
30 Minuten gesetzt.
Allow digest authentication only (Nur
Digest-Authentifizierung zulassen)
Bei Auswahl dieser Option muss bei der Authentifizierung von
Benutzern im Rahmen der LDAP-Authentifizierungsmethode immer
eine Digest-Authentifizierung erfolgen.
Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Einstellungen für die Authentifizierungsmethode mittels Novell eDirectory
Tabelle 7-10 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste zum Eintragen der eDirectory-Server, die
beim Bereitstellen der Authentifizierungsinformationen die
Rolle von LDAP-Servern übernehmen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP)
verwendet wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung
bei einem LDAP-Server an.
Password (Kennwort)
Legt ein Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
Gibt an, welcher Zeichensatz standardmäßig für von einem
Client aus gesendete Anfragen verwendet werden soll, z. B.
ISO-8859-1.
Enable LDAP version 3 (LDAP-Version 3
aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Allow LDAP library to follow referrals (Verfolgen Bei Auswahl dieser Option kann die Suche nach
von Weiterleitungen für LDAP-Bibliothek
Benutzerinformationen von einem LDAP-Server auf andere
zulassen)
Server umgeleitet werden.
Connection live check (Aktivitätsprüfung der
Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf
überprüft wird, ob die Verbindung zu einem LDAP-Server noch
aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit einem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
eDirectory network address attribute (Attribut
für eDirectory-Netzwerkadressen)
Gibt den Namen des Attributs an, das die für einen
eDirectory-Server verwendeten Netzwerkadressen enthält.
eDirectory network login time attribute (Attribut Gibt den Namen des Attributs an, das die für einen
für Anmeldezeit bei eDirectory-Netzwerk)
eDirectory-Server verwendete Anmeldezeit enthält.
eDirectory network minimal update interval
(Aktualisierungsintervall für
eDirectory-Netzwerk)
176
Gibt das Intervall (in Sekunden) an, in dem von einem
eDirectory-Server stammenden Informationen aktualisiert
werden.
Produkthandbuch
7
Authentifizierung
Tabelle 7-10 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory) (Fortsetzung)
Option
Definition
Base distinguished name to user objects
(Eindeutiger Basisname für Benutzerobjekte)
LDAP-Servers an, in dem mit der Suche nach
Benutzerattributen begonnen werden soll.
Map user name to DN (Benutzername zu DN
zuordnen)
Bei Auswahl dieser Option muss der Name des Benutzers, der
die Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können. Dieser Name dient zur
Identifizierung des Benutzers im Verzeichnis auf dem
LDAP-Server.
Filter expression to locate a user object
(Filterphrase zur Suche nach Benutzerobjekten) Benutzerattributen an.
In der Filterphrase kann „u%“ als Ersatz für den
Benutzernamen verwendet werden.
Get user attributes (Benutzerattribute abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers
gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden,
z. B. „/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
Base distinguished name to group objects
(Eindeutiger Basisname für Gruppenobjekte)
LDAP-Servers an, in dem mit der Suche nach
Gruppenattributen begonnen werden soll.
Filter expression to locate a group object
(Filterphrase zur Suche nach Gruppenobjekten) Gruppenattributen an.
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste der Gruppenattribute, die von einem
RADIUS Specific Parameters (RADIUS-spezifische Parameter)
Einstellungen für die RADIUS-Authentifizierungsmethode
Tabelle 7-11 RADIUS Specific Parameters (RADIUS-spezifische Parameter)
Option
Definition
RADIUS server definition
(RADIUS-Server-Definition)
Enthält eine Liste, in die RADIUS-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Default domain name (Name der
Standarddomäne)
Gibt den Namen der Domäne an, von der Informationen abgerufen
werden sollen, wenn keine andere Domäne angegeben wurde.
Shared secret (Gemeinsamer geheimer
Schlüssel)
Legt das von einer Appliance für den Zugriff auf einen
RADIUS-Server verwendete Kennwort fest.
Radius connection timeout in seconds
(Zeitlimit für RADIUS-Verbindung in
Sekunden)
Verbindung mit dem RADIUS-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Datenverkehr verzeichnet wird.
Produkthandbuch
177
7
Authentifizierung
Tabelle 7-11 RADIUS Specific Parameters (RADIUS-spezifische Parameter) (Fortsetzung)
Option
Definition
Value of attribute with code (Attributwert
mit Code)
Legt den Codewert nach RFC 2865 für das im Rahmen der
Benutzergruppeninformationen abgerufene Attribut fest.
Beispielsweise ist „25“ der Code für das Attribut „Klasse“.
Vendor specific attribute with vendor ID
(Anbieterspezifisches Attribut mit
Anbieter-ID)
Legt die Anbieter-ID fest, die bei der Suche nach
Benutzergruppeninformationen für das Abrufen von
anbieterbezogenen Daten erforderlich ist.
Gemäß RFC 2865 ist die Anbieter-ID Teil des Anbieterattributs,
gefolgt von mehreren untergeordneten Attributen. Der
entsprechende Codewert lautet 26.
Vendor subattribute type (Typ der
untergeordneten Anbieterattribute)
Legt den Codewert nach RFC 2865 für den Typ der in einem
Anbieterattribut enthaltenen untergeordneten Attribute fest.
Da diese Strukturvorgabe nicht von allen Anbietern berücksichtigt
wird, ist es empfehlenswert, hier den Wert „0“ festzulegen. Dies
ermöglicht es dem Authentifizierungsmodul, alle verfügbaren
Anbieterinformationen abzurufen.
Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Einstellungen für die Kerberos-Authentifizierungsmethode
In den Systemeinstellungen unter Kerberos Administration (Kerberos-Verwaltung) können für diese
Authentifizierungsmethode weitere Einstellungen konfiguriert werden. Dieses Einstellmenü ist im
übergeordneten Menü Configuration (Konfiguration) zu finden.
Tabelle 7-12 Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Option
Definition
Extract group membership IDs from the
ticket (Gruppenmitgliedschafts-ID aus
Ticket abrufen)
Bei Auswahl dieser Option werden Informationen zur
Identifizierung der Gruppen abgerufen, in denen ein Benutzer
Mitglied ist. Abgerufen werden diese Informationen aus dem
Ticket, das bei der Kerberos-Authentifizierungsmethode während
der Authentifizierung von Benutzern verwendet wird.
Wenn diese Option ausgewählt ist, kann auch auf die nächste
Option zugegriffen werden.
Look up group names via NTLM
(Gruppennamen über NTLM suchen)
Bei Auswahl dieser Option werden mithilfe der
NTLM-Authentifizierungsmethode die Namen der Gruppen
abgerufen, in denen der Benutzer Mitglied ist.
Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische
Parameter)
Einstellungen für die Authentifizierungs-Server-Methode
178
Produkthandbuch
Authentifizierung
7
Tabelle 7-13 Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter)
Option
Definition
Authentication server URL (URL des
Authentifizierungs-Servers)
Gibt die URL des Servers an, der bei dieser Methode für die
Suche nach Authentifizierungsinformationen verwendet wird.
Require client ID (Client-ID erforderlich)
Bei Auswahl dieser Option fordert der Authentifizierungs-Server
die ID des Clients von dem aus der Benutzer eine Anfrage
sendet.
Store authentication result in a cookie
(Ergebnis der Authentifizierung in Cookie
speichern)
Bei Auswahl dieser Option werden die vom
Authentifizierungs-Server abgerufenen Informationen in einem
Cookie gespeichert.
Wenn die Möglichkeit zur Authentifizierung per Cookie gegeben
ist, wird der Cookie bei der nächsten Anfrage des
entsprechenden Benutzers mitgesendet, sodass dieser sich
nicht erneut authentifizieren muss.
Allow persistent cookie for the server
(Dauerhaften Cookie für Server zulassen)
Bei Auswahl dieser Option kann ein Cookie dauerhaft für das
Senden von Anfragen an den Authentifizierungs-Server
verwendet werden.
Cookie TTL for the authentication server in
seconds (Speicherdauer des Cookies für
Authentifizierungs-Server in Sekunden)
Gibt den Zeitraum (in Sekunden) vor, für den ein mit einer
Anfrage an den Server gesendeter Cookie gespeichert wird.
Cookie prefix (Cookie-Präfix)
Gibt einen Präfix an, der einem Cookie auf der Appliance
vorangestellt wird, beispielsweise MWG_Auth.
One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Einstellungen für die Authentifizierungsmethode mittels Einmalkennwort
Produkthandbuch
179
7
Authentifizierung
Tabelle 7-14 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Option
Definition
OTP server (OTP-Server)
Gibt die IP-Adresse und Port-Nummer des OTP-Servers an, mit dem sich Web
Gateway bei der Authentifizierung eines Benutzers im Rahmen der
Einmalkennwort-Authentifizierungsmethode verbindet.
Communicate with SSL and
trust certificate below
(Kommunikation per SSL
und mit untenstehendem
vertrauenswürdigen
Zertifikat)
Bei Auswahl dieser Option erfolgt die Kommunikation mit dem OTP-Server
über eine SSL-verschlüsselte Verbindung.
Wenn die Option ausgewählt wurde, sind die vier folgenden (ansonsten
abgeblendeten) Felder und auch die darunter befindliche Schaltfläche Import
(Importieren) verfügbar.
Die Felder enthalten detaillierte Informationen zum derzeit bei der
SSL-verschlüsselten Kommunikation mit dem OTP-Server verwendeten
Zertifikat.
• Subject (Inhaber): Enthält allgemeine Informationen über das Zertifikat.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Zertifikats an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation an, um deren
Zertifikat es sich handelt.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Issuer (Aussteller): Enthält Informationen über den Aussteller des
Zertifikats.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Ausstellers an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation des Ausstellers an.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Server-Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Validity (Gültigkeit): Gibt an, wie lange das Zertifikat gültig ist.
• Not before (Gültig ab): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Zertifikats beginnt.
• Not after (Gültig bis): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Server-Zertifikats endet.
• Extensions (Weitere Informationen) Enthält weitere Informationen über das
Zertifikat.
• Comment (Kommentar): Enthält Kommentare zum Zertifikat im
Nur-Text-Format.
Standardmäßig ist kein Kommentar angegeben.
• Import (Importieren): Öffnet ein Fenster zum Importieren eines Zertifikats.
WS client name (Name des
WS-Clients)
180
Legt den Benutzernamen für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
Produkthandbuch
7
Authentifizierung
Tabelle 7-14 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort) (Fortsetzung)
Option
Definition
WS client password
(Kennwort des WS-Clients)
Legt das Kennwort für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
OTP message
(OTP-Nachricht)
Legt das Präfix für Nachrichten fest, die vom OTP-Server an Web Gateway
gesendet werden, sowie die Trennzeichen, die eine Nachricht einschließen.
Standardmäßig haben Nachrichten das folgende Format:
OTP for MWG: $$<OTP-Nachricht>$$
Wenn Sie nicht die Benutzerdatenbank-Authentifizierungsmethode des Standard-Regelsatzes
verwenden möchten, können Sie stattdessen eine Methode wie NTLM, LDAP oder andere
implementieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu dem Regelsatz mit den Regeln für die
Benutzerauthentifizierung, z. B. zum Standard-Regelsatz Authentication and Authorize, und wählen Sie
den untergeordneten Regelsatz Authenticate with User Database aus.
Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
Wählen Sie die Regel Authenticate with User Database aus, und klicken Sie in den Regelkriterien auf User
Database.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten).
4
Wählen Sie in der Liste unter Authentication Method (Authentifizierungsmethode) eine
Authentifizierungsmethode aus, z. B. NTLM.
5
Konfigurieren Sie für die ausgewählte Methode allgemeine und spezifische Parameter nach Bedarf.
6
7
Es wird empfohlen, nach dem Ändern der Authentifizierungsmethode die Einstellungen des
Authentifizierungsmoduls sowie die Authentifizierungsregel und den untergeordneten Regelsatz
entsprechend umzubenennen.
Nach der Auswahl von NTLM können Sie beispielsweise die Einstellungen in NTLM und sowohl die Regel
als auch den untergeordneten Regelsatz in Authenticate with NTLM umbenennen.
Anstatt die Standardeinstellungen umzubenennen, können Sie auch verschiedene Einstellungen mit
unterschiedlichen Namen und Parameterwerten für das Authentifizierungsmodul verwalten.
Produkthandbuch
181
7
Authentifizierung
Verwenden von Systemeinstellungen zum Konfigurieren der
Authentifizierung
Für einige Authentifizierungsmethoden müssen Sie Einstellungen konfigurieren, die Einstellungen des
Appliance-Systems und nicht des Authentifizierungsmoduls sind.
Dies gilt, wenn Sie NTLM als Authentifizierungsmethode implementieren. In diesem Fall müssen Sie
die Appliance einer Windows-Domäne hinzufügen und die Systemeinstellungen für Windows Domain
Membership (Mitgliedschaft in Windows-Domäne) konfigurieren.
Dies gilt auch für die Kerberos-Authentifizierungsmethode, die über die Systemeinstellungen für
Kerberos Administration (Kerberos-Verwaltung) implementiert wird.
Einstellungen für „Kerberos Administration“
Die Einstellungen für „Kerberos Administration“ sind spezifische Einstellungen für die
Kerberos-Authentifizierungsmethode.
Kerberos Administration
Einstellungen für die Kerberos-Authentifizierungsmethode
Tabelle 7-15 Kerberos Administration
Option
Definition
Key tab file (Keytab-Datei) Gibt die Datei an, die den erforderlichen Master-Schlüssel für den Zugriff auf
den Kerberos-Server enthält.
Sie können einen Dateinamen eingeben oder auf die Schaltfläche Browse
(Durchsuchen) klicken, um nach der Datei zu suchen und ihren Namen im Feld
zu übernehmen.
Wenn für die Authentifizierung gemäß der Kerberos-Methode ein Ticket
ausgestellt wird, wird der Master-Schlüssel auf der Appliance gelesen, und
mithilfe des Schlüssels wird das Ticket überprüft.
Wenn Sie einen Load-Balancer einsetzen, der Web-Anfragen an die Appliance
weiterleitet, werden für den Load-Balancer Tickets ausgestellt und auf der
Appliance überprüft. In diesem Fall wird nicht überprüft, ob eine Anfrage an die
Appliance weitergeleitet wurde.
Kerberos realm
(Kerberos-Bereich)
Gibt eine für Authentifizierungszwecke konfigurierte Verwaltungsdomäne an.
Innerhalb der Grenzen dieser Domäne hat der Kerberos-Server die Befugnis,
einen Benutzer zu authentifizieren, der eine Anfrage von einem Host sendet
oder einen Dienst nutzt.
Beim Bereichsnamen wird die Groß-/Kleinschreibung berücksichtigt. Im
Allgemeinen werden jedoch nur Großbuchstaben verwendet, und es empfiehlt
sich, den Bereichsnamen auf den Namen der relevanten DNS-Domäne
festzulegen.
182
Produkthandbuch
7
Authentifizierung
Tabelle 7-15 Kerberos Administration (Fortsetzung)
Option
Definition
Maximal time difference
between appliance and
client (Maximale
Zeitdifferenz zwischen
Appliance und Client)
Beschränkt die zeitliche Differenz (in Sekunden) zwischen den Systemuhren der
Appliance und ihrer Clients auf den angegebenen Wert.
Wenn Sie Kerberos als Authentifizierungsmethode konfigurieren, kann dies
Probleme nach sich ziehen, wenn Anfragen mit bestimmten Browsern gesendet
werden:
• Wenn eine frühere Version von Microsoft Internet Explorer als 7.0 verwendet
wird, ist die Kerberos-Authentifizierung u. U. nicht möglich.
• Wenn dieser Explorer unter Windows XP ausgeführt wird, funktioniert die
Kerberos-Authentifizierung möglicherweise nicht wie erwartet.
• Bei Verwendung von Mozilla Firefox muss die Kerberos-Authentifizierung in
den Browser-Einstellungen als Authentifizierungsmethode aktiviert werden.
Enable replay cache
Bei Auswahl dieser Option kann ein für die Authentifizierung ausgestelltes
(Replay-Cache aktivieren) Ticket nicht mehrmals verwendet werden.
Durch Auswahl dieser Option wird die Authentifizierungsleistung vermindert.
Beitreten einer Appliance zu einer Windows-Domäne
Beim Verwenden der NTLM-Authentifizierung müssen Sie eine Appliance als Mitglied einer
Windows-Domäne festlegen, damit das Authentifizierungsmodul auf dem Domänenserver gespeicherte
Benutzerinformationen abrufen kann.
Eine Appliance kann gleichzeitig mehreren Domänen angehören.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die der Domäne betreten soll, und
klicken Sie auf Windows Domain Membership (Mitgliedschaft in Windows-Domäne).
Im Einstellungsbereich wird eine Liste von Domänen angezeigt. Diese ist anfänglich leer.
3
Klicken Sie auf Join (Beitreten), um eine Domäne in die Liste einzugeben.
Daraufhin öffnet sich das Fenster Join Domain (Domäne beitreten).
4
Konfigurieren Sie in diesem Fenster einen Domänennamen, einen Domänen-Controller und weitere
Einstellungen.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Domäne wird nun in der Liste angezeigt. Die Appliance
ist jetzt ein Mitglied der betreffenden Domäne.
Wiederholen Sie die Schritte 3 bis 5, um weitere Domänen hinzuzufügen.
Verwenden Sie die übrigen Symbole auf der Symbolleiste, um die Liste zu bearbeiten, z. B. um einen
Listeneintrag zu ändern oder um die Mitgliedschaft einer Appliance in einer Domäne aufzuheben.
Siehe auch
Einstellungen für die Windows-Domänenmitgliedschaft auf Seite 184
Produkthandbuch
183
7
Authentifizierung
Einstellungen für die Windows-Domänenmitgliedschaft
Mit den Einstellungen für die Windows-Domänenmitgliedschaft wird eine Appliance einer
Windows-Domäne hinzugefügt.
Join Domain (Beitreten zur Domäne)
Einstellungen zum Beitreten einer Appliance zu einer Windows-Domäne
Tabelle 7-16 Join Domain (Beitreten zur Domäne)
Option
Definition
Windows domain name (Name der
Windows-Domäne)
Gibt den Namen der Domäne an.
McAfee Web Gateway account name
(Name des McAfee Web Gateway-Kontos)
Gibt den Namen eines Kontos für eine Appliance an.
Overwrite existing account (Bestehendes
Konto überschreiben)
Bei Auswahl dieser Option wird ein bestehendes Konto
überschrieben.
Use NTLM version 2 (NTLM-Version 2
verwenden)
Bei Auswahl dieser Option wird NTLM-Version 2 verwendet.
Timeout for requests to this NTLM domain
(Zeitlimit für Anfragen an diese
NTLM-Domäne)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf die Verarbeitung
für eine von einer Appliance an einen Domänen-Controller
gesendete Anfrage angehalten wird, wenn keine Antwort eingeht.
Wait time for reconnect to domain
controller (Wartezeit für erneute
Verbindung mit dem Domänen-Controller)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf erneut versucht
wird, eine Verbindung mit dem Domänen-Controller herzustellen,
nachdem ein vorheriger Versuch fehlgeschlagen ist.
Der zulässige Bereich ist 5 bis 300 Sekunden.
Configured domain controllers
(Konfigurierte Domänen-Controller)
Bietet eine Liste zur Eingabe der Domänen-Controller, mit denen
eine Appliance eine Verbindung zum Abrufen von
Authentifizierungsinformationen herstellen kann.
Einträge müssen durch Kommas getrennt werden.
Number of active domain controllers
(Anzahl aktiver Domänen-Controller)
Die Höchstanzahl konfigurierter Domänen-Controller, die
gleichzeitig aktiv sein können
Zulässige Werte sind 1 bis 10.
Administrator name (Name des
Administrators)
Gibt den Benutzernamen für das Konto an, das beim Beitreten
einer Appliance zu einer Domäne erstellt wird.
Benutzername und Kennwort werden nur zu diesem Zweck
verwendet und nicht gespeichert.
Password (Kennwort)
Legt ein Kennwort für den Administratornamen fest.
Empfohlene Vorgehensweisen – Konfigurieren der
Authentifizierung für Bereitstellungstypen
Beim Konfigurieren der Authentifizierung müssen Sie die Art der Bereitstellung berücksichtigen, die zur
Verarbeitung des Datenverkehrs zwischen Web Gateway und dessen Clients konfiguriert wurde, z. B.
184
Produkthandbuch
7
Authentifizierung
der Modus „Expliziter Proxy“ oder ein transparenter Modus. Für jeden Typ gibt es einen Regelsatz in
der Regelsatz-Bibliothek, der am besten für die Handhabung der Authentifizierung geeignet ist.
Die folgenden beiden Fragen sind hinsichtlich des Authentifizierungsprozesses von Bedeutung:
•
Wie werden die während des Prozesses ausgewerteten Anmeldeinformationen des Benutzers durch
Web Gateway abgerufen?
Dieser Teil der Authentifizierung wird manchmal auch als Authentifizierungs-Front-End bezeichnet.
Die Methode zum Abrufen der Anmeldeinformationen des Benutzers hängt davon ab, ob der Modus
„Expliziter Proxy“ (auch als direkter Proxy-Modus bezeichnet) oder ein transparenter Modus
(transparenter Router oder Bridge-Modus) für die Verarbeitung des Datenverkehrs zwischen
Web Gateway und dessen Clients konfiguriert wurde.
Für den Modus „Expliziter Proxy“ können Sie konfigurieren, dass Clients einen Dienst unter dem
WCCP-Protokoll als zusätzliche Option zum Senden von Anfragen verwenden.
Die Regelsatz-Bibliothek bietet für jeden dieser Modi passende Regelsätze.
•
Wie sollten Anmeldeinformationen nach dem Abrufen ausgewertet werden?
Dies wird manchmal auch als Authentifizierungs-Back-End bezeichnet.
Die Auswertung der Anmeldeinformationen hängt von der konfigurierten Authentifizierungsmethode
ab, z. B. LDAP oder NTLM.
Bibliotheks-Regelsätze für die Authentifizierung
Die Regelsätze zur Konfiguration der Authentifizierung befinden sich in der Regelsatzgruppe
Authentication der Regelsatz-Bibliothek.
Die nachfolgende Tabelle zeigt, welche dieser Regelsätze für bestimmte Bereitstellungstypen
empfohlen werden.
Tabelle 7-17 Bibliotheks-Regelsätze für die Authentifizierung
Bereitstellungstyp
Empfohlener Bibliotheks-Regelsatz
Direct Proxy Authentication and Authorization
Modus „Transparenter Router“ oder
„Transparente Bridge“
Authentication Server (Time/IP Based Session)
Modus „Expliziter Proxy“ mit WCCP
Bei Verarbeitung des Datenverkehrs in:
• Modus „Expliziter Proxy“: Direct Proxy Authentication and
Authorization
• WCCP-Modus: Authentication Server (Time/IP Based
Session)
Nach dem Import eines Regelsatzes aus der Bibliothek können Sie dessen Regeln modifizieren und
weiter an die Gegebenheiten Ihres Netzwerks anpassen.
Position in der Regelsatz-Baumstruktur
Ein Authentifizierungs-Regelsatz sollte sich hinter dem Regelsatz „Globale Whitelist“ befinden, jedoch
vor dem Regelsatz „Common Rules“ (wenn Sie diese Elemente aus der
Regelsatz-Standardbaumstruktur behalten).
Produkthandbuch
185
7
Authentifizierung
Durch diese Platzierung eines Authentifizierungs-Regelsatzes wird sichergestellt, dass ein Benutzer
nicht authentifiziert werden muss, wenn er eine Anfrage für den Zugriff auf ein Web-Objekt sendet,
das sich in der globalen Whitelist befindet.
Authentifizierung für den Modus „Expliziter Proxy“
Beim Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ muss in Web Gateway ein
geeigneter Regelsatz implementiert werden.
Bibliotheks-Regelsatz für den expliziten Proxy-Modus
Der empfohlene Bibliotheks-Regelsatz für den expliziten Proxy-Modus ist „Direct Proxy Authentication
and Authorization“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Authenticate with User Database
•
Authorize User Groups
Wenn dieser Regelsatz implementiert ist, wird der Authentifizierungsprozess für jede Anfrage
durchgeführt, die von einem Client aus Web Gateway empfangen wurde, sofern keine Ausnahmeregel
gilt.
Die Verwendung dieses Regelsatzes ist zudem das bevorzugte Verfahren zur Handhabung der
Authentifizierung, wenn Citrix installiert ist oder Workstations in einer Konfiguration gemeinsam
genutzt werden.
Regelsatz „Direct Proxy Authentication and Authorization“
Dieser Regelsatz enthält Regeln zur Erstellung von Ausnahmen. Diese ermöglichen es, eine Anfrage
auf Web Gateway zu verarbeiten, ohne den Benutzer zu authentifizieren, der die Anfrage gesendet
hat.
Ausnahmen können auf Folgendem basieren:
•
Auf der IP-Adresse des Clients, von dem die Anfrage gesendet wurde
•
Auf der URL des Web-Objekts, das das Ziel der Anfrage ist
Anhand dieser Regeln sorgen Sie dafür, dass für Anfragen, die von vertrauenswürdigen Clients
eingehen oder an vertrauenswürdige Ziele gesendet werden, keine Authentifizierung durchgeführt
werden muss, was zu einer Steigerung der Leistung führt.
Sie können auch eigene Listen erstellen und diesem Regelsatz hinzufügen, um weitere Ausnahmen zu
ermöglichen.
Untergeordneter Regelsatz „Authenticate with User Database“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, der eine Web-Zugriffsanfrage über einen Client von Web Gateway sendet. Der Benutzer
wird zur Eingabe der Anmeldeinformationen aufgefordert, die anhand der in der internen
Benutzerdatenbank gespeicherten Daten ausgewertet werden.
Der Regelsatz gilt, wenn der betreffende Benutzer noch nicht authentifiziert wurde und noch keinen
fehlgeschlagenen Authentifizierungsversuch unternommen hat. Dies wird mithilfe der Eigenschaften
Authentication.Is.Authenticated und Authentication.Failed überprüft.
Anstatt die Anmeldeinformationen anhand der Daten aus der internen Benutzerdatenbank überprüfen,
können Sie auch eine andere Authentifizierungsmethode konfigurieren, z. B. LDAP oder NTLM.
186
Produkthandbuch
7
Authentifizierung
Untergeordneter Regelsatz „Authorize User Groups“
Dieser Regelsatz enthält eine Regel, die nur Anfragen autorisierter Benutzer zulässt. Eine Anfrage wird
also blockiert, wenn der Benutzer, der diese gesendet hat, kein Mitglied einer der Benutzergruppen in
einer bestimmten Liste ist. Die Anfrage wird auch dann blockiert, wenn der Benutzer die zuvor
durchgeführte Auswertung erfolgreich bestanden hat.
Diese Regel ermöglicht die Implementierung einer zusätzlichen Sicherheitsprüfung. Wenn Sie diese
verwenden möchten, müssen Sie in die in diesem Regelsatz verwendete Liste Benutzergruppen
eintragen. Andernfalls können Sie den Regelsatz deaktivieren oder löschen.
Bearbeiten des Regelsatzes für den expliziten Proxy-Modus
Beim Konfigurieren der Authentifizierung für den expliziten Proxy-Modus können Sie den
Bibliotheks-Regelsatz so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Dazu gehört:
•
Ändern der Authentifizierungsmethode
•
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
•
Konfigurieren weiterer Ausnahmeregeln
Die Standardmethode für die Auswertung von Anmeldeinformationen ist der Vergleich dieser
Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich in der einzigen
Regel des Regelsatzes „Authenticate user against User Database“ befindet.
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
Der untergeordnete Regelsatz „Authorized User Groups“ lässt nur Anfragen von autorisierten
Benutzern zu. Sie können die Liste, die in der einzigen Regel dieses Regelsatzes bereitgestellt wird,
nach Bedarf mit Benutzergruppen füllen.
Wenn Sie diese Prüfung nicht als zusätzliche Sicherheitsprüfung verwenden möchten, können Sie den
Regelsatz deaktivieren oder löschen.
Konfigurieren weiterer Ausnahmeregeln
Sie können dem Regelsatz „Direct Proxy Authentication and Authorization“ Regeln hinzufügen, um
mehr Ausnahmen des Authentifizierungsprozesses abzudecken.
Wenn eine dieser Regeln angewendet wird, wird die Verarbeitung des Regelsatzes angehalten, d. h.,
der Regelsatz wird nicht für die untergeordneten Regelsätze ausgeführt, die für die Authentifizierung
zuständig sind.
Beispielsweise können Sie eine Regel hinzufügen, um Anfragen zuzulassen, wenn der Browser des
Clients, von dem diese gesendet wurden, mit einem bestimmten Benutzer-Agenten ausgeführt wird.
Die Informationen zum Benutzer-Agenten werden aus dem Anfrage-Header abgerufen.
Produkthandbuch
187
7
Authentifizierung
Die Regel könnte folgendermaßen aussehen:
Skip authorization for user agents that are in list Allowed User Agents
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
Eine weitere Regel könnte Anfragen für den Zugriff auf Objekte auf Web-Servern mit IP-Adressen aus
einer bestimmten Liste zulassen. Die IP-Adresse wird der URL entnommen, die mit einer Anfrage
übermittelt wurde.
Diese Regel könnte folgendermaßen aussehen:
Skip authorization for destination IPs that are in list Allowed Destination IPs
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
Authentifizierung für transparente Modi
Beim Konfigurieren der Authentifizierung für die transparenten Modi müssen die Einstellungen für die
Browser geändert werden, mit denen Anfragen an Web Gateway gesendet werden. Außerdem muss in
Web Gateway eine geeignete Regel implementiert werden.
Bearbeiten der Browser-Einstellungen
Um die Authentifizierung für den Modus „Transparenter Router“ oder „Transparente Bridge“ zu
aktivieren, müssen die Einstellungen der einzelnen zum Senden von Anfragen verwendeten
Web-Browser konfiguriert werden, damit Web Gateway als vertrauenswürdig eingestuft werden kann.
Wenn auch NTLM oder Kerberos als Authentifizierungsmethode auf Web Gateway konfiguriert ist,
erfolgt der Authentifizierungsprozess intern, ohne dass sich der Benutzer authentifizieren muss.
•
Wenn Sie Microsoft Internet Explorer verwenden, müssen Sie die Sicherheitseinstellungen wie folgt
ändern:
•
Konfigurieren Ihres lokalen Intranets als Sicherheitszone
•
Hinzufügen von Web Gateway als Website zu dieser Zone
Hierfür geben Sie eine URL mit einer IP-Adresse oder einen vollqualifizierten Domänennamen
an, z. B. http://10.10.69.73 oder http://*.mcafee.local.
•
Konfigurieren der automatischen Anmeldung für alle Websites in dieser Zone als
Sicherheitseinstellung für die Benutzerauthentifizierung
Sie können dies unter Internetoptionen in den Fenstern Lokales Intranet und Sicherheitseinstellungen – Lokale
Intranetzone konfigurieren.
Wenn für einen Browser Gruppenrichtlinien konfiguriert werden können, können Sie auch den
Gruppenrichtlinienverwaltungs-Editor zusammen mit der Liste der Site zu Zonenzuweisungen und dem Fenster
Anmeldungsoptionen verwenden.
•
Wenn Sie Mozilla Firefox verwenden, müssen Sie eine IP-Adresse oder einen vollqualifizierten
Domänennamen für Web Gateway unter about:config als Wert für den Parameter
network.automatic-ntlm-auth.trusted-uris angeben, z. B. 10.10.69.73 oder mwgappl.yourdomain.local.
Weitere Informationen hierzu finden Sie in der Dokumentation des jeweiligen Web-Browsers.
188
Produkthandbuch
7
Authentifizierung
Bibliotheks-Regelsatz für transparente Modi
Der empfohlene Bibliotheks-Regelsatz für den Modus „Transparenter Router“ oder „Transparente
Bridge“ ist „Authentifizierungs-Server (Zeit/IP-basierte Sitzung)“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Check for Valid Authentication Session
•
Authentication Server
Im Unterschied zum Authentifizierungsprozess, der für den expliziten Proxy-Modus durchgeführt wird,
verarbeitet dieser Regelsatz die Authentifizierung durch das Erstellen einer Authentifizierungssitzung,
wenn ein Benutzer, der eine Anfrage für Web-Zugriff gesendet hat, erfolgreich authentifiziert wurde.
Solange diese Sitzung weiterhin gültig ist, werden von diesem Benutzer gesendete nachfolgende
Anfragen verarbeitet, ohne dass eine erneute Authentifizierung erforderlich ist. Die standardmäßige
Sitzungslänge beträgt 600 Sekunden.
Die Verwendung dieses Regelsatzes in einer Konfiguration, in der Citrix installiert ist oder Workstations
gemeinsam genutzt werden, kann zu folgender Situation führen: Benutzer A sendet eine Anfrage, wird
authentifiziert, und eine Authentifizierungssitzung wird erstellt. Später sendet Benutzer B eine Anfrage
über dieselbe Workstation und darf die Sitzung von Benutzer A fortsetzen.
Regelsatz „Authentication Server (Time/IP Based Session)“
Dieser Regelsatz dient als Container für die beiden untergeordneten Regelsätze und enthält keine
eigenen Regelsätze.
Untergeordneter Regelsatz „Check for Valid Authentication Session“
Dieser Regelsatz enthält eine Regel, die überprüft, ob für einen Benutzer, der eine Anfrage über einen
Client sendet, eine gültige Sitzung vorhanden ist. Sitzungsinformationen werden in einer internen
Sitzungsdatenbank gespeichert. Die Informationen enthalten den Benutzernamen, die IP-Adresse des
Clients und die Sitzungslänge.
Wenn eine gültige Sitzung vorhanden ist, wird die Verarbeitung der Anfrage für die verbleibenden
konfigurierten Regeln und Regelsätze fortgesetzt. Wenn keine gültige Sitzung vorhanden ist, wird die
Anfrage an den Authentifizierungs-Server umgeleitet.
Untergeordneter Regelsatz „Authentication Server“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, dessen Anfrage an den Authentifizierungs-Server umgeleitet wurde. Bei erfolgreicher
Authentifizierung wird für diesen Benutzer in der Sitzungsdatenbank eine Sitzung erstellt.
Die Standardmethode für die Auswertung von Anmeldeinformationen des Benutzers ist der Vergleich
dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Sie können
diese Methode durch eine andere Methode ersetzen, z. B. LDAP oder NTLM.
Bearbeiten des Regelsatzes für transparente Modi
Beim Konfigurieren der Authentifizierung für transparente Modi können Sie den Bibliotheks-Regelsatz
so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Es sind folgende Bearbeitungsaktionen möglich:
•
Bearbeiten der URL des Authentifizierungs-Servers
•
Produkthandbuch
189
7
Authentifizierung
•
Aktivieren der Regel für ideale Bedingungen
•
Verlängern der Gültigkeitsdauer der Sitzung
Bearbeiten der URL des Authentifizierungs-Servers
Wenn Sie die Sicherheitseinstellungen der für das Senden von Anfragen an Web Gateway verwendeten
Browser durch Konfigurieren der lokalen Domäne als Sicherheitszone bearbeitet haben, können Sie
Web Gateway als Website in diese Zone einbinden, indem Sie eine URL entweder mittels IP-Adresse
oder vollqualifiziertem Domänennamen angeben.
In diesem Fall müssen Sie auch die URL des Authentifizierungs-Servers durch Einfügen des Namens
der lokalen Domäne bearbeiten, da die URL standardmäßig eine IP-Adresse für Web Gateway enthält.
Die Authentifizierungs-Server-URL wird für Appliances, auf denen Web Gateway ausgeführt wird,
dynamisch erzeugt. Da in einer Konfiguration mehrere Web Gateway-Appliances vorhanden sein
können, darf die IP-Adresse nicht statisch sondern muss dynamisch konfiguriert sein. Diese
Konfiguration erfolgt über interne Konfigurationseigenschaften.
Diese URL kann unter der Option IP Authentication Server (IP-Authentifizierungs-Server) bearbeitet werden,
die in der Regel Redirect clients that do not have a valid session to the authentication server des
Regelsatzes „Check for Valid Authentication Session“ neben der Eigenschaft
Authentication.Authenticate zu finden ist.
Standardmäßig hat diese URL das folgende Format:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
In allgemein lesbarem Format könnte die URL eines konkreten Authentifizierungs-Servers
folgendermaßen lauten:
http://10.10.69.71:9090
Nach der Anpassung der URL an die Browser-Einstellungen, durch die die lokale Domäne als
Sicherheitszone definiert ist, sieht die URL folgendermaßen aus:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
Hierbei wurde "com.scur.engine.system.proxy.ip"/>$ durch "com.scur.engine.system"/>
$.yourdomain.local ersetzt.
In allgemein lesbarem Format könnte dies z. B. folgendermaßen aussehen:
http://mwgappl.yourdomain.local:9090
Hierbei ist mwgappl der Host-Name einer Appliance, auf der Web Gateway ausgeführt wird.
Die standardmäßig für die Bewertung von Anmeldeinformationen genutzte Methode bei transparenten
Modi ist das Vergleichen dieser Informationen mit denen, die in der internen Benutzerdatenbank
gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich im Regelsatz
„Authentication Server“ in der Regel Authenticate user against user database rule befindet.
190
Produkthandbuch
7
Authentifizierung
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Aktivieren der Regel für ideale Bedingungen
Mit der Regel Revalidate session under ideal conditions aus dem Regelsatz „Check for Valid
Authentication Session“ kann sich der Benutzer unter „idealen“ Bedingungen erneut authentifizieren.
Dies bedeutet, dass bei bereits abgelaufener Sitzung keine Aufforderung zur Authentifizierung mehr
erfolgt.
Hier eine detaillierte Liste der standardmäßig festgelegten Bedingungen:
•
Die verbleibende Sitzungszeit beträgt weniger als 400 Sekunden.
•
Es wird das Netzwerkprotokoll HTTP verwendet.
•
Bei der vom Benutzer gesendeten Anfrage handelt es sich um eine GET-Anfrage.
Durch Aktivieren dieser Regel können Situationen wie z. B. die folgende vermieden werden:
1
Ein Benutzer sendet von einem Web Gateway-Client eine Anfrage und authentifiziert sich (es
werden 600 Sekunden Sitzungszeit zugeteilt).
2
Der Benutzer möchte ein Ticket an den Helpdesk senden und beginnt mit dem Ausfüllen des
Datenformulars (300 Sekunden Sitzungszeit verbraucht).
3
Beim Ausfüllen fehlen dem Benutzer bestimmte Informationen, nach denen er im Internet suchen
muss. Hierdurch werden auf Web Gateway mehrere GET-Anfragen empfangen (es vergehen weitere
200 Sekunden).
4
Der Benutzer füllt das Formular vollständig aus und sendet es ab, wodurch bei Web Gateway eine
POST-Anfrage eingeht (es vergehen weitere 200 Sekunden, wobei die Sitzung bereits nach den
ersten 100 Sekunden abgelaufen ist).
5
Da die Sitzungszeit abgelaufen ist, wird der Benutzer vor dem Verarbeiten der POST-Anfrage zum
erneuten Authentifizieren aufgefordert. Da die Sitzung jedoch nicht mehr gültig ist, gehen alle in
das Formular eingegebenen Daten verloren.
Wenn die Regel für ideale Bedingungen aktiviert ist, wird der Benutzer bereits während der
Informationssuche in Schritt 3 erneut zur Authentifizierung aufgefordert, sodass genügend Zeit für das
Ausfüllen und Absenden des Formulars zur Verfügung steht.
Verlängern der Gültigkeitsdauer der Sitzung
Die Zeitdauer einer Authentifizierungs-Sitzung kann z. B. auch von den standardmäßig eingestellten
600 Sekunden (10 Minuten) auf eine Stunde erhöht werden.
Außerdem ist es auch möglich, die Zeitbedingung in den Kriterien der Regel Revalidate session under
ideal conditions beispielsweise von 400 auf 600 Sekunden zu erhöhen.
Hierdurch fordert die Regel den Benutzer bereits beim Erhalt einer GET-Anfrage zur Authentifizierung
auf. Zu diesem Zeitpunkt ist die Sitzung noch 10 Minuten lang gültig.
Produkthandbuch
191
7
Authentifizierung
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP
Das Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP umfasst das
Importieren und Bearbeiten von zwei Regelsätzen sowie die Angabe der Ports für den eingehenden
Datenverkehr, damit die Anwendung des passenden Regelsatzes ausgelöst wird.
Wenn der Modus „Expliziter Proxy“ mit WCCP konfiguriert ist, senden Clients ihre Anfragen an Web
Gateway entweder in diesem Modus oder unter Verwendung eines Dienstes im WCCP-Protokoll.
Zur Durchführung der Authentifizierung im Modus „Expliziter Proxy“ wird der Regelsatz „Direct Proxy
Authentication and Authorization“ empfohlen, für den WCCP-Modus, der ein transparenter Modus ist,
hingegen der Regelsatz „Authentication Server (Time/IP Based Session)“.
Aus diesem Grund sollten Sie beide Regelsätze importieren und auch alle weiteren für beide Modi
erforderlichen Schritte durchführen, einschließlich der Bearbeitung der Browser-Einstellungen für den
WCCP-Modus.
Damit der Datenverkehr für den jeweiligen Modus vom richtigen Authentifizierungs-Regelsatz
verwaltet wird, können Sie für die beiden Datenverkehrsarten unterschiedliche Ports konfigurieren und
den zu verwendenden Port jeweils in den Kriterien des entsprechenden Regelsatzes festlegen.
Konfigurieren unterschiedlicher Ports für den Modus „Expliziter Proxy“ und den
WCCP-Modus.
Für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise die Ports 9090 und
9091 konfiguriert werden. Beim Konfigurieren eines WCCP-Dienstes müssen Sie angeben, welcher Port
für den WCCP-Modus verwendet wird. In die Liste der HTTP-Ports müssen hingegen beide Ports
eingetragen werden.
Ein WCCP-Dienst wird durch Eintragung in die Liste WCCP Services (WCCP-Dienste) konfiguriert. Diese
Liste wird unter der Option WCCP im Bereich Transparent Proxy (Transparenter Proxy) angezeigt, zu dem
Sie über die Systemeinstellung Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S), FTP, ICAP, und IM)
gelangen.
Der Abschnitt wird erst angezeigt, wenn Sie durch Auswählen von Proxy (optional WCCP) (Proxy, WCCP
optional) unter Network Setup (Netzwerkeinrichtung) mit dem Konfigurieren des Modus „Expliziter Proxy“
mit WCCP beginnen.
Der Eintrag für einen WCCP-Dienst, der für den auf Port 9091 eingehenden Datenverkehr verwendet
wird, könnte beispielsweise folgendermaßen aussehen:
No Service WCCP
ID
router ...
1
91
Ports ... Ports ... Proxy
listener ...
10.10.69.7 80, 443 false
Proxy
MD5 ... Assignment Comment
listener
port
10.10.69.73 9091
oooooo 1000
Die Liste HTTP Port Definition List (HTTP-Port-Definitionsliste) kann im Bereich HTTP Proxy (HTTP-Proxy)
konfiguriert werden, der nach dem Bereich Transparent Proxy (Transparenter Proxy) folgt.
Die Einträge für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise
folgendermaßen aussehen:
No Listener address Serve ... Ports ... Transparent ... McAfee ... Comment
192
1
0.0.0.0:9090
true
443
false
true
Explicit proxy traffic
2
0.0.0.0:9091
true
443
false
true
WCCP traffic
Produkthandbuch
7
Authentifizierung
Anpassen der Kriterien der Authentifizierungs-Regelsätze
Nach dem Konfigurieren unterschiedlicher Ports für eingehenden Datenverkehr im Modus „Expliziter
Proxy“ bzw. bei Nutzung eines WCCP-Dienstes, beispielsweise Ports 9090 und 9091, müssen Sie auch
die Kriterien der Regelsätze anpassen, die für diese beiden Datenverkehrsarten zuständig sind.
Die angepassten Regelkriterien des Regelsatzes „Direct Proxy Authentication and Authorization“ sähen
dann folgendermaßen aus:
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
Beim Regelsatz „Authentication Server (Time/IP Based Session)“ wären die angepassten Kriterien:
Proxy.Port equals 9091
Die Instant Messaging-Authentifizierung stellt sicher, dass Benutzer Ihres Netzwerks nicht über einen
Instant Messaging-Dienst auf das Web zugreifen können, wenn sie nicht authentifiziert sind. Im
Authentifizierungsprozess wird nach Benutzerinformationen gesucht, und nicht authentifizierte
Benutzer werden aufgefordert, sich zu authentifizieren.
An diesem Vorgang sind folgende Elemente beteiligt:
•
Authentifizierungsregeln, die den Prozess steuern
•
Das Modul „Authentication“, das aus verschiedenen Datenbanken Informationen über Benutzer
abruft
Eine Authentifizierungsregel kann mithilfe eines Ereignisses Informationen zur Authentifizierung von
Benutzern protokollieren, die Web-Zugriff angefordert haben.
In diesem Fall ist auch ein Protokollierungsmodul in den Prozess eingebunden.
Authentifizierungsregeln
Die Instant Messaging-Authentifizierung ist nicht standardmäßig auf der Appliance implementiert, Sie
können jedoch den Regelsatz IM Authentication aus der Bibliothek importieren.
Dieser Regelsatz enthält eine Regel, die anhand von Benutzerinformationen überprüft, ob der
Web-Zugriff anfordernde Benutzer bereits authentifiziert ist. Die Informationen werden mithilfe der
Methode „User Database“ gesucht.
Nicht authentifizierte Benutzer, für die in der Benutzerdatenbank keine Informationen gefunden
werden können, werden aufgefordert, ihre Anmeldeinformationen für die Authentifizierung zu senden.
Eine andere Regel sucht mithilfe der Methode „Authentication Server“ nach Informationen, um den
Authentifizierungsstatus von Benutzern zu ermitteln, und fordert nicht authentifizierte Benutzer auf,
ihre Anmeldeinformationen zu senden.
Das Modul „Authentication“ wird von diesen Regeln aufgerufen, um die Benutzerinformationen aus den
entsprechenden Datenbanken abzurufen.
Sie können die Regeln im Bibliotheks-Regelsatz überprüfen, ändern oder löschen sowie eigene Regeln
erstellen.
Produkthandbuch
193
7
Authentifizierung
Modul „Authentication“
Das Modul (auch als Engine bezeichnet) „Authentication“ ruft aus internen und externen Datenbanken
Informationen ab, die zum Authentifizieren von Benutzern benötigt werden. Das Modul wird von den
Authentifizierungsregeln aufgerufen.
Die verschiedenen Methoden zum Abrufen von Benutzerinformationen werden in den
Moduleinstellungen angegeben. Demzufolge werden in den Regeln des Bibliotheks-Regelsatzes für die
Instant Messaging-Kommunikation zwei verschiedene Einstellungen aufgeführt:
•
User Database at IM Authentication Server (Benutzerdatenbank auf IM-Authentifizierungs-Server)
•
Authentication Server IM (Authentifizierungs-Server für IM)
Diese Einstellungen werden mit dem Regelsatz implementiert, wenn dieser aus der Bibliothek
importiert wird.
Sie können diese Einstellungen konfigurieren und z. B. den Server angeben, von dem mit der
Authentifizierungs-Server-Methode Benutzerinformationen abgerufen werden.
Protokollierungsmodul
Der Bibliotheks-Regelsatz für die Instant Messaging-Authentifizierung enthält eine Regel, die
authentifizierungsbezogene Daten protokolliert, z. B. den Benutzernamen des Benutzers, der den
Web-Zugriff angefordert hat oder die URL des angeforderten Web-Objekts.
Die Protokollierung wird vom Modul „FileSystemLogging“ verarbeitet, dessen Einstellungen Sie
ebenfalls konfigurieren können.
Konfigurieren der Instant Messaging-Authentifizierung
Sie können die Instant Messaging-Authentifizierung implementieren und an die Anforderungen Ihres
Netzwerks anpassen.
Vorgehensweise
1
Importieren Sie den Regelsatz „IM Authentication“ aus der Bibliothek.
2
Prüfen Sie die Regeln im Regelsatz, und ändern Sie sie gegebenenfalls.
3
194
•
Ändern Sie die Einstellungen des Authentifizierungsmoduls für die Benutzerdatenbank oder die
Authentifizierungs-Server-Methode.
•
Ändern Sie die Einstellungen des Protokollierungsmoduls, das die Protokollierung von
Informationen über die Instant Messaging-Authentifizierung verarbeitet.
Produkthandbuch
7
Authentifizierung
Konfigurieren des Authentifizierungsmoduls für die Instant
Messaging-Authentifizierung
Sie können das Authentifizierungsmodul konfigurieren und angeben, auf welche Weise die
erforderlichen Informationen zum Authentifizieren von Benutzern eines Instant Messaging-Dienstes
abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Die Regeln des Regelsatzes werden nun im Einstellungsbereich angezeigt.
3
Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist.
4
Suchen Sie nach den Regeln, von denen das Authentifizierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz sind dies die Regeln Authenticate Clients against the User Database und
Redirect Not Authenticated Clients to the Authentication Server.
5
Klicken Sie in den Regelkriterien auf den Einstellungsnamen der Einstellungen, die konfiguriert
werden sollen.
Dieser Name wird neben der Eigenschaft Authentication. Authenticate angezeigt.
Im Bibliotheks-Regelsatz sind dies die Einstellungen für User Database at IM Authentication Server
bzw. Authentication Server IM.
für das Modul „Authentication“.
6
7
8
Siehe auch
Konfigurieren des Dateisystem-Protokollierungsmoduls für die
Sie können das Dateisystem-Protokollierungsmodul konfigurieren und angeben, wie dieses
Informationen protokolliert, die sich auf die Instant Messaging-Authentifizierung beziehen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
Produkthandbuch
195
7
Authentifizierung
3
4
Suchen Sie nach der Regel, von der das Dateisystem-Protokollierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz ist dies die Regel Show Authenticated page.
5
Klicken Sie im Regelereignis auf den Namen der Einstellungen für das Modul.
Im Bibliotheks-Regelsatz lautet dieser Name IM Logging.
für das Dateisystem-Protokollierungsmodul.
6
7
8
Siehe auch
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) auf Seite 506
IM Authentication (Regelsatz)
Der Bibliotheks-Regelsatz „IM Authentication“ wird für die Instant Messaging-Authentifizierung
verwendet.
Bibliotheks-Regelsatz – IM Authentication
Criteria – Always
Cycles – Requests (and IM), Responses, Embedded Objects
Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze:
•
IM Authentication Server
•
IM Proxy
IM Authentication Server
Dieser untergeordnete Regelsatz behandelt die Authentifizierung für Instant Messaging-Benutzer. Er
wendet die Methode „User Database“ zum Abrufen von Benutzerinformationen an.
Untergeordneter Bibliotheks-Regelsatz – IM Authentication Server
Criteria – Authentication.IsServerRequest equals true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn die Authentifizierung für
einen Benutzer eines Instant Messaging-Dienstes angefordert wurde.
Der Regelsatz enthält die folgenden Regeln.
Authenticate clients against user database
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM Authentication>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die Methode „User
Database“ für diese Authentifizierung an.
196
Produkthandbuch
Authentifizierung
7
Wenn ein Benutzer nicht mithilfe dieser Methode authentifiziert wurde, wird die Verarbeitung
beendet; zudem wird eine Meldung wird angezeigt, in der der Benutzer zur Authentifizierung
aufgefordert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Show Authenticated page
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
Die Regel leitet eine durch einen Instant Messaging-Benutzer von einem Client gesendete Anfrage an
einen Authentifizierungs-Server weiter und zeigt eine Meldung an, in der der Benutzer über die
Umleitung informiert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „Show IM Authenticated“ für die Meldung
verwendet wird.
Außerdem legt die Regel mithilfe eines Ereignisses Werte für einen Protokolleintrag zur
Authentifizierungsanfrage fest. Dieser Eintrag wird dann anhand eines zweiten Ereignisses in eine
Protokolldatei geschrieben. Ein Parameter dieses Ereignisses gibt den Protokolleintrag an.
In den Ereigniseinstellungen werden die Protokolldatei und deren Verwaltung angegeben.
IM Proxy
Dieser untergeordnete Regelsatz behandelt die Authentifizierung von Instant Messaging-Benutzern. Er
ruft mithilfe der Methode „Authentication Server“ Benutzerinformationen ab.
Untergeordneter Bibliotheks-Regelsatz – IM Proxy
Criteria – Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine
Chat-Nachricht oder eine Datei über eine Verbindung unter einem Instant Messaging-Protokoll sendet
und von der Appliance bereits eine Nachricht zurück an den Benutzer gesendet werden kann.
Der Regelsatz enthält die folgende Regel.
Redirect not authenticated users to the authentication server
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM
Authentication>
Produkthandbuch
197
7
Authentifizierung
Einmalkennwörter
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die
Authentifizierungs-Server-Methode für diese Authentifizierung an.
Wenn ein Benutzer nicht mit dieser Methode authentifiziert wurde, wird die Verarbeitung beendet;
zudem wird eine Meldung wird angezeigt, in der der Benutzer aufgefordert wird, sich zu
authentifizieren.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Einmalkennwörter
Einmalkennwörter können in Web Gateway verarbeitet werden, um Benutzer zu authentifizieren. Dies
beinhaltet die Verwendung von Kennwörtern für autorisiertes Außerkraftsetzen, nachdem eine
Web-Sitzung aufgrund eines abgelaufenen Kontingents beendet wurde.
Wenn ein Benutzer eine Web-Zugriffsanfrage sendet, wird die Authentifizierung zuerst über eine
andere in Web Gateway verfügbare Authentifizierungsmethode durchgeführt, beispielsweise die
Authentifizierung anhand von Informationen, die in der internen Benutzerdatenbank gespeichert sind.
Wenn die Verwendung von Einmalkennwörtern konfiguriert ist, wird diese Authentifizierungsmethode
als zweiter Schritt durchgeführt. Web Gateway meldet dem Benutzer, dass für den Web-Zugriff auch
ein Einmalkennwort erforderlich ist, und nach der Anfrage des Benutzers auf solch ein Kennwort wird
der Benutzername an einen McAfee OTP-Server weitergeleitet, auf dem das Kennwort angefordert
wird.
®
Wenn die Anfrage genehmigt wird, gibt der McAfee OTP-Server ein Einmalkennwort zurück, das jedoch
nicht an Web Gateway weitergegeben wird. Die Antwort des McAfee OTP-Servers enthält in einem
Header-Feld auch sogenannte „Kontextinformationen“.
Mit diesen Kontextinformationen werden das Kennwortfeld und die Sendeschaltfläche auf der Seite
aktiviert, die dem Benutzer angezeigt wird, sodass der Benutzer auf die Schaltfläche klicken kann,
woraufhin das Einmalkennwort übermittelt wird und der Benutzer Zugriff auf das gewünschte
Web-Objekt erhält.
Um die Verwendung von Einmalkennwörtern in Web Gateway zu implementieren, können Sie einen
Regelsatz aus der Regelsatz-Bibliothek importieren. Nach dem Importieren des Regelsatzes werden
Standardeinstellungen bereitgestellt, die Sie entsprechend den Anforderungen Ihres Netzwerks
konfigurieren können.
Zu den zu konfigurierenden Einstellungen gehören die IP-Adresse oder der Host-Name des McAfee
OTP-Servers und der Port auf diesem Server, der auf Anfragen von Web Gateway überwacht.
Außerdem sind ein Benutzername und ein Kennwort für die Authentifizierung von Web Gateway beim
McAfee OTP-Server erforderlich.
Wenn die Kommunikation zwischen Web Gateway und dem McAfee OTP-Server SSL-verschlüsselt sein
soll, müssen Sie ein entsprechendes Zertifikat importieren.
Der McAfee OTP-Server muss für die Verarbeitung des Authentifizierungsprozesses für Web Gateway
198
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Einmalkennwörter für autorisiertes Außerkraftsetzen
Wenn innerhalb Ihres Netzwerks Kontingentbeschränkungen für die Internet-Nutzung gelten, kann ein
Einmalkennwort als Kennwort für das Außerkraftsetzen der Beendigung einer Web-Sitzung aufgrund
abgelaufener Kontingente genutzt werden.
Um die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen zu implementieren,
können Sie einen weiteren Regelsatz aus der Bibliothek importieren, mit dem Sie auch die
Einstellungen für den Authentifizierungsprozess konfigurieren können.
Verwenden von Einmalkennwörtern von einem McAfee Pledge-Gerät
Einmalkennwörter für die Authentifizierung von Benutzern oder für ein autorisiertes Außerkraftsetzen
können von einem McAfee Pledge-Gerät bereitgestellt werden.
®
Um die Verwendung von Einmalkennwörtern für den Authentifizierungsprozess zu aktivieren, müssen
Sie geeignete Regelsätze implementieren, die Sie aus der Regelsatz-Bibliothek importieren können.
Die Einstellungen für den Authentifizierungsprozess werden mit dem Importvorgang implementiert.
Weitere Informationen zum Arbeiten mit einem McAfee Pledge-Gerät finden Sie in der Dokumentation
für dieses Produkt.
Konfigurieren von Einmalkennwörtern für das Authentifizieren
von Benutzern
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das Authentifizieren von Benutzern zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authentication Server (Time/IP Based Session with OTP) aus der
Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie den
Regelsatz Authentication Server (Time/IP Based Session with OTP and Pledge).
Die Regelsätze befinden sich in der Regelsatzgruppe Authentication.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einmalkennwörtern für das autorisierte
Außerkraftsetzen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das autorisierte Außerkraftsetzen zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authorized Override with OTP aus der Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie
Authorized Override with OTP and Pledge.
Die Regelsätze befinden sich in der Regelsatzgruppe Coaching/Quota.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Produkthandbuch
199
7
Authentifizierung
Einmalkennwörter
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einstellungen für Einmalkennwörter
Nach dem Importieren der Regelsätze zum Verarbeiten von Einmalkennwörtern werden Einstellungen
für derartige Kennwörter mit Standardwerten implementiert. Konfigurieren Sie diese Einstellungen, um
sie an die Anforderungen Ihres Netzwerks anzupassen.
Sie müssen unterschiedliche Einstellungen für die Authentifizierung und das autorisierte
Außerkraftsetzen mit Einmalkennwörtern konfigurieren.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Authentication
(Authentifizierung).
3
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim Authentifizieren von Benutzern zu konfigurieren. Fahren Sie andernfalls
mit Schritt 4 fort.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
c
Klicken Sie auf IP Authentication Server (IP-Authentifizierungs-Server).
Die Einstellungen für den IP-Authentifizierungs-Server werden im Abschnitt für Einstellungen
angezeigt.
d
Konfigurieren Sie die Einstellungen im Abschnitt IP Authentication Server Specific Parameters (Spezifische
Parameter für IP-Authentifizierungs-Server) und die Einstellungen in anderen Abschnitten (bei
denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
e
Klicken Sie auf User Database at Authentication Server (Benutzerdatenbank auf
Authentifizierungs-Server).
Die Einstellungen für die Benutzerdatenbank auf dem Authentifizierungs-Server werden im
Abschnitt für Einstellungen angezeigt.
f
Konfigurieren Sie die Einstellungen im Abschnitt User Database Specific Parameters (Spezifische
Parameter für Benutzerdatenbank) und die Einstellungen in anderen Abschnitten (bei denen es
Fahren Sie anschließend mit Schritt 5 fort.
4
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim autorisierten Außerkraftsetzen zu konfigurieren.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
5
200
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Authentication Server (Time/IP Based Session with OTP)
(Regelsatz)
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP Based Session with OTP)“ ermöglicht die
Verwendung von Einmalkennwörtern für die Authentifizierung von Benutzern.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP)
Criteria – Always
Cycles – Requests (and IM)
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Der Regelsatz enthält die folgenden Regeln:
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
Produkthandbuch
201
7
Authentifizierung
Einmalkennwörter
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Die Regel ist standardmäßig nicht aktiviert.
Dieser untergeordnete Regelsatz leitet eine Anfrage für den Web-Zugriff weiter, sofern der Benutzer
ein gültiges Einmalkennwort eingegeben hat. Wenn dem Benutzer diese Eingabe nicht möglich ist, wird
er aufgefordert, sich zu authentifizieren.
Die Authentifizierung wird zuerst unter Nutzung der Informationen in der Benutzerdatenbank auf
einem Authentifizierungs-Server durchgeführt. Nach erfolgreicher Authentifizierung wird dieser
Benutzer darauf hingewiesen, dass für den Web-Zugriff auch ein Einmalkennwort erforderlich ist, das
von Web Gateway auf Anfrage des Benutzers versendet wird.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Cycle – Requests (and IM)
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Redirect if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
202
Produkthandbuch
Authentifizierung
Einmalkennwörter
7
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
Wenn keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, bedeutet dies, dass
ein Benutzer, der eine Anfrage für den Web-Zugriff gesendet hat, kein gültiges Einmalkennwort
übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Authentifizierungs-Server jedoch erfolgreich war.
Daraufhin wird diese Regel verarbeitet, die mittels der Eigenschaft Header.Exists überprüft, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, sendet die Regel mithilfe eines Ereignisses ein entsprechendes
Einmalkennwort an den Benutzer.
Return authentication data to client
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mithilfe der Eigenschaft Header.Exists, ob eine Anfrage über einen Header
verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der die Anfrage sendende Benutzer wird mit
einer Meldung darüber informiert, dass für den Zugriff ein Einmalkennwort erforderlich ist.
Außerdem wird ein Ereignis ausgelöst, das in die Blockierungsmeldung einen Header mit
Kontextinformationen zum Authentifizierungsvorgang mit Einmalkennwort einfügt.
Der erste der beiden Parameter des Ereignisses gibt an, welche Header-Informationen hinzugefügt
werden. Der zweite Parameter ist eine Eigenschaft, die als Wert Informationen über den
Authentifizierungsvorgang mit Einmalkennwort enthält und somit den Ursprung der hinzugefügten
Informationen darstellt.
Block request and offer sending OTP
Always –> Block<Authentication Server OTP>
Falls keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, wird immer die
Blockierungsaktion dieser Regel ausgeführt.
Die Aktion beendet die Regelverarbeitung, und die Anfrage wird nicht weitergeleitet.
Die Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber
informiert, dass für den Web-Zugriff ein Einmalkennwort erforderlich ist, das von Web Gateway
angefordert werden kann.
Produkthandbuch
203
7
Authentifizierung
Einmalkennwörter
Authorized Override with OTP (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP“ ermöglicht die Verwendung von
Einmalkennwörtern für das autorisierte Außerkraftsetzen.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
204
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com*
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL auf der unternehmenseigenen Domäne von McAfee befindet.
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Daraufhin wird diese Regel verarbeitet. Sie überprüft mittels der Eigenschaft Header.Exists, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, wird ein Ereignis ausgelöst, das ein entsprechendes Einmalkennwort an den
Benutzer versendet.
Return authentication data to client
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mittels der Eigenschaft Header.Exists, ob die Anfrage über einen Header verfügt,
aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Wenn dies der Fall ist, wird die Anfrage nicht weitergeleitet, und es wird ein Ereignis ausgelöst, mit
dem eine bestimmte Eigenschaft einen Wert erhält, der Aufschluss über die Authentifizierung des
Benutzers gibt.
Die Blockierungsaktion wird mit den festgelegten Einstellungen durchgeführt, die besagen, dass der
Benutzer mittels einer Meldung über den Grund der Blockierung informiert werden muss.
Die vom Ereignis versendeten Informationen werden durch den Ereignisparameter OTP.Context
festgelegt. Die Eigenschaft, deren Wert dann diese Informationen enthält, wird von einem zweiten
Parameter angegeben.
Always –> Block<Authentication Server OTP>
Falls bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, wird immer die Aktion dieser Regel ausgeführt.
Mit ihr wird die Regelverarbeitung beendet, und die Anfrage wird nicht weitergeleitet. Die
Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber informiert,
dass von Web Gateway ein Einmalkennwort angefordert werden kann.
Produkthandbuch
205
7
Authentifizierung
Einmalkennwörter
Authentication Server (Time/IP Based Session with OTP and
Pledge) (Regelsatz)
Der Regelsatz „Authentication Server (Time/IP Based Session with OTP and Pledge)“ ist ein
Bibliotheks-Regelsatz zum Authentifizieren von Benutzern mit Einmalkennwörtern, die von einem
McAfee Pledge-Gerät bereitgestellt werden.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP and
Pledge)
Criteria – Always
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
206
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Von dieser untergeordneten Regel wird ein noch nicht authentifizierter Benutzer zur Authentifizierung
aufgefordert. Die Authentifizierung wird zunächst anhand der Informationen aus der
Benutzerdatenbank eines Authentifizierungs-Servers ausgeführt.
Anschließend wird eine Web-Zugriffsanfrage eines Benutzers weitergeleitet, der ein gültiges
Einmalkennwort gesendet hat, und ein Benutzer, der noch kein gültiges Einmalkennwort übermittelt
hat, wird zur Authentifizierung aufgefordert. Die Authentifizierung wird dann anhand der
Informationen aus der Benutzerdatenbank des Authentifizierungs-Servers ausgeführt.
Die Authentifizierung mit diesem Einmalkennwort wird ebenfalls vom Regelsatz verarbeitet.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Show block template
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
Produkthandbuch
207
7
Authentifizierung
Einmalkennwörter
Die Regel überprüft mithilfe der URL.GetParameter-Eigenschaft, ob ein Einmalkennwort von einem
McAfee Pledge-Gerät als Parameter der URL in einer Anfrage gesendet wurde.
Wenn der Parameter leer ist, wird die Anfrage blockiert, und der Benutzer wird benachrichtigt, dass
auch bei einem McAfee Pledge-Gerät die Authentifizierung mit einem Einmalkennwort für den
Web-Zugriff erforderlich ist.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mit einem Ereignis Kontextinformationen im
Einmalkennwort-Authentifizierungsprozess an einen authentifizierten Benutzer.
Auf diese Weise werden die Informationen abgerufen, die zum Validieren eines Einmalkennworts auf
einem McAfee OTP-Server erforderlich sind.
Redirect back if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authorized Override with OTP and Pledge (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP and Pledge“ dient dem autorisierten
Außerkraftsetzen mithilfe von Einmalkennwörtern, die von einem McAfee Pledge-Gerät bereitgestellt
werden.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
208
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL in der Unternehmensdomäne von McAfee befindet und das Zeitkontingent für
eine Sitzung überschritten wurde, die nach einem autorisierten Außerkraftsetzen fortgesetzt werden
kann.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mithilfe eines Ereignisses ein Einmalkennwort an einen authentifizierten Benutzer.
Auf diese Weise werden die Kontextinformationen abgerufen, die zum Authentifizieren eines
Benutzers über ein Einmalkennwort erforderlich sind, das auf einem McAfee OTP-Server validiert
wird.
Produkthandbuch
209
7
Authentifizierung
Always –> Block<OTP Required with Pledge>
Die Regel blockiert eine Anfrage für Web-Zugriff.
Die Einstellungen der Aktion geben an, dass eine Meldung gesendet wird. Diese informiert den
Benutzer, dass der Web-Zugriff nach Übermittlung eines Einmalkennworts, das von einem McAfee
Pledge-Gerät abgerufen wird, gestattet werden kann.
Das Senden eines Client-Zertifikats kann als Methode für den Zugriff auf die Benutzerschnittstelle der
Appliance konfiguriert werden. Diese Methode wird als Client-Zertifikatauthentifizierung oder X.
509-Authentifizierung bezeichnet.
Die Client-Zertifikatauthentifizierung ist eine der Methoden, die Sie beim Konfigurieren der
Proxy-Funktionen der Appliance für die Authentifizierung auswählen können.
Folgendes gilt, wenn die Methode in einer Proxy-Konfiguration verwendet wird.
•
Zur Authentifizierung eines Benutzers, der eine Anfrage sendet, ist kein Benutzername und kein
Kennwort erforderlich, so wie bei anderen Methoden wie NTLM oder LDAP auch.
•
Die Methode kann für Anfragen implementiert werden, die per SSL-verschlüsselter Kommunikation
von einem Web-Browser auf einem Client an eine Appliance gesendet werden, die im expliziten
Proxy-Modus konfiguriert ist.
•
Für diese Kommunikation wird das HTTPS-Protokoll verwendet.
Ein Client-Zertifikat wird gesendet, wenn der SSL-Handshake als einer der ersten Schritte in der
Kommunikation zwischen der Appliance und einem Client ausgeführt wird. Die Anfrage wird dann an
einen Authentifizierungs-Server zur Validierung des Zertifikats weitergeleitet.
Wenn das Zertifikat gültig ist, wird die Authentifizierung erfolgreich für den Client abgeschlossen, und
die Anfrage wird schließlich an den entsprechenden Web-Server weitergeleitet.
Beim Ausführen mehrerer Appliances als Knoten in einer Konfiguration muss sich der
Authentifizierungs-Server auf dem Knoten befinden, an den eine Anfrage ursprünglich geleitet wurde.
Zudem muss die Weiterleitung an das Internet nach erfolgreicher Authentifizierung über denselben
Knoten erfolgen.
Die Verwendung eines Authentifizierungs-Servers zur Client-Zertifikatauthentifizierung wird durch
Regeln gesteuert. Sie können einen Authentifizierungs-Server-Regelsatz importieren und die Regeln in
den untergeordneten Regelsätzen modifizieren, um die Verwendung geeigneter Zertifikate zu
aktivieren.
Sie müssen auch ein Verfahren implementieren, das die Anwendung der
Client-Zertifikatauthentifizierung ermöglicht. Es wird empfohlen, dafür die Cookie-Authentifizierung zu
verwenden.
Wenn diese Methode implementiert wurde, ist die Authentifizierung für einen Client erforderlich, von
dem eine Anfrage gesendet wurde, es wird jedoch einmal ein Cookie für diesen Client gesetzt,
nachdem ein Zertifikat gesendet und als gültig erkannt wurde. Für nachfolgende Anfragen von diesem
Client müssen dann keine Zertifikate gesendet werden.
Sie können einen Regelsatz importieren und modifizieren, damit die Client-Zertifikatauthentifizierung
auf diese Weise verarbeitet wird.
210
Produkthandbuch
7
Authentifizierung
Verwenden von Zertifikaten für die Client-ZertifikatAuthentifizierung
Unter der Client-Zertifikat-Authentifizierungsmethode, die zur SSL-gesicherten Kommunikation
implementiert werden kann, sind für die Durchführung der Authentifizierung verschiedene
Zertifikatstypen erforderlich.
Client-Zertifikate
Ein Client-Zertifikat wird zur Identifizierung der Identität eines Clients benötigt, der eine Anfrage an
die Appliance sendet.
Nur wenn der Client vertrauenswürdig ist, wird eine von ihm gesendete Anfrage akzeptiert. Ein Client
gilt als vertrauenswürdig, wenn das mit der Anfrage eingereichte Zertifikat durch eine
vertrauenswürdige Stamm-Zertifizierungsstelle signiert wurde.
Unter der Client-Zertifikat-Authentifizierungsmethode wird das Client-Zertifikat auch zur
Authentifizierung verwendet. Die Authentifizierung ist erfolgreich abgeschlossen, wenn das mit der
Anfrage eingereichte Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde.
Server-Zertifikat
Ein Server-Zertifikat wird zur Identifizierung der Identität eines Servers benötigt, der an der
SSL-gesicherten Kommunikation beteiligt ist.
Ein Server gilt für einen Client als vertrauenswürdig, wenn das vom Server während der ersten
Kommunikationsschritte gesendete Zertifikat durch eine Stamm-Zertifizierungsstelle signiert wurde,
die ebenfalls für den Client als vertrauenswürdig gilt.
Unter der Client-Zertifikat-Authentifizierungsmethode wird ein Server-Zertifikat für den
Authentifizierungs-Server benötigt.
Stamm-Zertifizierungsstelle
Eine Stamm-Zertifizierungsstelle ist eine Instanz, die andere Zertifikate signiert.
In einer SSL-gesicherten Kommunikation ist die Stamm-Zertifizierungsstelle selbst ein Zertifikat, das
im Kommunikationsprozess angezeigt werden kann.
Wenn eine Stamm-Zertifizierungsstelle für einen Client oder Server als vertrauenswürdig gilt, gelten
die von ihr signierten Zertifikate ebenfalls als vertrauenswürdig. Wenn also ein Client oder Server
solch ein signiertes Zertifikat einreicht, gilt dies als vertrauenswürdig.
Produkthandbuch
211
7
Authentifizierung
Regelsätze für die Client-Zertifikat-Authentifizierung
Regelsätze für das Implementieren der Authentifizierungsmethode „Client Certificate“ sind in der
Regelsatz-Bibliothek verfügbar.
Regelsatz „Authentication Server (for X509 Authentication)“
Der Regelsatz „Authentication Server (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung des Authentifizierungs-Servers mit der
Authentifizierungsmethode „Client Certificate“ zu ermöglichen.
•
•
SSL Endpoint Termination: Bereitet die Verarbeitung von Anfragen in der SSL-gesicherten
Kommunikation vor
•
Accept Incoming HTTPS Connections: Stellt die Zertifikate bereit, die für den
Authentifizierungs-Server gesendet werden können
•
Content Inspection: Aktiviert die Überprüfung des Inhalts, der mit einer Anfrage übertragen
wird
Authentication Server Requests: Leitet Anfragen zurück zum Proxy auf der Appliance um, wo
sie nach erfolgreicher Authentifizierung auf dem Authentifizierungs-Server weiterverarbeitet
werden
Anfragen werden auch umgeleitet, wenn ein Cookie für einen Client gesetzt wurde, von dem eine
Anfrage gesendet wurde.
Wenn die Authentifizierung auf dem Authentifizierungs-Server nicht erfolgreich abgeschlossen
wurde, wird der Benutzer aufgefordert, seine Anmeldeinformationen zum Authentifizieren für die
Benutzerdatenbank anzugeben.
•
Block All Others: Blockiert Anfragen, für die die Authentifizierung nicht erfolgreich abgeschlossen
wurde
Regelsatz „Cookie Authentication (for X509 Authentication)“
Der Regelsatz „Cookie Authentication (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung der Client-Zertifikat-Authentifizierungsmethode zu
initiieren und um Cookies zu setzen.
•
Cookie Authentication at HTTP(S) Proxy: Enthält untergeordnete Regelsätze, die die
Client-Zertifikat-Authentifizierung mit Cookies verarbeiten
•
Set Cookie for Authenticated Clients: Setzt nach dem erfolgreichen Abschluss der
Authentifizierung für einen Client ein Cookie und leitet die vom Client gesendete Anfrage zurück
an den Proxy auf der Appliance, wo sie weiter verarbeitet wird
•
Authenticate Clients with Authentication Server: Leitet von Clients gesendete Anfragen,
für die kein Cookie gesetzt wurde, an den Authentifizierungs-Server um
Umleiten von Anfragen an einen Authentifizierungs-Server
Gemäß der Client-Zertifikat-Authentifizierungsmethode wird eine Anfrage an einen
Authentifizierungs-Server umgeleitet, wo das mit der Anfrage gesendete Client-Zertifikat überprüft
212
Produkthandbuch
7
Authentifizierung
wird. Die Umleitung kann mit einem speziellen Listener-Port auf der Appliance oder mit einem
eindeutigen Host-Namen erfolgen.
Verwenden eines speziellen Listener-Ports
Anfragen können mit einem speziellen Listener-Port, z. B. Port 444, an einen Authentifizierungs-Server
umgeleitet werden. Angenommen, die IP-Adresse einer Appliance ist 192.168.122.119. Eine Anfrage
wird dann wie folgt an den Authentifizierungs-Server umgeleitet:
https://192.168.122.119:444/
Dabei muss jedoch unbedingt berücksichtigt werden, ob für den Web-Browser auf dem Client, der die
Anfrage sendet, Ausnahmen für die Verwendung eines Proxys konfiguriert wurden.
•
Keine Proxy-Ausnahmen konfiguriert: Wenn keine Proxy-Ausnahmen konfiguriert wurden,
werden alle Anfragen an den Proxy-Port gesendet, der auf der Appliance Anfragen empfängt;
standardmäßig ist dies Port 9090.
Auch eine Anfrage für https://192.168.122.119:444/ geht an Port 9090 ein, sofern dieser als
Proxy-Port konfiguriert ist.
Wenn Ihre Netzwerkkonfiguration eine Firewall enthält, sind keine Ausnahmen von den
Firewall-Regeln erforderlich, da keine Verbindung vom Client mit Port 444 vorhanden ist.
Um die Umleitung von Anfragen an den Authentifizierungs-Server sicherzustellen, müssen Sie in
den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die Eigenschaft
URL.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „URL.Port“ ist der Port, der in der URL enthalten ist, die in einer Anfrage
angegeben wird. Dabei kann es sich beispielsweise um 444 handeln, auch wenn die Anfrage
tatsächlich an Port 9090 empfangen wird.
•
Proxy-Ausnahmen konfiguriert: Proxy-Ausnahmen können aus verschiedenen Gründen
konfiguriert werden. So kann z. B. ein Web-Browser so konfiguriert werden, dass für den Zugriff
auf lokale Hosts keine Proxys verwendet werden.
Eine Anfrage für https://192.168.122.119:444/ wird dann nicht an Port 9090 empfangen.
Da der Browser für den direkten Zugriff auf sein Ziel konfiguriert ist, versucht er an Port 444 eine
Verbindung mit der Appliance herzustellen. Das heißt, Sie müssen einen Listener-Port mit der
Port-Nummer 444 einrichten.
Bei festgelegten Firewall-Regeln ist zudem eine Ausnahme nötig, mit der zugelassen wird, dass
Anfragen an Port 444 empfangen werden.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, müssen Sie
in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die
Eigenschaft Proxy.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „Proxy.Port“ ist der Port, an dem die Anfrage tatsächlich empfangen wird.
Dies ist z. B. 444, wenn Sie einen Port mit dieser Nummer für den Empfang von Anfragen
eingerichtet haben, die an einen Authentifizierungs-Server umgeleitet werden sollen.
Verwenden eines eindeutigen Host-Namens
Anfragen können mit einem eindeutigen Host-Namen an einen Authentifizierungs-Server umgeleitet
werden, z. B. mit „authserver.local.mcafee“. Mit diesem Namen werden Anfragen wie folgt an den
Authentifizierungs-Server umgeleitet:
https://authserver.mcafee.local
Produkthandbuch
213
7
Authentifizierung
Der Client, von dem die Anfrage gesendet wurde, darf den Host-Namen nicht mithilfe von DNS
suchen, da die URL mit hoher Wahrscheinlichkeit nicht aufgelöst wird und der Client keine Verbindung
herstellen kann.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, muss dieser
Host-Name in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ als Wert
für die Eigenschaft URL.Host festgelegt werden.
Implementieren der Authentifizierung von Client-Zertifikaten
Bei der Authentifizierung von Client-Zertifikaten werden Client-Zertifikate verwendet, die mit
Authentifizierungsanfragen gesendet werden. Führen Sie die folgenden allgemeinen Schritte aus, um
diese Methode auf einer Appliance zu implementieren.
Vorgehensweise
1
Importieren Sie den Regelsatz „Authentication Server (for X509 Authentication)“.
2
Ändern Sie die untergeordneten Regelsätze, um die Verwendung der entsprechenden Zertifikate zu
konfigurieren.
3
Konfigurieren Sie einen Listener-Port für Anfragen, die von Web-Browsern gesendet wurden, die
nicht den Proxy-Port der Appliance verwenden.
4
Konfigurieren Sie eine Möglichkeit, die Authentifizierung von Client-Zertifikaten anzuwenden.
Sie können den Regelsatz „Cookie Authentication (for X509 Authentication)“ importieren und so
ändern, dass ein Cookie für die Authentifizierung verwendet wird, nachdem die Authentifizierung
von Client-Zertifikaten angewendet und erfolgreich abgeschlossen wurde.
5
Vergewissern Sie sich, dass in einem Web-Browser ein geeignetes Client-Zertifikat zum Senden von
Anfragen an die Appliance verfügbar ist.
Importieren des Regelsatzes „Authentication Server (for
X509 Authentication)“
Zum Implementieren der Client-Zertifikat-Authentifizierungsmethode auf der Appliance muss ein
Regelsatz vorhanden sein, der eine derartige Authentifizierung verarbeitet. Sie können zu diesem
Zweck den Regelsatz „Authentication Server (for X509 Authentication)“ importieren.
Es wird empfohlen, den Regelsatz in der Regelsatz-Baumstruktur an oberster Stelle einzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen).
214
Produkthandbuch
7
Authentifizierung
4
Wählen Sie den Regelsatz Authentication Server (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
5
Überprüfen Sie die Regelsatzkriterien, und ändern Sie sie gegebenenfalls.
Nach abgeschlossenem Import lauten die Kriterien wie folgt:
URL.Port equals 444 or Proxy.Port equals 444.
Dadurch wird sichergestellt, dass der Regelsatz auf alle Anfragen angewendet wird, die an dem
betreffenden Port empfangen werden. Wenn Sie einen anderen Port verwenden möchten, geben Sie
hier die entsprechende Port-Nummer ein.
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Server-Zertifikaten
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, damit
die Übermittlung der passenden Server-Zertifikate für den Authentifizierungs-Server sichergestellt ist.
Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Da der Authentifizierungs-Server unter verschiedenen Host-Namen und IP-Adressen erreicht werden
kann, können Sie die Appliance jedes Mal ein anderes Server-Zertifikat übermitteln lassen, sodass der
Host-Name oder die IP-Adresse dem allgemeinen Namen im Zertifikat entspricht.
Hierfür müssen Sie für jeden Host-Namen bzw. jede IP-Adresse ein Server-Zertifikat importieren und
der Liste der Server-Zertifikate hinzufügen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Endpoint Termination, und wählen Sie im Regelsatz
den untergeordneten Regelsatz Accept Incoming HTTPS Connections aus.
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Define SSL Context (SSL-Kontext definieren) die Liste der
Server-Zertifikate.
5
So fügen Sie der Liste ein Server-Zertifikat hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
c
Klicken Sie auf Import (Importieren).
Daraufhin öffnet sich das Fenster Import Server Certificate (Server-Zertifikat importieren).
d
Klicken Sie auf Browse (Durchsuchen), und navigieren Sie zum Zertifikat, das Sie importieren
möchten.
Produkthandbuch
215
7
Authentifizierung
e
Wiederholen Sie diese Aktivität, um einen Schlüssel und eine Zertifikatskette mit dem Zertifikat
zu importieren.
f
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen) angezeigt.
6
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Server-Zertifikat ein.
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das Server-Zertifikat wird in der Liste angezeigt.
8
Achten Sie darauf, dass das Kontrollkästchen SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion gilt nur für Client-Verbindung) aktiviert ist.
Auf diese Weise kann die Appliance Anfragen ihrer Clients annehmen, ohne andere Server des
Netzwerks zu kontaktieren, was bei dieser Kommunikation nicht erforderlich ist.
9
Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen.
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Zertifizierungsstellen
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, um
geeignete Root-Zertifizierungsstellen zu konfigurieren. Die Bearbeitung erfolgt in einem
untergeordneten Regelsatz.
Ein Client-Zertifikat wird als vertrauenswürdig eingestuft, wenn es von einer Zertifizierungsstelle in der
Liste signiert wurde, die auf der Appliance verwaltet wird. Sie müssen alle Zertifizierungsstellen in die
Liste importieren, die Instanzen für als vertrauenswürdig eingestufte Client-Zertifikate signieren sollen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Authentication Server Request.
3
Klicken Sie in der Regel Ask user for client certificate auf die Moduleinstellungen X509 Auth
(X509-Authentifizierung).
4
Überprüfen Sie im Abschnitt Client Certificate Specific Parameters (Client-Zertifikat-spezifische Parameter)
die Liste der Zertifizierungsstellen.
5
So fügen Sie der Liste eine Zertifizierungsstelle hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen).
b
216
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
Produkthandbuch
Authentifizierung
c
7
Daraufhin öffnet sich ein Fenster, das Zugriff auf Ihr lokales Dateisystem bietet.
d
Navigieren Sie zur Zertifizierungsstellendatei, die Sie importieren möchten.
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen) angezeigt.
6
Achten Sie darauf, dass das Kontrollkästchen Trusted (Vertrauenswürdig) aktiviert ist.
7
Zertifizierungsstelle ein.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Zertifizierungsstelle wird in der Liste angezeigt.
9
Konfigurieren eines Listener-Ports für eingehende Anfragen auf
der Appliance
An die Appliance gesendete Anfragen können am Proxy-Port oder an einem speziellen Listener-Port
empfangen werden. Als Proxy-Port wird standardmäßig Port 9090 verwendet.
Sie müssen einen Listener-Port konfigurieren, wenn Proxy-Ausnahmen erstellt wurden, die verhindern,
dass Anfragen am Proxy-Port eingehen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie einen Listener-Port
konfigurieren möchten, und klicken Sie dann auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S),
FTP, ICAP, und IM).
Die Proxy-Einstellungen werden im Einstellungsbereich angezeigt.
3
Scrollen Sie nach unten zum Bereich HTTP Proxy (HTTP-Proxy).
4
Achten Sie darauf, dass Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist.
5
Klicken Sie auf der Symbolleiste der HTTP port definition list (HTTP-Port-Definitionsliste) auf das Symbol
Hinzufügen.
6
Konfigurieren Sie wie folgt einen Listener-Port:
a
Geben Sie im Feld Listener address (Listener-Adresse) 0.0.0.0:444 ein.
Wenn Sie zum Empfangen eingehender Anfragen einen anderen Port verwenden möchten,
geben Sie diesen hier ein.
7
b
Geben Sie im Feld Ports treated as SSL (Als SSL behandelte Ports) * ein.
c
Alle anderen Kontrollkästchen müssen aktiviert sein.
Produkthandbuch
217
7
Authentifizierung
8
9
Starten Sie die Appliance neu, damit die Konfiguration des Listener-Ports wirksam wird.
Importieren des Regelsatzes „Cookie Authentication (for
X509 Authentication)“
Wenn auf der Appliance die Client-Zertifikat-Authentifizierungsmethode verwendet werden soll, kann
deren Verwendung mit dem Regelsatz „Cookie Authentication (for X509 Authentication)“ initiiert
werden.
Es wird empfohlen, diesen Regelsatz hinter den Regelsätzen für Funktionen einzufügen, die keine
Authentifizierung erfordern, jedoch vor den Regelsätzen, die die Filterfunktionen verarbeiten.
Auf diese Weise wird sichergestellt, dass bei der Blockierung einer Anfrage wegen eines
Authentifizierungsfehlers die Filterfunktionen nicht ausgeführt werden, wodurch Ressourcen gespart
werden und die Leistung verbessert wird.
Wenn Ihr Regelsatzsystem dem Standardsystem ähnelt, können Sie den Regelsatz hinter den
Regelsätzen „SSL Scanner“ und „Global Whitelist“ einfügen, jedoch vor den Regelsätzen „Content
Filtering“ und „Gateway Antimalware“.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
4
Wählen Sie den Regelsatz Cookie Authentication (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports
für eingehende Anfragen
Sie können den Cookie-Authentifizierungsregelsatz (für X509-Authentifizierung) bearbeiten, um einen
Listener-Port für eingehende Anfragen zu konfigurieren, den Sie anstelle von Port 444 (Standard-Port)
verwenden möchten. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Ein spezieller Listener-Port muss zum Empfangen eingehender Anfragen verwendet werden, wenn
Proxy-Ausnahmen vorhanden sind, die verhindern, dass Anfragen am Proxy-Port der Appliance
eingehen. Anfragen, die an Port 444 oder einem anderen Port, den Sie zu diesem Zweck konfiguriert
haben, eingehen, werden an den Authentifizierungs-Server weitergeleitet.
Vorgehensweise
218
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Cookie
Authentication (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz Cookie Authentication at HTTP(S) Proxy, und klicken Sie im
Regelsatz auf den untergeordneten Regelsatz Authenticate Clients with Authentication Server.
Produkthandbuch
7
Authentifizierung
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter) im Feld Authentication server URL (URL des
Authentifizierungs-Servers) die URL.
Standardmäßig lautet die URL wie folgt:
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
Bei der Verarbeitung der Regel wird der Ausdruck $...$ durch die IP-Adresse der Appliance ersetzt.
5
Geben Sie zum Konfigurieren eines anderen Listener-Ports die Nummer dieses Ports hier ein.
6
7
Importieren eines Client-Zertifikats in einen Browser
Ein geeignetes Client-Zertifikat muss in einem Web-Browser verfügbar sein, um es im Rahmen der
SSL-gesicherten Kommunikation zusammen mit einer Anfrage an eine Appliance zu senden.
Die Vorgehensweisen beim Importieren von Zertifikaten hängen vom Browser ab und können
Änderungen unterliegen. Je nach Betriebssystem können auch die Menüs der verschiedenen Browser
voneinander abweichen.
Im Folgenden werden zwei mögliche Vorgehensweisen beim Importieren eines Client-Zertifikats in
Microsoft Internet Explorer und Mozilla Firefox erläutert.
Aufgaben
•
Importieren eines Client-Zertifikats in Microsoft Internet Explorer auf Seite 219
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort
verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden
kann.
•
Importieren eines Client-Zertifikats in Mozilla Firefox auf Seite 220
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Importieren eines Client-Zertifikats in Microsoft Internet Explorer
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Extras und dann auf Internetoptionen.
Daraufhin öffnet sich das Fenster Internetoptionen.
2
Klicken Sie auf die Registerkarte Inhalte.
Produkthandbuch
219
7
Authentifizierung
3
Klicken Sie im Abschnitt Zertifikate auf Zertifikate.
Daraufhin öffnet sich das Fenster Zertifikate.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der Zertifikatimport-Assistent.
5
Führen Sie auf den Seiten des Assistenten Folgendes aus:
a
Klicken Sie im Bildschirm Willkommen auf Weiter.
b
Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und navigieren Sie zum Speicherort
der Zertifikatdatei.
c
Geben Sie im Feld Dateiname den Text *.pfx ein, und drücken Sie anschließend die EINGABETASTE.
d
Wählen Sie die Zertifikatdatei aus, und klicken Sie auf Öffnen. Klicken Sie anschließend auf Weiter.
e
Geben Sie auf der Seite Kennwort im Feld Kennwort ein Kennwort ein. Klicken Sie anschließend auf
Weiter.
f
Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern.
g
Wählen Sie im Abschnitt Zertifikatspeicher auf derselben Seite Persönlich aus, und klicken Sie auf
Weiter.
h
Klicken Sie auf der Seite Fertigstellen des Zertifikatimport-Assistenten auf Fertig stellen.
6
Bestätigen Sie die angezeigte Meldung, indem Sie auf OK klicken.
7
Klicken Sie auf Schließen und dann auf OK, um die Fenster Zertifikate und Internetoptionen zu schließen.
Importieren eines Client-Zertifikats in Mozilla Firefox
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen, sodass es in
der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Einstellungen und dann auf Optionen.
Daraufhin öffnet sich das Fenster Einstellungen.
2
Klicken Sie auf Erweitert und anschließend auf Verschlüsselung.
3
Klicken Sie auf der Registerkarte Verschlüsselung im Abschnitt Zertifikate auf Zertifikate anzeigen.
Daraufhin öffnet sich das Fenster Zertifikat-Manager.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der lokale Datei-Manager.
220
5
Navigieren Sie zur gespeicherten Zertifikatdatei, und klicken Sie auf Öffnen.
6
Geben Sie bei einer entsprechenden Aufforderung ein Kennwort an, und klicken Sie dann auf OK.
Produkthandbuch
7
Authentifizierung
Administratorkonten
Administratorkonten
Administratorkonten können sowohl auf der Appliance als auch auf einem externen Server eingerichtet
und verwaltet werden. Mithilfe der Erstellung entsprechender Rollen können für Administratoren
unterschiedliche Zugriffsberechtigungen festgelegt werden.
Hinzufügen eines Administratorkontos
Sie können dem Konto, das vom Appliance-System bei der Erstkonfiguration eingerichtet wurde,
Administratorkonten hinzufügen.
Vorgehensweise
1
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
3
Fügen Sie hier den Benutzernamen und ein Kennwort hinzu, und nehmen Sie weitere erforderliche
Einstellungen für das Konto vor. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das neue Konto wird nun in der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 222
Bearbeiten eines Administratorkontos
Sie können alle Administratorkonten bearbeiten, einschließlich des Kontos, das vom Appliance-System
bei der Ersteinrichtung angelegt wurde.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie dann auf Edit (Bearbeiten).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Daraufhin öffnet sich das Fenster Edit Administrator (Administratorkonto bearbeiten).
3
Bearbeiten Sie die Einstellungen des Kontos nach Bedarf. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das Konto wird nun mit den vorgenommenen Änderungen auf
der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 222
Produkthandbuch
221
7
Authentifizierung
Administratorkonten
Löschen eines Administratorkontos
Sie können beliebig viele Administratorkonten löschen, sofern danach noch mindestens ein weiteres
Administratorkonto vorhanden ist.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie auf Delete (Löschen).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen.
3
Einstellungen für Administratorkonten
Mithilfe der Administratorkontoeinstellungen können die Anmeldeinformationen und Rollen der
Administratoren konfiguriert werden.
Einstellungen für Administratorkonten
Dies sind Einstellungen für Administratorkonten.
Tabelle 7-18 Einstellungen für Administratorkonten
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Test with current settings (Test mit aktuellen Einstellungen)
Einstellungen für die Überprüfung, ob ein Administrator sich mit seinen Anmeldeinformationen
tatsächlich bei der Appliance anmelden könnte.
222
Produkthandbuch
7
Authentifizierung
Administratorkonten
Tabelle 7-19 Test with current settings (Test mit aktuellen Einstellungen)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort) Gibt das zu überprüfende Kennwort an.
Test (Testen)
Mit dieser Option wird die Prüfung durchgeführt.
Anschließend wird das Fenster Authentication Test Results (Ergebnis des
Authentifizierungstests) mit dem Ergebnis des Tests angezeigt.
Verwalten der Administratorrollen
Sie können Rollen erstellen und mit diesen Administratorkonten konfigurieren.
Eine Administratorrolle wird bereits bei der Erstkonfiguration vom Appliance-System erstellt.
Vorgehensweise
1
2
So fügen Sie eine Administratorrolle hinzu:
a
Klicken Sie unter Roles (Rollen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Role (Rolle hinzufügen).
b
Geben Sie im Feld Name einen Rollennamen ein.
c
Konfigurieren Sie Zugriffsrechte für das Dashboard, Regeln, Listen und andere Elemente.
d
Klicken Sie auf OK.
Daraufhin wird das Fenster geschlossen, und die neue Rolle wird in der Liste der
Administratorrollen angezeigt.
3
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) verwenden, um Rollen zu
bearbeiten bzw. zu löschen.
4
Die neu hinzugefügte bzw. bearbeitete Regel ist jetzt verfügbar und kann einem Administratorkonto
hinzugefügt werden.
Siehe auch
Einstellungen für Administratorrollen auf Seite 223
Einstellungen für Administratorrollen
Mithilfe der Einstellungen für Administratorrollen können Rollen konfiguriert und anschließend
bestimmten Administratoren zugeordnet werden.
Einstellungen für Administratorrollen
Einstellungen zum Konfigurieren von Administratorrollen
Tabelle 7-20 Einstellungen für Administratorrollen
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Produkthandbuch
223
7
Authentifizierung
Administratorkonten
Tabelle 7-20 Einstellungen für Administratorrollen (Fortsetzung)
Option
Definition
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Konfigurieren der externen Kontoverwaltung
Sie können Administratorkonten auf externen Authentifizierungs-Servern verwalten lassen und extern
gespeicherte Benutzergruppen und einzelne Benutzer Rollen auf der Appliance zuordnen.
Vorgehensweise
1
2
Klicken Sie auf Administrator accounts are managed in an external directory server (Administratorkonten werden
auf einem externen Verzeichnis-Server verwaltet).
Nun werden zusätzliche Einstellungen angezeigt.
3
Konfigurieren Sie unter Authentication Server Details (Details des Authentifizierungs-Servers)
Einstellungen für den externen Server.
Diese Einstellungen bestimmen, auf welche Weise das Modul „Authentication“ auf der Appliance
Informationen von diesem Server abruft.
4
Verwenden Sie die Einstellungen unter Authentication group = role mapping (Authentifizierungsgruppe =
Rollenzuordnung), um auf dem externen Server gespeicherte Benutzergruppen und einzelne
Benutzer Rollen auf der Appliance zuzuordnen:
a
Klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Group/User Role Name Mapping (Gruppen/
Benutzerrollen-Namenszuordnung hinzufügen).
224
b
Aktivieren Sie die Kontrollkästchen neben dem Feld für gewünschte Gruppen- oder
Benutzerübereinstimmungen, und geben Sie im jeweiligen Feld den Namen einer Gruppe oder
eines Benutzers ein.
c
Klicken Sie auf OK.
d
Wählen Sie unter Role to map to (Zuzuordnende Rolle) eine Rolle aus.
Produkthandbuch
7
Authentifizierung
Administratorkonten
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Zuordnung wird in der Zuordnungsliste
angezeigt.
f
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) nutzen, um Zuordnungen zu
bearbeiten bzw. zu löschen.
Produkthandbuch
225
7
Authentifizierung
Administratorkonten
226
Produkthandbuch
8
Mit der Kontingentverwaltung können Sie Einfluss auf die Internet-Nutzung der Benutzer Ihres
Netzwerks nehmen. So können Sie dafür sorgen, dass die Ressourcen und die Leistung Ihres
Netzwerks nicht übermäßig beeinträchtigt werden.
Kontingente und andere Beschränkungen können auf verschiedene Art und Weise durchgesetzt
werden:
•
Zeitkontingente: Beschränken die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung
steht
•
Volumenkontingente: Beschränken das Volumen, das Benutzern für die Internet-Nutzung zur
Verfügung steht
•
Coaching: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht, lässt
jedoch bei Bedarf eine Überschreitung der konfigurierten Zeit zu
•
Autorisiertes Außerkraftsetzen: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur
Verfügung steht, auf die gleiche Art wie beim Coaching
Das Zeitlimit kann jedoch nur durch eine Aktion eines autorisierten Benutzers überschritten
werden, beispielsweise durch einen Lehrer bei einer Weiterbildung.
•
Blockaden: Blockieren den Zugriff auf das Internet für eine konfigurierte Zeitspanne, nachdem ein
Benutzer versucht hat, auf ein gesperrtes Web-Objekt zuzugreifen
Kontingente und andere Beschränkungen können separat oder in Kombination miteinander
durchgesetzt werden.
Inhalt
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung
Zeitkontingent
Volumenkontingent
Coaching
Autorisiertes Außerkraftsetzen
Blockierungssitzungen
Kontingent-Systemeinstellungen
Produkthandbuch
227
8
Festlegen von Kontingenten und anderen Einschränkungen für
die Web-Nutzung
Durch das Festlegen von Kontingenten und anderen Einschränkungen in einem
Kontingentverwaltungsprozess für die Benutzer Ihres Netzwerks können Sie deren Web-Nutzung
steuern und die Auslastung der Netzwerkressourcen beschränken.
Die Kontingentverwaltung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen.
•
Kontingentverwaltungsregeln steuern den Prozess.
•
Kontingentverwaltungslisten werden von den Regeln zum Festlegen von Einschränkungen für
Benutzer und bestimmte Web-Objekte genutzt, z. B. URLs, IP-Adressen usw.
•
Kontingentverwaltungsmodule, die von den Regeln aufgerufen werden, verarbeiten Zeit- und
Volumenkontingente sowie sonstige Einschränkungen innerhalb des Prozesses.
Ein Kontingentverwaltungsprozess wird nach der Erstkonfiguration in Web Gateway nicht
standardmäßig implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus
der Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Beim Konfigurieren der Kontingentverwaltung können Sie mit Folgendem arbeiten:
•
Schlüsselelemente von Regeln: Nach dem Importieren der Bibliotheks-Regelsätze für
die Kontingentverwaltung und deren Auswahl in der Struktur der Regelsätze können Sie
die Schlüsselelemente der Regeln für den Kontingentverwaltungsprozess anzeigen und
konfigurieren.
•
Vollständige Regeln: Nachdem Sie in der Ansicht der Schlüsselelemente auf Unlock View
(Ansicht entsperren) geklickt haben, können Sie die Regeln für den
Kontingentverwaltungsprozess vollständig überprüfen, sämtliche Elemente der Regeln,
einschließlich der Schlüsselelemente, konfigurieren und zudem neue Regeln erstellen
oder Regeln löschen.
Kontingentverwaltungsregeln
Die Regeln, von denen die Verwaltung von Kontingenten und sonstige Einschränkungen gesteuert
wird, sind je nach Typ der Einschränkung in verschiedenen Regelsätzen enthalten, z. B. in einem
Zeitkontingent-Regelsatz oder einem Coaching-Regelsatz.
Mit den Regeln in diesen Regelsätzen wird überprüft, ob die Beschränkungen für Zeit und/oder
Volumen überschritten wurden, und ggf. werden Anfragen in Bezug auf weiteren Web-Zugriff blockiert.
Zudem leiten sie Anfragen um, wenn ein Benutzer sich zum Fortfahren mit einer neuen Sitzung
entscheidet.
Regelsätze für die Kontingentverwaltung sind im Standard-Regelsatz nicht implementiert, sie können
jedoch aus der Regelsatz-Bibliothek importiert werden. Die Namen der Bibliotheks-Regelsätze lauten
Time Quota, Volume Quota, Coaching, Authorized Override und Blocking Sessions.
Sie können die mit den Bibliotheks-Regelsätzen implementierten Regeln überprüfen, ändern oder
löschen. Außerdem können Sie auch eigene Regeln erstellen.
228
Produkthandbuch
8
Kontingentverwaltungslisten
Die Regelsätze für das Verwalten von Kontingenten und anderen Einschränkungen verwenden Listen
von Web-Objekten und Benutzern, um dementsprechend Einschränkungen festzulegen. Die Listen sind
in den Kriterien eines Regelsatzes enthalten.
Eine Liste enthält z. B. eine Anzahl von URLs, und diese Liste befindet sich in den Kriterien des
Regelsatzes „Time Quota“. Dieser Regelsatz und die darin enthaltenen Regeln werden nur angewendet,
wenn ein Benutzer eine der URLs in der Liste aufruft. Listen von IP-Adressen oder Medientypen
können auf dieselbe Weise verwendet werden.
Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene
Listen erstellen und festlegen, dass diese von den Regelsätzen für die Kontingentverwaltung
verwendet werden sollen.
Kontingentverwaltungsmodule
Die Kontingentverwaltungsmodule (auch als Engines bezeichnet) verarbeiten die Zeit- und
Volumenparameter des Kontingentverwaltungsprozesses; sie werden von den Regelsätzen des
Prozesses überprüft, um die verbrauchten sowie verbleibenden Zeiten bzw. Volumen, Sitzungszeiten
und sonstigen Werte zu bestimmen.
Es ist für jeden Typ von Einschränkung ein Modul vorhanden, z. B. das Modul Time Quota oder das
Modul Coaching.
Durch das Konfigurieren der Einstellungen für diese Module geben Sie die Zeiten und Volumen an, die
im Kontingentverwaltungsprozess gelten. Wenn Sie beispielsweise das Modul für Zeitkontingente
konfigurieren, geben Sie an, wie lange Benutzer pro Tag (in Stunden und Minuten) auf Web-Objekte
mit bestimmten URLs oder IP-Adressen zugreifen dürfen.
Sitzungsdauer
Zu den Einstellungen, die Sie für das Kontingentverwaltungsmodul konfigurieren können, zählt auch
die Sitzungsdauer. Dies ist die für eine Einzelsitzung zulässige Zeit, die von einem Benutzer für die
Web-Nutzung in Anspruch genommen wird.
Produkthandbuch
229
8
Die Sitzungsdauer wird für Zeitkontingente, Volumenkontingente und sonstige Parameter des
Kontingentverwaltungsprozesses gesondert konfiguriert und unterschiedlich behandelt.
•
Sitzungsdauer für Zeitkontingente: Beim Konfigurieren von Zeitkontingenten müssen Sie auch
eine Sitzungsdauer konfigurieren. Bei jedem Ablauf einer Sitzungsdauer für einen Benutzer wird die
als Sitzungsdauer konfigurierte Zeit vom Zeitkontingent des betreffenden Benutzers abgezogen.
Solange das Zeitkontingent nicht aufgebraucht ist, kann der Benutzer eine neue Sitzung starten.
Nach Ablauf des Zeitkontingents wird eine vom Benutzer gesendete Anfrage blockiert, und eine
Blockierungsmeldung wird angezeigt.
•
Sitzungsdauer für Volumenkontingente: Beim Konfigurieren von Volumenkontingenten hat die
Sitzungsdauer keinerlei Auswirkungen auf das Volumenkontingent für einen Benutzer.
Sie können dennoch eine Sitzungsdauer konfigurieren, um den Benutzer über die beim Web-Zugriff
abgelaufene Zeit zu informieren. Wenn die Zeit für eine Sitzung abgelaufen ist, kann der Benutzer
eine neue Sitzung starten, sofern das konfigurierte Volumen nicht aufgebraucht ist.
Wenn Sie die Sitzungsdauer auf null setzen, wird keine Sitzungsdauer konfiguriert, und der
Benutzer erhält keine entsprechende Benachrichtigung.
•
Sitzungsdauer für andere Funktionen der Kontingentverwaltung: Die Sitzungsdauer kann
auch für andere Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzungen konfiguriert
werden. Daher kann eine Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzung
stattfinden.
Nach Ablaufen der Sitzungsdauer für das Coaching und autorisierte Außerkraftsetzen wird eine vom
Benutzer gesendete Anfrage blockiert.
Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage
angegeben wird. Der Benutzer kann eine neue Sitzung starten, sofern kein Zeitlimit konfiguriert ist,
das aufgebraucht wurde.
Die für eine Blockierungssitzung konfigurierte Sitzungsdauer ist der Zeitraum, für den von einem
bestimmten Benutzer gesendete Anfragen blockiert werden. Nach Ablauf dieses Zeitraums werden
Anfragen des betreffenden Benutzers wieder akzeptiert, sofern kein Zeitlimit konfiguriert ist, das
aufgebraucht wurde.
Kombinieren von Funktionen für die Kontingentverwaltung
Die Verwendung einer bestimmten Funktion für die Kontingentverwaltung zum Einschränken der
Web-Nutzung hat keinerlei Einfluss auf die jeweils anderen Funktionen für die Kontingentverwaltung.
Zeitkontingente und Volumenkontingente werden auf der Appliance beispielsweise separat konfiguriert
und implementiert.
Sie können diese Funktionen jedoch auf sinnvolle Weise miteinander kombinieren.
Sie können beispielsweise Coaching für den Zugriff der Benutzer auf einige URL-Kategorien festlegen
und die Eingabe von Anmeldeinformationen für autorisiertes Außerkraftsetzen für andere fordern.
Für eine weitere Gruppe von Kategorien können Sie Benutzer blockieren, die versuchen, ihren Zugriff
über einen konfigurierten Zeitraum hinaus auszudehnen.
230
Produkthandbuch
8
Zeitkontingent
Zeitkontingent
Durch die Konfiguration von Zeitkontingenten können Sie die Zeit einschränken, die Benutzer Ihres
Netzwerks das Internet benutzen dürfen.
Zeitkontingente können sich auf verschiedene Parameter beziehen:
•
URL-Kategorien: Wenn sich Zeitkontingente auf URL-Kategorien beziehen, dürfen Benutzer nur
eine begrenzte Zeit auf URLs zugreifen, die in eine bestimmte Kategorie fallen, z. B.
Online-Shopping.
•
IP-Adressen: Wenn sich Zeitkontingente auf IP-Adressen beziehen, dürfen Benutzer, die Anfragen
über bestimmte IP-Adressen gesendet haben, das Internet nur eine begrenzte Zeit benutzen.
•
Benutzernamen: Wenn sich Zeitkontingente auf Benutzernamen beziehen, dürfen Benutzer das
Internet nur eine begrenzte Zeit benutzen. Benutzer werden anhand der Benutzernamen
identifiziert, die sie zur Authentifizierung an der Appliance angegeben haben.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Zeitkontingente verwendet. Sie
können eigene Regeln konfigurieren, die hinsichtlich der Zeitkontingente andere Parameter
verwenden.
Die Zeit, die Benutzer mit der Nutzung des Internets verbringen, wird auf der Appliance gespeichert.
Wenn das konfigurierte Zeitkontingent für einen Benutzer überschritten wurde, wird eine von diesem
Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der
Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-System, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Die Internet-Nutzung kann auf pro Tag, Woche oder Monat verbrachte Zeit beschränkt werden.
Konfigurieren von Zeitkontingenten
Sie können Zeitkontingente konfigurieren, um die Zeit der Web-Nutzung der Benutzer Ihres Netzwerks
zu beschränken.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Zeitkontingente enthält,
z. B. den Bibliotheks-Regelsatz Time Quota.
Daraufhin werden die untergeordneten Regelsätze angezeigt.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus.
Wenn Sie beispielsweise Zeitkontingente in Bezug auf URL-Kategorien konfigurieren möchten,
wählen Sie den untergeordneten Regelsatz Time Quota With URL Configuration aus.
Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Listennamen URL Category Block List for Time Quota
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie
Produkthandbuch
231
8
Zeitkontingent
5
Fügen Sie der Blockierungsliste URL-Kategorien hinzu. Klicken Sie anschließend auf OK, um das
Fenster zu schließen.
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der Einstellungen URL Category
Configuration (Konfiguration der URL-Kategorie).
7
Konfigurieren Sie die Sitzungsdauer und das Zeitkontingent pro Tag, Woche und Monat. Klicken Sie
anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Zeitkontingent
Mit den Einstellungen für das Zeitkontingent wird das Modul konfiguriert, das die Verwaltung des
Zeitkontingents verarbeitet.
Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Einstellungen für Zeitkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 8-1 Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Option
Definition
Time quota per day (week, month) (Zeitkontingent
pro Tag (Woche, Monat))
Bei Auswahl dieser Option gilt das im nächsten Abschnitt
konfigurierte Kontingent für die ausgewählte Zeiteinheit.
Session time (Sitzungsdauer)
konfigurierte Kontingent für die Sitzungsdauer.
Stunden und Minuten für . . .
Einstellungen für Zeitkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Time quota per week (Zeitkontingent pro Woche) auswählen, lautet die
Überschrift Hours and Minutes for Time Quota per Week (Stunden und Minuten für Zeitkontingent pro
Woche).
Tabelle 8-2 Stunden und Minuten für . . .
Option
Definition
Hours (Stunden)
Legt die zulässigen Stunden pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Minutes (Minuten) Legt die zulässigen Minuten pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Tatsächlich konfiguriertes Zeitkontingent
Zeigt die konfigurierten Zeitkontingente an.
Tabelle 8-3 Tatsächlich konfiguriertes Zeitkontingent
232
Option
Definition
Time quota per day (week, month) (Zeitkontingent pro Tag
(Woche, Monat))
Zeigt die zulässige Zeit pro Tag, Woche oder Monat
an.
Zeigt die zulässige Sitzungsdauer an.
Produkthandbuch
8
Zeitkontingent
Time Quota (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Time Quota“ können Zeitkontingente für die Web-Nutzung festgelegt
werden.
Bibliotheks-Regelsatz – Time Quota
Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT”
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche
sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet
wird.
•
Time Quota With URL Configuration
•
Time Quota With IP Configuration
Dieser Regelsatz ist anfänglich nicht aktiviert.
•
Time Quota With Authenticated User Configuration
Time Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Zeitkontingente in Bezug auf
URL-Kategorien fällt.
Redirecting after starting new time session
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session Activation>
Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut
Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer
gesendet wird.
Check if time session has been exceeded
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.SessionExceeded, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
des Benutzers blockiert.
Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Produkthandbuch
233
8
Zeitkontingent
Check if time quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.Exceeded, ob für einen Benutzer das
konfigurierte Zeitkontingent überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Time Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Time Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Zeitkontingente in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werde. Diese lauten
IP Configuration.
Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Zeitkontingente in Bezug auf
Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten
Authenticated User Configuration.
234
Produkthandbuch
8
Volumenkontingent
Volumenkontingent
Durch die Konfiguration von Volumenkontingenten können Sie das Volumen an Web-Objekten
einschränken, gemessen in GB und MB, das die Benutzer Ihres Netzwerks aus dem Internet
herunterladen dürfen.
Volumenkontingente können sich auf mehrere Parameter beziehen:
•
URL-Kategorien: Benutzer dürfen nur ein begrenztes Volumen an Web-Objekten über URLs
herunterladen, die in eine bestimmte Kategorie fallen, z. B. Streaming-Medien.
•
IP-Adressen: Benutzer, die Anfragen über bestimmte IP-Adressen senden, dürfen nur ein
begrenztes Volumen herunterladen.
•
Benutzernamen: Benutzer dürfen Web-Objekte nur bis zu einem begrenzten Volumen
herunterladen. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur
Authentifizierung an der Appliance angegeben haben.
•
Medientypen: Benutzer dürfen Web-Objekte, die zu bestimmten Medientypen gehören, nur bis zu
einem begrenzten Volumen herunterladen.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Volumenkontingente verwendet.
Sie können eigene Regeln konfigurieren, die hinsichtlich der Volumenkontingente andere Parameter
verwenden.
Informationen zum Volumen, das Benutzer aus dem Internet herunterladen, werden auf der Appliance
gespeichert. Wenn das konfigurierte Volumenkontingent für einen Benutzer überschritten wurde, wird
eine von diesem Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt,
in der der Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-Systems, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Web-Downloads können auf ein pro Tag, Woche oder Monat Download-Volumen beschränkt werden.
Konfigurieren von Volumenkontingenten
Sie können Volumenkontingente konfigurieren, um das Volumen zu beschränken, das von Benutzern
Ihres Netzwerks während ihrer Web-Nutzung verbraucht wird.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Volumenkontingente
enthält, z. B. den Bibliotheks-Regelsatz Volume Quota.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Volume Quota With IP Configuration.
angezeigt.
Produkthandbuch
235
8
Volumenkontingent
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Volume Quota.
5
Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen,
z. B. IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die gewünschten Parameter, z. B. Sitzungsdauer und Volumenkontingent pro Tag,
Woche und Monat. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Volumenkontingent
Mit den Einstellungen für das Volumenkontingent wird das Modul konfiguriert, das die Verwaltung des
Volumenkontingents verarbeitet.
Volumenkontingent pro Tag, Woche und Monat
Einstellungen für Volumenkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 8-4 Volumenkontingent pro Tag, Woche und Monat
Option
Definition
Volume quota per day (week, month)
(Volumenkontingent pro Tag (Woche, Monat))
konfigurierte Kontingent für die ausgewählte Zeiteinheit
konfigurierte Kontingent für die Sitzungsdauer
Volumen für . . .
Einstellungen für Volumenkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer
gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Volume quota per week (Volumenkontingent pro Woche) auswählen, lautet
die Überschrift Volume for Volume Quota per Week (Volumen für Volumenkontingent pro Woche).
Wenn Sie jedoch Session Time (Sitzungsdauer) ausgewählt haben, lautet die Überschrift Hours and
Minutes (Stunden und Minuten).
Tabelle 8-5 Volumen für . . .
236
Option
Definition
GiB (GB)
Gibt das zulässige Volumen in GB an.
MiB (MB)
Gibt das zulässige Volumen in MB an.
Produkthandbuch
8
Volumenkontingent
Tatsächlich konfiguriertes Volumenkontingent
Zeigt die konfigurierten Volumenkontingente an.
Tabelle 8-6 Tatsächlich konfiguriertes Volumenkontingent
Option
Definition
Volume quota per day (week, month) (Volumenkontingent pro
Tag (Woche, Monat))
Zeigt das zulässige Volumen pro Tag, Woche oder
Monat an.
Zeigt die zulässige Sitzungsdauer an.
Volume Quota (Regelsatz)
Mit dem Regelsatz „Volume Quota“ werden Volumenkontingente für die Internet-Nutzung festgelegt.
Bibliotheks-Regelsatz – Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und sonstige
Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird.
• Time Quota With URL Configuration
• Time Quota With IP Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
• Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
Bibliotheks-Regelsatz – Volume Quota
wird.
•
Volume Quota With URL Configuration
•
Volume Quota With IP Configuration
•
Volume Quota With Authenticated User Configuration
•
Volume Quota With Media Type Configuration
Volume Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf URL-Kategorien.
Produkthandbuch
237
8
Volumenkontingent
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Volumenkontingente in Bezug auf
Redirecting after starting new time session
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet.
Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird.
Check if volume session has been exceeded
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.SessionExceeded-Eigenschaft, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
Check if volume quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.Exceeded-Eigenschaft, ob für einen Benutzer das
konfigurierte Volumenkontingent überschritten wurde. Wenn dies der Fall ist, wird die
Web-Zugriffsanfrage des Benutzers blockiert.
Volume Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Volume Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Volumenkontingente in
Bezug auf IP-Adressen enthalten ist.
238
Produkthandbuch
8
Coaching
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL
Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden;
diese lauten IP Configuration.
Volume Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Volume Quota
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Volumenkontingente in Bezug auf
diese lauten Authenticated User Configuration.
Volume Quota With Media Type Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Medientypen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Media Type Configuration
Criteria – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage für den
Zugriff auf ein Web-Objekt eines Medientyps gesendet wird, der in der Blockierungsliste für
Volumenkontingente in Bezug auf Medientypen aufgeführt wird.
diese lauten Media Type Configuration.
Coaching
Durch die Konfiguration von Coaching-Kontingenten können Sie die Zeit einschränken, die Benutzer
Ihres Netzwerks das Internet nutzen dürfen. Sie können jedoch zulassen, dass diese die
Internet-Nutzung auf Wunsch fortsetzen dürfen.
Zum Coachen der Internet-Nutzung Ihrer Benutzer konfigurieren Sie eine Coaching-Sitzung mit einer
bestimmten Dauer. Nach Ablauf dieser Sitzungsdauer für einen Benutzer wird eine
Blockierungsmeldung angezeigt. Die Benutzer kann dann bei Bedarf eine neue Sitzung starten.
Sie können das Coaching in Bezug auf die im Coaching-Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus können Sie
eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
Produkthandbuch
239
8
Coaching
Konfigurieren des Coachings
Durch die Konfiguration von Coaching können Sie die Web-Nutzung der Benutzer Ihres Netzwerks
beschränken, ihnen jedoch ermöglichen, ihre Sitzung nach Ablauf des konfigurierten Zeitlimits bei
Bedarf fortzusetzen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das Coaching, z. B.
den Bibliotheks-Regelsatz Coaching.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Coaching With IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Coaching.
5
6
z. B. auf IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Coaching-Einstellungen
Mit den Coaching-Einstellungen wird das Modul konfiguriert, das das Coaching verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Coaching-Sitzung
Tabelle 8-7 Stunden und Minuten der Sitzungsdauer
240
Option
Definition
Days (Tage)
Legt die Tage für eine Coaching-Sitzung fest.
Hours (Stunden)
Legt die Stunden für eine Coaching-Sitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Coaching-Sitzung fest.
Produkthandbuch
8
Coaching
Coaching (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Coaching“ können für Benutzer Einschränkungen zur Internet-Nutzung
festgelegt werden, die die Benutzer bei Bedarf umgehen können.
Bibliotheks-Regelsatz – Coaching
wird.
•
Coaching With URL Configuration
•
Coaching With IP Configuration
•
Coaching With Authenticated User Configuration
Coaching With URL Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Coaching With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Coaching in Bezug auf
Redirecting after starting new coaching session
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching Session
Activation>
Check if coaching session has been exceeded
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
Die Regel überprüft mithilfe der Quota.Coaching.SessionExceeded-Eigenschaft, ob für einen Benutzer
die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Eigenschaften des Moduls, das das Coaching verarbeitet.
Produkthandbuch
241
8
Coaching Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Coaching With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Coaching
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das Coaching in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
IP Configuration.
Coaching With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Coaching With Authenticated User Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Coaching
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für das Coaching in Bezug auf
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
Sie können die Sitzungsdauer für eine Sitzung konfigurieren, die autorisiertes Außerkraftsetzen
zulässt.
Nach Ablauf dieser Sitzungsdauer wird eine Benutzeranfrage blockiert, und es wird eine
Blockierungsmeldung angezeigt. In der Meldung ist auch eine Aufforderung enthalten, einen
Benutzernamen und ein Kennwort zu übermitteln, um eine neue Sitzung zu starten.
Diese Anmeldeinformationen müssen zu einem autorisierten Benutzer gehören. Beispiel: In einem
Schulungsszenario könnte ein Benutzer, der nach Beendigung einer Sitzung mit autorisiertem
Außerkraftsetzen blockiert wird, ein Kursteilnehmer sein, während es sich beim Schulungsleiter um
den autorisierten Benutzer handelt.
Die Authentifizierung dieses Benutzers erfolgt gemäß der konfigurierten Authentifizierungsmethode.
Beim Konfigurieren dieser Methode müssen Sie darauf achten, dass diese keinen integrierten
Authentifizierungsmodus enthält.
Die Blockierungsmeldung bietet außerdem eine Option, die Dauer der Sitzung mit autorisiertem
Außerkraftsetzen für den blockierten Benutzer anzugeben.
Die für diesen Benutzer festgelegte Dauer sollte nicht die Dauer überschreiten, die im Rahmen der
Moduleinstellungen für das autorisierte Außerkraftsetzen für alle übrigen Benutzer konfiguriert ist.
242
Produkthandbuch
8
Sie können das autorisierte Außerkraftsetzen in Bezug auf die im Bibliotheks-Regelsatz verwendeten
Parameter konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus
können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
Konfigurieren des autorisierten Außerkraftsetzens
Durch die Konfiguration von autorisiertem Außerkraftsetzen können Sie die Web-Nutzung Ihrer
Benutzer beschränken, dabei jedoch zulassen wird, dass ein autorisierter Benutzer das konfigurierte
Zeitlimit durch eine Aktion überschreiten darf.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das autorisierte
Außerkraftsetzen, z. B. den Bibliotheks-Regelsatz Authorized Override.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Authorized Override With IP
Configuration.
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Authorized Override.
5
6
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Einstellungen für „Authorized Override“ (Autorisiertes
Außerkraftsetzen)
Mit den Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) wird das Modul
konfiguriert, das das autorisierte Außerkraftsetzen verarbeitet.
Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in Stunden
und Minuten)
Einstellungen zum Konfigurieren der maximalen Dauer einer Sitzung mit autorisiertem
Außerkraftsetzen.
Produkthandbuch
243
8
Tabelle 8-8 Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in
Stunden und Minuten)
Option
Definition
Days (Tage)
Legt die Tage für eine „Authorized Override“-Sitzung (Autorisiertes
Außerkraftsetzen) fest.
Hours (Stunden)
Legt die Stunden für eine „Authorized Override“-Sitzung (Autorisiertes
Minutes (Minuten)
Legt die Minuten für eine „Authorized Override“-Sitzung (Autorisiertes
Authorized Override (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Authorized Override“ kann ein Zeitlimit für die Web-Nutzung festgelegt
werden, das durch einen autorisierten Benutzer umgangen werden kann.
Bibliotheks-Regelsatz – Authorized Override
wird.
•
Authorized Override With URL Configuration
•
Authorized Override With IP Configuration
•
Authorized Override With Authenticated User Configuration
Authorized Override With URL Configuration
Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf
URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
für eine URL sendet, die in eine Kategorie der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf URL-Kategorien fällt.
Redirect after authenticating for authorized override
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true AND
Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After Authorized
Session Activation>
244
Produkthandbuch
8
Zugriff auf ein Web-Objekt erhält, wenn die vom Benutzer übermittelten Anmeldeinformationen zum
Fortfahren mit einer neuen Sitzung validiert wurden.
Check if authorized override session has been exceeded
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
Die Regel überprüft mithilfe der Quota.AuthorizedOverride.SessionExceeded-Eigenschaft, ob für
einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Einstellungen des Moduls, das das autorisierte Außerkraftsetzen verwaltet.
Authorized Override With IP Configuration
IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Authorized Override
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das autorisierte
Außerkraftsetzen in Bezug auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
IP Configuration.
Authorized Override With Authenticated User Configuration
Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Authorized Override With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Authorized Override
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
Produkthandbuch
245
8
Durch die Konfiguration von Blockierungssitzungen können Sie von einem Benutzer gesendete
Anfragen über einen konfigurierten Zeitraum blockieren.
Eine Blockierungssitzung wird festgelegt, nachdem ein Benutzer eine Anfrage gesendet hat, die
entsprechend einer konfigurierten Regel blockiert wurde, z. B. eine Anfrage nach einer URL, die in eine
nicht zulässige Kategorie fällt.
Dies ist ein Mittel zum Erzwingen einer Web-Sicherheitsrichtlinie für eine striktere Handhabung von
unerwünschtem Zugriff auf Web-Objekte.
Sie können Blockierungssitzungen hinsichtlich der im Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter
verwendet werden.
Konfigurieren von Blockierungssitzungen
Sie können Blockierungssitzungen zum Blockieren einer Sitzung über einen konfigurierten Zeitraum
nach dem versuchten Zugriff auf ein unzulässiges Web-Objekt konfigurieren.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für die Blockierungssitzung
enthält, z. B. den Bibliotheks-Regelsatz Blocking Sessions.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Blocking Sessions With
IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Blocking Sessions.
5
6
246
7
Konfigurieren Sie die entsprechenden Parameter, z. B. den Zeitraum, für den Sitzungen blockiert
werden. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Produkthandbuch
8
Einstellungen für die Blockierungssitzung
Mit den Einstellungen für die Blockierungssitzung wird das Modul konfiguriert, das die
Blockierungssitzungen verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Blockierungssitzung
Tabelle 8-9 Stunden und Minuten der Sitzungsdauer
Option
Definition
Days (Tage)
Legt die Tage für eine Blockierungssitzung fest.
Hours (Stunden)
Legt die Stunden für eine Blockierungssitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Blockierungssitzung fest.
Blocking Sessions (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Blocking Sessions“ können Web-Sitzungen nach dem versuchten
Zugriff auf ein nicht zulässiges Web-Objekt blockiert werden.
Bibliotheks-Regelsatz – Blocking Sessions
wird.
Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz: Blocking Sessions With URL
Configuration
Blocking Sessions With URL Configuration
Dieser untergeordnete Regelsatz behandelt Blockierungssitzungen in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Blocking Sessions With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking Sessions
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Blockieren von Sitzungen in
Bezug auf URL-Kategorien fällt.
Block user if blocking session is active
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking Session
Template>
Die Regel überprüft mithilfe der BlockingSession.IsBlocked-Eigenschaft, ob für einen Benutzer, der
eine Anfrage sendet, eine Blockierungssitzung aktiviert wurde. Wenn dies der Fall ist, wird die
Anfrage blockiert.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Produkthandbuch
247
8
Activate blocking session if category is in list Category List for Blocking Sessions
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue —
BlockingSession.Activate<Blocking Session Configuration>
Die Regel überprüft mithilfe der URL.Categories-Eigenschaft, ob eine URL, auf die eine
Benutzeranfrage zugreift, in eine Kategorie auf der Blockierungsliste fällt, die speziell für
Blockierungssitzungen geführt wird. Wenn die URL in eine der Kategorien in der Liste fällt, wird eine
Blockierungssitzung für den Benutzer aktiviert.
Das BlockingSession.Activate-Ereignis wird zum Aktivieren der Blockierungssitzung verwendet. Die
Ereigniseinstellungen werden zusammen mit dem Ereignis festgelegt.
Kontingent-Systemeinstellungen sind allgemeine Einstellungen für bei der Kontingentverwaltung
genutzte Zeitintervalle.
Wenn eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung verwendet wird,
können Sie Zeitintervalle für die Synchronisierung von Daten mit anderen Knoten konfigurieren.
Die entsprechenden Einstellungen werden auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) vorgenommen.
Die Einstellungen werden möglicherweise unter dem Namen Coaching (statt Quota) angezeigt, gelten
aber in beiden Fällen für alle Optionen, die für die Kontingentverwaltung zur Verfügung stehen:
autorisiertes Außerkraftsetzen, Blockieren von Sitzungen, Coaching, Zeitkontingente und
Volumenkontingente.
Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle
für Synchronisierung und Speicherung in Minuten)
Einstellungen für bei der Kontingentverwaltung genutzte Zeitintervalle.
Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten)
Option
Definition
Save interval
(Speicherintervall)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte auf einer Appliance gespeichert werden.
Zu speichernde Kontingentwerte sind beispielsweise die von Benutzern
verbrauchten Byte-Volumenmengen.
Interval for sending
updated quota data
(Sendeintervall für
aktualisierte
Kontingentdaten)
248
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte von einer Appliance aus auf alle Knoten innerhalb der
Konfiguration mit zentraler Verwaltung verteilt werden.
Die verteilten Daten beinhalten alle Änderungen an Kontingentwerten, die seit
der letzten Verteilung von Daten durch die Appliance erfolgt sind.
Produkthandbuch
8
Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten) (Fortsetzung)
Option
Definition
Interval for base
synchronisation (Intervall
für grundlegende
Synchronisierung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die Kontingentwerte
aller Knoten innerhalb einer Konfiguration mit zentraler Verwaltung
synchronisiert werden.
Der Synchronisierungsvorgang fertigt einen Snapshot der aktuellen
Kontingentwerte auf allen Appliances an. Die jeweils neuesten Werte der
einzelnen Benutzer werden an alle Appliances verteilt.
Die Verteilung der Werte erfolgt auch an Knoten, die zeitweise nicht aktiv
waren und somit auch keine Aktualisierungen erhielten, die in dieser Zeit
verteilt wurden. Außerdem werden die Werte auch an neu zur Konfiguration
hinzugefügte Knoten verteilt, die bislang noch keinerlei Aktualisierungen
erhalten haben.
Cleanup database after
(Datenbank säubern nach)
Gibt den Zeitraum (in Tagen) vor, nach dessen Ablauf die Daten in der
Kontingentdatenbank gelöscht werden.
Vor dem Löschvorgang wird überprüft, ob die Daten tatsächlich obsolet sind.
Daten sind dann obsolet, wenn das für eine Kontingentverwaltungsfunktion
konfigurierte Zeitintervall abgelaufen ist.
Wenn beispielsweise einem Benutzer für einen Monat eine festgelegte
Byte-Menge als Volumenkontingent zur Verfügung steht, wird die Angabe der
Menge, die der Benutzer während dieses Monats tatsächlich verbraucht hat,
mit dem Beginn eines neuen Monats obsolet. Beim Säuberungsvorgang
werden diese Daten dann gelöscht, sofern auch der in der Option Cleanup
database after (Datenbank säubern nach) festgelegte Zeitraum abgelaufen ist.
Gespeicherte Daten bezüglich Zeitkontingenten werden nach einem Monat
obsolet. Für andere Kontingentverwaltungsfunktionen sind andere
Zeitintervalle ausschlaggebend. Beim Coaching und autorisierten
Außerkraftsetzen kann der Säuberungsvorgang z. B. erst durchgeführt
werden, wenn der für die entsprechende Sitzung zur Verfügung gestellte
Zeitraum abgelaufen ist.
Produkthandbuch
249
8
250
Produkthandbuch
9
Web-Filterung
Wenn die Benutzer Ihres Netzwerks Web-Zugriffsanfragen senden, filtert Web Gateway diese Anfragen
sowie die Antworten, die aus dem Internet zurückgesendet werden. Eingebettete Objekte, die mit
Anfragen oder Antworten gesendet werden, werden ebenfalls gefiltert.
Die Web-Filterung wird auf verschiedene Art und Weise durchgeführt. Sie wird durch Regeln gesteuert,
die Sie überprüfen und ändern können, um sie an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anzupassen.
Die Standardfilterprozesse auf WebGateway umfassen Folgendes:
•
Viren- und Malware-Filterung: Blockiert den Zugriff auf Web-Objekte, die mit Viren und anderer
Malware infiziert sind
•
URL-Filterung: Blockiert den Zugriff auf Web-Objekte mit bestimmten URLs bzw. lässt ihn zu
•
Medientypfilterung: Blockiert den Zugriff auf Web-Objekte, die zu bestimmten Medientypen
gehören, bzw. lässt ihn zu
Mit globalen Whitelists können Sie den Zugriff auf Web-Objekte zulassen, bevor die Regeln der oben
genannten Filterungsmethoden angewendet werden. SSL-Scans ermöglichen die Filterung von
Anfragen, die über SSL-gesicherte Verbindungen gesendet werden.
Inhalt
Viren- und Malware-Filterung
URL-Filterung
Medientyp-Filterung
Anwendungsfilterung
Streaming-Medien-Filterung
Globale Whitelists
SSL-Scans
Hardware Security Module
Advanced Threat Defense
Data Loss Prevention
Produkthandbuch
251
9
Web-Filterung
Die Viren- und Malware-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf
Web-Objekte zugreifen können, die durch Viren und andere Malware infiziert sind. Der Filterprozess
erkennt Infektionen und blockiert den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Filterregeln steuern den Prozess.
•
Whitelists werden von Regeln verwendet, damit für einige Web-Objekte die Viren- und
Malware-Filterung übersprungen werden kann.
•
Das Modul „Anti-Malware“, das durch eine bestimmte Regel aufgerufen wird, scannt Web-Objekte
auf Viren- oder andere Malware-Infektionen.
Ein Standardprozess zur Viren- und Malware-Filterung wird nach der Ersteinrichtung auf Web Gateway
installiert. Sie können diesen Prozess verändern und an die Bedürfnisse Ihrer Web-Sicherheitsrichtlinie
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der Viren- und Malware-Filterung:
•
Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den
Regelsatz Gateway Anti-Malware geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterprozess anzeigen und konfigurieren.
•
entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und
Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln
erstellen oder Regeln löschen.
Filterregeln
Üblicherweise enthält ein Regelsatz alle zur Steuerung der Viren- und Malware-Filterung benötigten
Regeln. Die Schlüsselregel in diesem Regelsatz ist die Regel, die den Zugriff auf Web-Objekte
blockiert, wenn diese durch Viren und andere Malware infiziert sind.
Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das
Modul scannt und der Regel das Ergebnis meldet.
Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet
werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der
Whitelist werden nicht gescannt.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur Viren- und
Malware-Filterung enthalten. Dieser Regelsatz heißt Gateway Anti-Malware.
Whitelists
Whitelists werden von Whitelisting-Regeln verwendet, um einige Web-Objekte die Blockierungsregel
überspringen zu lassen, d. h., diese Objekte nicht zu scannen. Es können Whitelists für URLs,
Medientypen und andere Objekttypen vorhanden sein.
Listen erstellen und diese von den Whitelist-Regeln verwenden lassen.
252
Produkthandbuch
9
Web-Filterung
Blockierungslisten werden üblicherweise nicht für die Viren- und Malware-Filterung verwendet, da die
Blockierung hier nicht von Einträgen in Listen abhängig ist, sondern von den Ergebnissen des Moduls
„Anti-Malware“.
Modul „Anti-Malware“
Das Modul „Anti-Malware“ wird auch als Engine „Anti-Malware“ bezeichnet. Es scannt Objekte auf
Infektionen mit Viren und sonstiger Malware. Entsprechend den Ergebnissen dieses Moduls blockiert
die Blockierungsregel den Zugriff auf Web-Objekte oder lässt diese passieren.
Wenn das Modul „Anti-Malware“ zum Ausführen und Scannen von Web-Objekten aufgerufen wird,
handelt es sich standardmäßig um eine Kombination aus zwei Modulen, die ausgeführt werden. Diese
Module können als Sub-Module des Moduls „Anti-Malware“ betrachtet werden. Jedes dieser
Sub-Module verwendet verschiedene Scan-Methoden.
Die beiden Standard-Sub-Module sind das McAfee Gateway Anti-Malware-Modul und das McAfee
Anti-Malware-Modul. Letzteres verwendet zum Erkennen von Infektionen in Web-Objekten
Virus-Signaturen.
Diese Methode kann jedoch nur Viren und sonstige Malware erkennen, die bereits bekannt und mit
Signaturen versehen sind. Für eine erhöhte Web-Sicherheit verwendet das McAfee Gateway
Anti-Malware-Modul auch proaktive Methoden zur Erkennung neuer Viren und Malware.
Beim Konfigurieren der Einstellungen für das Modul „Anti-Malware“ können Sie den Standardmodus
ändern, sodass ein Sub-Modul eines Drittanbieters zusätzlich oder alleine ausgeführt wird.
Das McAfee Gateway Anti-Malware-Modul fügt in einigen Fällen einer URL auf einer Webseite ein
Wasserzeichen hinzu, das entfernt werden muss, wenn die URL an den entsprechenden Web-Server
weitergeleitet werden soll. Ein Regelsatz mit einer passenden Regel zum Entfernen des
Wasserzeichens wird in der Regelsatz-Bibliothek bereitgestellt.
Um eine vorübergehende Überlastung der Sub-Module zu vermeiden, können Sie eine
Malware-Schutz-Warteschlange erstellen, in die Anfragen vor dem Scannen verschoben werden.
Konfigurieren von Schlüsselelementen für die Viren- und
Malware-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die Viren- und Malware-Filterung, um wichtige
Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Gateway Anti-Malware aus.
Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich
angezeigt.
3
Konfigurieren Sie die Schlüsselelemente nach Bedarf.
4
Siehe auch
Schlüsselelemente für die Viren- und Malware-Filterung auf Seite 254
Produkthandbuch
253
9
Web-Filterung
Schlüsselelemente für die Viren- und Malware-Filterung
Die Schlüsselelemente der Regeln für die Viren- und Malware-Filterung beziehen sich auf wichtige Teile
dieses Filterprozesses.
Bypass Scanning for These Agents and Hosts (Scannen für diese Agenten und
Hosts umgehen)
Schlüsselelemente für das Umgehen des Scannens durch das Anti-Malware-Modul
Tabelle 9-1 Bypass scanning for these agents and hosts (Scannen für diese Agenten und
Hosts umgehen)
Option
Definition
User agent whitelist (Whitelist für
Benutzer-Agenten)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete Whitelist für
Benutzer-Agenten bearbeiten können.
Sie können der Liste Einträge hinzufügen sowie Einträge der Liste
bearbeiten oder löschen.
URL host whitelist (URL-Host-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete URL-Host-Whitelist
bearbeiten können.
Scanning Options (Scan-Optionen)
Schlüsselelemente für Scan-Aktivitäten des Anti-Malware-Moduls
Tabelle 9-2 Scanning Options (Scan-Optionen)
Option
Definition
Remove partial content for
HTTP requests
(Unvollständige Inhalte für
HTTP-Anfragen entfernen)
Bei Auswahl dieser Option wird eine Regel aktiviert, die die Angabe in einer
HTTP- bzw. HTTPS-Anfrage entfernt, dass nur auf einen Teil der Inhalte
eines Web-Objekts zugegriffen wird, sodass sich die Anfrage auf den
vollständigen Inhalt bezieht.
Wenn ein Web-Objekt (z. B. eine Datei) vom betreffenden Web-Server
vollständig übermittelt wird, kann es auch vollständig von Web Gateway
gescannt werden. Beim einem kompletten Scan-Vorgang können Infektionen
festgestellt werden, die beim teilweisen Scannen des Web-Objekts
möglicherweise nicht erkannt werden.
Block partial content for FTP
requests (Teilinhalte für
FTP-Anfragen blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die FTP-Anfragen
blockiert, bei denen nur ein Teil der Inhalte eines Web-Objekts angefordert
wird.
Gemäß dem FTP-Protokoll ist es nicht möglich, die Angabe des Zugriffs auf
unvollständige Inhalte eines Web-Objekts aus Anfragen zu entfernen. Daher
empfiehlt es sich, derartige Anfragen zu blockieren.
Use the Media Stream
Scanner (Media Stream
Scanner verwenden)
Bei Auswahl dieser Option scannt und übermittelt der Media Stream Scanner
Web-Objekte, bei denen es sich um Streaming-Medien handelt, paketweise,
wodurch der Vorgang beschleunigt wird.
Die proaktiven Funktionen des McAfee Gateway Anti-Malware-Moduls
werden zum Scannen verwendet; die anderen für diesen Zweck in Web
Gateway verfügbaren Module hingegen sind an diesem Prozess nicht
beteiligt.
254
Produkthandbuch
9
Web-Filterung
Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Schlüsselelemente für das Konfigurieren von Einstellungen für das Anti-Malware-Modul
Tabelle 9-3 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Option
Definition
Enable Anti-Malware scanning
(Malware-Schutz-Scan aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die das
Anti-Malware-Modul aufruft, das Web-Objekte auf Infektionen mit
Viren und sonstiger Malware scannt.
Settings (Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in
dem Sie die Einstellungen für das Anti-Malware-Modul bearbeiten
können.
Konfigurieren der Viren- und Malware-Filterung mithilfe der
vollständigen Regelansicht
Sie können die Viren- und Malware-Filterung konfigurieren, um diesen Prozess an die Anforderungen
Ihres Netzwerks anzupassen.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die Viren- und Malware-Filterung.
Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware.
2
Ändern Sie diese Regeln nach Bedarf.
•
Aktivieren oder Deaktivieren von Whitelist-Regeln
•
Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und
Sie Einträge hinzufügen müssen.
•
Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln
•
Ändern der Kombination von Sub-Modulen, die beim Aufrufen des Anti-Malware-Moduls zum
Scannen von Web-Objekten ausgeführt werden
Standardmäßig umfasst die Kombination die folgenden Sub-Module:
•
•
McAfee Gateway Anti-Malware
•
McAfee Anti-Malware
Ändern anderer Einstellungen des Anti-Malware-Moduls
3
Konfigurieren Sie die Entfernung von Wasserzeichen aus URLs, wenn diese nach dem Scannen an
die entsprechenden Web-Server übergeben werden sollen.
4
Konfigurieren Sie die Malware-Schutz-Warteschlangen entsprechend den jeweiligen Anforderungen,
um eine Überlastung der Module zum Scannen von Web-Objekten zu verhindern.
5
Produkthandbuch
255
9
Web-Filterung
Konfigurieren von Einstellungen für das Modul „Anti-Malware“
Sie können das Modul „Anti-Malware“ konfigurieren, um zu ändern, auf welche Weise Web-Objekte auf
Infektionen mit Viren und sonstiger Malware gescannt werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung aus.
3
4
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
5
Klicken Sie in den Regelkriterien auf den Namen der Einstellungen.
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
für das Modul „Anti-Malware“.
6
Konfigurieren Sie diese Einstellungen nach Bedarf. Klicken Sie anschließend auf OK, um das Fenster
zu schließen.
7
Siehe auch
Einstellungen für „Anti-Malware“ auf Seite 258
Ändern der Modulkombination zum Scannen von Web-Objekten
Beim Konfigurieren der Einstellungen des Anti-Malware-Moduls können Sie die Kombination der
Submodule ändern, die zum Scannen von Web-Objekten ausgeführt werden.
Unter dem Namen des Moduls (Engine) Anti-Malware können verschiedene Submodule zum Scannen
ausgeführt werden. Welche dieser Submodule auf Ihrer Appliance verfügbar sind, hängt von Ihren
erworbenen Lizenzen ab.
Vorgehensweise
1
2
Rufen Sie die Einstellungen für „Anti-Malware“ auf.
a
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung
aus.
b
256
Produkthandbuch
9
Web-Filterung
c
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
d
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die
Einstellungen für das Modul „Anti-Malware“.
3
Wählen Sie im Abschnitt Select scanning engines and behavior (Auswählen der Scan-Module und des
Verhaltens) eine der folgenden Kombinationen aus Submodulen:
•
Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die
empfohlene Hochleistungskonfiguration): Bei Auswahl dieser Option sind das McAfee Gateway
Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen
Diese Modulkombination ist standardmäßig aktiviert.
•
Layered coverage: Full McAfee coverage plus specific Avira engine features – minor performance impact (Mehrstufiger
Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul,
das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul
(Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters für einige Web-Objekte
•
Duplicate coverage: Full McAfee coverage and Avira engine – less performance and more false positives (Doppelter
Schutz: Vollständiger McAfee-Schutz und Avira-Modul – weniger Leistung und mehr
False-Positives): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das
McAfee Anti-Malware-Modul und das Avira-Modul (Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters
•
Avira only: Only uses Avira engine – not recommended (Nur Avira: Nur das Avira-Modul wird verwendet –
nicht empfohlen): Bei Auswahl dieser Option ist nur das Avira-Modul aktiv.
Der Scan-Modus lautet dann: Modulfunktionen eines Drittanbieters
4
5
Wenn Sie beim Arbeiten mit dem Regelsatz für Gateway Anti-Malware die Option wählen, dass nur
Avira verwendet wird, sollten Sie die Einstellungen und den Regelsatz umbenennen, um zu
verdeutlichen, dass sich eine Schlüsseleinstellung geändert hat.
Die Umbenennung könnte beispielsweise von Gateway Anti-Malware (Einstellungen und Regelsatz) in
Avira Anti-Malware (Einstellungen und Regelsatz) erfolgen.
Anstatt den Regelsatz und die Einstellungen umzubenennen, können Sie auch einen zusätzlichen
Regelsatz und zusätzliche Einstellungen erstellen, damit diese bei Bedarf zum Konfigurieren von
Regeln verfügbar sind.
Produkthandbuch
257
9
Web-Filterung
Einstellungen für „Anti-Malware“
Mit den Einstellungen für „Anti-Malware“ können Sie konfigurieren, wie das „Anti-Malware“-Modul
Web-Objekte auf Viren- oder andere Malware-Infektionen scannt.
Auswahl der Scan-Module und des Verhaltens
Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall,
dass ein Modul eine Infektion erkennt
Die Scan-Module sind die Submodule, die zusammen als „Anti-Malware“-Modul Web-Objekte scannen
Tabelle 9-4 Auswahl von Scan-Modulen
Option
Definition
Full McAfee coverage: The recommended
high-performance configuration (Vollständiger
McAfee-Schutz: Die empfohlene
Hochleistungskonfiguration)
Bei Auswahl dieser Option sind das McAfee Gateway
Anti-Malware-Modul und das McAfee
Anti-Malware-Modul aktiv.
Zum Scannen der Web-Objekte werden folgende
Methoden verwendet:
Proaktive Methoden + Virussignaturen
Diese Option ist standardmäßig ausgewählt.
Layered coverage: Full McAfee coverage plus specific
Avira engine features — minor performance impact
(Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus
bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen)
Anti-Malware-Modul, das McAfee Anti-Malware-Modul
und für einige Web-Objekte zusätzlich das Avira-Modul
(Drittanbieter) aktiv.
Methoden verwendet:
Proaktive Methoden + Virussignaturen +
Modulfunktionen eines Drittanbieters für einige
Web-Objekte
Duplicate coverage: Full McAfee coverage and Avira
engine — less performance and more false positives
(Doppelter Schutz: Vollständiger McAfee-Schutz und
und das Avira-Modul (Drittanbieter) aktiv.
Avira-Modul – weniger Leistung und mehr False-Positives)
Methoden verwendet:
Modulfunktionen eines Drittanbieters
Avira only: Only uses Avira engine — not recommended
(Nur Avira: Nur das Avira-Modul wird verwendet – nicht
empfohlen)
Bei Auswahl dieser Option ist nur das Avira-Modul
aktiv.
Methoden verwendet:
Stop virus scanning right after an engine detected a virus Bei Auswahl dieser Option wird das Scannen eines
(Viren-Scan gleich nach Entdeckung eines Virus anhalten) Web-Objekts sofort angehalten, sobald ein Modul eine
Virus- oder andere Malware-Infektion entdeckt hat.
Verhalten von mobilem Code
Einstellungen für das Konfigurieren einer Risikostufe bei der Klassifizierung von mobilem Code
Die Risikostufenwerte liegen im Bereich von 60 bis 100.
258
Produkthandbuch
9
Web-Filterung
Ein niedriger Wert bedeutet, das Risiko, das Verhalten von mobilem Code proaktiv zu scannen und
nicht zu erkennen, dass es sich um Malware handelt, ist gering, weil die Scan-Methoden konsequent
angewendet werden. Mobiler Code wird auch dann als Malware klassifiziert, wenn nur einige wenige
Kriterien für potenziell bösartiges Verhalten entdeckt wurden.
Dies kann dazu führen, dass mobiler Code als Malware klassifiziert wird, der eigentlich nicht bösartig
ist („False-Positives“).
Während durch strengere Einstellungen mehr proaktive Sicherheit erzielt wird, nimmt bei der
Bestimmung, welcher mobile Code wirklich bösartig ist, die Genauigkeit ab. Daher werden
möglicherweise Web-Objekte von der Appliance blockiert, die eigentlich an die Benutzer weitergeleitet
werden sollten.
Ein hoher Wert bedeutet, das Risiko, dass bösartiger mobiler Code nicht erkannt wird (mehr
„False-Negatives“) ist hoch, jedoch ist die korrekte Klassifizierung von mobilem Code als bösartig
genauer (weniger „False-Positives“).
Tabelle 9-5 Verhalten von mobilem Code
Option
Definition
Classification threshold
(Klassifizierungsschwellenwert)
Legt wie oben beschrieben eine Risikostufe auf einer
einstellbaren Skala fest.
• Mindestwert (maximale Proaktivität): 60
• Höchstwert (maximale Genauigkeit): 100
Erweiterte Einstellungen
Erweiterte Einstellungen für alle Scan-Submodule
Produkthandbuch
259
9
Web-Filterung
Tabelle 9-6 Erweiterte Einstellungen
Option
Definition
Enable Antivirus prescan (Antivirus-Prescan
aktivieren)
Bei Auswahl dieser Option wird die Leistungsfähigkeit der
Submodule durch eine Verringerung der an sie zum
Scannen gesendeten Daten verbessert.
Increase Web Gateway performance by making a
light-weight pass on (Web Gateway-Leistung erhöhen
durch einfaches Scannen von):
• Common web files (Allgemeine Web-Dateien)
• Common web files and other low-risk files
(Allgemeine Web-Dateien und sonstige Dateien mit
geringem Risiko)
Diese Option ist standardmäßig aktiviert. Es empfiehlt
sich, diese Einstellung beizubehalten.
Bei Auswahl dieser Option sind die drei Optionen darunter
ebenfalls zugänglich.
Sie können eine davon auswählen, um den
Dateitypbereich zu konfigurieren, auf den der einfache
Malware-Scan angewendet werden soll.
• Common web files, other low-risk files, and web
content on trustworthy sites (Allgemeine
Die dritte Option ist standardmäßig aktiviert.
Web-Dateien, sonstige Dateien mit geringem Risiko
und Web-Inhalt auf vertrauenswürdigen Websites) Die drei Optionen beziehen sich aufeinander: Wenn die
erste Option konfiguriert ist, können die anderen beiden
Files matching the selected option do not continue to Optionen nicht ausgewählt werden. Die zweite Option
the standard anti-malware scanning. (Dateien, auf die schließt die erste Option ein, und die dritte Option
die ausgewählte Option zutrifft, werden nicht mehr mit schließt die erste und die zweite Option ein.
dem Standard-Malware-Schutz-Scan gescannt.)
Das URL-Filtermodul ist ebenfalls aktiv, um zu
überprüfen, ob die Website, von der eine Datei
heruntergeladen wird, vertrauenswürdig ist.
Durch Aktualisierungen der Virus- und
Malware-Filterinformationen kann die Kategorisierung
der Dateitypen geändert werden, z. B. in sicher oder
selten ausgenutzt oder auf vertrauenswürdigen
Websites gehostet.
Enable GTI file reputation queries
(GTI-Datei-Reputationsanfragen aktivieren)
Bei Auswahl dieser Option enthält das Scan-Ergebnis
auch Informationen über die Reputation von Dateien aus
dem Global Threat Intelligence-System.
Enable heuristic scanning (Heuristik-Scan aktivieren)
Bei Auswahl dieser Option werden heuristische
Scan-Methoden auf Web-Objekte angewendet.
Erweiterte Einstellungen für McAfee Gateway Anti-Malware
Erweiterte Einstellungen für das McAfee Gateway Anti-Malware-Submodul
Die folgenden Optionen sind standardmäßig aktiviert. Es empfiehlt sich, diese Einstellungen
beizubehalten.
Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware
Option
Definition
Enable detection for potentially unwanted
programs (Entdeckung von potenziell
unerwünschten Programmen aktivieren)
Bei Auswahl dieser Option werden Web-Objekte auch auf
potenziell unerwünschte Programme gescannt.
Enable mobile code scanning
(Mobil-Code-Scan aktivieren)
Bei Auswahl dieser Option wird mobiler Code ganz allgemein
gescannt.
Individuelle Einstellungen können unter Scan the following mobile
code types (Folgende Arten von mobilem Code scannen)
260
Produkthandbuch
9
Web-Filterung
Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung)
Option
Definition
Enable removal of disinfectable content
detected in HTML documents by mobile
code filter (Entfernung von
desinfizierbarem Inhalt aktivieren, der von
Filter für mobilen Code in
HTML-Dokumenten gefunden wurde)
Bei Auswahl dieser Option kann der hier beschriebene Inhalt
entfernt werden.
Enable Payload Heuristics
(Inhaltsheuristiken aktivieren)
Bei Auswahl dieser Option verwendet das McAfee Gateway
Anti-Malware-Modul zum Scannen von Web-Objekten die
hocheffizienten Inhaltsheuristiken.
Wenn diese Option aktiviert ist, versieht das Scan-Modul URLs von
ausführbaren Dateien und ähnlichen Web-Objekten, z. B. den auf
Webseiten enthaltenen DLL-Dateien (Dynamic Link Libraries), mit
einem Wasserzeichen.
Wenn diese URLs von den Appliances an die entsprechenden
Web-Server weitergeleitet werden, müssen die Wasserzeichen
entfernt werden.
Ein Ereignis in einer Regel, die in einem Bibliotheks-Regelsatz
enthalten ist, entfernt die Wasserzeichen durch Überschreiben der
URLs. Der Name dieses Regelsatzes lautet Payload Heuristic –
Rewrite Watermarked URLs (Inhaltsheuristik – URLs mit
Wasserzeichen überschreiben).
Diesen Regelsatz müssen Sie importieren und an der obersten
Stelle der Regelsatz-Baumstruktur positionieren.
Wenn Sie die Option auswählen, wird eine Meldung über diese
zusätzliche Anforderung angezeigt.
Scan the following mobile code
types (Folgende Arten von
mobilem Code scannen)
Wenn die folgenden Arten von mobilem Code ausgewählt werden, werden sie gescannt.
Windows executables (Ausführbare
Windows-Dateien)
Wenn diese ausführbaren Dateien aus dem Internet
heruntergeladen oder per E-Mail empfangen und dann gestartet
werden, können sie zur Bedrohung werden, da sie mit allen
Berechtigungen des aktuellen Benutzers ausgeführt werden.
JavaScript
JavaScript-Code kann praktisch überall eingebettet werden, in
Webseiten, PDF-Dokumente, Video- und HTML-Dateien.
Flash ActionScript (Flash-ActionScript)
ActionScript-Code kann in Flash-Videos und Animationen
eingebettet werden und hat Zugriff auf den Flash-Player und den
Browser mit allen Funktionen.
Java applets (Java-Applets)
Java-Applets können in Webseiten eingebettet werden. Nach der
Aktivierung werden sie auf Grundlage eines digitalen Zertifikats
und der Benutzerauswahl auf verschiedenen Berechtigungsebenen
ausgeführt.
Java applications (Java-Anwendungen)
Java-Anwendungen werden eigenständig mit allen Berechtigungen
des aktuellen Benutzers ausgeführt.
ActiveX controls (ActiveX-Steuerelemente) ActiveX-Steuerelemente können in Webseiten und
Office-Dokumente eingebettet werden. Nach der Aktivierung
werden sie mit allen Berechtigungen des aktuellen Benutzers
ausgeführt.
Produkthandbuch
261
9
Web-Filterung
Option
Definition
Windows libraries (Windows-Bibliotheken)
Diese Bibliotheken sind normalerweise zusammen mit einer
ausführbaren Datei in einem Setup-Paket enthalten oder werden
von einer ausführbaren Datei oder von bösartigem Code aus dem
Internet heruntergeladen.
Visual Basic script (Visual Basic-Skript)
Visual Basic-Skript-Code kann in Webseiten und E-Mails
eingebettet werden.
Visual Basic for Applications
Visual Basic-Makros können in Office-Dokumente eingebettet
werden, die mit Word, Excel oder PowerPoint erstellt wurden.
Block the following behavior
(Folgendes Verhalten blockieren)
Wenn die folgenden Verhaltenstypen ausgewählt werden, werden Web-Objekte, die dieses Verhalten
zeigen, blockiert.
Data theft: Backdoor (Datendiebstahl:
Backdoor)
Bösartige Anwendungen gewähren einem Angreifer durch
vorhandene oder neu erschaffene Netzwerkkanäle vollständigen
Remote-Zugriff und Kontrolle über das System des Opfers.
Data theft: Keylogger (Datendiebstahl:
Keylogger)
Bösartige Anwendungen klinken sich ins Betriebssystem ein, um
die vorgenommenen Tastenanschläge aufzuzeichnen.
Die erfassten Informationen, z. B. Kennwörter, werden dem
Angreifer gemeldet.
Data theft: Password stealer
(Datendiebstahl:
Kennwortdiebstahlprogramm)
Bösartige Anwendungen erfassen und speichern sensible Daten,
um sie weiterzugeben, z. B. die Systemkonfiguration, vertrauliche
Daten, Anmeldeinformationen und sonstige Daten für die
Benutzerauthentifizierung.
System compromise: Code execution
exploit (Systemgefährdung:
Code-Ausführungs-Exploit)
Mithilfe von Exploits für Schwachstellen in Client-Anwendungen,
z. B. Browser, Office-Programme oder Multimedia-Player, können
Angreifer beliebigen Code in den angegriffenen Systemen
ausführen.
System compromise: Browser exploit
(Systemgefährdung: Browser-Exploit)
Mithilfe von Exploits für Schwachstellen in Browser-Anwendungen
und Plug-Ins können Angreifer beliebigen Code ausführen,
sensible Daten stehlen oder höhere Berechtigungen erlangen.
System compromise: Trojan
(Systemgefährdung: Trojaner)
Bösartige Anwendungen geben vor, harmlos oder nützlich zu sein,
fügen dem System aber in Wahrheit Schaden zu.
Stealth activity: Rootkit (Getarnte Aktivität: Bösartige Anwendungen oder Gerätetreiber manipulieren das
Rootkit)
Betriebssystem und verbergen die Anwesenheit von Malware auf
infizierten Systemen.
Nach dem erfolgreichen Angriff werden alle Dateien,
Registrierungsschlüssel und Netzwerkverbindungen, die zu den
Malware-Prozessen gehören, unsichtbar und können nur sehr
schwer wiederhergestellt werden.
Viral Replication: Network worm
(Virusreplikation: Netzwerkwurm)
Bösartige Anwendungen oder Gerätetreiber replizieren sich selbst
mithilfe von E-Mails, dem Internet,
Peer-zu-Peer-Netzwerkdiensten oder indem sie sich selbst auf
Wechseldatenträger, wie z. B. USB-Geräte, kopieren.
Viral Replication: File infector virus
(Virusreplikation: Dateiinfiziererungsvirus)
Selbstreplizierende Anwendungen infizieren vorhandene Dateien
auf der Festplatte und betten Virencode ein, damit er sich über die
frisch infizierte Host-Datei ausbreitet.
System compromise: Trojan downloader
Skript-Code oder bösartige Anwendungen laden zusätzlichen
(Systemgefährdung: Trojaner-Downloader) Inhalt aus dem Internet herunter und führen ihn aus.
262
Produkthandbuch
9
Web-Filterung
Option
Definition
System compromise: Trojan dropper
(Systemgefährdung: Trojaner-Dropper)
Bösartige Anwendungen schleusen versteckten Inhalt ein,
extrahieren ihn und starten ihn bei der Ausführung.
System compromise: Trojan proxy
(Systemgefährdung: Trojaner-Proxy)
Bösartige Anwendungen lassen potenziell bösartige versteckte
Netzwerkaktivitäten durch das angegriffene System zu.
Web threats: Infected website
(Internet-Bedrohungen: Infizierte Website)
Websites enthalten eingeschleusten bösartigen Skript-Code oder
fordern weiteren bösartigen Code an, sobald sie in einem Browser
geöffnet werden.
Die ursprüngliche Infektion kann beispielsweise durch
SQL-Injektion auf dem Web-Server erfolgt sein.
Stealth activity: Code injection
(Tarnungsaktivität: Code-Einschleusung)
Anwendungen kopieren ihren Code in andere, oft legitime
Prozesse, wodurch sie die entsprechenden Berechtigungen und die
Vertrauenswürdigkeit übernehmen.
Diese Technik wird hauptsächlich von Malware angewendet, die
ihre Anwesenheit auf angegriffenen Systemen verbergen und
Erkennung vermeiden will.
Detection evasion: Obfuscated code
(Erkennungsumgehung: verschleierter
Code)
Anwendungen enthalten stark verschlüsselten Code, sodass Teile
des bösartigen Codes nur schwer zu erkennen sind.
Detection evasion: Packed code
(Erkennungsumgehung: komprimierter
Code)
Anwendungen komprimieren ihren Inhalt mithilfe eines
Laufzeit-Komprimierungsprogramms oder eines Protectors.
Dadurch ändert sich das Aussehen des Inhalts und er ist
schwieriger zu klassifizieren.
Potentially unwanted: Ad-/Spyware
(Potenziell unerwünscht: Ad-/Spyware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Potentially unwanted: Adware (Potenziell
unerwünscht: Adware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Data theft: Spyware (Datendiebstahl:
Spyware)
Anwendungen verfolgen und analysieren das Verhalten und die
Aktivitäten des Benutzers, stehlen sensible Daten und geben diese
Informationen an die Server des Angreifers weiter.
Potentially unwanted: Dialer (Potenziell
unerwünscht: Dialer)
Anwendungen bieten Zugriff auf Inhalte, z. B. Pornografie, über
eine teurere Netzwerkverbindung.
Web threats: Vulnerable ActiveX controls
(Internet-Bedrohungen: Anfällige
ActiveX-Steuerelemente)
In Webseiten angezeigte ActiveX-Steuerelemente, die auf
anderweitige Nutzung im Browser beschränkt sind, stellen
potenzielle Schwachstellen dar.
Potentially unwanted: Suspicious activity
(Potenziell unerwünscht: Verdächtige
Aktivitäten)
Potenziell bösartiger Code zeigt entweder unübliches Verhalten
oder nicht vollständig vertrauenswürdiges Verhalten.
Web threats: Cross-site scripting
(Internet-Bedrohungen:
Cross-Site-Scripting)
Bösartige Skripts nutzen Zugangskontrollschwachstellen in
Browsern oder Web-Anwendungen aus, um Benutzerdaten, wie
z. B. Cookies, zu stehlen.
Potentially unwanted: Deceptive behavior
(Potenziell unerwünscht: Betrügerisches
Verhalten)
Irreführende Meldungen, Meldungen über fehlenden Code und
vorgetäuschte Warnmeldungen.
Diese Bedrohungen melden den Benutzern, dass das System mit
Spyware infiziert ist, und bieten falsche AV-Anwendungen zur
Säuberung an.
Produkthandbuch
263
9
Web-Filterung
Option
Definition
Potentially unwanted: Redirector
(Potenziell unerwünscht:
Umleitungsprogramm)
Umleitungs-Code leitet Benutzer von einer Website an andere
potenziell bösartige Websites weiter.
Potentially unwanted: Direct kernel
communication (Potenziell unerwünscht:
Direkte Kernel-Kommunikation)
Anwendungen kommunizieren direkt mit einem Windows-Kernel
oder im Kernel-Modus und versuchen dabei, beispielsweise ein
Rootkit zu installieren oder das System zu destabilisieren.
Potentially unwanted: Privacy violation
(Potenziell unerwünscht:
Datenschutzverletzung)
Potenziell bösartiger Code greift auf sensible oder private Daten
zu, sodass der Inhalt des Zwischenspeichers ausgelesen oder
Registrierungsschlüssel gelesen werden können.
Dieses Verhalten wird oft von einer Infektion einer zuvor seriösen
Website verursacht.
Gateway Anti-Malware (Regelsatz)
Der Regelsatz „Gateway Anti-Malware“ ist der Standard-Regelsatz für die Viren- und
Malware-Filterung.
Standard-Regelsatz – Gateway Anti-Malware
Criteria – Always
Allow if user agent matches User Agent Whitelist
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft Header.Request.Get die Benutzer-Agent-Informationen,
die mit dem Header einer Anfrage gesendet werden.
Wenn der betreffende Benutzer-Agent in der angegebenen Whitelist enthalten ist, wird die
Verarbeitung des Regelsatzes beendet, sodass die Blockierungsregel am Ende des Regelsatzes nicht
verarbeitet wird.
Ein Parameter der Eigenschaft gibt an, dass beim Verarbeiten der Regel die
Benutzer-Agent-Informationen überprüft werden müssen.
Diese Regel ist standardmäßig nicht aktiviert.
Wenn ausschließlich diese Regel für den Abgleich mit Whitelists verwendet wird, stellt dies ein
Sicherheitsproblem dar, da Clients normalerweise einen beliebigen bevorzugten Benutzer-Agent
festlegen können.
Allow URL host that matches in list Anti-Malware URL Whitelist
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob eine bestimmte URL mit einem der
Einträge in der angegebenen Whitelist übereinstimmt.
Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die Blockierungsregel am
Ende des Regelsatzes wird nicht verarbeitet.
Sie können mit dieser Regel Web-Datenverkehr von der Filterung ausschließen, wenn es sich bei den
Hosts der betreffenden URLs um bekannte Web-Server handelt, bei denen mit hinreichender
Sicherheit davon ausgegangen werden kann, dass diese keine Viren oder sonstige Malware
verbreiten.
Der Abgleich mit der Whitelist erhöht außerdem die Leistung, da die entsprechenden Web-Objekte
nicht gescannt werden müssen.
264
Produkthandbuch
9
Web-Filterung
Remove partial content for HTTP requests
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR Connection.Protocol
equals “https”) –> Continue – Header.RemoveAll (“Range”)
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName und Connection.Protocol, ob der
aktuelle Verarbeitungszyklus der Anfragezyklus ist und ob eine Anfrage im HTTP-Modus oder im
HTTPS-Modus gesendet wurde.
Wenn dies der Fall ist, ändert das Ereignis Header.RemoveAll die Anfrage, indem die Angabe entfernt
wird, dass nur unvollständige Inhalte angefordert werden. Eine Anfrage für vollständige Inhalte wird
an den relevanten Web-Server weitergeleitet und schließlich von dort empfangen, sodass die
vollständigen Inhalte eines Web-Objekts auf der Appliance verarbeitet werden können.
So kann z. B. ein vollständiges Archiv geöffnet und auf Viren und sonstige Malware gescannt werden.
Bösartige Inhalte, die auf verschiedene Teile einer Datei verteilt sind, können durch Scannen der
kompletten Datei erkannt werden, während sie möglicherweise nicht bemerkt werden, wenn nur Teile
der Datei gescannt werden.
Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird.
Block partial content for FTP requests
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND Command.Categories
contains “Partial” –> Block<Partial Content Not Allowed>
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName, Connection.Protocol und
Command.Categories, ob der aktuelle Verarbeitungszyklus der Anfragezyklus ist, ob die Anfrage im
FTP-Modus gesendet wurde und ob die für die FTP-Übertragung verwendete Befehlskategorie die
Zeichenfolge Partial enthält.
Dadurch kann Web Gateway eine FTP-Anfrage für unvollständige Inhalte erkennen und blockieren.
Im Gegensatz zu HTTP- oder HTTPS-Anfragen können FTP-Anfragen nicht so geändert werden, dass
sie eine Anfrage für vollständigen Inhalt darstellen. Wenn unvollständige Inhalte auf einer Appliance
zugelassen werden, bringt dies jedoch dieselben Sicherheitsprobleme mit sich, die bereits in den
Ausführungen zur Regel zum Blockieren von HTTP- und HTTPS-Anfragen erläutert wurden.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Start Media Stream Scanner on streaming media and skip anti-malware scanning
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection>
equals true –> Stop Rule Set – Enable Media Stream Scanner
Die Regel überprüft mithilfe der Eigenschaft Cycle.Name, ob der Verarbeitungszyklus der
Antwortzyklus ist, und sie überprüft mithilfe der Eigenschaft StreamDetector.IsMediaStream, ob es
sich bei dem als Antwort an Web Gateway gesendeten Web-Objekt um Streaming-Medien handelt.
Wenn beides zutrifft, wird die Verarbeitung des Regelsatzes beendet, sodass die verbleibende Regel
nicht verarbeitet wird, und der Media Stream Scanner wird mit einem Ereignis gestartet.
Block if virus was found
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein bestimmtes Web-Objekt
mit einem Virus oder sonstiger Malware infiziert ist.
Beim Aufruf des Moduls „Anti-Malware“ zum Scannen des Objekts wird es mit den Gateway
Anti-Malware-Einstellungen ausgeführt, wie von der Eigenschaft angegeben. In diesen Einstellungen
wird vorgeschrieben, dass Web-Objekte mit allen drei Sub-Modulen des Moduls und deren
zugehörigen Methoden gescannt werden.
Wenn das Modul erkennt, dass ein Web-Objekt infiziert ist, wird die Verarbeitung aller Regeln
beendet, und das Objekt wird nicht weiter übergeben. Auf diese Weise ist der Zugriff darauf
blockiert.
Produkthandbuch
265
9
Web-Filterung
In einem Anfragezyklus wird das infizierte Web-Objekt nicht an das Web übergeben. Im
Antwortzyklus und im Zyklus für eingebettete Objekte wird es nicht an den Benutzer übergeben, der
es angefragt hat.
Die Aktionseinstellungen geben an, dass eine Nachricht an den betreffenden Benutzer gesendet wird.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen.
Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte
an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Zählung durchführt.
Scannen des Mediendatenstroms
Medien-Datenströme können auf Web Gateway paketweise gescannt werden, sodass Benutzer
heruntergeladene Streaming-Medien schneller sehen und hören können, da sie nicht warten müssen,
bis der Stream vollständig gescannt wurde.
Diese Scan-Methode wird vom Media Stream Scanner durchgeführt, der vom McAfee Gateway
Anti-Malware-Modul bereitgestellt wird. Die Streaming-Medien werden gescannt und paketweise an
den Client übermittelt, der den Download angefragt hat. Wenn in einem Paket eine Infektion erkannt
wird, wird der Download angehalten, und dieses Paket und der Rest der Streaming-Medien werden
nicht übermittelt.
Der vom Media Stream Scanner durchgeführte Scan verwendet die proaktiven Funktionen des McAfee
Gateway Anti-Malware-Moduls. Das McAfee Anti-Malware-Modul und das Avira-Modul, die auch zum
Scannen der Web-Objekte auf Infektionen durch Viren und andere Malware konfiguriert werden
können, sind bei aktivem Media Stream Scanner nicht beteiligt.
Der Scanner wird durch ein Ereignis einer Regel im Gateway Anti-Malware-Regelsatz des
Standard-Regelsatzsystems gestartet. Die Regel wird angewendet, wenn das Stream Detector-Modul
feststellt, dass es sich bei einem als Reaktion auf eine Download-Anfrage auf Web Gateway
eingegangenes Web-Objekt um Streaming-Medien handelt.
Die Verarbeitung des Regelsatzes wird angehalten, und die verbleibende Regel im Regelsatz, die auch
Web-Objekte auf Infektionen durch Viren und andere Malware scannen lässt, wird nicht verarbeitet.
Wenn ein Web-Objekt vom Stream Detector nicht als Streaming-Medien erkannt wird, wird die Regel
nicht angewendet, die Verarbeitung wird mit der verbleibenden Regel fortgesetzt, und das Web-Objekt
wird entsprechend den für diese Regel konfigurierten Einstellungen gescannt.
Warteschlange für Malware-Schutz
Um die Überlastung der Module zu vermeiden, die Web-Objekte auf Viren und andere Malware
scannen, werden Zugriffsanfragen für Web-Objekte vor der Verarbeitung in eine Warteschlange
verschoben.
Diese Warteschlange wird als Warteschlange für Malware-Schutz bezeichnet. Wenn die Appliance eine
Anfrage erhält, wird sie von einem funktionierenden Thread des Proxy-Moduls in diese Warteschlange
verschoben. Die Anfrage verbleibt dort solange, bis ein anderer Thread sie an einen Thread eines der
Scan-Module weiterleitet.
Auf gleiche Weise wird auch mit Antworten verfahren, die von Web-Servern stammen, an die Anfragen
weitergeleitet wurden.
Sowohl die funktionierenden Threads, die Anfragen und Antworten an die Scan-Module übermitteln,
als auch die von den Modulen zur Ausführung von Scan-Aktivitäten verwendeten Threads werden als
funktionierende Threads für Malware-Schutz bezeichnet.
266
Produkthandbuch
9
Web-Filterung
Beim Konfigurieren der Warteschlange für Malware-Schutz können Sie folgende Eigenschaften
festlegen:
•
Anzahl der verfügbaren funktionierenden Threads für Malware-Schutz
•
Kapazität der Warteschlange für Malware-Schutz
•
Maximale Verweildauer für Anfragen und Antworten in der Warteschlange
Das Verschieben von Anfragen und Antworten in die Warteschlange für Malware-Schutz ist eine Lösung
für kurzzeitig auftretende Lastspitzen. Bei ständiger Überlastung müssen andere Gegenmaßnahmen
angewendet werden.
Konfigurieren der Malware-Schutz-Warteschlange
Sie können die Einstellungen der Malware-Schutz-Warteschlange so konfigurieren, dass eine
Überlastung der Scan-Module vermieden wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die
Malware-Schutz-Warteschlange konfigurieren möchten, und klicken Sie dann auf Anti-Malware
(Malware-Schutz).
Nun werden die Einstellungen für die Malware-Schutz-Warteschlange im Einstellungsbereich
angezeigt.
3
4
Systemeinstellungen für Malware-Schutz
Mithilfe der Systemeinstellungen für Malware-Schutz kann die Warteschlange für Malware-Schutz
Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz)
Einstellungen der Warteschlange für Malware-Schutz
Produkthandbuch
267
9
Web-Filterung
Tabelle 9-8 Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz)
Option
Definition
Number of threads for AV scanning (Anzahl der
Threads für das Antiviren-Scannen)
Legt die Anzahl der auf der Appliance verfügbaren
funktionierenden Threads für Malware-Schutz fest.
Die hier von Ihnen festgelegte Anzahl gilt sowohl für die
Threads, die Anfragen und Antworten an die Threads der
Scan-Module weiterleiten, sowie für die Threads der
Scan-Module selbst.
Wenn Sie z. B. die Zahl 25 eingeben, stehen 25 Threads zum
Weiterleiten und noch einmal 25 Threads zum Scannen zur
Verfügung.
Maximum number of jobs in the queue
(Höchstanzahl an Jobs in der Warteschlange)
Begrenzt die Anzahl der Anfragen und Antworten, die als
Jobs für die Scan-Module in die Warteschlange verschoben
werden dürfen.
Number of seconds a scanning job stays in the
queue before being removed (Anzahl der
Sekunden, die ein Scan-Job bis zum Entfernen in
der Warteschlange verbleiben darf)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf
eine Anfrage bzw. Antwort aus der Warteschlange für
Malware-Schutz entfernt wird, sofern sie nicht an ein
Scan-Modul weitergeleitet wurde.
Entfernen eines Malware-Schutz-Wasserzeichens
Beim Übergeben von Benutzeranfragen an die entsprechenden Web-Server müssen Wasserzeichen
entfernt werden, die URLs vom McAfee Gateway Anti-Malware-Modul (MGAM) hinzugefügt wurden.
Das Modul fügt diese Wasserzeichen in einigen Fällen hinzu, wenn beim Scannen von Web-Objekten
eine bestimmte Art von Heuristiken angewendet wird.
Damit das Modul diese (als Inhaltsheuristiken bezeichneten) Heuristiken nutzen kann, müssen Sie eine
bestimmte Option der Anti-Malware-Einstellungen aktivieren. Eine der Aktivitäten, die das Modul
anschließend ausführt, besteht darin, dass URLs mit Wasserzeichen versehen werden, die zu Links von
Webseiten gehören, wenn diese Links den Zugriff auf ausführbare Dateien oder ähnliche Web-Objekte
(z. B. DLLs) ermöglichen.
Bevor die Appliance jedoch eine Anfrage für den Zugriff auf ein Objekt an einen Web-Server
weiterleiten kann, muss ein hinzugefügtes Wasserzeichen aus der betreffenden URL entfernt werden.
Andernfalls kann der Web-Server die URL u. U. nicht verarbeiten.
Die Entfernung erfolgt, indem die URL neu geschrieben wird. Ein Ereignis in einer Regel erkennt das
Wasserzeichen und schreibt die URL neu. Wird kein Wasserzeichen gefunden, dann wird die URL
unverändert beibehalten. Die Regel ist in einem Regelsatz enthalten, der in der Regelsatz-Bibliothek
bereitgestellt wird.
Hinzufügen eines Wasserzeichens für die Unterstützung von Inhaltsheuristiken
Das McAfee Gateway Anti-Malware-Modul fügt der URL einer ausführbaren Datei oder eines ähnlichen
Objekts auf einer Webseite ein Wasserzeichen hinzu, wenn eine Anfrage für den Zugriff auf das
betreffende Objekt auf der Appliance empfangen und verarbeitet wird. Wenn das Objekt später von
einem Web-Server an die Appliance gesendet wird, wird es von demselben Modul auf Infektionen mit
Viren und sonstiger Malware gescannt.
Da die URL des Objekts beim Empfang der Anfrage für den Zugriff auf das Objekt mit einem
Wasserzeichen versehen wurde, erkennt das Scan-Modul, dass das Objekt als Antwort auf eine von
einem Benutzer gesendete Anfrage gesendet wurde, und nicht von einem automatisierten Programm
jeglicher Art. Diese Information ist wichtig für die Inhaltsheuristiken, die vom Modul beim Scannen des
Objekts und seiner Einstufung als bösartig oder unbedenklich verwendet wird.
268
Produkthandbuch
9
Web-Filterung
Aktivitäten zum Entfernen von Wasserzeichen
Um die Entfernung von Wasserzeichen zu implementieren, müssen Sie den bereitgestellten
Bibliotheks-Regelsatz importieren und an oberster Stelle in der Regelsatz-Baumstruktur platzieren.
Dadurch wird sichergestellt, dass Wasserzeichen in URLs zu Beginn des Prozesses entfernt werden und
dass diese Entfernung nicht durch nachfolgende Regeln übersprungen werden kann, deren Aktionen
auf „Stop Rule Set“ bzw. „Stop Cycle“ festgelegt sind.
Wenn Sie die Option zum Verwenden von Inhaltsheuristiken auf der Benutzeroberfläche auswählen,
wird eine Meldung angezeigt, in der Sie über den Regelsatz informiert werden.
Konfigurieren der Entfernung von Malware-Schutz-Wasserzeichen
Sie können die Entfernung von Malware-Schutz-Wasserzeichen konfigurieren, die URLs vom McAfee
Gateway Anti-Malware-Modul hinzugefügt wurden.
Wasserzeichen werden URLs nur dann hinzugefügt, wenn die Option Enable Payload Heuristics
(Inhaltsheuristiken aktivieren) aktiviert ist. Wenn Sie diese Option auswählen, wird eine Meldung
angezeigt, in der Sie über die Entfernung informiert werden.
Vorgehensweise
1
Importieren Sie den Bibliotheks-Regelsatz zum Entfernen von Wasserzeichen.
a
b
Klicken Sie auf Add (Hinzufügen), und wählen Sie Rule Set from Library (Regelsatz aus Bibliothek)
aus.
c
Erweitern Sie in der Baumstruktur der Regelsatz-Bibliothek Gateway Anti-Malware, wählen Sie den
Regelsatz Payload Heuristic – Rewrite Watermarked URLs aus, und klicken Sie anschließend auf OK.
Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird nun geschlossen,
und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
2
Verschieben Sie den Regelsatz in der Regelsatz-Baumstruktur an die oberste Position.
Ein Ereignis in der einzigen Regel des Regelsatzes überschreibt nun die mit Wasserzeichen versehenen
URLs, um die Wasserzeichen zu entfernen.
Payload Heuristic – Rewrite Watermarked URLs (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Payload Heuristic – Rewrite Watermarked URL“ kann ein vom McAfee
Gateway Anti-Malware-Modul hinzugefügtes Wasserzeichen aus einer URL entfernt werden.
Standard-Regelsatz – Payload Heuristic – Rewrite Watermarked URLs
Criteria – Always
Rewrite watermarked URLs
Always –> Continue – AntiMalware.MGAM.RewriteWatermarkedURL
Die Regel schreibt mithilfe des Ereignisses AntiMalware.MGAM.RewriteWatermarkedURL eine URL
neu, wenn erkannt wird, dass diese ein Malware-Schutz-Wasserzeichen enthält. Andernfalls wird die
URL unverändert beibehalten.
Produkthandbuch
269
9
Web-Filterung
URL-Filterung
Das Wasserzeichen wird der URL vom McAfee Gateway Anti-Malware-Modul hinzugefügt, wenn beim
Scannen erkannt wird, dass sie einen Link zu einer ausführbaren Datei oder einem vergleichbaren
Web-Objekt darstellt, z. B. eine DLL (Dynamic Link Library).
Das Wasserzeichen muss entfernt werden, bevor die URL an den entsprechenden Web-Server
übergeben wird.
URL-Filterung
Die URL-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Web-Objekte zugreifen
können, die als Risiko für die Web-Sicherheit angesehen werden oder aus anderen Gründen nicht
zulässig sind.
Der Filterungsprozess verwendet Blockierungslisten, Kategorieinformationen und Reputationsfaktoren
für die URLs der Web-Objekte und blockiert bzw. erlaubt den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
•
Eine Whitelist und mehrere Blockierungslisten werden von Regeln verwendet, um einige
Web-Objekte die URL-Filterung überspringen zu lassen und andere zu blockieren.
•
Das Modul „URL Filter“, das von bestimmten Regeln aufgerufen wird, ruft Informationen zu
URL-Kategorien und Web-Reputationsfaktoren aus dem Global Threat Intelligence-Dienst ab.
Ein Standardprozess zur URL-Filterung wird nach der Ersteinrichtung auf dem Web Gateway installiert.
Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der URL-Filterung:
•
Standard-Regelsatz URL filtering geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterungsvorgang anzeigen und konfigurieren.
•
Filterregeln
Die Regeln, die den URL-Filterungsprozess steuern, befinden sich üblicherweise in einem einzelnen
URL-Filterungsregelsatz. Eine dieser Regeln besagt beispielsweise, dass der Zugriff auf eine URL
blockiert wird, wenn diese mit einem Eintrag in einer Blockierungsliste übereinstimmt.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
270
Produkthandbuch
Web-Filterung
URL-Filterung
9
Eine Whitelisting-Regel stellt URLs von der Filterung frei, wenn diese mit Einträgen in der von der
Regel verwendeten Liste übereinstimmen. Diese Regel wird vor den Blockierungsregeln platziert und
verarbeitet. Wenn diese Regel gilt, werden die Blockierungsregeln übersprungen, und für die Objekte
der Whitelist erfolgt keine URL-Filterung.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur URL-Filterung enthalten.
Dieser heißt URL Filtering.
Whitelists und Blockierungslisten
Eine Whitelist wird von einer Whitelisting-Regel verwendet, um einige URLs die Blockierungsregel
überspringen zu lassen, es erfolgt also keine Filterung nach diesen URLs.
Da ein URL-Filterungsregelsatz nur die URL-Filterung steuert, sind im Gegensatz zur Virus- und
Malware-Filterung nicht mehrere Whitelists für mehrere Objekttypen erforderlich.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
Da ein URL-Filterungsregelsatz nur für die URL-Filterung zuständig ist, werden im Gegensatz zur Virusund Malware-Filterung keine Whitelists für verschiedene Objekttypen benötigt.
Blockierungslisten werden von Regeln verwendet, um URLs entsprechend ihren Kategorien oder
aufgrund einer Übereinstimmung mit einem Eintrag in einer Liste zu blockieren. Jede der
Blockierungsregeln verwendet eine eigene Liste.
Filtermodul
Das Modul „URL Filter“ wird auch als Engine „URL Filter“ bezeichnet. Es ruft Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem von McAfee bereitgestellten Global Threat
Intelligence™-Dienst ab. Auf Grundlage dieser Informationen blockieren Blockierungsregeln den Zugriff
auf URLs.
Verschiedene Technologien wie Link-Crawler, Sicherheitsforensik, Honeypot-Netzwerke, ausgereifte
Tools zur automatischen Bewertung und Kundenprotokolle werden zum Sammeln dieser Informationen
verwendet. Ein internationales mehrsprachiges Team aus McAfee-Web-Analysten wertet die
Informationen aus und gibt URLs unter bestimmten Kategorien in eine Datenbank ein.
Zum Sammeln von Informationen zur Reputation einer URL wird deren Verhalten auf einer weltweiten
Echtzeitgrundlage analysiert, z. B. wo eine URL im Internet sichtbar ist, ihr Domänenverhalten sowie
weitere Details.
Sie können Einstellungen für dieses Modul konfigurieren, damit es beispielsweise aus einer von Ihnen
bereitgestellten erweiterten Liste abgerufene Kategorieinformationen enthält oder eine DNS-Suche
nach URLs durchführt und die entsprechenden IP-Adresse in die Suche nach Kategorieinformationen
aufnimmt.
Produkthandbuch
271
9
Web-Filterung
URL-Filterung
Konfigurieren von Schlüsselelementen für die URL-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die URL-Filterung, um wichtige Teile des
Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
angezeigt.
3
4
Siehe auch
Schlüsselelemente für die URL-Filterung auf Seite 272
Schlüsselelemente für die URL-Filterung
Die Schlüsselelemente für die URL-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses.
Basic Filtering (Grundlegende Filterung)
Schlüsselelemente für das Durchführen der grundlegenden URL-Filterung
Tabelle 9-9 Basic Filtering (Grundlegende Filterung)
Option
Definition
URL whitelist (URL-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie
die von einer Regel verwendete URL-Whitelist bearbeiten können.
URL blocklist (URL-Sperrliste)
die von einer Regel verwendete URL-Sperrliste bearbeiten können.
URL category blocklist
(Sperrliste für URL-Kategorien) die von einer Regel verwendete Sperrliste von URL-Kategorien bearbeiten
können.
SafeSearch
Schlüsselelemente für das Integrieren von SafeSearch in den URL-Filterungsprozess
272
Produkthandbuch
9
Web-Filterung
URL-Filterung
Tabelle 9-10 SafeSearch
Option
Definition
Enable SafeSearch (SafeSearch
aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die den
SafeSearch-Teil des URL-Filterungsprozesses steuert.
SafeSearch settings
(SafeSearch-Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem
Sie die Einstellungen für das Modul (auch als Engine bezeichnet)
„SafeSearch Enforcer“ bearbeiten können.
Dieses Modul behandelt die Integration von SafeSearch Enforcer in
den URL-Filterungsprozess von Web Gateway. Hierbei handelt es sich
um ein zusätzliches Produkt für die Web-Sicherheit.
GTI reputation (GTI-Reputation)
Schlüsselelement für das Bewerten von Reputationsfaktoren, die im Rahmen des
URL-Filterungsprozesses vom Global Threat Intelligence-Dienst abgerufen wurden
Tabelle 9-11 GTI reputation (GTI-Reputation)
Option
Definition
Block URLs with a High Risk
reputation (URLs mit hochriskanter
Reputation blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die URLs mit einem
Reputationsfaktor blockiert, der als hohes oder mittleres Risiko für die
Web-Sicherheit eingestuft wird.
Der Reputationsfaktor einer URL wird vom Global Threat
Intelligence-Dienst festgelegt, der von McAfee bereitgestellt wird. Er
wird von diesem Dienst durch das URL Filter-Modul abgerufen.
Uncategorized URLs (Nicht kategorisierte URLs)
Schlüsselelement für das Behandeln von URLs, die während des URL-Filterungsprozesses keiner
Kategorie zugeordnet werden konnten
Tabelle 9-12 Uncategorized URLs (Nicht kategorisierte URLs)
Option
Definition
Uncategorized URLs (Nicht
kategorisierte URLs)
Wenn Sie Block (Blockieren) auswählen, wird eine Regel aktiviert, die
Anfragen für den Zugriff auf Web-Objekte mit URLs blockiert, die während
des URL-Filterungsprozesses nicht kategorisiert werden konnten.
Wenn Sie Allow (Zulassen) auswählen, wird von dieser Regel keine Aktion
ausgeführt. Bei der URL-Filterung wird mit der Verarbeitung der nächsten
Regel fortgefahren.
Konfigurieren der URL-Filterung mithilfe der vollständigen
Regelansicht
Sie können die URL-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks
anzupassen.
Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der
Regelansicht arbeiten.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die URL-Filterung.
Standardmäßig ist dies der Regelsatz URL Filtering.
2
Produkthandbuch
273
9
Web-Filterung
URL-Filterung
•
Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren
•
Die von diesen Regeln verwendeten Listen bearbeiten
•
3
Einstellungen des URL Filter-Moduls ändern
Konfigurieren von Einstellungen für das Modul „URL Filter“
Sie können das Modul „URL Filter“ konfigurieren und ändern, auf welche Weise Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem Global Threat Intelligence-System abgerufen
werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die URL-Filterung aus.
Im Standard-Regelsatzsystem sind Regelsätze für die URL-Filterung den Regelsätzen für die
Inhaltsfilterung untergeordnet.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Suchen Sie nach der Regel, die eine Blockierungsliste für Kategorien verwendet.
Hierbei handelt es sich standardmäßig um die Regel Block URLs whose category is in Category
BlockList.
5
Dieser Name wird neben der Eigenschaft URL.Categories angezeigt. Standardmäßig lautet er
Default.
für das Modul „URL Filter“.
6
7
8
Siehe auch
URL-Filtereinstellungen auf Seite 274
URL-Filtereinstellungen
Die URL-Filtereinstellungen werden für das Konfigurieren der Art und Weise verwendet, auf die das
URL-Filtermodul Informationen aus dem Global Threat Intelligence-System abruft.
Extended List (erweiterte Liste)
Einstellungen für erweiterte Listen
274
Produkthandbuch
9
Web-Filterung
URL-Filterung
Tabelle 9-13 Extended List (erweiterte Liste)
Option
Definition
Use the extended list (Erweiterte Liste
verwenden)
Zeigt eine Auswahlliste der erweiterten Listen an.
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen
einer erweiterten Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Extended List) (Liste bearbeiten,
erweiterte Liste) zur Bearbeitung der ausgewählten erweiterten
Liste.
Rating Settings (Bewertungseinstellungen)
Einstellungen für das Abrufen von auf Kategorien und Reputationsfaktoren basierenden
Bewertungsinformationen zu URLs
Tabelle 9-14 Rating Settings (Bewertungseinstellungen)
Option
Definition
Search the CGI parameters for rating
Bei Auswahl dieser Option werden CGI-Parameter nach
(CGI-Parameter nach Bewertungsinformationen Informationen durchsucht.
durchsuchen)
Durch CGI-Parameter (Common Gateway Interface) in einer
URL wird beim Zugriff auf diese URL der Start von Skripten
oder Programmen ausgelöst. Informationen über CGIs werden
bei der Kategorisierung von URLs einbezogen.
Search for and rate embedded URLs
(Eingebettete URLs suchen und bewerten)
Bei Auswahl dieser Option werden eingebettete URLs nach
Informationen durchsucht und bewertet.
Informationen über eingebettete URLs werden bei der
Kategorisierung der einbettenden URL einbezogen.
Die Suche nach eingebetteten URLs kann sich auf die
allgemeine Leistung auswirken.
Do a forward DNS lookup to rate URLs
(DNS-Suche zur Bewertung von URLs
durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, eine DNS-Suche
durchgeführt.
Die IP-Adresse, nach der gesucht wurde, wird für eine weitere
Suche verwendet.
Do a backward DNS lookup for unrated
IP-based URLs (Umgekehrte DNS-Suche für
unbewertete IP-basierte URLs durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, basierend auf der
IP-Adresse der URL eine umgekehrte DNS-Suche durchgeführt.
Der Host-Name, nach dem gesucht wurde, wird für eine
weitere Suche verwendet.
Use the built-in keyword list (Integrierte
Schlüsselwortliste verwenden)
Bei Auswahl dieser Option wird die integrierte
Schlüsselwortliste in die Suche einbezogen.
Only use online GTI web reputation and
categorization services (Nur Online-Dienste für
GTI-Web-Reputation und Kategorisierung
verwenden)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren ausschließlich aus
dem Global Threat Intelligence-System abgerufen.
Produkthandbuch
275
9
Web-Filterung
URL-Filterung
Tabelle 9-14 Rating Settings (Bewertungseinstellungen) (Fortsetzung)
Option
Definition
Use online GTI web reputation and
categorization services if local rating yields no
results (Online-Dienste für GTI-Web-Reputation
und Kategorisierung verwenden, wenn lokale
Bewertung keine Ergebnisse liefert)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren nur dann aus dem
Global Threat Intelligence-System abgerufen, wenn die Suche
in den internen Datenbanken keine Ergebnisse liefert.
Use default GTI server for web reputation and
categorization services (Standard-GTI-Server
für Web-Reputations- und
Kategorisierungsdienste verwenden)
Bei Auswahl dieser Option verbindet sich die Appliance mit
dem standardmäßigen Server, um vom Global Threat
Intelligence-System Informationen zu URL-Kategorien und
Reputationsfaktoren abzurufen.
• IP of the server (IP-Adresse des Servers): Gibt die IP-Adresse
des Servers an, über den die Verbindung mit dem Global
Threat Intelligence-System erfolgt, wenn nicht der
Standard-Server verwendet wird.
Format: <Domänenname> oder <IPv4-Adresse> oder
<einer IPv6-Adresse zugeordnete IPv4-Adresse>
Es können keine regulären IPv6-Adressen angegeben
werden.
• Port of the server (Port des Servers): Gibt die Nummer des Ports
auf diesem Server an, der den Eingang von Anfragen der
Appliance überwacht.
Zulässiger Bereich: 1–65535
Erweiterte Einstellungen für das URL-Filtermodul
Option
Definition
Treat connection problems to the cloud as Bei Auswahl dieser Option werden Probleme mit der Verbindung
errors (Verbindungsprobleme mit Cloud
zwischen Appliance und Global Threat Intelligence-Server als
als Fehler behandeln)
Fehler protokolliert.
Es werden Eigenschaften für den Umgang mit diesen Fehlern
festgelegt und gegebenenfalls entsprechende Regeln eines
Regelsatzes für den Umgang mit Fehlern ausgeführt.
Do a backward DNS lookup also for private Bei Auswahl dieser Option werden private IP-Adressen in die
addresses (Umgekehrte DNS-Suche auch umgekehrte DNS-Suche einbezogen.
für private Adressen durchführen)
Wenn diese Adressen nicht in die Suche einbezogen werden, wirkt
sich dies positiv auf die Leistung bei der URL-Filterung aus.
Standardmäßig ist diese Option deaktiviert.
Die Suche umfasst folgende Adresstypen:
• IPv4
• private Adressen
• Zeroconf-Adressen
• IPv6
• lokale Link-Adressen
• lokale Website-Adressen
• eindeutige lokale Adressen
276
Produkthandbuch
Web-Filterung
URL-Filterung
9
Konfigurationseinstellungen für einen Proxy, den die Appliance für die Verbindung mit dem Global
Threat Intelligence™-System verwenden kann
Tabelle 9-16 Proxy Settings (Proxy-Einstellungen)
Option
Definition
Use upstream proxy (Upstream-Proxy
verwenden)
Bei Auswahl dieser Option nutzt die Appliance einen Proxy für die
Verbindung mit dem Global Threat Intelligence-Server, auf dem
Suchen nach Informationen zu URL-Kategorien (auch als
Cloud-Suche bezeichnet) durch geführt werden können.
IP or name of the proxy (IP-Adresse oder
Name des Proxys)
Gibt die IP-Adresse oder den Host-Namen des Proxys an.
Port of the proxy (Port des Proxys)
Gibt die Nummer des Ports auf dem Proxy an, der den Eingang
von Suchanfragen der Appliance überwacht.
Gibt den Benutzernamen der Appliance für die Anmeldung am
Proxy an.
Password (Kennwort)
Legt ein Kennwort für die Appliance fest.
Set (Festlegen)
Öffnet ein Fenster zum Festlegen eines Kennworts.
Einstellungen für die Protokollierung der URL-Filteraktivitäten auf der Appliance
Produkthandbuch
277
9
Web-Filterung
URL-Filterung
Tabelle 9-17 Logging (Protokollierung)
Option
Definition
Enable logging
(Protokollierung
aktivieren)
Bei Auswahl dieser Option werden alle URL-Filteraktivitäten auf der Appliance
protokolliert.
Log level (Protokollebene)
Enthält eine Auswahlliste der verfügbaren Protokollebenen.
Wenn diese Option nicht ausgewählt ist, werden die folgenden
Protokollierungsoptionen abgeblendet.
Es sind folgende Ebenen vorhanden:
• 00 FATAL: Protokolliert nur schwere Fehler.
• 01 ERRORS: Protokolliert alle Fehler.
• 02 WARNING: Protokolliert Fehler und Warnungen.
• 03 INFO: Protokolliert Fehler, Warnungen und zusätzliche Informationen.
• 04 DEBUG1 ... 013 DEBUG9: Protokolliert Informationen, die für das
Debugging von URL-Filteraktivitäten erforderlich sind.
Die Menge der protokollierten Daten steigt von Ebene DEBUG1 bis Ebene
DEBUG9 kontinuierlich an.
• 14 TRACE: Protokolliert Informationen, die für die Verfolgung von
URL-Filteraktivitäten erforderlich sind.
• 15 ALL: Protokolliert alle URL-Filteraktivitäten
(Log area) (Zu
protokollierender
Bereich)
Enthält eine Reihe von Optionen zur Auswahl verschiedener Bereiche der
URL-Filteraktivitäten in die Protokollierung.
• LOG_AREA_ALL: Mit dieser Option werden alle URL-Filteraktivitäten
protokolliert.
• LOG_AREA_NETWORK: Mit dieser Option werden Aktivitäten hinsichtlich der für
die URL-Filterung verwendeten Netzwerkverbindungen protokolliert.
• LOG_AREA_DATABASE_SEARCH: Mit dieser Option werden Aktivitäten bezüglich
des für die URL-Filterung ausgeführten Datenabrufs aus der internen
Datenbank protokolliert.
• LOG_AREA_DNS: Mit dieser Option werden Aktivitäten bezüglich der für die
URL-Filterung durchgeführten DNS-Suche protokolliert.
• LOG_AREA_URL: Mit dieser Option werden Aktivitäten bezüglich des Umgangs
mit URLs protokolliert, z. B. das Analysieren von URLs,.
• LOG_AREA_CLOUD: Mit dieser Option werden Aktivitäten bezüglich des
Abrufens von Informationen aus dem Global Threat Intelligence-System
protokolliert.
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten
in die Whitelist mithilfe von URL-Eigenschaften
URL-Eigenschaften wie URL, URL.Host, URL.Host.BelongsToDomains usw. können für Regelkriterien
verwendet werden, um Web-Objekte in die Whitelist aufzunehmen.
Wenn ein Objekt in der Whitelist enthalten ist, dürfen Benutzer darauf zugreifen, beispielsweise um
eine Webseite anzuzeigen oder eine Datei herunterzuladen. Die Regeln zur Aufnahme in die Whitelist
werden in die entsprechenden Regelsätze innerhalb des Regelsatz-Systems von Web Gateway
eingetragen. Üblicherweise beenden sie die weitere Verarbeitung von Regeln bezüglich der aktuellen
Zugriffsanfrage für ein Web-Objekt, damit dieser Zugriff nicht durch andere Regeln blockiert wird.
278
Produkthandbuch
9
Web-Filterung
URL-Filterung
Die Aufnahme in die Whitelist kann auf unterschiedliche Weise mit unterschiedlichen
URL-Eigenschaften erfolgen. Wenn der Zugriff auf ein einzelnes Web-Objekt erlaubt werden soll,
beispielsweise, wenn gewährleistet werden soll, dass die Benutzer eine bestimmte Datei herunterladen
können, verwenden Sie am besten die Eigenschaft URL in Kombination mit einer Liste, in der die
vollständige URL dieser Datei enthalten ist.
Anhand der folgenden Beispiele wird gezeigt, welche URL-Eigenschaften sich am besten für welche
Arten der Whitelist-Aufnahme eignen, und welche Schritte dafür erforderlich sind.
Außerdem werden einige Tipps und Beispiele zu folgenden Aspekten vorgestellt:
•
Werte, auf die unterschiedliche URLs eingestellt werden, wenn eine Beispiel-URL verarbeitet wird,
die im Rahmen einer Anfrage für den Web-Zugriff an Web Gateway gesendet wurde
•
Verwendung der beiden Operatoren is in list und matches in list in den Kriterien einer Regel
•
Geeignete und ungeeignete Einträge in den Listen, die mit unterschiedlichen URL-Eigenschaften
verwendet werden
Aufnahme einzelner Web-Objekte in die Whitelist – URL
Ziel
Benutzern den Zugriff auf einzelne Web-Objekte gestatten.
Beispiel: Download der Datei Stinger.exe, auf die unter der URL http://
download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe zugegriffen
werden kann.
Erforderliche
Schritte
Setzen Sie in den Kriterien einer Regel die Zeichenfolgeneigenschaft URL mit
einer Liste vollständiger URLs ein.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL is in list URLWhiteList –> Stop Rule Set
Wenn Sie die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe in die Liste
URLWhiteList eintragen, wird die Datei Stinger.exe bei der Verarbeitung der Regel in die Whitelist
aufgenommen.
Auf ähnliche Weise können Sie den Zugriff auf die Datei auch blockieren, und zwar mit der
folgenden Regel aus dem standardmäßigen Regelsatz zur URL-Filterung:
URL matches in list URLBlockList –> Block
Wenn Sie die betreffende URL in die Liste URLBlockList eintragen, wird die Datei bei
Verarbeitung der Regel blockiert.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Web-Objekte in die Whitelist verwendet werden.
Sollen jedoch alle Web-Objekte eines bestimmten Hosts in die Whitelist aufgenommen werden, kann
dies mithilfe der Eigenschaft URL.Host auf unkompliziertere Weise erreicht werden.
Produkthandbuch
279
9
Web-Filterung
URL-Filterung
Aufnahme von Hosts in die Whitelist – URL.Host
Ziel
Benutzern den Zugriff auf die von bestimmten Hosts bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei,
die vom Host download.mcafee.com bereitgestellt wird.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die Zeichenfolgen-Eigenschaft
URL.Host mit einer Liste der Host-Namen.
Eine Regel, in der die Eigenschaft URL.Host verwendet wird, könnte z. B. so konfiguriert sein:
URL.Host is in list HostWhiteList –> Stop Rule Set
Wenn Sie den Host download.mcafee.com in die Liste HostWhiteList eintragen, werden alle von diesem
Host bereitgestellten Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Hosts in die Whitelist verwendet werden.
Sollen jedoch alle Hosts einer bestimmten Domäne in die Whitelist aufgenommen werden, kann dies
mithilfe der Eigenschaft URL.Host.BelongsToDomains auf unkompliziertere Weise erreicht werden.
Aufnahme von Domänen in die Whitelist – URL.Host.BelongsToDomains
Ziel
Benutzern den Zugriff auf die auf bestimmten Domänen bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei, die
vom Host download.mcafee.com bereitgestellt wird, bzw. jeder anderen
herunterladbaren Datei beliebiger anderer Hosts auf der Domäne mcafee.com.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die boolesche Eigenschaft
URL.Host:BelongsToDomains mit einer Liste der Domänennamen.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
Wenn Sie die Domäne mcafee.com in die Liste Domain List eintragen, werden alle auf dieser Domäne
verfügbaren Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Die Liste Domain List ist als Parameter der Eigenschaft URL.Host:BelongsToDomains konfiguriert.
Diese Eigenschaft ist vom Typ „Boolean“.
Wenn beispielsweise die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe
verarbeitet wird, richtet sich der Wert der Eigenschaft (true oder false) danach, ob sich die Domäne
mcafee.com in die Liste Domain List befindet.
Das folgende Beispiel zeigt, welche Einträge in der Liste Domain List zu einer Übereinstimmung
führen, wenn diese Eigenschaft für die Whitelist-Aufnahme verwendet wird:
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
280
Produkthandbuch
9
Web-Filterung
URL-Filterung
Das Kriterium:
URL.Host.BelongsToDomains("Domain List") equals true
ergibt dann Übereinstimmungen für folgende URLs:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
jedoch nicht für diese URLs:
https://www.mymcafee.com
http://www.treasury.ga.us
http://malicioustwitter.com
Durch Verwendung der Eigenschaft URL.Host.BelongsToDomains kann außerdem das Erstellen
komplizierterer Lösungen für eine im Endeffekt gleiche Zielsetzung vermieden werden, z. B.:
•
Verwenden von zwei Einträgen in einer Liste von Platzhalterausdrücken, wie z. B.:
twitter.com
*twitter.com
•
Nutzung eines einzelnen komplexen Eintrags in einer Liste mit Platzhalterausdrücken, wie z. B.:
regex((.*\.|.?)twitter\.com)
Eigenschaftswerte von Beispiel-URLs
Beim Verarbeiten der Beispiel-URL http://www.mcafee.com/us/products/web-gateway.aspx werden
für die aufgeführten URL-Eigenschaften die jeweils nebenstehenden Werte eingestellt.
Eigenschaft
Wert für die Beispiel-URL
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true oder false
In der als Parameter dieser Eigenschaft konfigurierten Liste müsste
für die Domäne folgendes eingetragen werden: mcafee.com.
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
Verwendung von Operatoren für unterschiedliche Übereinstimmungsarten
Es besteht ein grundlegender Unterschied zwischen der Verwendung des Operators is in list und des
Operators matches in list innerhalb der Kriterien einer Regel.
Produkthandbuch
281
9
Web-Filterung
URL-Filterung
Operator
Beschreibung
is in list
Erfordert eine exakte Übereinstimmung der Zeichenfolgen.
Wenn in einem Listeneintrag Platzhalterzeichen vorhanden sind, werden diese als
Literale interpretiert.
matches in list Lässt Platzhalter in Listeneinträgen zu und wertet diese aus.
Geeignete und ungeeignete Einträge in Listen für URL-Eigenschaften
Einträge in den von unterschiedlichen URL-Eigenschaften genutzten Listen können geeignet und
ungeeignet sein, je nachdem, wie sinnvoll sie für den Verwendungszweck einer Eigenschaft sind. Im
Folgenden sind Beispiele für geeignete und ungeeignete Listeneinträge aufgeführt.
URL-Eigenschaft
Geeignete und ungeeignete Listeneinträge
URL mit Operator is in list
Geeignet
http://www.mcafee.com/us/products/web-gateway.aspx
Es wird, wie für diese Eigenschaft erforderlich, die vollständige URL
eingegeben. Es sind keine Platzhalter angegeben, da diese bei
Verwendung des Operators is in list nicht ausgewertet werden.
Ungeeignet
www.mcafee.com/us/products/web-gateway.aspx
Im Eintrag ist nicht die vollständige URL angegeben, da die
Information bezüglich des Protokolls (http://) fehlt.
URL mit Operator matches in Geeignet
list
http://www.mcafee.com/*
Dieser Eintrag enthält einen Platzhalter, um den Zugriff auf alle
vom Host www.mcafee.com bereitgestellten Web-Objekte
zuzulassen. Bei Verwendung des Operators matches in list ist dies
eine passende Angabe.
Dieser Eintrag ergibt für http://mcafee.com/ keine
Übereinstimmung.
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
Dieser Eintrag ist komplexer, da hier reguläre Ausdrücke verwendet
werden. Bei der Übereinstimmungsprüfung erlaubt er sowohl unter
dem Protokoll HTTP- als auch unter HTTPS Zugriff auf alle
Web-Objekte unter der Domäne mcafee.com sowie unter deren
untergeordneten Domänen.
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?))
Dieser Eintrag ist grundsätzlich mit dem vorhergehenden identisch,
zeigt jedoch, wie auch andere Top-Level-Domänen wie .com
oder .co.us in die Whitelist aufgenommen werden können.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise zu einer Übereinstimmung mit der URL
http://malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com.
282
Produkthandbuch
9
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator is in
list
Geeignet
www.mcafee.com
Es wird ein Host-Name eingegeben, was für den
Verwendungszweck dieser Eigenschaft sinnvoll ist. Da der Operator
is in list verwendet wird, ist es ebenfalls sinnvoll, dass keine
Platzhalter angegeben sind.
Ungeeignet
mcafee.com
Der Eintrag selbst gibt einen Domänennamen an (mcafee.com),
während der Wert der Eigenschaft ein Host-Name ist
(www.mcafee.com, wenn z. B. die URL http://
www.mcafee.com/us/products/web-gateway.aspx verarbeitet
wird).
Auf diese Weise werden keinerlei Übereinstimmungen gefunden
werden.
*.mcafee.com
Der Eintrag enthält einen Platzhalter, der jedoch bei Verwendung
des Operators is in list nicht ausgewertet wird.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
Außerdem ist ein Platzhalter angegeben, der bei Verwendung des
Operators is in list überhaupt nicht ausgewertet wird.
Produkthandbuch
283
9
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator
matches in list
Geeignet
*.mcafee.com
Der Eintrag erbringt Übereinstimmungen für jeden beliebigen Host
unter der Domäne mcafee.com, jedoch nicht für mcafee.com
selbst.
regex((.*\.|\.?)mcafee.com)
Bei diesem Eintrag werden mithilfe regulärer Ausdrücke die
Domäne mcafee.com sowie alle darin enthaltenen Hosts in die
Whitelist aufgenommen.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise mit http://
www.mcafee.com .malicious-download-site.cc/.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
URL.HostBelongsToDomains
Geeignet
mcafee.com wurde in die Liste Domain List eingegeben, die als
Parameter der Eigenschaft konfiguriert ist.
Der Eintrag ergibt Übereinstimmungen mit der Domäne
mcafee.com sowie mit allen darin enthaltenen Hosts, z. B.
www.mcafee.com oder secure.mcafee.com.
www.mcafee.com
Der Eintrag gibt zwar keine konkrete Domäne an, ist jedoch gültig.
Hierbei wird ausschließlich der Host www.mcafee.com in die
Whitelist aufgenommen.
Dieses Ziel kann ebenfalls durch Hinzufügen des Eintrags
zu einer Liste für die Eigenschaft URL.Host erreicht
werden, wenn diese in Kombination mit dem Operator is in
list verwendet wird.
Ungeeignet
*.mcafee.com
Der Eintrag enthält einen Platzhalter, was nicht zum
Verwendungszweck der Eigenschaft passt.
Diese Eigenschaft ist dafür vorgesehen, um den aufwändigen
Einsatz von Platzhaltern in Listeneinträgen zu vermeiden. Hier ist
eine exakte Übereinstimmung mit einem Domänennamen
erforderlich, z. B. eine Übereinstimmung mit mcafee.com.
URL Filtering (Regelsatz)
Der Regelsatz „URL Filtering“ ist der Standard-Regelsatz für die URL-Filterung.
Standard-Regelsatz – URL Filtering
Criteria – Always
Cycles – Requests (and IM), responses, embedded objects
284
Produkthandbuch
9
Web-Filterung
URL-Filterung
Allow URLs that match in URL WhiteList
URL matches in list URLWhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Whitelist vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die
auf die Whitelist-Regel folgenden Blockierungsregeln werden nicht verarbeitet.
Mithilfe dieser Regel können Sie URLs von der Filterung ausnehmen und dadurch gewährleisten, dass
sie für die Benutzer des Netzwerks verfügbar sind und nicht von einer der nachfolgenden
Blockierungsregeln blockiert werden. Der Abgleich mit der Whitelist erhöht außerdem die Leistung,
da zu den jeweiligen URLs nicht erst Informationen abgerufen werden müssen.
Block URLs that match in URL BlockList
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<Default>
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Blockierungsliste vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung aller Regeln beendet, und
die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise
ist der Zugriff auf den Web-Server blockiert.
In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber
erhält.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen. Die Ereignisparameter geben den zu erhöhenden Zähler und die
entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls
„Statistics“ angegeben, das die Zählung durchführt.
Enable SafeSearchEnforcer
Always –> Continue — Enable SafeSearchEnforcer<Default>
Die Regel aktiviert SafeSearchEnforcer. Dies ist ein zusätzliches Modul zum Filtern des Zugriffs auf
Websites mit nicht jugendfreien Inhalten.
Die Aktivierung erfolgt durch Ausführen eines Ereignisses. Die Einstellungen des Moduls werden mit
dem Ereignis bestimmt.
Anschließend wird die Verarbeitung mit der nächsten Regel fortgesetzt.
Allow uncategorized URLs
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft List.OfCategory.IsEmpty (diese hat die Eigenschaft
„URL.Categories“ als Parameter), ob die Kategorienliste zur Kategorisierung einer URL leer ist. Dies
würde heißen, dass die URL nicht kategorisiert ist, da sie keiner vorhandenen Kategorie zugeordnet
werden konnte. Die Angabe der Eigenschaft „URL.Categories“ als Parameter gewährleistet, dass eine
bestimmte Kategorienliste überprüft wird. Hierbei handelt es sich um die Liste, die den Wert dieser
Eigenschaft darstellt.
Damit dem Wert der Eigenschaft „URL.Categories“ eine Kategorienliste zugeordnet werden kann,
wird das Modul „URL Filter“ aufgerufen, das diese Liste vom Global Threat Intelligence-System
abruft. Das Modul wird mit den festgelegten Standardeinstellungen ausgeführt.
Wenn eine URL nicht kategorisiert ist, wird die Verarbeitung des Regelsatzes beendet, und die auf
diese Regel folgenden Blockierungsregeln werden nicht verarbeitet. Die Anfrage für die URL wird an
den entsprechenden Web-Server weitergeleitet, und dem Benutzer wird der Zugriff auf das durch
Übermitteln der URL angefragte Web-Objekt erlaubt, sofern der Zugriff auf die URL nicht im
Antwortzyklus bzw. im Zyklus für eingebettete Objekte blockiert wird.
Block URLs whose category is in URL Category BlockList
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
Produkthandbuch
285
9
Web-Filterung
URL-Filterung
Die Regel überprüft mithilfe der Eigenschaft URL.Categories, ob eine der Kategorien, zu der eine
bestimmte URL gehört, auf der angegebenen Blockierungsliste vorhanden ist. Das für den
Informationsabruf zu diesen Kategorien aufgerufene Modul „URL Filter“ wird mit den
Standardeinstellungen ausgeführt, die in der Eigenschaft angegeben sind.
Wenn eine der Kategorien der URL in der Liste vorhanden ist, wird die Verarbeitung aller Regeln
beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf
diese Weise ist der Zugriff auf den Web-Server blockiert.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
Block URLs with bad reputation
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<default>
Die Regel überprüft mithilfe der Eigenschaft URL.IsHighRisk, ob eine URL eine Reputation hat,
aufgrund der ein Zugriff darauf sehr risikoreich erscheint. Wenn der Wert dieser Eigenschaft „true“
(wahr) ist, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht
an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server
blockiert.
Der Reputationsfaktor wird vom Modul „URL Filter“ abgerufen, das mit den gemäß der Eigenschaft
festgelegten Einstellungen ausgeführt wird.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
URL-Filterung mit Dynamic Content Classifier
URLs können für die Filterung mit Dynamic Content Classifier kategorisiert werden.
Dynamic Content Classifier (DCC) ist neben der lokalen Datenbank und Global Threat Intelligence eine
weitere Quelle für Kategorisierungsinformationen hinsichtlich URLs.
Sie können konfigurieren, dass Dynamic Content Classifier genutzt wird, wenn Suchanfragen nach
URL-Kategorien bei den anderen beiden Quellen kein Ergebnis liefern.
Konfigurieren von Dynamic Content Classifier
Sie können konfigurieren, dass Dynamic Content Classifier zum Erkennen von URL-Kategorien
verwendet wird, wenn andere Erkennungsmethoden keine Ergebnisse liefern.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz mit Regeln für die URL-Filterung aus.
Im Standard-Regelsatzsystem ist dies z. B. der Regelsatz URL Filtering.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Wählen Sie die Regel zum Verarbeiten von URL-Kategorien aus, für die die Verwendung von
Dynamic Content Classifier konfiguriert werden soll.
Im Regelsatz „URL Filtering“ ist dies z. B. die Regel Block URLs whose category is in Category BlockList.
286
Produkthandbuch
9
Web-Filterung
URL-Filterung
5
Klicken Sie auf die Einstellungen des URL Filter-Moduls in den Regelkriterien.
In der Beispielregel sind dies die Einstellungen für Default (Standard) im Kriterium URL.Categories
<Default> at least one in list Category BlockList.
des URL Filter-Moduls.
6
Vergewissern Sie sich, dass unter Rating Settings (Bewertungseinstellungen) die Option Enable the
Dynamic Content Classifier if GTI web categorization yields no results (Dynamic Content Classifier aktivieren, wenn
GTI-Web-Kategorisierung keine Ergebnisse liefert) ausgewählt ist.
7
[Optional] Bearbeiten Sie die Liste der URL-Kategorien, die von Dynamic Content Classifier erkannt
werden sollen.
a
Klicken Sie über der Liste Categories that will be dynamically detected (Dynamisch erkannte Kategorien)
auf das Symbol Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten).
b
Erweitern Sie unter DCC category (DCC-Kategorie) den Ordner Supported Categories (Unterstützte
Kategorien).
c
Aktivieren und deaktivieren Sie URL-Kategorien nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster Edit (Bearbeiten) wird nun geschlossen, und die ausgewählten Kategorien werden in
der Liste angezeigt.
Sie können eine URL-Kategorie aus der Liste entfernen, indem Sie auf das Symbol Delete
(Löschen) klicken und den Vorgang im angezeigten Fenster bestätigen.
8
9
Dynamic Content Classifier wird nun an der Überprüfung beteiligt, ob eine in einer Anfrage für
Web-Zugriff gesendete URL in eine der konfigurierten URL-Kategorien fällt.
Verwenden einer eigenen URL-Filter-Datenbank
Die URL-Filterung kann unter Verwendung von Informationen durchgeführt werden, die aus einer Ihrer
eigenen Datenbanken abgerufen werden.
Die URL-Filterung auf einer Web Gateway-Appliance verwendet Informationen über die Kategorien, in
die URLs fallen, und die Web-Reputationsfaktoren, die ihnen zugeordnet sind. Diese Informationen
werden aus der lokalen URL-Filterdatenbank, dem Global Threat Intelligence-System oder dem
Dynamic Content Classifier abgerufen, abhängig davon, wie die Einstellungen des Moduls für die
URL-Filterung konfiguriert sind.
Die Informationen in der lokalen Datenbank resultieren aus dem dortigen Speichern von Kategorien
und Web-Reputationsfaktoren, nachdem diese durch das Global Threat Intelligence-System für
bestimmte URLs ermittelt wurden. Wenn eine Suche in der lokalen Datenbank keine Treffer ergibt,
können zusätzlich die beiden anderen Informationsquellen verwendet werden.
Anstelle der lokalen Datenbank können Sie eine eigene Datenbank verwenden, in der Informationen
zu Kategorien und Web-Reputationsfaktoren enthalten sind. Um die lokale Datenbank zu ersetzen,
müssen Sie beim Konfigurieren der Einstellungen für die zentrale Verwaltung die URL des Servers
angeben, auf dem sich Ihre Datenbank befindet.
Produkthandbuch
287
9
Web-Filterung
URL-Filterung
Sie können sowohl Ihre eigene Datenbank als Quelle verwenden, die zuerst zum Abrufen von
URL-Filterinformationen durchsucht wird, als auch die beiden anderen Quellen deaktivieren und den
Filterungsprozess auf die Verwendung der in Ihrer Datenbank gespeicherten Informationen
beschränken.
Konfigurieren der Verwendung einer eigenen URL-Filter-Datenbank
Wenn Sie URL-Filterinformationen aus einer eigenen Datenbank abrufen möchten, konfigurieren Sie
die Verwendung dieser Datenbank im Rahmen der Einstellungen für die zentrale Verwaltung.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die die Informationen aus Ihrer
Datenbank verwenden soll, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Führen Sie einen Bildlauf nach unten zu Advanced Update Settings (Erweiterte
Aktualisierungseinstellungen) aus.
4
Geben Sie im Feld Enter a special custom parameter for an update server (Speziellen benutzerdefinierten
Parameter für einen Aktualisierungs-Server eingeben) die URL des Servers ein, auf dem sich Ihre
Datenbank befindet.
5
Wenn URLs mithilfe von Datenbankinformationen auf der Appliance gefiltert werden, werden diese
nicht aus der lokalen Datenbank, sondern aus Ihrer eigenen Datenbank abgerufen.
Sie können zudem andere Quellen von URL-Filterinformationen deaktivieren, um den Filtervorgang auf
die in der eigenen Datenbank gespeicherten Informationen zu beschränken.
Beschränken der URL-Filterung auf die Verwendung von
Datenbankinformationen
Wenn nur Datenbankinformationen für die URL-Filterung verwendet werden sollen, deaktivieren Sie die
Verwendung des Global Threat Intelligence-Systems und des Dynamic Content Classifier.
Wenn Sie die Verwendung einer eigenen URL-Filter-Datenbank konfiguriert haben, werden
Filterinformationen ausschließlich aus dieser Datenbank abgerufen.
Vorgehensweise
1
2
Wählen Sie unter Engines | URL Filter (Module | URL-Filter) die URL-Filter-Einstellungen aus, für die
Informationsquellen deaktiviert werden sollen.
3
Deaktivieren Sie unter Rating Settings (Bewertungseinstellungen) nacheinander die folgenden beiden
Kontrollkästchen:
4
288
•
Enable the Dynamic Content Classifier if GTI web categorization yields no result (Dynamic Content Classifier aktivieren,
wenn GTI-Web-Kategorisierung kein Ergebnis liefert)
•
Use online GTI web reputation and categorization services if local rating yields no result (Online-Dienste für
GTI-Web-Reputation und Kategorisierung verwenden, wenn lokale Bewertung kein Ergebnis liefert)
Produkthandbuch
9
Web-Filterung
URL-Filterung
URL-Filterung mithilfe eines IFP-Proxys
Die URL-Filterung kann für Web-Zugriffsanfragen durchgeführt werden, die unter dem IFP-Protokoll
übermittelt werden.
Zum Anwenden der URL-Filterung auf Anfragen dieser Art sind folgende Schritte erforderlich:
•
Einrichten eines IFP-Proxys
•
Implementieren geeigneter Filterregeln
Filteraktivitäten für IFP-Anfragen werden im Dashboard der Benutzeroberfläche angezeigt. Für diese
Aktivitäten kann auch eine Verbindungsverfolgung durchgeführt werden.
Einrichten eines IFP-Proxys
Für die Verarbeitung und das Filtern von Web-Zugriffsanfragen, die Benutzer von ihren
Client-Systemen aus unter dem IFP-Protokoll stellen, müssen die Proxy-Funktionen der Appliance
entsprechend konfiguriert werden. Es muss ein IFP-Proxy eingerichtet werden, der diese Anfragen
abfängt und sie für die URL-Filterung bereitstellt.
Für das Einrichten des Proxys müssen Sie auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) verschiedene Einstellungen festlegen. Diese Einstellungen umfassen:
•
Aktivieren bzw. Deaktivieren des Proxys
•
Liste der Proxy-Ports mit folgenden Angaben für jeden Proxy:
•
•
IP-Adresse und Port-Nummer
•
Meldungsmodus (zur Angabe, ob eine Blockierungsmeldung als umgeleitete oder als normale
Meldung unter dem IFP-Protokoll gesendet wurde)
Höchstanzahl gleichzeitiger IFP-Anfragen
Mit dieser Einstellung können Sie die Überlastung des IFP-Proxys verhindern.
Regeln für das Filtern von IFP-Anfragen
Für das Steuern des Filtervorgangs für IFP-Anfragen steht kein standardmäßiger bzw.
Bibliotheks-Regelsatz zur Verfügung. Sie können jedoch selbst einen Regelsatz erstellen und die
IFP-Proxy-Funktionen auch in vorhandenen Regelsätzen verwenden.
Beim Erstellen eines Regelsatzes zur Filterung von IFP-Anfragen müssen Sie die Nutzung des
IFP-Protokolls als Regelsatzkriterium festlegen, damit der Regelsatz grundsätzlich auf Anfragen, die
unter diesem Protokoll gestellt werden, angewendet wird. Dies erreichen Sie, indem Sie die
Eigenschaft Connection.Protocol zu den Kriterien hinzufügen und das IFP-Protokoll als Operanden
konfigurieren.
Da das IFP-Protokoll nur Anfragen abdeckt, können Sie die Filterung von Antworten und eingebetteten
Objekten als Aktivitäten, auf die der Regelsatz angewendet werden soll, ausschließen.
Die im Regelsatz enthaltenen Regeln können die gleichen wie im Standard-Regelsatz „URL Filtering“
sein.
Wenn die URL-Filterung nur für über das IFP-Protokoll gesendete Anfragen durchgeführt werden soll,
sollten Sie den Standard-Regelsatz „URL Filtering“ löschen und ausschließlich den auf hier
beschriebenem Wege erstellten Regelsatz zur IFP-Filterung anzuwenden.
Die Nutzung der IFP-Proxy-Funktionen in bestehenden Regelsätzen kann beispielsweise dann eine
Option sein, wenn bereits Authentifizierungsvorgänge für Anfragen unter verschiedenen anderen
Protokollen implementiert sind und Sie die Authentifizierung für IFP-Anfragen hinzufügen möchten.
Produkthandbuch
289
9
Web-Filterung
URL-Filterung
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP-based Session)“ enthält einen
eingebetteten Regelsatz mit Regeln zur Überprüfung, ob für einen anfragenden Client bereits eine
authentifizierte Sitzung besteht. Andernfalls wird die Anfrage an den Authentifizierungs-Server
umgeleitet.
Der eingebettete Regelsatz umfasst Protokolle wie HTTP oder HTTPS. Durch Nutzung der Eigenschaft
Connection.Protocol können Sie die Kriterien erweitern und auch das IFP-Protokoll aufnehmen.
Einschränkungen bei der IFP-Filterung
Bei der Verwendung eines IFP-Proxys zur Filterung von URLs sollten Sie folgende Einschränkungen
berücksichtigen:
•
Eingeschränkte Nutzung von SafeSearch Enforcer
Während der IFP-Filterung kann SafeSearch Enforcer ausschließlich für das Filtern von mit Google
durchgeführten Suchanfragen angewendet werden.
Das liegt daran, dass lediglich Google für das Senden der Suchkriterien URLs verwendet. Alle
anderen Suchmaschinen hingegen nutzen Cookies. Diese können jedoch nicht vom IFP-Proxy einer
Appliance verarbeitet werden.
•
HTTP-Proxy für bestimmte Funktionen erforderlich
Wenn Sie die folgenden Aktionen durchführen möchten, ist die Einrichtung eines HTTP-Proxys
zusätzlich zum IFP-Proxy erforderlich:
•
Von einer Filterregel blockierte IFP-Anfragen an eine Blockierungsseite umleiten, damit auf dem
Client des anfragenden Benutzers eine Blockierungsmeldung angezeigt wird.
•
Authentifizieren von Benutzern auf der Appliance durch Überprüfung ihrer
Anmeldeinformationen auf dem internen Authentifizierungs-Server.
•
Beschränkung des Web-Zugangs von Benutzern durch Implementieren des
Bibliotheks-Regelsatzes für Zeitkontingente.
IFP-Filteraktivitäten im Dashboard
Das Dashboard auf der Benutzeroberfläche enthält Informationen zu verschiedenen Aktivitäten der
IFP-Filterung.
•
Anzahl der verarbeiteten IFP-Anfragen
Diese Information wird unter Web Traffic Summary | Requests per protocol (Zusammenfassung
Web-Datenverkehr | Anfragen nach Protokoll) angezeigt.
•
Domänen, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Information wird unter Web Traffic | Top Level Domains by Number of Requests (Web-Datenverkehr |
Top-Level-Domänen nach Anzahl der Anfragen) angezeigt.
•
Websites, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Informationen werden unter Web Traffic | Destinations by Number of Requests (Web-Datenverkehr |
Ziel-Websites nach Anzahl der Anfragen) angezeigt.
Verbindungsverfolgung für IFP-Filteraktivitäten
Bei der Filterung von IFP-Anfragen kann eine Verbindungsverfolgung durchgeführt werden.
290
Produkthandbuch
9
Web-Filterung
URL-Filterung
Bei aktivierter Verbindungsverfolgung werden Verfolgungsdateien angelegt und gespeichert. Auf diese
Dateien kann auf der Benutzeroberfläche im übergeordneten Menü Troubleshooting (Fehlerbehebung)
zugegriffen werden.
Konfigurieren der IFP-Proxy-Einstellungen
Sie können die IFP-Proxy-Einstellungen konfigurieren, um einen Proxy für die Verarbeitung von
Anfragen für den Web-Zugriff einzurichten, die unter diesem Protokoll gesendet werden.
Vorgehensweise
1
2
Erweitern Sie in der Appliances-Baumstruktur die Appliance, für die Sie die IFP-Proxy-Einstellungen
konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Führen Sie im Bereich für Einstellungen einen Bildlauf nach unten zum Abschnitt IFP Proxy
(IFP-Proxy) aus.
4
Konfigurieren Sie die Einstellungen in diesem Abschnitt nach Bedarf.
5
IFP-Proxy-Einstellungen
Mit den IFP-Proxy-Einstellungen wird ein Proxy konfiguriert, der unter dem IFP-Protokoll gesendete
Anfragen für Web-Zugriff abfängt und für die URL-Filterung verfügbar macht.
IFP Proxy (IFP-Proxy)
Einstellungen für das Konfigurieren eines IFP-Proxys
Tabelle 9-18 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Bei Auswahl dieser Option wird der IFP-Proxy auf einer
Appliance aktiviert.
IFP port definition list (Liste von IFP-Port-Definitionen)
Ermöglicht Ihnen das Erstellen einer Liste von Ports, die
IFP-Anfragen empfangen.
Maximum number of concurrent IFP requests allowed
(Maximal zulässige Anzahl gleichzeitiger IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Sie können mithilfe dieser Eigenschaft eine Überlastung
des IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben.
Tabelle 9-19 IFP Port Definition (IFP-Port-Definition)
Option
Definition
Gibt die IP-Adresse und die Port-Nummer eines Ports an, der
IFP-Anfragen empfängt.
Send error message as redirect (Bei
Umleitung Fehlermeldung senden)
Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat,
durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht unter dem IFP-Protokoll gesendet.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu einem Port an, der
IFP-Anfragen empfängt.
Produkthandbuch
291
9
Web-Filterung
URL-Filterung
Erstellen eines Regelsatzes zum Filtern von IFP-Anfragen
Sie können einen Regelsatz mit Regeln zum Filtern von Web-Zugriffsanfragen erstellen, die unter dem
IFP-Protokoll gestellt werden.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze), klicken Sie anschließend auf Add (Hinzufügen),
und wählen Sie dann Rule Set (Regelsatz) aus.
2
Geben Sie im Feld Name einen geeigneten Namen für den Regelsatz ein, z. B. Filter IFP
Requests.
3
Deaktivieren Sie unter Applies to (wird angewendet auf) die Optionen Responses (Antworten) und
Embedded Objects (eingebettete Objekte).
4
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus.
5
Konfigurieren Sie die Regelsatzkriterien.
a
Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced criteria
(Erweiterte Kriterien) aus.
b
Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus.
c
Wählen Sie in der Liste der Operatoren equals (ist gleich) aus.
d
Geben Sie im Eingabefeld für Operanden IFP ein.
e
Klicken Sie auf OK.
Das Fenster Add Criteria (Kriterien hinzufügen) wird nun geschlossen, und das Kriterium wird im
Feld Criteria (Kriterien) angezeigt.
6
Klicken Sie auf OK.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird nun geschlossen, und der neue
Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
Wenn die Erstellung des-Regelsatzes abgeschlossen ist, müssen Sie dort Regeln zur URL-Filterung
einfügen. Beispielsweise können Sie Regeln aus dem Standard-Regelsatz für URL-Filterung kopieren
und nach Bedarf anpassen.
Bearbeiten eines Authentifizierungs-Regelsatzes zur Einbindung des IFPProtokolls
Sie können das IFP-Protokoll in die Kriterien eines Authentifizierungs-Regelsatzes einbinden, um die
Authentifizierung für Anfragen zu aktivieren, die unter diesem Protokoll übermittelt werden.
Vorgehensweise
1
Importieren Sie einen Authentifizierung-Regelsatz aus der Bibliothek.
a
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, klicken Sie auf Add (Hinzufügen), und
wählen Sie dann Top Level Rule Set (Regelsatz der obersten Ebene) aus.
Daraufhin öffnet sich das Fenster Add Top Level Rule Set (Regelsatz der obersten Ebene hinzufügen).
292
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
b
Klicken Sie auf Import rule set from Rule Set Library (Regelsatz aus Regelsatz-Bibliothek importieren).
c
Wählen Sie in der Liste Rule Set Library (Regelsatz-Bibliothek) den Regelsatz Authentication (Time/
IP-based Session) aus.
d
Wählen Sie im Bereich Import conflicts (Import-Konflikte) den aufgeführten Konflikt aus, und
wählen Sie unter Conflict Solution (Konfliktlösung) eine Strategie zur Konfliktlösung aus.
e
Klicken Sie auf OK.
Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird geschlossen, und
der Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
2
Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz Check for Valid
Authentication Session aus.
Nun werden die Kriterien und Regeln des untergeordneten Regelsatzes im Abschnitt für
Einstellungen angezeigt.
3
Klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Rule Set (Regelsatz
bearbeiten).
4
Ändern Sie die Regelsatzkriterien.
a
Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced Criteria
(Erweiterte Kriterien) aus.
b
Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus.
c
Wählen Sie in der Liste der Operatoren equals (ist gleich) aus.
d
Geben Sie im Eingabefeld für Operanden IFP ein.
e
Klicken Sie auf OK.
Das Fenster Add Criteria (Kriterien hinzufügen) wird geschlossen, und das Kriterium wird im Feld
Criteria (Kriterien) angezeigt.
f
5
Entfernen Sie unter Criteria combination (Kriterienkombination) die schließende Klammer nach dem
Buchstaben e, und fügen Sie eine schließende Klammer hinter d ein.
Klicken Sie auf OK.
Das Fenster Edit Rule Set (Regelsatz bearbeiten) wird geschlossen.
6
Medientyp-Filterung
Die Medientyp-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Medien bestimmter
Typen, z. B. Bilder, Audio oder Streaming-Medien, zugreifen können, wenn diese laut Ihrer
Web-Sicherheitsrichtlinien nicht zulässig sind.
Auf diese Weise können Sie beispielsweise verhindern, dass Ihre Benutzer zu viele Ressourcen
belegen.
Produkthandbuch
293
9
Web-Filterung
Medientyp-Filterung
Die Medientyp-Filterung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen.
•
•
Eine Regel verwendet eine Blockierungsliste, um den Zugriff auf Medien bestimmter Typen zu
blockieren.
Ein Standardprozess zur Medientyp-Filterung wird nach der Ersteinrichtung auf Web Gateway
installiert. Sie können diesen Prozess ändern und an die Anforderungen Ihrer
Web-Sicherheitsrichtlinien anpassen.
Beim Konfigurieren der Medientyp-Filterung können Sie mit Folgendem arbeiten:
•
Standard-Regelsatz Media Type Filtering geklickt haben, können Sie Schlüsselelemente
der Standardregeln für die Filterung anzeigen und konfigurieren.
•
entsperren) klicken, können Sie den Regelsatz Media Type Filtering in der
Regelsatz-Baumstruktur erweitern, sodass die untergeordneten Regelsätze Upload Media
Types und Download Media Types angezeigt werden.
Wenn Sie auf eine der Möglichkeiten klicken, werden die jeweiligen Standardregeln für
die Filterung vollständig angezeigt. Sie können alle Elemente konfigurieren, einschließlich
der Schlüsselelemente, und auch neue Regeln erstellen oder Regeln löschen.
Filterregeln
Die Regeln, die den Medientyp-Filterungsprozess steuern, befinden sich üblicherweise in einem
einzelnen Medientyp-Filterungsregelsatz. Dieser kann zwei untergeordnete Regelsätze mit Regeln zum
Filtern von Medientypen, die ins Web hochgeladen bzw. aus dem Web heruntergeladen werden,
enthalten.
Wenn der Standardprozess implementiert wird, ist ein Regelsatz zur Medientyp-Filterung mit zwei
untergeordneten Regelsätzen enthalten. Der Name des übergeordneten Regelsatzes lautet Media Type
Filtering, die der untergeordneten Regelsätze Upload Media Types und Download Media Types.
Eine Medientyp-Filterregel kann eine Liste mit Medientypen verwenden. Sie kann zudem auf der
Verwendung einer passenden Eigenschaft in ihren Kriterien basieren, z. B. die Eigenschaften
MediaType.IsAudio oder MediaType.IsVideo.
Blockierungslisten
Eine Regel verwendet eine Blockierungsliste, um Medien bestimmter Typen zu blockieren. Es kann
sowohl eine Blockierungsliste für Medien geben, die nicht aus Ihrem Netzwerk heraus ins Web
hochgeladen werden dürfen, als auch eine für Medien, die nicht aus dem Web in Ihr Netzwerk
heruntergeladen werden dürfen.
294
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Konfigurieren von Schlüsselelementen für die MedientypFilterung
Konfigurieren Sie Schlüsselelemente der Regeln für die Medientyp-Filterung, um wichtige Teile des
Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Media Type Filtering aus.
angezeigt.
3
4
Schlüsselelemente für die Medientyp-Filterung
Die Schlüsselelemente für die Medientyp-Filterung beziehen sich auf wichtige Teile dieses
Filterprozesses.
Block Media Types in Uploads (Medientypen in Uploads blockieren)
Schlüsselelemente für das Filtern von Medien, die in das Web hochgeladen werden
Tabelle 9-20 Block Media Types in Uploads (Medientypen in Uploads blockieren)
Option
Definition
Media types to block (Zu blockierende
Medientypen)
dem Sie die von einer Regel verwendete Liste „Upload Media Type
Block“ bearbeiten können.
Block Media Types in Downloads (Medientypen in Downloads blockieren)
Schlüsselelemente für das Filtern von Medien, die aus dem Web heruntergeladen werden
Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren)
Option
Definition
Media types to block (Zu blockierende
Medientypen)
dem Sie die von einer Regel verwendete Liste „Download Media
Type Block“ bearbeiten können.
Block undetectable media types (Nicht
erkannte Medientypen blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien
blockiert, wenn deren Typ nicht erkannt wurde.
Block unsupported media types (Nicht
unterstützte Medientypen blockieren)
blockiert, wenn diese einen Typ aufweisen, der von Web Gateway
nicht verarbeitet werden kann.
Produkthandbuch
295
9
Web-Filterung
Medientyp-Filterung
Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren)
(Fortsetzung)
Option
Definition
Block multimedia (Multimedia blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien
blockiert, wenn diese einen Multimedia-Typ aufweisen.
Block streaming media
(Streaming-Medien blockieren)
blockiert, wenn es sich dabei um Streaming-Medien handelt.
Konfigurieren der Medientyp-Filterung mithilfe der
vollständigen Regelansicht
Sie können die Medientyp-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres
Netzwerks anzupassen.
Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der
Regelansicht arbeiten.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die URL-Filterung.
Standardmäßig ist dies der Regelsatz URL Filtering.
2
•
Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren
•
Die von diesen Regeln verwendeten Listen bearbeiten
•
3
Einstellungen des URL Filter-Moduls ändern
Eigenschaften für die Medientyp-Filterung
Die meisten Regeln für die Medientyp-Filterung verwenden die Eigenschaft MediaType.EnsuredTypes in
ihren Kriterien. Bei Verwendung anderer Eigenschaften wird die Medientyp-Filterung auf andere Weise
ausgeführt.
So gibt es beispielsweise die Eigenschaft MediaType.NotEnsuredTypes. Wenn Sie diese Eigenschaft in
den Kriterien einer Blockierungsregel verwenden, blockiert die Regel Medien, deren Typen in einer
Sperrliste enthalten sind. Dies gilt selbst dann, wenn die Wahrscheinlichkeit, dass sie tatsächlich
diesen Typ aufweisen, bei weniger als 50 % liegt.
Sie können mit dieser Eigenschaft sicherstellen, dass ein Medientyp unter allen Umständen blockiert
wird.
In der folgenden Tabelle sind die Eigenschaften aufgelistet, die für Regeln für die Medientyp-Filterung
verfügbar sind.
296
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Tabelle 9-22 Eigenschaften für die Medientyp-Filterung
Eigenschaft
Beschreibung
MediaType.EnsuredTypes
Eigenschaft von Medien, deren Typen mit einer Wahrscheinlichkeit von
mehr als 50 % gesichert ist
Dieses Wahrscheinlichkeitsniveau wird angenommen, wenn eine
Medientyp-Signatur aus einer internen Liste auf der Appliance im
Objekt-Code der jeweiligen Medien gefunden wird.
MediaType.NotEnsuredTypes
Eigenschaft von Medien, bei denen die Wahrscheinlichkeit, dass sie
tatsächlich den jeweiligen Typ aufweisen, bei weniger als 50 % liegt
MediaType.FromFileExtension Eigenschaft von Medien, bei denen die Typen anhand der
Erweiterungen der Medientyp-Dateinamen angenommen werden
Die Erweiterungen und die jeweils zugeordneten Medientypen werden
in einem internen Katalog auf der Appliance nachgeschlagen. Es gibt
jedoch Erweiterungen, die für mehrere Medientypen verwendet
werden.
MediaType.FromHeader
Eigenschaft von Medien, bei denen die Typen entsprechend dem
Inhaltstyp-Feld des mit den Medien gesendeten Headers angenommen
werden
Die Header werden gelesen und in einem standardisierten Format
ausgewertet. Wenn Sie Header in ihrem ursprünglichen Format filtern
möchten, können Sie die Eigenschaft „Header.Get“ verwenden.
MediaType.IsSupported
Eigenschaft von eingebetteten oder archivierten Medien, die mit dem
Öffner-Modul der Appliance extrahiert werden können.
List.OfMediaType.IsEmpty
Eigenschaft von Medien mit Typen, die nicht in einer internen Liste
aufgeführt werden
Bearbeiten einer Medientyp-Filterregel
Sie können eine Medientyp-Filterregel so bearbeiten, dass ein anderer Medientyp gefiltert wird, indem
Sie die Eigenschaft in den Regelkriterien ändern. Sie müssen dann auch eine neue Filterliste für die
bearbeitete Regel erstellen.
Aufgaben
•
Erstellen einer Filterliste für eine geänderte Regel auf Seite 297
Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die
Nutzung mit dieser Regel erstellen.
•
Ersetzen einer Eigenschaft in einer Medientyp-Filterregel auf Seite 298
Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere
Eigenschaft ersetzen, sodass die Regel eine andere Art von Medientypen filtert.
Erstellen einer Filterliste für eine geänderte Regel
Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die Nutzung mit
dieser Regel erstellen.
Vorgehensweise
1
2
Wählen Sie im Zweig Custom Lists (benutzerdefinierte Listen) der Listen-Baumstruktur auf Media Type
(Medientyp), und klicken Sie auf Add (Hinzufügen).
Produkthandbuch
297
9
Web-Filterung
Medientyp-Filterung
3
Geben Sie im Feld Name einen geeigneten Namen für die neue Liste ein, z. B. Not Ensured
Download Media Type Blocklist.
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur neuen
Liste ein.
5
6
Klicken Sie auf OK.
Listen-Baumstruktur unter Media Type (Medientyp) angezeigt.
Sie können der neuen Liste nun Einträge hinzufügen, anhand derer die Medientyp-Filterregel Medien
blockiert bzw. zulässt.
Ersetzen einer Eigenschaft in einer Medientyp-Filterregel
Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere Eigenschaft
ersetzen, sodass die Regel eine andere Art von Medientypen filtert.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die Medientyp-Filterung aus, z. B.
den untergeordneten Regelsatz Download Media Type im Regelsatz Media Type Filtering.
3
Wählen Sie eine Regel aus, z. B. Block types from Download Media Type Blocklist, und klicken Sie auf Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten), in dem der Schritt Name ausgewählt
ist.
4
Klicken Sie auf Rule Criteria (Regelkriterien), und wählen Sie unter Criteria (Kriterien) die Regel aus.
Klicken Sie dann auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten).
5
6
Bearbeiten Sie die Regelkriterien wie folgt:
a
Wählen Sie in der Liste der Eigenschaften in der linken Spalte eine neue Eigenschaft aus, z. B.
MediaType.NotEnsuredTypes (anstelle von MediaType.EnsuredTypes).
b
Wählen Sie in der Liste der Operanden in der rechten Spalte Not Ensured Download Media Type Blocklist
(Sperrliste für unsichere Medientyp-Downloads) aus.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die geänderten Kriterien werden unter Rule Criteria
(Regelkriterien) angezeigt.
7
Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die geänderte Regel wird im
ausgewählten untergeordneten Regelsatz angezeigt.
8
298
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Media Type Filtering (Regelsatz)
Der Regelsatz „Media Type Filtering“ ist der Standard-Regelsatz für die Medientypfilterung.
Bibliotheks-Regelsatz – Media Type Filtering
Criteria – Always
• Upload Media Type
Dieser Regelsatz ist standardmäßig nicht aktiviert.
• Download Media Type
Upload Media Type
Dieser untergeordnete Regelsatz blockiert das Hochladen von Medien, die zu bestimmten
Medientypen gehören. Er wird sowohl in Anfragezyklen verarbeitet, wenn Benutzer das Hochladen
von Medien in das Web anfragen, als auch in untergeordneten Objektzyklen, wenn Objekte in Medien
eingebettet sind.
Untergeordneter Bibliotheks-Regelsatz – Upload Media Type
Criteria – Always
Cycles – Requests (and IM) and embedded objects
Der Regelsatz enthält die folgende Regel:
Block types from list Upload Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media Type (Block
List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ
sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der
Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten.
Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die
Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an.
In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt.
Download Media Type
Dieser untergeordnete Regelsatz blockiert das Herunterladen von Medien, die zu bestimmten
Medientypen gehören. Er wird sowohl in Antwortzyklen verarbeitet, wenn Web-Server Medien als
Reaktion auf Download-Anfragen von Benutzern senden, als auch in untergeordneten Objektzyklen,
wenn Objekte in Medien eingebettet sind.
Untergeordneter Bibliotheks-Regelsatz – Download Media Type
Criteria – Always
Cycles – Responses and embedded objects
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media Type
(Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
Produkthandbuch
299
9
Web-Filterung
Anwendungsfilterung
Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ
sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der
Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten.
Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die
Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an.
In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt.
Anwendungsfilterung
Mit der Anwendungsfilterung wird gewährleistet, dass die Benutzer in Ihrem Netzwerk keinen Zugriff
auf nicht erwünschte Anwendungen bekommen, wie beispielsweise Facebook, Xing u. ä. Beim
Filterprozess werden Name und Reputationsfaktor einer Anwendung ausgewertet und gegebenenfalls
der Zugriff darauf entsprechend blockiert. Es ist auch möglich, die Filterung lediglich für einzelne
Funktionen von Anwendungen zu nutzen.
•
Filterregeln zur Steuerung des Vorgangs
•
von Regeln genutzte Anwendungslisten zur Blockierung von Anwendungen
•
in regelmäßigen Abständen aktualisierte Anwendungssystemlisten
Im Dashboard werden der Aktualisierungsstand und statistische Daten des Anwendungsfiltervorgangs
angezeigt.
Regeln für die Anwendungsfilterung
Üblicherweise enthält ein Regelsatz alle zur Steuerung der Anwendungsfilterung benötigten Regeln.
Für die Zugriffsblockierung von Anwendungen und einzelne Anwendungsfunktionen setzen diese
Regeln eine der beiden folgenden Methoden ein:
•
Blockieren von Anwendungen und einzelnen Funktionen anhand einer Liste
•
Blockieren von Anwendungen mit einer bestimmten Risikostufe
Bei der Blockierung von Anwendungen und einzelnen Funktionen anhand einer Liste wird die
Eigenschaft Application.Name genutzt.
Die Anfrage eines Benutzers, der Zugriff auf eine Anwendung bzw. eine einzelne Anwendungsfunktion
erhalten möchte, enthält als Wert dieser Eigenschaft den Namen dieser Anwendung bzw.
Anwendungsfunktion. Wenn dieser Name auf einer Blockierungsliste aufgeführt ist, wird der Zugriff
mithilfe einer Regel blockiert, z. B. auf folgende Weise.
Name
Block applications according to list
Kriterien
Application.Name is in list Unwanted Applications
Aktion
–>
Block<blockierte Anwendung>
Für das Blockieren von Anwendungen mit bestimmten Risikostufen werden Eigenschaften wie z. B.
Application.IsMediumRisk oder Application.IsHighRisk verwendet, die den Wert true bzw. false
annehmen können.
300
Produkthandbuch
9
Web-Filterung
Anwendungsfilterung
Die Risikoauswertung für eine Anwendung erfolgt auf Grundlage ihres vom Global Threat
Intelligence-System zugeordneten Reputationsfaktors. Wenn das Risiko beim Zulassen des Zugriffs auf
eine Anwendung als hoch eingestuft wird, bedeutet dies, dass die Anwendung eine schlechte
Reputation besitzt.
Wenn eine Anwendung diese Stufe erreicht oder sogar überschreitet, wird der Zugriff mithilfe einer
Regel blockiert, z. B. auf folgende Weise.
Name
Block high-risk applications
Kriterien
Application.IsMediumRisk equals true OR Application.isHighRisk
equals true
Aktion
–> Block<blockierte Anwendung>
Beide Methoden basieren auf den Anwendungssystemlisten. Auf von Anwendungsfilterregeln genutzte
Listen können Anwendungen und Anwendungsfunktionen nur dann gelangen, wenn sie in den
Anwendungssystemlisten aufgeführt sind.
Auch die Risikostufen von Anwendungen und Anwendungsfunktionen werden den
Anwendungssystemlisten entnommen.
Für Protokollierungszwecke stehen die Eigenschaften Application.To String und Application.Reputation
zur Verfügung. Die erste dieser Eigenschaften den in eine Zeichenfolge umgewandelten Namen einer
angefragten Anwendung, die zweite dagegen den entsprechenden numerischen Wert des jeweiligen
Reputationsfaktors.
Diese Eigenschaften können in Regeln zur Registrierung von Informationen in Protokolldateieinträgen
verwendet werden.
Die Anwendungsfilterung wird auf Appliances nicht standardmäßig durchgeführt. Sie können jedoch
den in der Bibliothek verfügbaren Regelsatz Application Control importieren.
Anschließend können Sie die in diesem Regelsatz enthaltenen Regeln überprüfen, bearbeiten oder
löschen und auch selbst neue Regeln erstellen.
Blockierungslisten
Regeln nutzen Anwendungslisten dazu, den von Benutzern angefragten Zugriff auf Anwendungen zu
blockieren. Die Regeln des in der Bibliothek verfügbaren Regelsatzes enthalten Listen, in denen bereits
mehrere Anwendungsnamen aufgeführt sind.
Sie können zu einer Liste des Bibliotheks-Regelsatzes Anwendungsnamen hinzufügen, Namen daraus
entfernen und auch selbst eigene Listen erstellen. Beim Hinzufügen von Anwendungsnamen müssen
diese aus den Anwendungssystemlisten entnommen werden.
Das Erstellen und Bearbeiten von Listen mit den Namen von Anwendungsfunktionen erfolgt auf
dieselbe Weise.
Anwendungssystemlisten
Die Anwendungen und Anwendungsfunktionen, die von Anwendungsfilterregeln blockiert werden
können, sind in Listen aufgeführt, die das Appliance-System vorgibt und die regelmäßig aktualisiert
werden.
Sie können diese Listen anzeigen, indem Sie in der Listen-Baumstruktur auf der Registerkarte Lists
(Listen) unter System Lists (Systemlisten) auf den Ordner Application Name (Anwendungsnamen)
klicken. Dieser Ordner enthält mehrere Unterordner für unterschiedliche Anwendungstypen,
beispielsweise File Sharing (Dateifreigabe) oder Instant Messaging.
Produkthandbuch
301
9
Web-Filterung
Anwendungsfilterung
In den Unterordnern ist jeweils eine Liste mit Anwendungen vorhanden, die für jede Anwendung
folgende Informationen enthält:
•
Name der Anwendung (bzw. Name der Anwendung und Name der Anwendungsfunktion)
•
Kommentar
•
Risikostufe
•
Beschreibung der Anwendung (bzw. der Anwendungsfunktion)
Anwendungsfunktionen sind in Klammern nach dem Anwendungsnamen aufgeführt, z. B. Orkut(Orkut
Chat). Wenn Sie zur Liste einer Blockierungsregel eine Anwendungsfunktion hinzufügen, wird nicht die
gesamte Anwendung sondern lediglich die angegebene Funktion blockiert.
Einträge für Anwendungen in einer Systemliste sind wie im folgenden Beispiel angelegt:
MessengerFX | Risk: Minimal: A web-based instant messaging service (Risiko: Minimal: Ein
Web-basierter Instant Messaging-Dienst)
Das nächste Beispiel zeigt einen Eintrag für eine Anwendungsfunktion:
Orkut(Orkut Chat) | Risk: High: Allows users to send instant messages. (Risiko: Hoch: Ermöglicht
Benutzern das Senden von Instant Messages)
Im Dashboard vorhandene Informationen zur Anwendungsfilterung
Im Dashboard werden folgende Informationen zur Anwendungsfilterung angezeigt:
•
Aktualisierungsstand der Anwendungsliste
•
statistische Daten zu tatsächlich blockierten Anwendungen und Anwendungsfunktionen
Konfigurieren der Anwendungsfilterung
Sie können die Anwendungsfilterung konfigurieren, um diesen Prozess an die Anforderungen Ihres
Vorgehensweise
1
Importieren Sie den Regelsatz Application Control.
2
Prüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
•
Aktivieren oder Deaktivieren von Blockierungsregeln
•
Bearbeiten der in Regeln verwendeten Listen durch Hinzufügen oder Entfernen von
Anwendungen
•
Erstellen eigener Listen und Festlegen von deren Verwendung anstelle der bzw. zusätzlich zu
den vorhandenen Listen
•
Ändern der Reputationsbewertung in Regeln durch Ersetzen der relevanten Eigenschaften, z. B.
durch Ersetzen von Application.IsHighRisk durch Application.IsMediumRisk
Sie können auch eigene Blockierungsregeln erstellen.
3
302
Produkthandbuch
9
Web-Filterung
Anwendungsfilterung
Erstellen einer Liste zur Anwendungsfilterung
Sie können eine Liste zur Verwendung in einer Filterregel für Anwendungen erstellen und diese mit
Einträgen für Anwendungen oder einzelne Funktionen von Anwendungen füllen, die blockiert werden
sollen.
Vorgehensweise
1
Wählen Sie Policy | Lists (Richtlinie | Listen) aus, und klicken Sie dann auf das Symbol Add
(Hinzufügen).
2
3
Konfigurieren Sie die allgemeinen Listeneinstellungen.
a
Geben Sie im Feld Name einen geeigneten Namen für die Liste ein, z. B. Unwanted
Applications.
b
Wählen Sie in der Liste Type (Typ) die Option Application Name (Anwendungsname) aus.
c
d
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur
Liste ein.
Klicken Sie auf OK.
Listen-Baumstruktur unter Custom Lists | Application Name (Benutzerdefinierte Listen |
Anwendungsname) angezeigt.
4
Wählen Sie die Liste aus, und klicken Sie über dem Einstellungsbereich auf das Symbol Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Liste von Ordnern, die
Anwendungsnamen enthalten.
5
Füllen Sie die Liste mit Einträgen für Anwendungen bzw. für einzelne Funktionen von
Anwendungen.
a
Erweitern Sie den Ordner, der eine Anwendung oder Anwendungsfunktion enthält, deren Name
Sie zur Liste hinzufügen möchten, z. B. Instant Messaging Web Applications (Web-Anwendungen für
Instant Messaging).
b
Wählen Sie eine Anwendung oder Anwendungsfunktion aus, beispielsweise MessengerFX oder
Orkut(Orkut Chat).
Sie können gleichzeitig mehrere Anwendungen oder Anwendungsfunktionen, mehrere Elemente
aus unterschiedlichen Ordnern und auch komplette Ordner auswählen.
c
Klicken Sie auf OK.
Das Fenster Edit (Bearbeiten) wird geschlossen, und die ausgewählten Anwendungen und
Anwendungsfunktionen werden in der Liste angezeigt.
Sie können auch einen kompletten Ordner hinzufügen und anschließend die Einträge für
Anwendungen oder Anwendungsfunktionen, die nicht in der Liste stehen sollen, wieder löschen.
6
Produkthandbuch
303
9
Web-Filterung
Anwendungsfilterung
Sie können die so erstellte Liste in den Kriterien einer Regel zur Anwendungsfilterung einsetzen,
beispielsweise zur Überprüfung, ob der Name einer Anwendung oder Anwendungsfunktion, für die
Zugriff angefragt wird, in der Liste aufgeführt ist.
Bearbeiten der Risikostufen in einer Anwendungsfilterregel
Sie können die Risikostufe in einer Regel bearbeiten, die Anwendungen entsprechend dem Risiko
filtert, das diese für die Web-Sicherheit darstellen, z. B. von hoch bis mittel. Dies erhöht die
Web-Sicherheit, da dann eine Blockierungsaktion auch dann ausgelöst werden kann, wenn eine
Anwendung nur ein mittleres Risiko darstellt.
Bevor Sie beginnen
Im folgenden Vorgang wird davon ausgegangen, dass Sie den Regelsatz „Application
Control“ aus der Bibliothek importiert haben.
Vorgehensweise
1
2
Erweitern Sie den Regelsatz Application Control, und erweitern Sie dann den untergeordneten
Regelsatz Block Applications in Request Cycle.
Die allgemeinen Einstellungen und Regeln des untergeordneten Regelsatzes werden im Abschnitt
für Einstellungen angezeigt.
3
4
Wählen Sie die Regel Block web applications with high risk aus, und klicken Sie auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten).
5
Wählen Sie unter Steps (Schritte) die Option Rule Criteria (Regelkriterien) aus, markieren Sie im
Abschnitt Criteria (Kriterien) den oberen Teil der komplexen Kriterien (der die Eigenschaft
Application.IsHighRisk verwendet), und klicken Sie dann auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten), und die Eigenschaft
Application.IsHighRisk ist in der Eigenschaftenliste ausgewählt.
6
Wählen Sie in der Liste der Eigenschaften den Eintrag Application.IsMediumRisk aus.
7
Klicken Sie auf OK.
Das Fenster Edit Criteria (Kriterien bearbeiten) wird geschlossen, und die geänderten Kriterien werden
im Abschnitt Criteria (Kriterien) angezeigt.
8
Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die Regel mit den geänderten
Kriterien wird im Einstellungsbereich angezeigt.
9
304
Produkthandbuch
Web-Filterung
Anwendungsfilterung
9
Application Control (Regelsatz)
Der Bibliotheks-Regelsatz „Application Control“ wird für die Anwendungsfilterung verwendet.
Bibliotheks-Regelsatz – Application Control
Criteria – Always
Cycles – Requests (and IM), responses
•
Block Applications in Request Cycle
•
Block Applications in Response Cycle
Block Applications in Request Cycle
Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Anfragezyklus.
Untergeordneter Bibliotheks-Regelsatz – Block Applications in Request Cycle
Criteria – Always
Block instant messaging applications
Application.Name is in list Instant Messaging –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer
angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese
Anwendung.
Block web applications with high risk
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer
Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser
Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem
hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert
die Regel eine Anfrage für diese Anwendung.
Block Facebook chat
Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit
einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in
eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen
Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert.
Block Applications in Response Cycle
Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Antwortzyklus.
Produkthandbuch
305
9
Web-Filterung
Untergeordneter Bibliotheks-Regelsatz – Block Applications in Response Cycle
Criteria – Always
Cycle – Responses
Applications to be looked for in response cycle
Application.Name is in list of Applications to Search for in Response Cycle –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer
angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese
Anwendung.
Block web applications with high risk
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer
Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser
Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem
hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert
die Regel eine Anfrage für diese Anwendung.
Block Facebook chat
Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit
einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in
eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen
Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert.
Die Streaming-Medien-Filterung stellt sicher, dass Web-Objekte dieses Medientyps erkannt werden,
wenn sie auf Web Gateway eingehen, und entsprechend den konfigurierten Regeln verarbeitet werden.
Wenn die Virus- und Malware-Filterung auf Web Gateway implementiert ist, werden an Web Gateway
gesendete Web-Objekte auf Infektionen überprüft. Für ein umfassenden Scan-Ergebnis muss das
Web-Objekt vollständig gescannt werden.
Streaming-Medien sind jedoch niemals „vollständig“. Wenn also die herkömmliche Scan-Methode
angewendet wird, führt dies im Gegensatz zu anderen Nicht-Streaming-Medien zu keinem Ergebnis.
Zudem würde sich die Verarbeitung der Streaming-Medien endlos verzögern, da der Scan-Prozess nie
beendet wäre.
Sobald also ein Web-Objekt als Streaming-Medien erkannt wird, können Sie es blockieren, um zu
verhindern, dass die Benutzer Ihres Netzwerks auf Web-Objekte zugreifen, die noch nicht auf
Infektionen untersucht wurden.
306
Produkthandbuch
9
Web-Filterung
Alternativ können Sie auch Streaming-Medien das Virus- und Malware-Scannen überspringen lassen,
und Ihren Benutzern den Zugriff auf Medien dieses Typs ohne Scannen erlauben.
Folgende Elemente auf Web Gateway sind am Filterprozess beteiligt:
•
Filterregeln zur Steuerung des Vorgangs
•
Ein Modul, das die Wahrscheinlichkeit für Objekte berechnet, dass es sich um Streaming-Medien
handelt
Das Modul setzt den Wert einer passenden Eigenschaft auf True, wenn die Wahrscheinlichkeit, dass
es sich bei einem Web-Objekt um Streaming-Medien handelt, einen konfigurierten Wert erreicht
oder übersteigt.
Streaming-Medien-Filterung erfolgt normalerweise im Antwortzyklus des Filterprozesses, um
Streaming-Medien zu verarbeiten, die von Web-Servern als Antwort auf Benutzeranfragen gesendet
wurden.
Regel zur Streaming-Medien-Erkennung
Zum Blockieren oder Zulassen von Web-Objekten, bei denen es sich mit einer bestimmten
Wahrscheinlichkeit um Streaming-Medien handelt, können Sie eine Regel einrichten, die die
Eigenschaft StreamDetector.IsMediaStream verwendet.
Wen der Wert dieser Eigenschaft „True“ ist, würde der Zugriff auf das Web-Objekt durch die folgende
Regel blockiert werden.
Name
Block access to streaming media
Kriterien
Aktion
StreamDetector.IsMediaStream<Streaming Detection> equals true –> Block<Streaming Media
Blocked>
Der Zugriff würde durch die folgende Regel zugelassen:
Name
Allow access to streaming media
Kriterien
StreamDetector.IsMediaStream<Streaming Detection> equals true
Aktion
–>
Continue
Der Wert der Eigenschaft StreamDetector.IsMediaStream wird über das
Datenstromerkennungsprogramm bereitgestellt.
Die Streaming-Medien-Filterung erfolgt nicht standardmäßig auf Web Gateway. Wenn Sie dies
wünschen, müssen Sie eine Regel wie die oben beschriebenen Regeln erstellen.
Es wird empfohlen, diese Regel nicht in einem eigenen Regelsatz zu verwenden, sondern in einen
anderen, passenden Regelsatz einzufügen, z. B. in einen Regelsatz zur Medientyp-Filterung.
Der Standard-Regelsatz „Gateway Anti-Malware“ enthält eine Regel, mit der Streaming-Medien die
Virus- und Malware-Filterung überspringen können. In diesem Regelsatz wird die Überspringungsregel
vor der Regel platziert, mit der das Web-Objekt durch das Modul „Anti-Malware“ gescannt wird.
Produkthandbuch
307
9
Web-Filterung
Zusätzliche Eigenschaften zur Streaming-Medien-Filterung
Wenn die Eigenschaft StreamDetector.IsMediaStream auf „True“ gesetzt wird, erhalten zwei
zusätzliche Eigenschaften zugehörige Werte. Der Wert der Eigenschaft StreamDetector.Probability ist
der Prozentsatz, der tatsächlich für ein Web-Objekt berechnet wurde, z. B. 60 oder 70.
Der Wert der Eigenschaft StreamDetector.MatchedRule ist der Name der übereinstimmenden Regel.
Diese zusätzlichen Eigenschaften können in Regeln zur Registrierung von Informationen in
Protokolldateieinträgen verwendet werden.
Modul zur Streaming-Medien-Erkennung
Die Wahrscheinlichkeit, dass es sich bei Web-Objekten um Streaming-Medien handelt, wird vom
Datenstrom-Erkennungsprogramm (auch als Filter oder Engine bezeichnet) berechnet, das zur
Berechnung Informationen zu URL-Kategorien, Content-Type-Headern, Quell-IP-Adressen und anderen
Elementen verwendet. Das Ergebnis einer Wahrscheinlichkeitsberechnung ist ein Prozentsatz.
Unter anderem können auf diese Weise die folgenden Streaming-Medien-Typen erkannt werden:
•
Flash-Videos
•
RealMedia
•
IC9-Streams
•
MP3-Streams
•
MS WMSP
Sie können Einstellungen für dieses Modul konfigurieren und diese beispielsweise Streaming Media
Detection nennen. Die Einstellungen enthalten die Mindestwahrscheinlichkeit, ab der Web-Objekte als
Streaming-Medien eingestuft werden.
Konfigurieren der Streaming-Medien-Filterung
Sie können die Streaming-Medien-Filterung konfigurieren, um diesen Prozess an die Anforderungen
Vorgehensweise
1
Erstellen Sie eine Regel für die Streaming-Medien-Filterung, die Web-Objekte blockiert, wenn die
Wahrscheinlichkeit, dass es sich dabei um Streaming-Medien handelt, ein konfiguriertes Niveau
erreicht oder überschreitet.
2
Fügen Sie diese Regel in einen geeigneten Regelsatz ein, z. B. in einen Regelsatz für die
Medientyp-Filterung.
Sie können die Regel später bearbeiten, indem Sie beispielsweise das Wahrscheinlichkeitsniveau
erhöhen oder senken. Dazu müssen Sie die Einstellungen des Streaming-Erkennungsmoduls
konfigurieren.
3
308
Produkthandbuch
9
Web-Filterung
Konfigurieren des Moduls für die Streaming-Medien-Erkennung
Sie können das Modul konfigurieren, das die Wahrscheinlichkeit von Streaming-Medien für ein
bestimmtes Web-Objekt berechnet, um es an die Anforderungen Ihres Netzwerks anzupassen.
Vorgehensweise
1
2
Wählen Sie Stream Detector (Streaming-Erkennung) aus, und klicken Sie auf Add (Hinzufügen).
3
Geben Sie im Eingabefeld Name einen Namen für die Einstellungen ein.
4
[Optional] Geben Sie im Eingabefeld Comment (Kommentar) einen Kommentar zu den Einstellungen
ein.
5
6
Konfigurieren Sie unter Streaming Detector (Streaming-Erkennung) die Einstellungen für das Modul
nach Bedarf.
7
Empfohlene Vorgehensweisen – Konfigurieren Stream Detector
Durch die Konfiguration von Stream Detector können Sie die Handhabung von Streaming-Medien
einrichten. Die empfohlene Vorgehensweise ist die Durchführung eines speziellen Scans, wenn Stream
Detector erkannt hat, dass ein Web-Objekt zu diesem Medientyp gehört.
Bei der Virus- und Malware-Filterung aus Web Gateway ist es üblicherweise erforderlich, dass
Web-Objekte vollständig heruntergeladen und vom Modul „Anti-Malware“ gescannt werden (auch als
Engine oder Filter bezeichnet). Da eine Vollständigkeit für Streaming-Medien jedoch nie erreicht
werden kann, liefert die übliche Scan-Methode keine Ergebnisse, sondern läuft endlos weiter.
Streaming-Medien müssen daher auf eine besondere Weise verarbeitet werden. In Web Gateway sind
dafür zwei Komponenten verfügbar:
•
Stream Detector erkennt, dass ein Web-Objekt Medien streamt.
•
Media Stream Scanner scannt Streaming-Medien paketweise.
Verglichen mit der herkömmlichen Methode ist das Scannen mit Media Stream Scanner weniger
intensiv.
Entsprechend der Verarbeitung durch Media Stream Scanner werden Streaming-Medien auch
paketweise an den Client übermittelt, von dem eine Download-Anfrage eingegangen ist. Wenn in
einem Paket eine Infektion erkannt wird, wird der Vorgang angehalten, und dieses Paket und der Rest
der Streaming-Medien werden nicht weitergegeben.
Stream Detector ist ein separates Modul in Web Gateway und nicht wie der Media Stream Scanner
Bestandteil des Moduls „Anti-Malware“.
Eine passende Regel ruft beide Komponenten zur Ausführung ihrer jeweiligen Aufgaben auf. Diese ist
im Standard-Regelsatz Gateway Anti-Malware enthalten.
Produkthandbuch
309
9
Web-Filterung
Die Regel ist jedoch nicht in älteren Versionen von McAfee Web Gateway enthalten. Es empfiehlt sich
daher die folgende Vorgehensweise:
•
Überprüfen Sie Ihr Regelsatzsystem.
•
Wenn die Regel im Standard-Regelsatz „Gateway Anti-Malware“ oder einem anderen Regelsatz, den
Sie zur Virus- oder Malware-Filterung verwenden, nicht enthalten ist, konfigurieren Sie die Regel in
einem dieser Regelsätze.
Sie müssen die Regel direkt vor der Regel platzieren, die den üblichen Malware-Scan auslöst.
Regel zur Streaming-Medien-Filterung
Die Standardregel zur Streaming-Medien-Filterung sieht wie folgt aus:
Name
Start Media Stream Scanner on streaming media and skip
anti-malware scanning
Kriterien
Aktion
Ereignis
Cycle.Name equals "Response" AND
StreamDetector.IsMediaStream<Default Streaming Detection>
equals true
–> Stop Ruleset – Enable Media
Stream
Scanner
Im Standard-Regelsatz „Gateway Anti-Malware“ befindet sich diese Regel direkt vor der Regel, die den
üblichen Malware-Scan auslöst.
Wenn Stream Detector erkennt, dass ein Web-Objekt Medien streamt, stoppt die Regel die
Verarbeitung für diesen Regelsatz und startet Media Stream Scanner, sodass der spezielle
Streaming-Medien-Scan durchgeführt und die Regel für den üblichen Scan übersprungen wird.
Der Teil des Kriteriums, der die Cycle.Name-Eigenschaft verwendet, stellt sicher, dass die Regel nur im
Antwortzyklus der Verarbeitung gilt, wenn Web-Objekte in Web Gateway als Antwort auf eine
weitergeleitete Anfrage aus dem Internet empfangen werden.
Einstellungen für Stream Detector
Auf die Einstellungen für Stream Detector kann in der Einstellungs-Baumstruktur unter Stream Detector
zugegriffen werden. Der Name der Standardeinstellungen lautet Default Streaming Detection
(Standard-Datenstromerkennung).
Die Standardeinstellungen enthalten nur die folgende Option:
Minimal probability (Mindestwahrscheinlichkeit): Legt die Wahrscheinlichkeit fest, dass es sich um
Streaming-Medien handelt, die erfüllt sein muss, damit ein Web-Objekt als Streaming-Medium
behandelt wird.
310
•
Die Wahrscheinlichkeit wird in Prozent gemessen und als eine Zahl von 1 bis 100 eingestellt.
•
Die Wahrscheinlichkeit wird von Stream Detector ermittelt. Bei Erreichen dieser
Mindestwahrscheinlichkeit wird die Eigenschaft StreamDetector.IsMediaStream, die in der
Standardregel zum Filtern der Streaming-Medien verwendet wird, auf true gesetzt.
•
Der Standardwert für die Mindestwahrscheinlichkeit ist 60. Sie sollten diesen Wert beibehalten.
Produkthandbuch
9
Web-Filterung
Globale Whitelists
Einstellungen für Stream Detector
Mit den Einstellungen für Stream Detector wird das Modul konfiguriert, das die Wahrscheinlichkeit
berechnet, dass es sich bei Web-Objekten um Streaming-Medien handelt.
Stream Detector
Einstellungen für das Modul zur Berechnung der Wahrscheinlichkeit für Streaming-Medien
Tabelle 9-23 Stream Detector
Option
Definition
Minimal probability
(Mindestwahrscheinlichkeit)
Legt die Wahrscheinlichkeit (in Prozent, angegeben durch eine
Zahl von 0 bis 100) fest, die ausreicht, damit Web-Objekte als
Streaming-Medien eingestuft werden.
Globale Whitelists
Globale Whitelists stellen sicher, dass für in Whitelists enthaltene Web-Objekte alle weiterführenden
Filtervorgänge übersprungen werden, sodass der Zugriff auf diese Objekte nicht blockiert werden
kann.
Der Prozess der globalen Whitelists umfasst eine Reihe von Elementen mit jeweils unterschiedlichen
Funktionen.
•
•
Whitelists werden von Regeln verwendet, damit für einige Web-Objekte weitere Filtervorgänge
übersprungen werden können.
Ein Standardprozess für globale Whitelists wird nach der Ersteinrichtung in Web Gateway installiert.
Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anpassen.
Zum Konfigurieren globaler Whitelists können Sie folgende Elemente verwenden:
•
Regelsatz Global Whitelist geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterprozess anzeigen und konfigurieren.
•
Filterregeln
Die Regeln, die globale Whitelists steuern, sind normalerweise in einem Regelsatz enthalten.
Whitelist-Regeln werden in diesem Regelsatz platziert und dort verarbeitet. Wenn eine der Regeln
angewendet wird, werden die darauf folgenden Regelsätze übersprungen, und für die in den Whitelists
enthaltenen Objekte werden keine weiteren Filtervorgänge ausgeführt.
Sie können die in diesem Regelsatz enthaltenen Regeln überprüfen, ändern oder löschen. Zudem
können Sie eigene Regeln erstellen.
Produkthandbuch
311
9
Web-Filterung
Globale Whitelists
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz für globale Whitelists
enthalten. Dieser Regelsatz heißt Global Whitelist.
Whitelists
Whitelists werden von Whitelist-Regeln verwendet, damit für bestimmte Web-Objekte weitere
Filtervorgänge übersprungen werden können. Es können Whitelists für URLs, Medientypen und andere
Objekttypen vorhanden sein.
Listen erstellen und diese von den Whitelist-Regeln verwenden lassen.
Konfigurieren von globalen Whitelists
Sie können die globalen Whitelists konfigurieren, um diesen Prozess an die Anforderungen Ihres
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz auf globale Whitelists.
Standardmäßig ist dies der Regelsatz Global Whitelisting.
2
•
Aktivieren oder Deaktivieren von Whitelist-Regeln
•
Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden
•
3
Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln
Global Whitelist (Regelsatz)
Der Regelsatz „Global Whitelist“ ist der Standard-Regelsatz für globale Whitelists.
Standard-Regelsatz – Global Whitelist
Criteria – Always
Client IP is in list Allowed Clients
Client.IP is in list Allowed Clients –> Stop Cycle
Die Regel überprüft mithilfe der Eigenschaft Client.IP, ob die IP-Adresse eines Clients, von dem eine
Anfrage gesendet wurde, in der angegebenen Whitelist enthalten ist.
Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird
beendet. Die Anfrage wird dann an den entsprechenden Web-Server weitergeleitet.
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
312
Produkthandbuch
9
Web-Filterung
SSL-Scans
Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob der Host, auf den mit der in einer Anfrage
gesendeten URL zugegriffen wird, in der angegebenen Whitelist enthalten ist.
Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird
beendet. Die Anfrage wird dann an den Web-Server weitergeleitet, der den angefragten Host
darstellt.
SSL-Scans
SSL-Scans stellen sicher, dass SSL-verschlüsselter Web-Datenverkehr verarbeitet und anderen
Filterfunktionen zur Verfügung gestellt werden kann.
Der SSL-Scan-Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
SSL-Scan-Regeln steuern den Prozess.
•
Whitelists und andere Listen, mit denen Regeln Web-Objekten das Überspringen des SSL-Scannens
ermöglichen und andere Funktionen im Prozess ausführen können.
•
SSL-Scan-Module, die von den Regeln aufgerufen werden, führen eine Zertifikatsverifizierung und
andere Funktionen im Prozess aus.
Sie haben die folgenden Möglichkeiten zur Konfiguration des SSL-Scannens:
•
Standard-Regelsatz SSL Scanner geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterungsvorgang anzeigen und konfigurieren.
•
SSL-Scan-Regeln
Die Regeln zur Steuerung des SSL-Scannens befinden sich üblicherweise in einem Regelsatz, der
mehrere untergeordnete Regelsätze enthält. Jeder der untergeordneten Regelsätze steuert eine
bestimmte Funktion des SSL-Scanprozesses:
•
Handle CONNECT call: Es gibt einen Regelsatz mit Regeln zum Umgang mit dem
CONNECT-Aufruf, der zu Beginn einer SSL-verschlüsselten Kommunikation unter dem
HTTPS-Protokoll gesendet wird.
•
Certificate verification: Es gibt Regelsätze zur Überprüfung von Zertifikaten, die in einer
SSL-verschlüsselten Umgebung durch Clients und Server gesendet werden, z. B. durch
Überprüfung der allgemeinen Namen in diesen Zertifikaten.
Dieser Teil des Prozesses ermöglicht die Verifizierung für Einrichtungen mit explizitem Proxy und
transparente Einrichtungen.
•
Content inspection: Ein weiterer Regelsatz enthält Regeln zur Aktivierung der Untersuchung von
Inhalten, die in einer SSL-verschlüsselten Kommunikation übertragen werden.
Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das
Modul scannt und der Regel das Ergebnis meldet.
Produkthandbuch
313
9
Web-Filterung
SSL-Scans
Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet
werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der
Whitelist werden nicht gescannt.
Sie können die auf der Appliance für das SSL-Scannen implementierten Regeln überprüfen, ändern
oder löschen sowie eigene Regeln erstellen.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zum SSL-Scannen enthalten.
Dieser heißt SSL Scanner. Dieser Regelsatz ist jedoch anfänglich nicht aktiviert.
Whitelists und andere Listen für SSL-Scans
Whitelists werden von SSL-Scan-Regeln verwendet, um Web-Objekte Teile des Prozesses überspringen
zu lassen. Beispielsweise stellt eine Zertifikats-Whitelist Zertifikate von der Verifizierung frei.
Andere beim SSL-Scannen verwendete Listen enthalten die Port-Nummern, die in CONNECT-Aufrufen
zulässig sind, wenn diese anzunehmen sind, oder die Server, für die eine besondere Art der
Zertifikatsverifizierung erforderlich ist, da eine bestimmte Methode zum Schlüsselaustausch für diese
nicht angewendet werden kann.
Listen erstellen und diese von den SSL-Scan-Regeln verwenden lassen.
Module zum SSL-Scannen
Die folgenden Module (auch als Engines bezeichnet) werden von den SSL-Scan-Regeln aufgerufen, um
verschiedene Teile des SSL-Scan-Prozesses auszuführen:
•
SSL-Scanner: Führt je nach Ausführungseinstellungen die Zertifikatsverifizierung oder die
Aktivierung der Inhaltsüberprüfung durch.
Entsprechend wird das Modul von den Regeln zur Zertifikatsverifizierung und Inhaltsüberprüfung
mit verschiedenen Einstellungen aufgerufen.
•
Module zum Festlegen des Client-Kontexts: Wickeln das Senden eines Zertifikats für die
Appliance an die Clients ab, die während einer SSL-verschlüsselten Kommunikation Anfragen an
diese gesendet haben.
Beim Senden des Zertifikats kann auch die Zertifizierungsstelle, die das Zertifikat ausgestellt hat,
gesendet werden. Entsprechend gibt es ein Modul zum Senden eines Zertifikats mit und ein
anderes Modul zum Senden eines Zertifikats ohne dessen Zertifizierungsstelle.
Der Regelsatz „SSL Scanner“ des Standardsystems verwendet die Methode zum Senden eines
Zertifikats mit dessen Zertifizierungsstelle.
Nach der Ersteinrichtung ist eine Standard-Zertifizierungsstelle zur Verwendung verfügbar. Es wird
jedoch empfohlen, zur weiteren Verwendung eine eigene Zertifizierungsstelle anzugeben.
•
Zertifikatskette: Ist für das Erstellen einer Zertifikatskette zuständig.
Beim Erstellen der Kette verwendet das Modul eine Liste mit Zertifizierungsstellen für die
Zertifikate, die in der Kette enthalten sind. Sie können bestehenden Listen Zertifizierungsstellen
hinzufügen und auch neue Listen hinzufügen.
Konfigurieren des SSL-Scans
Sie können SSL-Scans konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks
anzupassen.
314
Produkthandbuch
9
Web-Filterung
SSL-Scans
Vorgehensweise
1
Aktivieren Sie den Regelsatz für SSL-Scans, und überprüfen Sie die Regeln in diesem Regelsatz.
Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner.
2
•
Ersetzen Sie die standardmäßige Stamm-Zertifizierungsstelle (CA) zum Signieren von
Zertifikaten, welche die Appliance an ihre Clients sendet, durch eine eigene Zertifizierungsstelle.
Hierbei kann es sich um eine Zertifizierungsstelle handeln, die Sie selbst auf der
Benutzeroberfläche erstellen, oder um eine Zertifizierungsstelle, die Sie aus dem Dateisystem
importieren.
•
•
Aktivieren oder deaktivieren Sie Whitelist-Regeln, beispielsweise:
•
Die Standardregel zum Überspringen der Verifizierung von Zertifikaten, wenn sich ein von
einem Client gesendetes Zertifikat in einer Whitelist befindet
•
Die Standardregel zum Überspringen der Inhaltsüberprüfung, wenn sich der Host einer
angeforderten URL in einer Whitelist befindet
Bearbeiten Sie die von den Whitelist-Regeln verwendeten Listen.
3
•
Erstellen Sie eigene Whitelists und legen Sie deren Verwendung durch die Whitelist-Regeln fest.
•
Ändern Sie die Einstellungen der am SSL-Scan beteiligten Module.
•
Modul „SSL Scanner“
•
Modul „SSL Client Context“
•
Modul „Certificate Chain“
Konfigurieren der Module für SSL-Scans
Sie können die Module für SSL-Scans konfigurieren, um zu ändern, auf welche Weise der
SSL-gesicherte Web-Datenverkehr verarbeitet wird.
Die folgenden Module sind am SSL-Scannen beteiligt und können konfiguriert werden:
•
Modul „SSL Scanner“
•
Modul „SSL Client Context“
•
Modul „Certificate Chain“
Vorgehensweise
1
2
Suchen Sie in der Regelsatz-Baumstruktur den Regelsatz für SSL-Scans.
Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner.
Produkthandbuch
315
9
Web-Filterung
SSL-Scans
3
Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz aus, der die Regel mit
den Einstellungen für das zu konfigurierende Modul enthält.
Wenn Sie beispielsweise das SSL Scanner-Modul konfigurieren möchten, erweitern Sie den
untergeordneten Regelsatz Handle CONNECT Call. Dieser enthält standardmäßig die Regel Enable
certificate verification mit den Einstellungen Default certificate verification für das Modul „SSL
Scanner“.
Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
4
5
Suchen Sie nach der Regel mit den Einstellungen für das Modul, das konfiguriert werden soll.
Dies könnte beispielsweise die oben genannte Regel Enable certificate verification handeln.
6
Klicken Sie in der Regel auf einen Einstellungsnamen.
Klicken Sie z. B. im Regelereignis von Enable certificate verification auf Default certificate
verification.
für ein Modul, beispielsweise das Modul „SSL Scanner“.
7
8
9
Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle
Sie können die nach der Erstkonfiguration bereitgestellte standardmäßige Stamm-Zertifizierungsstelle,
mit der die von der Appliance an ihre Clients gesendeten Zertifikate signiert werden, durch eine eigene
Zertifizierungsstelle ersetzen.
Sie können eine neue Stamm-Zertifizierungsstelle auf der Benutzeroberfläche erstellen oder eine
Stamm-Zertifizierungsstelle aus dem Dateisystem importieren.
Aufgaben
•
Erstellen einer Stamm-Zertifizierungsstelle auf Seite 316
Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene
Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate erstellen, welche die
Appliance an ihre Clients sendet.
•
Importieren einer Stamm-Zertifizierungsstelle auf Seite 317
Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate
importieren, die die Appliance an ihre Clients sendet und diese anstelle der
standardmäßigen Zertifizierungsstelle verwenden.
Erstellen einer Stamm-Zertifizierungsstelle
Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene Stamm-Zertifizierungsstelle
(CA) zum Signieren der Zertifikate erstellen, welche die Appliance an ihre Clients sendet.
Vorgehensweise
316
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur SSL Client Context with CA
(SSL-Client-Kontext mit CA), und wählen Sie die Einstellungen aus, für die die neue
Zertifizierungsstelle verwendet werden soll.
Produkthandbuch
9
Web-Filterung
SSL-Scans
3
Klicken Sie auf Generate New (Neu erstellen).
Daraufhin öffnet sich das Fenster Generate New Certificate Authority (Neue Zertifizierungsstelle erstellen).
4
Geben Sie in den Feldern Organization (Unternehmen) und Locality (Ort) entsprechende Informationen
zu Ihrer Zertifizierungsstelle ein.
5
[Optional] Geben Sie in den Feldern Organizational unit (Organisationseinheit) und State (Bundesland)
entsprechende Informationen ein. Wählen Sie in der Liste Country (Land) ein Land aus.
6
Geben Sie im Feld Common name (Allgemeiner Name) für Ihre Zertifizierungsstelle einen allgemeinen
Namen ein.
7
[Optional] Geben Sie im Feld Email address (E-Mail-Adresse) für Ihr Unternehmen eine E-Mail-Adresse
ein.
8
Wählen Sie aus der Liste Valid for (Gültigkeitsdauer) den Zeitraum aus, für den Ihre
Zertifizierungsstelle gültig sein soll.
9
Zertifizierungsstelle ein.
Daraufhin wird die neue Zertifizierungsstelle erstellt.
Importieren einer Stamm-Zertifizierungsstelle
Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate importieren, die die
Appliance an ihre Clients sendet und diese anstelle der standardmäßigen Zertifizierungsstelle
verwenden.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur SSL Client Context with CA (SSL-Client-Kontext mit
Zertifizierungsstelle) aus, und klicken Sie auf die Einstellungen, für die die importierte
Zertifizierungsstelle verwendet werden soll.
3
Daraufhin öffnet sich das Fenster Import Certificate Authority (Zertifizierungsstelle importieren).
4
Geben Sie im Feld Certificate (Zertifikat) den Namen der Zertifizierungsstellen-Datei ein, indem Sie
auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format (Privacy-Enhanced Mail) codiert sein.
5
Geben Sie im Feld Private key (Privater Schlüssel) den Namen der Zertifikatsschlüsseldatei ein, indem
Sie auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format codiert sein. Der Schlüssel muss eine Mindestlänge von 2.048 Bit
aufweisen.
6
[Bedingt] Wenn der private Schlüssel durch ein Kennwort geschützt ist, geben Sie dieses im Feld
Password (Kennwort) ein.
Hier können nur unverschlüsselte Schlüssel und Schlüssel mit AES-128-Bit-Verschlüsselung
verwendet werden.
Produkthandbuch
317
9
Web-Filterung
SSL-Scans
7
[Bedingt] Wenn die Zertifizierungsstelle Teil einer Zertifikatskette ist und Sie zusammen mit dem
Zertifikat Informationen zu dieser Kette angeben möchten, geben Sie den Namen der Datei mit
diesen Informationen im Feld Certificate chain (Zertifikatskette) ein, indem Sie auf Browse
(Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format codiert sein.
8
Klicken Sie auf OK.
Die Zertifizierungsstelle wird nun importiert.
9
Liste der Client-Zertifikate
Bei der Liste der Client-Zertifikate handelt es sich um eine Zertifikatsliste, die an einen Web-Server
gesendet werden kann, wenn eine SSL-gesicherte Client-Anfrage von einer Appliance empfangen und
an den entsprechenden Web-Server weitergeleitet wird.
Das Zertifikat wird gesendet, wenn der Web-Server es bei dem ersten und den anschließenden
Handshakes, wenn die SSL-Neuaushandlung durchgeführt wird, anfordert.
Ein Regelereignis weist die Appliance an, ein Client-Zertifikat für die Kommunikation mit dem
Web-Server zu verwenden. Das Zertifikat kann dann aus der Liste der Client-Zertifikate ausgewählt
werden.
In diesem Fall muss der private Schlüssel für das Zertifikat von dem Client bereitgestellt werden, der
die Anfrage gesendet hat.
Alternativ kann ein vorkonfiguriertes Zertifikat verwendet werden, das immer an den Web-Server
gesendet wird.
Das Regelereignis, das die Verwendung eines Zertifikats aus der Liste der Client-Zertifikate auslöst,
kann zu Regeln gehören, die für CONNECT-Anfragen gelten (auch in transparenten Einrichtungen),
oder zu Regeln in Regelsätzen für die Zertifikatverifizierung, die in ihren Kriterien CERTVERIFY als Wert
für die Command.Name-Eigenschaft haben.
Sie können Einstellungen für das Regelereignis konfigurieren, beispielsweise eine Liste der
Client-Zertifikate und die Anweisungen zu deren Verwendung. Die Einstellungen können auch
angeben, dass der private Schlüssel für die Zertifikate, die durch die Clients der Appliance
bereitgestellt werden, unverschlüsselt gespeichert wird.
Erstellen einer Liste mit Client-Zertifikaten
Sie können eine Liste mit Client-Zertifikaten erstellen, die dann im Rahmen der SSL-gesicherten
Kommunikation an Web-Server gesendet werden kann.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur SSL Client Certificate Handling (SSL-Client-Zertifikate
verwalten) aus, und klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen, in dem die Registerkarte
Add Settings (Einstellungen hinzufügen) ausgewählt ist.
318
Produkthandbuch
9
Web-Filterung
SSL-Scans
3
Konfigurieren Sie die Parameter für allgemeine Einstellungen.
a
Geben Sie im Feld Name einen Namen für die Einstellungen ein.
b
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu
den Einstellungen ein.
c
welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen
möchten.
4
Überprüfen Sie, ob die Option Use client certificate from Known client certificates list if client has proven ownership
(Client-Zertifikat aus Liste der bekannten Client-Zertifikate verwenden, wenn Nachweis des
Eigentums durch Client erfolgt ist) unter Client Certificate Handling (Client-Zertifikate verwalten)
ausgewählt ist.
5
Klicken Sie auf der Symbolleiste der Liste Known client certificates (Bekannte Client-Zertifikate) auf Add
(Hinzufügen).
Daraufhin öffnet sich das Fenster Add Client Certificate (Client-Zertifikat hinzufügen).
6
Klicken Sie zum Importieren eines Client-Zertifikats auf Import (Importieren).
Daraufhin öffnet sich das Fenster Import Client Certificate (Client-Zertifikat importieren).
7
Importieren Sie nun ein Client-Zertifikat.
a
Klicken Sie neben dem Feld Certificate (Zertifikat) auf Browse (Durchsuchen), navigieren Sie im
daraufhin geöffneten lokalen Datei-Manager zu einer passenden Zertifikatsdatei, und wählen Sie
diese aus.
Der Datei-Manager wird geschlossen, und der Name der Zertifikatsdatei wird nun in der Liste
angezeigt.
b
Klicken Sie neben dem Feld Private key (Privater Schlüssel) auf Browse (Durchsuchen), navigieren
Sie im daraufhin geöffneten lokalen Datei-Manager zu einer passenden Schlüsseldatei, und
wählen Sie diese aus.
Der Datei-Manager wird geschlossen, und Name und Kennwort der Schlüsseldatei werden nun in
den Feldern Private key (Privater Schlüssel) bzw. Password (Kennwort) angezeigt.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Informationen zur Zertifikatsdatei werden im Fenster
Import Client Certificate (Client-Zertifikat importieren) angezeigt.
d
8
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zum
Zertifikat ein.
Klicken Sie auf OK.
Das Fenster Add Client Certificate (Client-Zertifikat hinzufügen) wird geschlossen, und der Name der
Zertifikatsdatei sowie der Kommentar (falls vorhanden) werden in der Liste Known client certificates
(bekannte Client-Zertifikate) angezeigt.
Wiederholen Sie die Schritte 5 bis 8 für jedes weitere Zertifikat, das Sie zur Liste hinzufügen
möchten.
9
Klicken Sie auf OK, um das Fenster Add Settings (Einstellungen hinzufügen) zu schließen.
Produkthandbuch
319
9
Web-Filterung
SSL-Scans
Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten
Mit den Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten werden Client-Zertifikate
konfiguriert, die in einer SSL-gesicherten Kommunikation an Web-Server gesendet werden.
Verarbeitung von SSL-Client-Zertifikaten
Einstellungen zum Konfigurieren von SSL-Client-Zertifikaten
Tabelle 9-24 Verarbeitung von SSL-Client-Zertifikaten
Option
Definition
Use client certificate from Known
client certificates list if client has
proven ownership (Client-Zertifikat aus
Liste bekannter Zertifikate verwenden,
wenn Client bewährten Besitz hat)
Bei Auswahl dieser Option wird das Client-Zertifikat, das in einer
SSL-gesicherten Kommunikation an einen Web-Server gesendet wird,
der Liste bekannter Client-Zertifikate entnommen.
Das Zertifikat wird jedoch nur dann dieser Liste entnommen, wenn
sichergestellt wurde, dass der Client, dessen Anfrage die Appliance
an einen Server weiterleitet, der Besitzer dieses Zertifikats ist.
Nach der Auswahl dieses Optionsfelds wird der Bereich Known Client
Certificates (Bekannte Client-Zertifikate) mit Einstellungen zum
Konfigurieren einer Liste mit Zertifikaten angezeigt.
Always use predefined client
certificate (Immer vordefiniertes
Client-Zertifikat verwenden)
Bei Auswahl dieser Option wird immer dasselbe Client-Zertifikat an
einen Web-Server in einer SSL-gesicherten Kommunikation gesendet.
Nach der Auswahl dieses Optionsfelds wird der Bereich Predefined Client
Certificate (Vordefiniertes Client-Zertifikat) mit Einstellungen zum
Konfigurieren eines einzelnen Zertifikats angezeigt
Known client certificates (Bekannte Client-Zertifikate)
Einstellungen zur Konfiguration einer Liste bekannter Client-Zertifikate, die an einen Web-Server
gesendet werden können
Tabelle 9-25 Known client certificates (Bekannte Client-Zertifikate)
Option
Definition
List of known client certificates (Liste
bekannter Client-Zertifikate)
Bietet eine Liste mit Client-Zertifikaten, die an einen
Web-Server in einer SSL-gesicherten Kommunikation
gesendet werden können.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Liste bekannter Client-Zertifikate
erläutert.
Tabelle 9-26 Known client certificates (Bekannte Client-Zertifikate) – Listeneintrag
Option
Definition
Certificate (Zertifikat)
Gibt den Namen eines Client-Zertifikats an.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Zertifikat.
Predefined client certificate (Vordefiniertes Client-Zertifikat)
Einstellungen zum Konfigurieren eines Client-Zertifikats, das immer an einen Web-Server gesendet
wird
320
Produkthandbuch
9
Web-Filterung
SSL-Scans
Tabelle 9-27 Predefined client certificate (Vordefiniertes Client-Zertifikat)
Option
Definition
Subject, Issuer, Validity, Extensions
Bietet Informationen zum Client-Zertifikat, das derzeit zum Senden
(Inhaber, Aussteller, Gültigkeit, an einen Web-Server verwendet wird.
Erweiterungen)
Öffnet das Fenster Import Client Certificate (Client-Zertifikat importieren)
zum Importieren eines Client-Zertifikats.
Nach dem Import werden Informationen zum Client-Zertifikat unter
Subject (Inhaber), Issuer (Aussteller) sowie in den anderen
Informationsfeldern angezeigt.
Öffnet den lokalen Datei-Manager, um ein Client-Zertifikat an einem
passenden Ort zu speichern.
Export Key (Schlüssel exportieren)
Öffnet den lokalen Datei-Manager, um den privaten Schlüssel für ein
Client-Zertifikat an einem passenden Ort zu speichern.
Certificate Chain (Zertifikatskette)
Zeigt eine Zertifikatskette an, sofern eine mit einem Client-Zertifikat
importiert wurde.
Einstellungen für „SSL Scanner“
Mit den SSL-Einstellungen für „SSL Scanner“ wird konfiguriert, wie Zertifikate verifiziert und die
Inhaltsüberprüfung für SSL-gesicherten Web-Datenverkehr aktiviert wird.
Enable SSL Scanner (SSL Scanner aktivieren)
Einstellungen zum Konfigurieren der Zertifkatsverifizierung oder der Aktivierung der
Inhaltsüberprüfung
Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren)
Option
Definition
SSL scanner function
(SSL Scanner-Funktion)
Hiermit wird die vom Modul „SSL Scanner“ ausgeführte Funktion
ausgewählt.
• Certificate verification (Zertifikatverifizierung): Bei Auswahl dieser
Option verifiziert das Modul Zertifikate, die in der
SSL-gesicherten Kommunikation eingereicht wurden.
• SSL inspection (SSL-Prüfung): Bei Auswahl dieser Option überprüft
das Modul den Inhalt der in einer SSL-gesicherten
Kommunikation übertragenen Web-Objekte.
SSL protocol version
(SSL-Protokollversion)
Bei Auswahl dieser Option überprüft das Modul den Inhalt der in
einer SSL-gesicherten Kommunikation übertragenen Web-Objekte.
• TLS 1.0: Bei Auswahl dieser Option wird TLS (Transport Layer
Security), Version 1.0, verwendet.
• SSL 3.0: Bei Auswahl dieser Option wird SSL, Version 3.0,
verwendet.
Server cipher list
(Server-Verschlüsselungsliste)
Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum
Entschlüsseln von Server-Daten verwendet werden.
Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen
für die Standard-Zertifikatverifizierung und zum Verifizieren von
Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral
Diffie-Hellman) nicht unterstützt wird.
Produkthandbuch
321
9
Web-Filterung
SSL-Scans
Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren) (Fortsetzung)
Option
Definition
SSL session cache TTL
(SSL-Sitzungs-Cache TTL)
Gibt den Zeitraum (in Sekunden) vor, den die Parameterwerte
einer Sitzung in der SSL-gesicherten Kommunikation im Cache
gespeichert werden.
Allow handshake and renegotiation with
servers that do not implement RFC 5746
(Handshake und Neuaushandlung mit
Servern zulassen, die RFC 5746 nicht
implementieren)
Bei Auswahl dieser Option führt das Modul „SSL Scanner“ diese
Aktivitäten auch bei der Kommunikation mit Web-Servern aus, die
den festgelegten Standard nicht erfüllen.
Zulassen alternativer Handshakes
Einstellungen für Handshakes in der SSL-gesicherten Kommunikation, die alternative Parameterwerte
verwenden
Tabelle 9-29 Zulassen alternativer Handshakes
Option
Definition
Use alternative handshake settings after
handshake failure (Alternative
Handshake-Einstellungen nach
Handshake-Fehler verwenden)
Bei Auswahl dieser Option verwendet das SSL Scanner-Modul
alternative Parameterwerte, nachdem beim ersten Versuch der
Durchführung eines Handshakes in einer SSL-gesicherten
Kommunikation ein Fehler aufgetreten ist.
Wählt die Version des Protokolls, dem das SSL Scanner-Modul bei
der Durchführung eines alternativen Handshakes folgt.
Security), Version 1.0, verwendet
verwendet
Server cipher list
(Server-Verschlüsselungsliste)
Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum
Entschlüsseln von Server-Daten verwendet werden.
Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen
für die Standard-Zertifikatverifizierung und zum Verifizieren von
Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral
Diffie-Hellman) nicht unterstützt wird.
Einstellungen für SSL-Client-Kontext
Die Einstellungen für den SSL-Client-Kontext werden für das Modul verwendet, das die Zertifikate
verarbeitet, die die Appliance an ihre Clients sendet.
Definieren des SSL-Client-Kontexts
Einstellungen für das Zertifikat, das die Appliance an ihre Clients sendet
322
Produkthandbuch
9
Web-Filterung
SSL-Scans
Tabelle 9-30 Aktivieren des SSL-Scanners
Option
Definition
(Current root certificate
authority) (Aktuelle
Root-Zertifizierungsstelle)
Bietet Informationen zur Root-Zertifizierungsstelle, die derzeit auf
der Appliance verwendet wird.
Send certificate chain (Zertifikatskette
senden)
Nach der Ersteinrichtung wird eine
Standard-Root-Zertifizierungsstelle auf der Appliance implementiert.
Zur weiteren Administration wird empfohlen, eine eigene
Root-Zertifizierungsstelle zu erstellen. Verwenden Sie zum Erstellen
dieser Zertifizierungsstelle die Schaltfläche Generate New (Neu
generieren).
Bei Auswahl dieser Option sendet die Appliance Informationen zur
Kette der Zertifikate, die an der Bestätigung des Zertifikats beteiligt
sind, das die Appliance an ihre Clients sendet.
Bei dem Zertifikat, das die Appliance als Server an ihre Clients
sendet, wird davon ausgegangen, dass es sich auf Stufe 0 befindet.
Wenn eine Zertifizierungsstelle dieses Server-Zertifikat zur
Bestätigung signiert, erfolgt dies auf Stufe 1.
Wenn eine zusätzliche Zertifizierungsstelle die erste
Zertifizierungsstelle validiert, erfolgt dies auf Stufe 2. Die Stufe
erhöht sich mit jeder zusätzlichen beteiligten Zertifizierungsstelle
um den Wert 1.
Bietet Informationen zu einer Zertifikatskette.
Nach dem Importieren einer vorhandenen Zertifizierungsstelle, die
an einer Zertifikatskette beteiligt ist, werden die Informationen zu
dieser Zertifikatskette im Feld angezeigt.
Perform insecure renegotations
(Durchführen unsicherer
Neuaushandlungen)
Bei Auswahl dieser Option handelt das Modul die Parameter für die
SSL-gesicherte Kommunikation auch dann neu aus, wenn dies
eigentlich unsicher ist.
Client cipher list
(Client-Verschlüsselungslisten)
Gibt eine Zeichenfolge aus Open SSL-Symbolen an, die zum
Entschlüsseln von Client-Daten verwendet werden.
SSL session cache TTL
(SSL-Sitzungs-Cache TTL)
Gibt den Zeitraum (in Sekunden) vor, den die im Cache
gespeicherten Parameterwerte einer Sitzung in der SSL-gesicherten
Kommunikation beibehalten werden.
Wählt die Version des Protokolls aus, dem das SSL Scanner-Modul
bei der Durchführung eines Handshakes folgt.
Security), Version 1.0, verwendet
verwendet
Einstellungen für die Zertifikatskette
Mit den Einstellungen für die Zertifikatskette wird das Modul konfiguriert, das für die Erstellung von
Zertifikatsketten zuständig ist.
Zertifikatsverifizierung
Einstellungen zum Erstellen einer Zertifikatskette
Produkthandbuch
323
9
Web-Filterung
SSL-Scans
Tabelle 9-31 Zertifikatsverifizierung
Option
Definition
Hier können Sie aus einer Liste eine Zertifizierungsstelle
auswählen, die die Zertifikate in einer Zertifikatskette
signiert.
In der folgenden Tabelle werden die Elemente eines Eintrags in dieser Liste erläutert.
Tabelle 9-32 Liste der Zertifizierungsstellen
Option
Definition
Certificate authority (Zertifizierungsstelle)
Gibt den Namen einer Zertifizierungsstelle an.
Certificate revocation list
(Zertifikatsperrliste)
Gibt die Liste, die Informationen zum Gültigkeitsende eines von
dieser Zertifizierungsstelle signierten Zertifikats enthält, und die
für den Zugriff auf die Liste verwendete URI an.
Trusted (Vertrauenswürdig)
Bei Auswahl dieser Option gilt die Zertifizierungsstelle auf der
Appliance als vertrauenswürdig.
Comment (Kommentar)
Kommentar zu einer Zertifizierungsstelle im Nur-Text-Format.
SSL Scanner (Regelsatz)
Der Regelsatz SSL Scanner ist der Standard-Regelsatz für das SSL-Scannen.
Standard-Regelsatz – SSL Scanner
Criteria – Always
• Handle CONNECT Call
• Certificate Verification
• Verify Common Name (proxy setup)
• Content Inspection
• Verify Common Name (transparent setup)
Handle CONNECT Call
Dieser untergeordnete Regelsatz behandelt den CONNECT-Aufruf in SSL-gesicherter Kommunikation
und aktiviert die Zertifikatsüberprüfung.
Untergeordneter Bibliotheks-Regelsatz – Handle CONNECT Call
Criteria – Command.Name equals “CONNECT”
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn auf der Appliance eine
Anfrage eingeht, die den CONNECT-Befehl enthält. Dieser wird in der Eröffnungsphase der
SSL-gesicherten Kommunikation gesendet.
Set client context
Always –> Continue – Enable SSL Client Context with CA <Default CA>
Die Regel aktiviert die Verwendung eines Server-Zertifikats, das an einen Client gesendet wird.
324
Produkthandbuch
Web-Filterung
SSL-Scans
9
Als standardmäßiger Aussteller des Zertifikats ist in den Ereigniseinstellungen die Zertifizierungsstelle
für McAfee Web Gateway-Stammzertifikate angegeben, die nach der Erstkonfiguration auf der
Appliance implementiert wurde.
Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird.
Tunneled hosts
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
Mit dieser Regel können Anfragen das SSL-Scannen umgehen, die Zugriff auf Hosts mit einer URL
anfordern, die in der angegebenen Whitelist aufgeführt ist.
Restrict destination ports to Allowed CONNECT Ports
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
Die Regel blockiert Anfragen mit Ziel-Ports, die nicht in der Liste der zulässigen CONNECT-Ports
aufgeführt sind.
erhält.
Enable certificate verification without EDH for hosts in no-EDH server list
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
Die Regel aktiviert die Zertifikatsüberprüfung für Anfragen, die von einem Host gesendet wurden, der
in der Liste der Server ohne Diffie-Helman-Schlüsselaustausch (EDH) aufgeführt ist.
erhält.
In den Ereigniseinstellungen ist festgelegt, dass das SSL-Scan-Modul im Überprüfungsmodus
ausgeführt wird. Außerdem ist dort eine spezielle Verschlüsselungszeichenfolge für die
Datenverschlüsselung auf Hosts ohne Diffie-Helman-Schlüsselaustausch angegeben.
Enable certificate verification
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
Die Regel aktiviert die Zertifikatsüberprüfung.
Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Überprüfungsmodus ausgeführt
wird.
Certificate Verification
Dieser untergeordnete Regelsatz behandelt den CERTVERIFY-Aufruf in SSL-gesicherter
Kommunikation. Entsprechend bestimmter Kriterien lässt er in der Whitelist enthaltene Zertifikate die
Überprüfung umgehen, blockiert jedoch andere Zertifikate.
Untergeordneter Bibliotheks-Regelsatz – Certificate Verification
Criteria – Command.Name equals “CERTVERIFY*
Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung
eines Zertifikats gesendet.
Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz:
•
Verify Common Name (proxy setup)
Produkthandbuch
325
9
Web-Filterung
SSL-Scans
Skip verification for certificates found in Certificate Whitelist
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
Die Regel lässt in der Whitelist enthaltene Zertifikate die Überprüfung umgehen.
Block self-signed certificates
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
Die Regel blockiert Anfragen mit selbstsignierten Zertifikaten.
erhält.
Block expired server (7 day tolerance) and expired CA certificates
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate incident>
Die Regel blockiert Anfragen mit abgelaufenen und CA-Zertifikaten.
erhält.
Block too long certificate chains
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
Die Regel blockiert eine Zertifikatskette, wenn diese die Pfadlänge überschreitet.
Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle
überprüft.
erhält.
Block revoked certificates
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn eines der enthaltenen Zertifikate widerrufen wurde.
überprüft.
erhält.
Block unknown certificate authorities
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn keine der Zertifizierungsstellen, die die enthaltenen
Zertifikate ausgestellt haben, bekannt ist.
überprüft.
erhält.
Block untrusted certificate authorities
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn die erste bekannte Zertifizierungsstelle, die gefunden
wurde, nicht als vertrauenswürdig eingestuft ist.
326
Produkthandbuch
9
Web-Filterung
SSL-Scans
überprüft.
erhält.
Verify Common Name (proxy setup)
Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen.
Der Regelsatz wird bei Anfragen angewendet, die im Modus „expliziter Proxy“ gesendet wurden.
Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (proxy setup)
Criteria – Connection.SSL.TransparentCNHandling equals false
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit
SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens
nicht im transparenten Modus ausgeführt wird.
Allow matching hostname
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im
Zertifikat übereinstimmt.
Allow wildcard certificates
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden
allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen.
Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host
übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt.
Allow alternative common names
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten,
sofern mindestens einer dieser Namen mit dem Host übereinstimmt.
Block incident
Always –> Block <Common name mismatch>
Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert
diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt.
erhält.
Content Inspection
Dieser untergeordnete Regelsatz schließt die Behandlung eines CERTVERIFY-Aufrufs ab. Entsprechend
bestimmter Kriterien lässt er manche Anfragen die Inhaltsprüfung umgehen, aktiviert diese Prüfung
jedoch für alle anderen.
Produkthandbuch
327
9
Web-Filterung
SSL-Scans
Untergeordneter Bibliotheks-Regelsatz – Content Inspection
Criteria – Command.Name equals “CERTVERIFY*
Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung
eines Zertifikats gesendet.
Skip content inspection for hosts found in SSL Inspection Whitelist
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection Whitelist –>
Stop Rule Set
Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn diese an Hosts gesendet wurden, die in
der Whitelist enthalten sind. Angewendet wird diese Regel nur im nicht-transparenten Modus.
Skip content inspection for CN found in SSL Inspection Whitelist
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL Inspection
Whitelist –> Stop Rule Set
Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn deren Zertifikate in der Whitelist
enthaltene allgemeine Namen aufweisen. Angewendet wird diese Regel nur im transparenten Modus.
Die Regel ist anfänglich nicht aktiviert.
Do not inspect connections with client certificates
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
Die Regel lässt Anfragen die Prüfung umgehen, wenn für diese Anfragen die Nutzung von
Client-Zertifikaten erforderlich ist.
Die Regel ist anfänglich nicht aktiviert.
Enable content inspection
Always –> Continue – Enable SSL Scanner<Enable content inspection>
Die Regel aktiviert die Inhaltsprüfung.
Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Prüfmodus ausgeführt wird.
Wenn mindestens eine der Regeln zum Umgehen der Inhaltsprüfung zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und diese (letzte) Regel zur Aktivierung der Prüfung wird nicht verarbeitet.
Andernfalls aktiviert diese Regel die Inhaltsprüfung.
Verify Common Name (transparent setup)
Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen.
Der Regelsatz wird nur bei Anfragen angewendet, die im transparenten Modus gesendet wurden.
Bei Anfragen, die im Modus „expliziter Proxy“ gesendet wurden, wird der mit dem allgemeinen Namen
zu vergleichende Host-Name aus der von einem Client gesendeten CONNECT-Anfrage entnommen.
Da im transparenten Modus keine CONNECT-Anfragen gesendet werden, wird der Host-Name in
diesem Fall der vom Client gesendeten Anfrage für den Web-Zugriff entnommen.
Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (transparent setup)
Criteria – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not equal “
CONNECT” AND Command.Name does not equal “CERTVERIFY”
328
Produkthandbuch
9
Web-Filterung
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit
SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens
im transparenten Modus ausgeführt wird.
Allow matching hostname
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im
Zertifikat übereinstimmt.
Allow wildcard certificates
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden
allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen.
Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host
übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt.
Allow alternative common names
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten,
sofern mindestens einer dieser Namen mit dem Host übereinstimmt.
Block incident
Always –> Block <Common name mismatch>
Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert
diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt.
erhält.
Der Einsatz eines Hardware Security Module (HSM) erhöht die Sicherheit beim Verarbeiten der
privaten Schlüssel für die Zertifikate, die im Rahmen der SSL-gesicherten Kommunikation an Server
und Clients gesendet werden.
Inhalt
Speichern privater Schlüssel auf einem Hardware Security Module
Verwenden eines Hardware Security Module zur Schlüsselverarbeitung
Installieren der Treiber für das Hardware Security Module
Aktivieren der Nutzung des HSM-Agenten
Einstellungen für das Hardware Security Module
Hinzufügen der ID eines privaten Schlüssels
Entsperren privater Schlüssel
Verwenden eines privaten Schlüssels zum Konfigurieren eines Zertifikats
Produkthandbuch
329
9
Web-Filterung
Speichern privater Schlüssel auf einem Hardware Security
Module
Private Schlüssel werden benötigt, wenn in einer SSL-gesicherten Kommunikation Zertifikate
verwendet werden. Um die Sicherheit bei der Schlüsselverarbeitung zu erhöhen, können diese
Schlüssel auf einer separaten Hardware-Komponente gespeichert werden, dem Hardware Security
Module (HSM).
Durch das Speichern privater Schlüssel auf einer separaten Hardware-Komponente können Sie mit
diesen Schlüsseln arbeiten, ohne sie offenzulegen. Wenn diese zur Konfiguration eines Zertifikats und
zur Aktivierung der Verwendung benötigt werden, werden sie anhand ihrer IDs (auch Schlüsselnamen
genannt) referenziert, während die eigentlichen Schlüssel geschützt auf der Hardware-Komponente
verbleiben.
Alle Kryptografievorgänge, die für die Verwendung eines privaten Schlüssels zur Aktivierung der
Verwendung eines Zertifikats benötigt werden, werden auf der Hardware-Komponente ausgeführt.
Diese Methode der Schlüsselverarbeitung erhöht die Sicherheit im Vergleich zur alternativen Methode,
bei der ein privater Schlüssel aus einer Datei importiert wird, die geöffnet und gelesen werden kann.
Private Schlüssel werden auf der Hardware-Komponente generiert oder in diese importiert. Sie werden
geladen, damit sie zur Konfiguration und Verwendung von Zertifikaten durch den HSM-Agenten
verfügbar sind, der zu Web Gateway gehört.
Zum Generieren privater Schlüssel gehört normalerweise auch die Verwendung von Kennwörtern oder
eines OCS für zusätzliche Schlüsselsicherheit. Private Schlüssel können jedoch auch ohne diese
zusätzlichen Optionen generiert werden.
Bevor der HSM-Agent einen privaten Schlüssel laden kann, müssen Sie dem Agenten die Schlüssel-ID
durch die Eingabe in eine Liste auf der Benutzeroberfläche von Web Gateway mitgeteilt haben. Wenn
der Schlüssel durch ein Kennwort oder OCS geschützt ist, müssen Sie den Schlüssel auch entsperren.
Dies erfolgt auf der Hardware-Komponente.
Beim Konfigurieren der Einstellungen für das Importieren eines Zertifikats bietet ein Importfenster auf
der Benutzeroberfläche Optionen zur Angabe des privaten Schlüsseln, der zur Aktivierung der
Verwendung des Zertifikats benötigt wird.
Sie können einen Schlüssel importieren, der in einer Datei gespeichert ist, oder über die Schlüssel-ID
auf einen Schlüssel auf der Hardware-Komponente verweisen. Um auf einen Schlüssel zu verweisen,
müssen Sie eine Schlüssel-ID in der von Ihnen konfigurierten Liste auswählen.
Installation und Zugriff auf ein Hardware Security Module
Ein Hardware Security Module wird auf einer PCI-Karte zur Verfügung gestellt, die zusammen mit den
entsprechenden Treibern auf einer Appliance installiert wird, auf der Web Gateway ausgeführt wird.
Wenn die Modulkarte installiert ist, können Sie auf das Modul zugreifen, indem Sie sich mithilfe von
SSH über eine Systemkonsole auf der Appliance anmelden. Um auf dem Modul Aktivitäten
auszuführen, z. B. private Schlüssel generieren oder entsperren, geben Sie entsprechende Befehle in
der Befehlszeile ein.
Weitere Informationen zum Installieren einer Hardware Security Module-Karte und zum Ausführen von
Aktivitäten auf dem Modul finden Sie in der Dokumentation des McAfee-Partners, der das Modul
bereitstellt (Thales).
Zuständigkeiten des Administrators bei der Schlüsselverarbeitung
Um die Sicherheit bei der Schlüsselverarbeitung zu erhöhen, können Administratoren verschiedene
Zuständigkeiten zugewiesen werden.
330
Produkthandbuch
9
Web-Filterung
Beispielsweise ist ein Administrator für das Generieren privater Schlüssel auf einem Hardware Security
Module zuständig, während der Web Gateway-Administrator mithilfe der Schlüssel Zertifikate auf der
Benutzeroberfläche von Web Gateway konfiguriert.
Dem Web Gateway-Administrator müssen dann die generierten Schlüssel-IDs und die
Schlüsselkennwörter bekannt sein, die für zusätzlichen Schutz festgelegt wurden.
Protokollieren der Vorgänge privater Schlüssel
Vorgänge für private Schlüssel, an denen ein Hardware Security Module beteiligt ist, werden auf
Web Gateway protokolliert und im Dashboard der Benutzeroberfläche unter SSL Scanner Statistics
(SSL-Scanner-Statistik) als Remote Private Key Operations (Remote-Vorgänge für private Schlüssel)
angezeigt.
Verwenden eines Hardware Security Module zur
Schlüsselverarbeitung
Führen Sie die folgenden allgemeinen Schritte aus, um ein Hardware Security Module zur Verarbeitung
privater Schlüssel zu verwenden.
Diese Schritte können auch von verschiedenen Administratoren ausgeführt werden.
Vorgehensweise
1
Bereiten Sie eine Appliance vor, auf der Web Gateway ausgeführt wird, um das Hardware Security
Module zu verwenden.
a
Installieren Sie die Karte des Hardware Security Module.
b
Installieren Sie die Treiber für das Hardware Security Module.
2
Generieren Sie private Schlüssel, oder importieren Sie diese auf das Hardware Security Module,
und merken Sie sich die Schlüssel-IDs.
3
Konfigurieren Sie die Verwendung des Hardware Security Module auf der Benutzeroberfläche von
Web Gateway.
a
Aktivieren Sie den HSM-Agenten.
b
Fügen Sie der Schlüssel-ID-Liste IDs privater Schlüssel hinzu.
4
Entsperren Sie die privaten Schlüssel (sofern sie durch ein Kennwort oder ein OCS geschützt sind),
die Sie für Zertifikate auf dem Hardware Security Module verwenden möchten.
5
Verweisen Sie beim Konfigurieren eines Zertifikats auf einen privaten Schlüssel auf der
Benutzeroberfläche von Web Gateway.
Installieren der Treiber für das Hardware Security Module
Die Treiber für das Hardware Security Module werden über eine Systemkonsole installiert.
Die Treiber werden in zwei Paketen bereitgestellt: nfast und nfast-python.
Vorgehensweise
1
Melden Sie sich von einer Systemkonsole aus über SSH bei der Appliance an.
2
Führen Sie den folgenden Befehl aus:
yum install nfast nfast-python
Daraufhin werden die Modultreiber auf der Appliance installiert. Anschließend können Sie die
Verwendung des HSM-Agenten aktivieren.
Produkthandbuch
331
9
Web-Filterung
Aktivieren der Nutzung des HSM-Agenten
Sie können die Nutzung des HSM-Agenten auf der Benutzeroberfläche von Web Gateway aktivieren
und somit private Schlüssel für das Konfigurieren und Verwenden von Zertifikaten verfügbar machen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie den HSM-Agenten
aktivieren möchten, und klicken Sie auf Hardware Security Module.
3
Wählen Sie HSM Agent (HSM-Agent) aus.
Nun ist die Liste der IDs privater Schlüssel verfügbar. Sie können Schlüssel-IDs zur Liste
hinzufügen oder daraus entfernen und auch die Namen der IDs bearbeiten.
4
Einstellungen für das Hardware Security Module
Mit den Einstellungen für das Hardware Security Module (HSM) wird der HSM-Agent so konfiguriert,
dass private Schlüssel vom Modul abgerufen und auf eine Web Gateway-Appliance geladen werden.
HSM-Agent
Einstellungen für den HSM-Agenten und private Schlüssel
Tabelle 9-33 HSM-Agent
Option
Definition
HSM Agent (HSM-Agent)
Bei Auswahl dieser Option ist der HSM-Agent aktiviert, sodass
private Schlüssel geladen werden können.
Keys to be loaded (Zu ladende Schlüssel) Stellt eine Liste für die Eingabe der zu ladenden privaten Schlüssel
bereit.
In der folgenden Tabelle wird ein Eintrag in der Liste der zu ladenden Schlüssel beschrieben.
Tabelle 9-34 Zu ladende Schlüssel – Listeneintrag
Option
Definition
String (Zeichenfolge)
Gibt einen privaten Schlüssel an.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem privaten Schlüssel.
Hinzufügen der ID eines privaten Schlüssels
Sie können auf der Benutzeroberfläche von Web Gateway die Schlüssel-ID eines privaten Schlüssels zu
einer Liste hinzufügen, wenn Sie diesen Schlüssel zum Konfigurieren und Verwenden von Zertifikaten
verfügbar machen möchten.
Vorgehensweise
332
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die ID eines privaten
Zertifikatsschlüssels hinzufügen möchten, und klicken Sie auf Hardware Security Module
(Hardware-Sicherheitsmodul).
3
Hierfür muss die Option HSM Agent (HSM-Agent) aktiviert sein.
Produkthandbuch
9
Web-Filterung
4
Klicken Sie oben in der Liste Keys to be loaded (Zu ladende Schlüssel) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add String (Zeichenfolge hinzufügen).
5
Fügen Sie einen Eintrag in die Liste ein.
a
Geben Sie in das Feld String (Zeichenfolge) die ID eines privaten Schlüssels ein, z. B.
rsa-customerkeyID3.
b
[Optional] Geben Sie in das Feld Comment (Kommentar) einen Kommentar zur Schlüssel-ID im
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Schlüssel-ID wird nun in der Liste angezeigt.
6
Entsperren privater Schlüssel
Entsperren Sie private Schlüssel, die durch ein Kennwort oder OCS auf dem Hardware Security Module
geschützt sind, um diese für die Konfiguration und Verwendung von Zertifikaten zur Verfügung zu
stellen.
Bevor Sie beginnen
Vergewissern Sie sich, dass alle zusätzlichen Informationen bereit liegen, die zum
Entsperren der Schlüssel benötigt werden, z. B. Kennwörter.
Vorgehensweise
1
Melden Sie sich auf einer Systemkonsole über SSH auf der Appliance mit dem Hardware Security
Module an, auf dem die zu entsperrenden privaten Schlüssel gespeichert sind.
2
Geben Sie in der Befehlszeile den Befehl /opt/mwg/bin/hsmagent -c ein.
3
Führen Sie in den sich öffnenden Fenstern die Schritte zum Entsperren der privaten Schlüssel
durch.
Die privaten Schlüssel stehen jetzt zum Konfigurieren und Verwenden von Zertifikaten zur Verfügung.
Verwenden eines privaten Schlüssels zum Konfigurieren eines
Zertifikats
Beim Konfigurieren der Einstellungen für das Importieren eines Zertifikats können Sie einen privaten
Schlüssel auf dem Hardware Security Module angeben, um die Verwendung des Zertifikats zu
aktivieren.
Bevor Sie beginnen
Sie müssen Folgendes durchgeführt haben:
•
Hinzufügen der Schlüssel-ID zur Liste auf der Benutzeroberfläche von Web Gateway.
•
Entsperren des privaten Schlüssels (wenn dieser durch ein Kennwort oder OCS
geschützt ist) auf dem Hardware Security Module.
Die Einstellungen zum Importieren eines Zertifikats werden in einem Importfenster auf der
Benutzeroberfläche von Web Gateway konfiguriert.
Der Name des Importfensters richten sich nach dem Typ des importierten Zertifikats.
Produkthandbuch
333
9
Web-Filterung
Vorgehensweise
1
Klicken Sie neben dem Feld Certificate (Zertifikat) des Importfensters auf Browse (Durchsuchen),
suchen Sie ein Zertifikat, und wählen Sie dieses aus.
Der Name des Zertifikats wird im Feld angezeigt, und auf das Feld Private key source (Quelle des
privaten Schlüssels) kann zugegriffen werden.
2
Wählen Sie HSM aus.
Die Liste der IDs privater Schlüssel wird angezeigt.
Zum Aktualisieren der Liste können Sie auf Refresh (Aktualisieren) klicken. Die Liste wird alle fünf
Minuten automatisch aktualisiert.
3
Wählen Sie eine Schlüssel-ID aus der Liste aus.
Die Liste wird ausgeblendet, und die Schlüssel-ID wird im Feld Private key source (Quelle des privaten
Schlüssels) angezeigt.
4
Konfigurieren Sie weitere Einstellungen zum Importieren des Zertifikats nach Bedarf.
5
Klicken Sie auf OK.
Das Zertifikat wird importiert und die Verwendung durch den von Ihnen konfigurierten privaten
Schlüssel aktiviert.
Nachdem ein Web-Objekt von Web Gateway auf Viren oder andere Malware gescannt wurde, können
Sie es zusätzlich vom Web-Sicherheitsprodukt McAfee Advanced Threat Defense (Advanced Threat
Defense) scannen lassen.
®
Advanced Threat Defense nutzt die sogenannte Sandboxing-Methode zum Scannen, bei der das
Verhalten eines bestimmten Web-Objekts zunächst in einer Testumgebung analysiert wird. Das
Scan-Ergebnis wird an Web Gateway übermittelt.
Der zusätzliche Scan-Vorgang durch Advanced Threat Defense wird auch als Offline-Scan oder
Hintergrund-Scan bezeichnet.
Sie können verschiedene Workflows konfigurieren.
•
Web-Objekt abhängig von Ergebnis des Zusatz-Scans weiterleiten: Wenn dieser Workflow
konfiguriert wurde, bestimmt das Ergebnis des zusätzlich von Advanced Threat Defense
durchgeführten Scans, ob ein Web-Objekt an den Benutzer weitergeleitet wird, der es angefordert
hat.
Es werden nur Web-Objekte weitergeleitet, die als sicher eingestuft wurden.
•
Web-Objekt vor Zusatz-Scan weiterleiten: Wenn dieser Workflow konfiguriert wurde, wird das
Web-Objekt an den Benutzer weitergeleitet, der es angefordert hat, bevor der Advanced Threat
Defense-Scan durchgeführt wird.
Sollte während des Scans festgestellt werden, dass das Web-Objekt infiziert ist, wird eine
Warnmeldung an den Administrator des Netzwerks gesendet, von dem der Benutzer die Anfrage
gestellt hat.
334
Produkthandbuch
9
Web-Filterung
Um die Verwendung von Advanced Threat Defense für einen dieser Workflows zu aktivieren, müssen
Sie geeignete Regeln in Web Gateway implementieren. Regelsätze, die solche Regeln enthalten,
können Sie aus der Regelsatz-Bibliothek importieren.
Für die Konfiguration von Advanced Threat Defense in Web Gateway stehen Ihnen folgende
Optionen zur Verfügung:
•
Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Verwendung von
Advanced Threat Defense aus der Bibliothek importiert und in der Baumstruktur auf
einen Regelsatz geklickt haben, können Sie die wichtigsten Elemente dieser Regeln für
den zusätzlichen Scan-Vorgang konfigurieren.
•
Vollständige Regeln: Nachdem Sie in der Schlüsselelement-Ansicht auf Unlock View
(Anzeige entsperren) geklickt haben, werden die Regeln für den Zusatz-Scan vollständig
angezeigt, und Sie können alle Elemente, einschließlich der Schlüsselelemente,
konfigurieren sowie neue Regeln erstellen oder Regeln löschen.
Web-Objekt abhängig von Ergebnis des Zusatz-Scans weiterleiten
In der folgenden Abbildung ist der Workflow schematisch dargestellt, über den ein Web-Objekt erst an
den Benutzer weitergeleitet wird, wenn das Scan-Ergebnis von Advanced Threat Defense vorliegt.
Abbildung 9-1 Web-Objekt wird abhängig vom Ergebnis des Zusatz-Scans weitergeleitet
1
Ein Benutzer sendet eine Anfrage für den Zugriff auf ein Web-Objekt, beispielsweise eine Datei, von
einem System innerhalb Ihres Netzwerks, bei dem es sich um einen Web Gateway-Client handelt.
2
Wenn die Anfrage die Filterung gemäß den konfigurierten Regeln besteht, leitet Web Gateway sie
an den entsprechenden Web-Server weiter.
Eine Fortschrittsseite wird an den Client gesendet, auf der der Benutzer aufgefordert wird, die
Verarbeitung der Anfrage abzuwarten.
3
Der Web-Server sendet das Objekt an Web Gateway.
Produkthandbuch
335
9
Web-Filterung
4
Wenn die Kriterien für die Verwendung von Advanced Threat Defense erfüllt werden, leitet
Web Gateway das Objekt zum Scannen weiter.
Web Gateway ruft in regelmäßigen Abständen Informationen über den Scan-Fortschritt von
Advanced Threat Defense ab.
5
Wenn Advanced Threat Defense den Scan-Vorgang abgeschlossen hat, meldet es an Web Gateway,
ob das Objekt bösartig ist.
6
Der Benutzer darf nun entsprechend auf das angeforderte Objekt zugreifen oder nicht. In letzterem
Fall teilt Web Gateway dem Benutzer mit, dass der Zugriff verweigert wird und nennt den Grund
dafür.
Web-Objekt vor Zusatz-Scan weiterleiten
In der nächsten Abbildung ist ein Workflow dargestellt, bei dem ein Web-Objekt an den Benutzer
weitergeleitet wird, der es angefragt hat, bevor es von Advanced Threat Defense gescannt wurde.
Sollte sich beim Scannen herausstellen, dass es sich um Malware handelt, wird dies dem Benutzer
nach dem Scan gemeldet.
Abbildung 9-2 Web-Objekt wird weitergeleitet, bevor der Zusatz-Scan durchgeführt wurde
336
1
Ein Benutzer sendet eine Anfrage für den Zugriff auf ein Web-Objekt, beispielsweise eine Datei, von
einem System innerhalb Ihres Netzwerks, bei dem es sich um einen Web Gateway-Client handelt.
2
Wenn die Anfrage die Filterung gemäß den konfigurierten Regeln besteht, leitet Web Gateway sie
an den entsprechenden Web-Server weiter.
3
Der Web-Server sendet das Objekt an Web Gateway.
4
Wenn die Kriterien für die Verwendung von Advanced Threat Defense erfüllt werden, leitet
Web Gateway das Objekt zum Scannen weiter.
Produkthandbuch
9
Web-Filterung
5
Der Benutzer kann auf das angeforderte Objekt sofort zugreifen, während Web Gateway den
Zusatz-Scan startet. Er muss nicht warten, bis der Scan-Vorgang abgeschlossen ist.
Wenn der Zusatz-Scan nicht gestartet werden kann, wird der Vorgang angehalten, und der
Benutzer kann nicht auf das angeforderte Objekt zugreifen.
6
Wenn Advanced Threat Defense den Scan-Vorgang abgeschlossen hat, meldet es an Web Gateway,
ob das Objekt bösartig ist.
Wenn das Objekt bösartig ist, sendet Web Gateway eine E-Mail an den Netzwerkadministrator mit
Informationen über das Malware-Risiko.
Interne Aktivitäten für das Weiterleiten eines Web-Objekts vor dem Zusatz-Scan
Um einen Workflow zu aktivieren, der ein Web-Objekt weiterleitet, bevor es zusätzlich von Advanced
Threat Defense gescannt wurde, sind einige interne Aktivitäten auf Web Gateway erforderlich.
Diese Aktivitäten sollen das Problem beheben, dass ein bereits an einen Benutzer weitergeleitetes
Web-Objekt gescannt werden soll. Dieses Problem wird wie folgt gelöst:
•
Wenn ein Web-Objekt von einem Web-Server als Inhalt einer Antwort an Web Gateway gesendet
wurde, wird das Objekt kopiert, und die wichtigsten Parameter der Antwort werden aufgezeichnet.
Zu diesen Parametern gehören die IP-Adresse des Clients, von dem der Benutzer die Anfrage
gesendet hat, der Benutzername und die URL für den Zugriff auf das Web-Objekt.
•
Es wird eine Anfrage zum Scannen des Web-Objekts erstellt, die das kopierte Web-Objekt und die
aufgezeichneten Parameter enthält.
•
Die Anfrage wird intern innerhalb von Web Gateway gesendet.
•
•
Wenn die Verarbeitung der internen Anfrage nach einer konfigurierten Zeitspanne gestartet
wird:
•
Das ursprüngliche Web-Objekt wird an den Benutzer weitergeleitet.
•
Das kopierte Web-Objekt wird zum Scannen an Advanced Threat Defense gesendet.
Wenn die Verarbeitung der internen Anfrage nach einer konfigurierten Zeitspanne nicht
gestartet werden kann, wird der Vorgang angehalten, und das Web-Objekt wird nicht an den
Benutzer weitergeleitet.
Kriterien für den Zusatz-Scan
Web Gateway verwendet die Funktionen von Advanced Threat Defense zum Scannen eines
Web-Objekts, nachdem das Objekt bereits von den Anti-Malware-Modulen von Web Gateway gescannt
wurde. Als Ergebnis dieses Scan-Vorgangs wird eine Malware-Wahrscheinlichkeit für dieses Objekt
ermittelt und in Prozent angegeben.
Die Regelsatz-Bibliothek von Advanced Threat Defense verwendet diese Wahrscheinlichkeit in ihren
Kriterien. Standardmäßig ist ein Wert von 60 Prozent für die Übereinstimmung der Kriterien
eingestellt. Das bedeutet, dass die Scan-Ergebnisse des Web-Objekts in Web Gateway eine
Malware-Wahrscheinlichkeit von 60 Prozent oder mehr aufweisen müssen, bevor es an Advanced
Threat Defense weitergeleitet wird.
Bei der Konfiguration von Advanced Threat Defense können Sie hier einen höheren oder niedrigeren
Wert einstellen, was zur Folge hat, dass dieses Produkt Web Gateway mehr oder weniger häufig
unterstützt.
Produkthandbuch
337
9
Web-Filterung
Der Regelsatz für Advanced Threat Defense muss sich daher in der Regelsatz-Baumstruktur hinter
dem Regelsatz für die normalen Malware-Schutz-Funktionen von Web Gateway befinden, welches
üblicherweise der Standard-Regelsatz Gateway Anti-Malware ist.
Das Anti-Malware-Modul (auch als Engine bezeichnet) wird mit zwei verschiedenen Einstellungen
ausgeführt, wenn Web Gateway und Advanced Threat Defense zusammenarbeiten: eine für den
Web Gateway-Teil und eine für den Teil des unterstützenden Produkts.
Die Standardnamen für die beiden Einstellungen lauten Gateway Anti-Malware und Gateway ATD.
In einem wichtigen Punkt unterscheiden sich diese beiden Einstellungen: Bei den
Gateway ATD-Einstellungen ist die Option für die Verwendung von Advanced Threat Defense
ausgewählt, während diese Option in den anderen Einstellungen nicht ausgewählt ist.
Regelsätze für den Zusatz-Scan
Um die Verwendung von Advanced Threat Defense für das zusätzliche Scannen von Web-Objekten zu
aktivieren, müssen Sie geeignete Regeln in Web Gateway implementieren. Regelsätze, die solche
Regeln enthalten, können Sie aus der Regelsatz-Bibliothek importieren.
Es gibt einen Regelsatz für das Weiterleiten eines Web-Objekts abhängig vom Ergebnis des
Zusatz-Scans und einen Regelsatz für das Weiterleiten eines Web-Objekts vor dem Zusatz-Scan, bei
dem nach dem Scan ggf. eine Warnmeldung ausgegeben wird.
•
Bibliotheks-Regelsatz „Advanced Threat Defense“: Diese Regel implementiert den Workflow,
mit dem ein Web-Objekt zusätzlich von Advanced Threat Defense gescannt und dann abhängig
vom Ergebnis des Scans an den Benutzer weitergeleitet wird.
Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden
Einstellungen implementiert.
•
Bibliotheks-Regelsatz „ATD – Offline Scanning with Immediate File Availability“: Diese
Regel implementiert den Workflow, mit dem ein Web-Objekt an den Benutzer weitergeleitet wird,
bevor es zusätzlich von Advanced Threat Defense gescannt wurde. Wenn der Zusatz-Scan eine
Infektion erkennt, wird eine Warnmeldung an den Administrator gesendet.
338
Produkthandbuch
9
Web-Filterung
Innerhalb dieses Regelsatzes gibt es zwei untergeordnete Regelsätze: einen für die Initialisierung
des Zusatz-Scans und einen für die Verarbeitung des Regelsatzes während der Ausführung.
•
Untergeordneter Bibliotheks-Regelsatz „ATD – Init Offline Scan“: Für diesen
untergeordneten Regelsatz gelten die gleichen Kriterien wie für den Regelsatz, bei dem ein
Web-Objekt abhängig vom Ergebnis des Zusatz-Scans an den Benutzer weitergeleitet wird.
Der Regelsatz wird angewendet, wenn der zuvor von Web Gateway durchgeführte Scan zum
Ergebnis hatte, dass das Web-Objekt zu einem konfigurierten Wahrscheinlichkeitsgrad infiziert
ist, wenn sich das Web-Objekt in der Liste von scanbaren Web-Objekten befindet und eine
bestimmte Objektgröße nicht überschritten wird.
Der Regelsatz enthält nur eine Regel, die die Eigenschaft
Antimalware.MATD.InitBackgroundScan in ihren Kriterien verwendet. Der Wert dieser
Eigenschaft ist standardmäßig auf true eingestellt.
In diesem Fall werden Daten für die aktuelle Transaktion aufgezeichnet. Hierzu gehören alle
Daten, die im Zusammenhang mit einer Anfrage auf Web-Zugriff und der dazugehörigen
Antwort von einem Web-Server stehen, wie z. B. die IP-Adresse des Clients, die
Authentifizierungsinformationen, die URL des Web-Servers und das angeforderte Web-Objekt,
das als Inhalt der Antwortnachricht gesendet wurde.
Eine interne Anfrage wird gesendet, um den Advanced Threat Defense-Scan zu initialisieren.
Nachdem die Initialisierung abgeschlossen wurde, wird das angeforderte Web-Objekt an den
Benutzer weitergeleitet, während der Scan mit den aufgezeichneten Daten durchgeführt wird.
Wenn der Wert der Eigenschaft Antimalware.MATD.InitBackgroundScan auf false gesetzt ist,
kann der Advanced Threat Defense-Scan nicht initialisiert werden, und es wird mithilfe eines
Regelereignisses eine Fehlermeldung angezeigt.
•
Untergeordneter Bibliotheks-Regelsatz „ATD – Handle Offline Scan“: Zu den Kriterien
für diesen untergeordneten Regelsatz gehört die Eigenschaft
Antimalware.MATD.IsBackgroundScan. Der Wert dieses Kriteriums ist standardmäßig auf true
gesetzt.
In diesem Fall werden die Daten, die von der Regel im Regelsatz ATD – Init Offline Scan
aufgezeichnet wurden, von McAfee Advanced Threat Defense zum Scannen des von den Daten
angegebenen Web-Objekts verwendet.
Der Regelsatz besitzt eine Regel, die mithilfe eines Ereignisses einen Zähler erhöht, wenn beim
Scannen ein infiziertes Web-Objekt gefunden wurde, eine Regel, die mithilfe eines weiteren
Ereignisses eine Meldung über das infizierte Web-Objekt erstellt und an den Administrator
sendet, und schließlich eine Regel, die den Verarbeitungszyklus beendet.
Liste und Einstellungen für den Zusatz-Scan
Der Bibliotheks-Regelsatz Advanced Threat Defense enthält Regeln zur Aktivierung von Advanced
Threat Defense auf Web Gateway und zur Weiterleitung eines angeforderten Web-Objekts an den
Benutzer, je nachdem, wie das Scan-Ergebnis ausgefallen ist.
Produkthandbuch
339
9
Web-Filterung
•
Liste der für Advanced Threat Defense unterstützten Typen: Diese Liste wird innerhalb der
Kriterien des Bibliotheks-Regelsatzes verwendet. Nur Web-Objekte, die zu einem der Medientypen
auf dieser Liste gehören, werden zum Scannen an Advanced Threat Defense weitergeleitet.
Die Liste enthält standardmäßig einige Medientypen. Sie können beliebig viele Medientypen zur
Liste hinzufügen oder daraus entfernen.
•
Gateway-ATD-Einstellungen: Diese Einstellungen gelten für das Anti-Malware-Modul (auch als
Enginebezeichnet) von Web Gateway, das für die Viren- und Malware-Filterung sowie für die
zusätzliche Verwendung von Advanced Threat Defense zuständig ist.
Die Einstellungen enthalten hauptsächlich Optionen zur Konfiguration der folgenden Elemente:
•
Kommunikation zwischen Web Gateway und dem Server, auf dem Advanced Threat Defense
ausgeführt wird
•
Schweregrad, ab dem ein Web-Objekt, beispielsweise eine Datei, als bösartig klassifiziert wird
Wenn ein Objekt von Advanced Threat Defense gescannt wird, ist das Ergebnis ein Schweregrad
auf einer Skala von 0 bis 5 (sehr hoher Schweregrad).
Auf dieser Skala können Sie einen Wert einstellen, beispielsweise 3, was bedeutet, dass alle
Objekte mit einem Scan-Ergebnis von 3 oder höher als bösartig gelten.
Für diese Objekte wird die Eigenschaft „Antimalware.Infected“ auf true gesetzt, sodass eine
Regel, die diese Eigenschaft in ihren Kriterien verwendet, das Web-Objekt blockiert und
verhindert, dass es an den Benutzer weitergeleitet wird, der darauf zugreifen wollte.
Überwachung der Aktivitäten von Advanced Threat Defense
Für die Überwachung der Scan-Aktivitäten, die von Advanced Threat Defense als Unterstützung von
Web Gateway durchgeführt werden, stehen verschiedene Methoden zur Verfügung.
•
Protokoll-Handler: Der Regelsatz ATD Scanning Log kann aus der Regelsatzgruppe Logging
(Protokollierung) in der Regelsatz-Bibliothek importiert werden.
Der Regelsatz enthält eine Protokollierungsregel, die Informationen über jeden Scan-Job
aufzeichnet, den Advanced Threat Defense zu einem von Web Gateway weitergeleiteten
Web-Objekt durchführt.
Die folgenden Informationen sind verfügbar:
•
Schweregrad als Ergebnis des Scan-Vorgangs
•
Server, auf dem Advanced Threat Defense ausgeführt wird
•
Task-ID für einen Scan-Job
•
Hash-Wert für einen Scan-Job
Zur Erstellung der Protokolleinträge für diese Informationen verwendet die Regel geeignete
Eigenschaften.
340
Produkthandbuch
9
Web-Filterung
•
Fehler-Handler: Der Regelsatz Block on ATD Errors kann aus der
Fehlerbehandlungs-Regelsatzgruppe in der Regelsatz-Bibliothek importiert werden.
Er enthält Blockierungsregeln zur Behandlung von Fehlern, die während der Durchführung eines
Scan-Jobs von Advanced Threat Defense auftreten.
Die Regeln verwenden die entsprechenden Fehler-IDs in ihren Kriterien. Die Fehler-IDs liegen im
Bereich von 14010 bis 14012.
Eine Regel im Regelsatz „Block on Anti-Malware Engine Errors“ deckt den Bereich von 14002 bis
14050 ab. Der Regelsatz „Block on ATD Errors“ muss sich daher vor diesem
Malware-Schutz-Regelsatz befinden.
Die Blockierungsregeln des Regelsatzes „Block on ATD Errors“ würden sonst nie verarbeitet werden,
und es würden nur Blockierungsmeldungen mit allgemeinen Verweisen auf Malware-Schutz-Fehler
an die Benutzer gesendet werden.
•
Anti-Malware-Eigenschaften: Für die Überwachung der Aktivitäten von Advanced Threat
Defense stehen verschiedene Eigenschaften zur Verfügung. Die Namen der Eigenschaften beginnen
beispielsweise mit Antimalware.MATD, Antimalware.MATD.Server oder Antimalware.MATD.Report.
Diese Eigenschaften werden in den Protokollierungsregeln des Regelsatzes „ATD Scanning Log“
verwendet.
Wenn ein Scan-Job von Advanced Threat Defense durchgeführt wurde, stellt der Wert der
Eigenschaft Antimalware.MATD.Report einen Bericht über diesen Job dar. Der Bericht wird in Form
einer Zeichenfolge bereitgestellt, die die Datenstruktur eines JSON-Objekts (JavaScript Object
Notation) abbildet.
Um Informationen aus diesem Bericht zu extrahieren, verwenden Sie JSON-Eigenschaften
zusammen mit der Eigenschaft Antimalware.MATD.Report.
•
Dashboard: In den Diagrammen und Tabellen des Dashboards wird gezeigt, wie sich die folgenden
Daten während eines bestimmten Zeitintervalls entwickelt haben.
•
Unter Executive Summary (Kurzfassung): Anzahl der Anfragen für Web-Objekte, die aufgrund der
Scan-Ergebnisse von Advanced Threat Defense blockiert wurden.
•
Unter Malware Statistics (Malware-Statistik): Anzahl der Anfragen für Web-Objekte, die zum
Scannen an Advanced Threat Defense weitergeleitet wurden, Anzahl der Anfragen, die aufgrund
der Scan-Ergebnisse blockiert wurden, und die Scan-Dauer.
Verfügbarkeit von Advanced Threat Defense
Für die Verwendung mit Web Gateway wird die Web-Sicherheits-Software Advanced Threat Defense
auf derselben Hardware-Plattform vorinstalliert geliefert, auf der sie als Appliance auf einem separaten
Server ausgeführt wird.
Es können auch mehrere Instanzen des Produkts auf verschiedenen Servern ausgeführt und zur
Unterstützung von Web Gateway verwendet werden. Jede Instanz des Produkts muss auf einer
eigenen Hardware-Plattform installiert werden.
Produkthandbuch
341
9
Web-Filterung
Konfigurieren der Verwendung von Advanced Threat Defense
Wenn die Verwendung von Advanced Threat Defense für das zusätzliche Scannen von Web-Objekten
nach dem Scannen durch Web Gateway konfiguriert werden soll, müssen Sie die folgenden
allgemeinen Schritte durchführen.
Vorgehensweise
1
Nehmen Sie alle notwendigen Einstellungen vor, um Advanced Threat Defense in das Netzwerk zu
integrieren.
Weitere Informationen hierzu finden Sie im McAfee Advanced Threat Defense Product Guide
(Produkthandbuch zu McAfee Advanced Threat Defense).
2
Führen Sie auf der Benutzeroberfläche von Web Gateway folgende Schritte aus:
a
Importieren Sie aus der Bibliothek für Regelsätze den Regelsatz für einen der zwei zusätzlichen
Scan-Workflows.
Diese Regelsätze befinden sich in der Regelsatzgruppe Gateway Anti-Malware.
•
Advanced Threat Defense: Zum Weiterleiten von Web-Objekten abhängig von Ergebnis des
Zusatz-Scans.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum
Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz
Gateway Anti-Malware.
•
ATD – Offline Scanning with Immediate File Availability (ATD – Offline-Scannen mit sofortiger
Verfügbarkeit der Dateien): Zum Weiterleiten von Web-Objekten vor der Durchführung
zusätzlicher Scans.
Nach dem Importieren dieses Regelsatzes werden in der Regelsatz-Baumstruktur die beiden
folgenden Regelsätze angezeigt:
•
ATD – Init Offline Scan (ATD – Offline-Scan beginnen): Dieser Regelsatz startet den
zusätzlichen Scan-Vorgang.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum
Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz
Gateway Anti-Malware.
•
ATD – Handle Offline Scan (ATD – Offline-Scan steuern): Dieser Regelsatz steuert den
zusätzlichen Scan-Vorgang nach dessen Beginn.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter den Regelsätzen zur
Durchführung globaler bzw. allgemeiner Aktivitäten und vor den Regelsätzen zur
Durchführung spezieller Filtervorgänge.
Beispielsweise wäre dies in der standardmäßigen Regelsatz-Baumstruktur die Position
zwischen den Regelsätzen Common Rules und Media Type Filtering.
b
342
Zum Aktivieren der Überwachung der Scan-Aktivitäten von Advanced Threat Defense müssen
Sie aus der Bibliothek für Regelsätze die Regelsätze ATD Scanning Log und Block on ATD Errors
importieren und diese zu den vorhandenen Regelsätzen „Log Handler“ bzw. „Error Handler“
hinzufügen.
Produkthandbuch
9
Web-Filterung
c
Fügen Sie zur Liste der unterstützten Medientypen je nach Bedarf Medientypen hinzu oder
entfernen Sie bestimmte Typen aus der Liste. Nach dem Importieren eines der Regelsätze aus
der Bibliothek lautet der Name dieser Liste Advanced Threat Defense Supported Types.
Wenn Sie einen Regelsatz importiert haben, ist diese Liste in der Schlüsselelementansicht des
Regelsatzes verfügbar.
d
Konfigurieren Sie die für das Scannen durch Web Gateway verwendeten Einstellungen.
Standardmäßig tragen diese den Namen Gateway Anti-Malware.
Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der
Schlüsselelementansicht des Regelsatzes bearbeiten.
e
Konfigurieren Sie die für das Scannen durch Advanced Threat Defense verwendeten
Einstellungen.
Nach dem Importieren eines der Regelsätze aus der Bibliothek lautet der Name dieser
Einstellungen Gateway ATD.
Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der
Schlüsselelementansicht des Regelsatzes bearbeiten.
f
Konfigurieren von Schlüsselelementen für die Verwendung von
Konfigurieren Sie Schlüsselelemente für das zusätzliche Scannen durch Advanced Threat Defense, um
wichtige Teile des Scan-Vorgangs an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
Importieren Sie den Regelsatz Advanced Threat Defense oder den Regelsatz ATD – Offline Scanning with
Immediate File Availability aus der Regelsatz-Bibliothek.
2
Wählen Sie in der Regelsatz-Baumstruktur den importierten Regelsatz aus.
Schlüsselelemente der Regeln für den Scan-Vorgang werden im Konfigurationsbereich angezeigt.
3
4
Siehe auch
Schlüsselelemente für die Verwendung von Advanced Threat Defense auf Seite 344
Produkthandbuch
343
9
Web-Filterung
Schlüsselelemente für die Verwendung von Advanced Threat
Defense
Die Schlüsselelemente der Regeln für die Verwendung von Advanced Threat Defense beim zusätzlichen
Scannen von Web-Objekten behandeln wichtige Teile dieses Prozesses.
Es können unterschiedliche Schlüsselelemente für die Regeln in den Regelsätzen konfiguriert werden,
die für das zusätzliche Scannen implementiert sind.
•
•
•
Advanced Threat Defense: Wenn dieser Regelsatz implementiert ist, können die folgenden Gruppen
von Schlüsselelementen konfiguriert werden:
•
Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense
für diese unterstützten Medientypen aktivieren)
•
•
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen)
ATD – Init Offline ScanAdvanced: Wenn dieser Regelsatz implementiert ist, können die folgenden
Gruppen von Schlüsselelementen konfiguriert werden:
•
Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense
für diese unterstützten Medientypen aktivieren)
•
ATD – Handle Offline Scan: Wenn dieser Regelsatz implementiert ist, können die folgenden
Gruppen von Schlüsselelementen konfiguriert werden:
•
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen)
Im Folgenden werden die Schlüsselelemente dieser Regelsätze beschrieben.
Enable Advanced Threat Defense for These Supported Media Types (Advanced
Threat Defense für diese unterstützten Medientypen aktivieren)
Schlüsselelement für die Auswahl von Web-Objekten, die zusätzlich durch Advanced Threat Defense
gescannt werden können
Tabelle 9-35 Enable Advanced Threat Defense for These Supported Media Types (Advanced
Threat Defense für diese unterstützten Medientypen aktivieren)
Option
Definition
Media types to insert (Einzufügende
Medientypen)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem
Sie die von einer Regel verwendete Liste Advanced Threat Defense
Supported Media Types (Unterstützte Medientypen für Advanced
Threat Defense) bearbeiten können.
Von Advanced Threat Defense werden nur die Web-Objekte zusätzlich
gescannt, deren Medientyp in dieser Liste aufgeführt ist; zudem
müssen die anderen Kriterien erfüllt sein.
Schlüsselelement zur Konfiguration der Scans durch das Anti-Malware-Modul, bevor zusätzliche Scans
durch Advanced Threat Defense ausgeführt werden
344
Produkthandbuch
9
Web-Filterung
Tabelle 9-36 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Option
Definition
Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die
Einstellungen für das Anti-Malware-Modul bearbeiten können, wenn dieses mit
den Modulkomponenten ausgeführt wird, die normalerweise in Web Gateway
verfügbar sind.
Dieser Scan wird vor jedem Scan durch Advanced Threat Defense ausgeführt. Je
nach dem Ergebnis dieses Scans führt Advanced Threat Defense ggf. einen
zusätzlichen Scan durch.
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat
Defense-Einstellungen)
Schlüsselelement für die Konfiguration des zusätzlichen Scans durch Advanced Threat Defense
Tabelle 9-37 Bypass scanning for these agents and hosts (Scannen für diese Agenten und
Hosts umgehen)
Option
Definition
Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die
Einstellungen für das Anti-Malware-Modul in Web Gateway bearbeiten können,
während Scans durch Advanced Threat Defense ausgeführt werden.
Konfigurieren von Einstellungen für die Verwendung von
Sie können Einstellungen für das Modul (auch als Engine bezeichnet) Anti-Malware in Web Gateway so
konfigurieren, dass Web-Objekte mithilfe von Advanced Threat Defense gescannt werden können.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Anti-Malware, und wählen Sie
die Einstellungen für das Konfigurieren der Verwendung von Advanced Threat Defense aus.
Nach dem Importieren des Bibliotheks-Regelsatzes „Advanced Threat Defense“ lautet der Name der
betreffenden Einstellungen Gateway ATD.
3
4
Siehe auch
Gateway ATD-Einstellungen auf Seite 345
Gateway ATD-Einstellungen
Mit den Gateway ATD-Einstellungen wird die Verwendung von Advanced Threat Defense zum Scannen
von Web-Objekten konfiguriert, die über Web Gateway weitergegeben wurden.
Auswahl der Scan-Module und des Verhaltens
Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall,
dass ein Modul eine Infektion erkennt
Produkthandbuch
345
9
Web-Filterung
Tabelle 9-38 Auswahl von Scan-Modulen
Option
Definition
Full McAfee coverage: The recommended
high-performance configuration (Vollständiger
McAfee-Schutz: Die empfohlene
Hochleistungskonfiguration)
Anti-Malware-Modul und das McAfee
Anti-Malware-Modul aktiv.
Methoden verwendet:
Proaktive Methoden + Virussignaturen
Layered coverage: Full McAfee coverage plus specific
Avira engine features — minor performance impact
(Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus
bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen)
und für einige Web-Objekte zusätzlich das
Avira-Modul (Drittanbieter) aktiv.
Methoden verwendet:
Modulfunktionen eines Drittanbieters für einige
Web-Objekte
Duplicate coverage: Full McAfee coverage and Avira
engine — less performance and more false positives
(Doppelter Schutz: Vollständiger McAfee-Schutz und
Avira-Modul – weniger Leistung und mehr False-Positives)
und das Avira-Modul (Drittanbieter) aktiv.
Methoden verwendet:
Avira only: Only uses Avira engine — not recommended
(Nur Avira: Nur das Avira-Modul wird verwendet – nicht
empfohlen)
Bei Auswahl dieser Option ist nur das Avira-Modul
aktiv.
Methoden verwendet:
McAfee Advanced Threat Defense only: Send files to an
MATD appliance for deep analysis through sandboxing
(Nur McAfee Advanced Threat Defense: Senden der
Dateien an eine MATD-Appliance zur detaillierten Analyse
durch Sandboxing)
Bei Auswahl dieser Option ist nur das Scannen mit
Advanced Threat Defense aktiv.
Methoden verwendet:
Advanced Threat Defense-Funktionen
Stop virus scanning right after an engine detected a virus
(Viren-Scan gleich nach Entdeckung eines Virus anhalten)
Bei Auswahl dieser Option wird das Scannen eines
Web-Objekts sofort angehalten, sobald ein Modul eine
Virus- oder andere Malware-Infektion entdeckt hat.
MATD-Einrichtung
Allgemeiner Teil der Einstellungen zur Verwendung von Advanced Threat Defense
346
Produkthandbuch
9
Web-Filterung
Tabelle 9-39 MATD-Einrichtung
Option
Definition
Hier können Sie den Benutzernamen angeben, den Web Gateway
bei dem Versuch sendet, eine Verbindung mit Advanced Threat
Defense herzustellen.
Password (Kennwort)
Hier können Sie das Kennwort angeben, das Web Gateway bei dem
Versuch sendet, eine Verbindung mit Advanced Threat Defense
herzustellen.
Durch Klicken auf Set (Festlegen) wird ein Fenster zum Festlegen
des Kennworts geöffnet.
Server list (Serverliste)
Bietet eine Liste der Server, auf denen Advanced Threat Defense
ausgeführt wird.
Bietet eine Dropdown-Liste zur Auswahl bekannter
Zertifizierungsstellen
Diese Zertifizierungsstellen werden referenziert, wenn die
Kommunikation zwischen Web Gateway und Advanced Threat
Defense im SSL-verschlüsselten Modus unter dem HTTPS-Protokoll
erfolgt.
Severity threshold to indicate a malicious Legt einen Schwellenwert für den Schweregrad der bösartigen
file (Schweregradschwellenwert zur
Funktionen fest, der in einem Web-Objekt erkannt wird, z. B. eine
Anzeige einer bösartigen Datei)
Datei beim Scannen mit Advanced Threat Defense.
Wenn dieser Schwellenwert erreicht wird, wird das Objekt als
bösartig eingestuft, und der Wert der
Antimalware.Infected-Eigenschaft wird auf true gesetzt.
Der Schwellenwert wird über einen Schieberegler mit Werten von 0
bis 5 (sehr hoher Schweregrad) eingestellt.
Reuse previous detection, McAfee Web
Gateway will retrieve latest report from
MATD based on the hash of the file
(Vorherige Erkennung wiederverwenden,
McAfee Web Gateway ruft letzten Bericht
aus MATD basierend auf dem Hash der
Datei ab)
Bei Auswahl dieser Option wird der Schweregrad, der für das
Web-Objekt beim letzten Scannen durch Advanced Threat Defense
gefunden wurde, verwendet, um es als bösartig oder nicht bösartig
zu klassifizieren.
Maximum detection age (Maximales
Erkennungsalter)
Legt die Höchstdauer (in Minuten) fest, die vergehen darf,
nachdem ein Schweregrad für ein Web-Objekt gefunden wurde, bis
dieser Wert nicht mehr zur Klassifizierung des Objekts als bösartig
oder nicht bösartig verwendet werden kann.
Wenn diese Option ausgewählt ist, kann auch auf die nächste
Option zugegriffen werden.
Der Standardhöchstdauer beträgt 30 Minuten.
In der folgenden Tabelle wird ein Eintrag in der Serverliste erläutert.
Tabelle 9-40 Serverliste – Listeneintrag
Option
Definition
String (Zeichenfolge)
Gibt den Namen eines Servers an, auf dem Advanced Threat Defense ausgeführt
wird.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Server.
Netzwerkeinrichtung
Einstellungen zur Konfiguration der Verbindung mit dem Server, auf dem Advanced Threat Defense
ausgeführt wird
Produkthandbuch
347
9
Web-Filterung
Tabelle 9-41 Netzwerkeinrichtung
Option
Definition
Connection timeout
(Verbindungszeitlimit)
Legt den Zeitraum (in Sekunden) fest, nach dessen Ablauf die Verbindung
mit einem Server getrennt wird, wenn keine Reaktion empfangen wird.
Der Standardzeitraum beträgt 5 Sekunden.
Scan timeout (Scan-Zeitlimit)
Legt die Dauer (in Sekunden) fest, für die Advanced Threat Defense ein
Web-Objekts scannen darf.
Wenn diese Dauer überschritten wird, erkennt Web Gateway, dass das
Scannen innerhalb der zulässigen Zeit nicht abgeschlossen wurde und
erfasst dies als Fehler.
Der Standarddauer beträgt 10 Minuten.
Poll interval (Abfrageintervall)
Legt das Zeitintervall (in Sekunden) fest, das vergeht, bevor der nächste
Versuch zum Abrufen der Informationen aus Advanced Threat Defense
über den Fortschritt beim Scannen eines Web-Objekts unternommen wird.
Das Standardintervall beträgt 20 Sekunden.
Advanced Threat Defense (Regelsatz)
Der Bibliotheks-Regelsatz „Advanced Threat Defense“ ermöglicht Web Gateway das Verwenden von
Advanced Threat Defense beim Filtern von Web-Objekten.
Bibliotheks-Regelsatz – Advanced Threat Defense
Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND
MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types
Cycles – Responses, Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft:
•
Gemäß einem früheren Scan der Malware-Schutzmodule in Web Gateway beträgt die
Wahrscheinlichkeit, dass ein Web-Objekt bösartig ist, mindestens 60 Prozent.
•
Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch
Advanced Threat Defense unterstützt wird.
Enable progress page
Always –> Continue – Enable Progress Page<Default>
Die Regel aktiviert ein Ereignis, mit dem eine Seite angezeigt wird, auf der der Fortschritt beim
Herunterladen eines Web-Objekts auf einen Client angegeben wird.
Upload file to ATD and wait for scanning result
Antimalware.Infected<Gateway ATD> –> Block<Virus Found> –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine
Datei) mit einem Virus oder sonstiger Malware infiziert ist.
Der für diese Überprüfung erforderliche Scan-Vorgang erfolgt entsprechend den Gateway
ATD-Einstellungen; d. h., er wird durch Advanced Threat Defense durchgeführt.
Wenn eine Infektion des Objekts festgestellt wird, wird die Weiterleitung des Objekts an den
anfragenden Client blockiert, und dem Benutzer, der den Zugriff auf das Objekt angefragt hat, wird
eine Blockierungsmeldung angezeigt.
Die Blockierungsaktion wird vom Statistikzähler erfasst.
348
Produkthandbuch
9
Web-Filterung
ATD – Offline Scanning with Immediate File Availability
(Regelsatz)
Der Bibliotheks-Regelsatz „ATD – Offline Scanning with Immediate File Availability“ ermöglicht Web
Gateway das Verwenden von Advanced Threat Defense beim Filtern von Web-Objekten.
Wenn dieser Regelsatz implementiert ist, wird ein Web-Objekt an den anfordernden Benutzer
weitergeleitet, bevor es von Advanced Threat Defense zusätzlich gescannt wurde, sodass das Objekt
sofort für den Benutzer verfügbar wird.
Wenn beim Scan-Vorgang festgestellt wird, dass das Objekt infiziert ist, wird eine Meldung an den
Administrator des Netzwerks gesendet, aus dem der Benutzer die Anfrage gesendet hat.
Diese Nutzung der Scan-Funktionen von Advanced Threat Defense wird auch als Offline-Scan oder
Hintergrund-Scan bezeichnet.
Nach dem Importieren dieses Regelsatzes werden die folgenden beiden Regelsätze implementiert und
in der Regelsatz-Baumstruktur angezeigt:
•
ATD – Init Offline Scan
•
ATD – Handle Offline Scan
Ein Regelsatz mit dem Namen ATD – Offline Scanning with Immediate File Availability ist nicht
implementiert.
ATD – Init Offline Scan
Dieser Regelsatz initiiert das zusätzliche Scannen durch Advanced Threat Defense.
Bibliotheks-Regelsatz – ATD – Init Offline Scan
Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND
MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types AND
Body.Size less than 30000000
Cycles – Responses, Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft:
•
Gemäß einem früheren Scan-Vorgang durch Web Gateway beträgt die Wahrscheinlichkeit, dass ein
Web-Objekt bösartig ist, mindestens 60 Prozent.
•
Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch
Advanced Threat Defense unterstützt wird.
•
Das Web-Objekt überschreitet nicht eine bestimmte Größe.
Offline scanning with immediate file availability
Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed>
Produkthandbuch
349
9
Web-Filterung
Wenn diese Regel verarbeitet wird, werden alle Daten zu der an Web Gateway gesendeten Anfrage
für den Web-Zugriff aufgezeichnet, einschließlich der Antwort, die vom angeforderten Web-Server
empfangen wurde. Die Antwort enthält normalerweise in ihrem Textteil das angeforderte
Web-Objekt, z. B. eine Datei. Der Textteil mit dem Web-Objekt wird in Web Gateway gespeichert.
Zudem wird eine interne Anfrage in Web Gateway erstellt, um das Scannen durch Advanced Threat
Defense zu initiieren. Web Gateway wartet anschließend auf eine Antwort auf diese interne Anfrage,
um festzustellen, ob die Anfrage akzeptiert und das Scannen ausgeführt wird.
Die Dauer, für die Web Gateway auf diese Antwort wartet, wird in Sekunden gemessen; sie ist ein
Parameter der Antimalware.MATD.InitBackgroundScan-Eigenschaft. Dieser Zeitraum beträgt
standardmäßig fünf Sekunden. Sie können diesen Zeitraum konfigurieren, indem Sie den
Eigenschaftenparameter bearbeiten.
Wenn innerhalb des konfigurierten Zeitraums keine Antwort auf die interne Anfrage empfangen wird,
wird die Eigenschaft auf false gesetzt, sodass dieses Kriterium erfüllt und die Regel angewendet wird.
Anschließend wird eine Meldung gesendet, mit der der Administrator informiert wird, dass das
zusätzliche Scannen durch Advanced Threat Defense nicht ausgeführt werden konnte.
Wenn die Antwort innerhalb des konfigurierten Zeitraums empfangen wird, wird das Web-Objekt an
den Benutzer weitergeleitet.
Die weitere Verarbeitung des zusätzlichen Scannens wird vom nächsten Regelsatz behandelt.
Bibliotheks-Regelsatz – ATD – Handle Offline Scan
Criteria – Antimalware.MATD.IsBackgroundScan equals true
Cycles – Requests, Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn der Wert von
Antimalware.MATD.IsBackgroundScan gleich true ist.
Wenn der Wert „true“ ist, wurde das zusätzliche Scannen durch Advanced Threat Defense von der
Regel im vorhergehenden Regelsatz erfolgreich initiiert. In diesem Fall werden die von diesem
Regelsatz aufgezeichneten und gespeicherten Daten von Advanced Threat Defense zum Scannen eines
angeforderten Web-Objekts verwendet.
Upload file to ATD and wait for scanning result
Antimalware.Infected<Gateway ATD> equals true –> Continue –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine
Datei) mit einem Virus oder sonstiger Malware infiziert ist. Der für diese Überprüfung erforderliche
Scan-Vorgang erfolgt entsprechend den Gateway ATD-Einstellungen; d. h., er wird durch Advanced
Threat Defense durchgeführt.
Dafür wird das zuvor gespeicherte Web-Objekt von Web Gateway an Advanced Threat Defense
weitergeleitet.
Wenn sich beim Scannen herausstellt, dass das Objekt infiziert ist, wird dieses Ergebnis durch einen
Statistikzähler erfasst.
350
Produkthandbuch
9
Web-Filterung
Offline scanning with immediate file availability
Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set
User-Defined.MessageText =
"Client.IP: "
+ IP.ToString(Client.IP)
+ "Requested URL: "
+ URL
+ "Virus name: "
+ ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, ","
Email.Send ("Administrator@", "MATD offline scan detected a virus",
User-Defined.MessageText)<Default>
Beim Verarbeiten der Regel wird überprüft, ob der Wert der Antimalware.Infected-Eigenschaft true
ist.
Wenn dies der Fall ist, heißt das, dass beim Scannen durch Advanced Threat Defense eine Infektion
des Web-Objekts mit einem Virus oder sonstiger Malware festgestellt wurde.
Eine Warnmeldung wird erstellt und an den Administrator für das Netzwerk des Benutzers gesendet,
der die Anfrage für den Zugriff auf das Web-Objekt gesendet hat. Die Meldung enthält Informationen
zur Anfrage, die von der Regel des vorhergehenden Regelsatzes aufgezeichnet wurden.
Stop cycle
Always –> Stop Cycle
Diese Regel beendet den Verarbeitungszyklus. Sie wird immer nach der Verarbeitung der
vorangegangenen Regeln ausgeführt.
Data Loss Prevention (DLP) stellt sicher, dass vertraulicher Inhalt Ihr Netzwerk nicht verlassen kann.
Der Schutzprozess erkennt derartigen Inhalt und blockiert an das Internet ausgehenden Datenverkehr
entsprechend.
•
Data Loss Prevention-Regeln, die den Prozess steuern
•
Standardklassifizierungen und ein Wörterbuch, das Sie mit Einträgen für Data Loss Prevention
füllen
•
Data Loss Prevention-Module, die von den Regeln aufgerufen werden, die zur Suche nach
vertraulichem Inhalt verarbeitet werden
Mithilfe der Data Loss Prevention-Regeln können Sie auch verhindern, dass unangemessener Inhalt in
Ihr Netzwerk gelangt. Dies kann jedoch die Leistung beeinträchtigen.
Der Data Loss Prevention-Prozess kann für den Text angewendet werden, der im Textteil einer
gesendeten Anfrage oder Antwort enthalten ist, oder für beliebigen anderen Text aus Anfragen und
Antworten, z. B. URL-Parameter oder Header.
Wenn Sie die Appliance zusammen mit einer DLP-Lösung ausführen, die zum Filtern einen ICAP-Server
verwendet, können Sie einen Regelsatz implementieren, um einen ungestörten Datenfluss zwischen
der Appliance und dem ICAP-Server zu gewährleisten.
Produkthandbuch
351
9
Web-Filterung
Data Loss Prevention-Regeln
Data Loss Prevention wird nicht standardmäßig auf der Appliance implementiert. Sie können jedoch
den Regelsatz Data Loss Prevention aus der Bibliothek importieren.
Sie können dann die Regeln dieses Regelsatzes überprüfen, bei Bedarf ändern oder löschen und auch
eigene Regeln erstellen.
Eine Data Loss Prevention-Regel blockiert beispielsweise eine Anfrage, wenn der als Textteil gesendete
Text vertrauliche Inhalte enthält. Um herauszufinden, ob dies auf einen bestimmten Anfragetext
zutrifft, ruft die Regel ein Modul auf, das den Textteil untersucht. Um zu wissen, was als vertraulich
gilt, bezieht sich das Modul abhängig von der Konfiguration auf die Standardklassifizierungen in den
Systemlisten oder auf die Wörterbucheinträge.
Bei der Verarbeitung einer Anfrage oder Antwort wird deren Text als Wert der Body.Text-Eigenschaft
gespeichert. Bevor der Text gespeichert und untersucht werden kann, muss dieser extrahiert werden.
Das Composite Opener-Modul führt die Öffnungsvorgänge aus. Ein Ereignis in einem Regelsatz des
Regelsatzes Common Rules aktiviert den Öffner standardmäßig.
Bei einem Anfragetext kann es sich beispielsweise um eine Textdatei handelt, für die das Hochladen
ins Internet angefragt wird. Der Wert für eine passende textbezogene Eigenschaft in den
Regelkriterien müsste dann wahr sein, damit die Regel angewendet wird und den Vorgang blockiert.
Die folgende Regel verwendet die DLP.Classification.BodyText.Matched-Eigenschaft auf diese Weise.
Wenn der Text einer Anfrage vertrauliche Inhalte enthält, wird dies vom Data Loss Prevention-Modul
erkannt. Der Wert der Eigenschaft wird auf true gesetzt, und die Anfrage wird blockiert.
Name
Block files with SOX information
Kriterien
DLP.Classification.BodyText.Matched<SOX> equals true
Aktion
–> Block<DLP.Classification.Block>
Bei der Verarbeitung dieser Regel sucht das Data Loss Protection-Modul gemäß seinen Einstellungen
nach Inhalten, die aufgrund der SOX-Richtlinien (Sarbanes-Oxley), die sich mit Zuständigkeiten
öffentlicher Unternehmen befassen, vertraulich sind.
Der Regel können Ereignisse hinzugefügt werden, um Informationen bezüglich der Data Loss
Prevention zu protokollieren oder einen Zähler zu erhöhen, der zählt, wie oft eine Anfrage aufgrund
dieser Regel blockiert wurde.
Standardklassifizierungen und Wörterbucheinträge
In Data Loss Prevention werden mithilfe von Standardklassifizierungen und Wörterbucheinträgen
vertrauliche Inhalte festgelegt, die Ihr Netzwerk nicht verlassen dürfen.
Mithilfe der Systemlisten und Wörterbucheinträge können Sie auch unangemessene Inhalte festlegen,
z. B. diskriminierende oder beleidigende Sprache, der aus Ihrem Netzwerk ferngehalten werden soll.
Unangemessene Inhalte könnten beispielsweise so definiert werden, dass eine Regel von Web-Servern
als Antwort auf eine Anfrage gesendete Inhalte blockiert.
Der Bibliotheks-Regelsatz für Data Loss Prevention enthält einen untergeordneten Regelsatz zur
Verarbeitung von Textteilen im Antwortzyklus.
352
Produkthandbuch
9
Web-Filterung
Standardklassifizierungen und Wörterbucheinträge unterscheiden sich wie folgt:
•
Standardklassifizierungen: Bieten Informationen zur Suche nach verschiedenen Arten
vertraulicher oder unangemessener Inhalte, z. B. Kreditkartennummern,
Sozialversicherungsnummern oder medizinische Diagnosedaten.
Standardklassifizierungen sind in Ordnern und Unterordnern in Systemlisten enthalten und werden
durch das Appliance-System aktualisiert. Sie können die Systemlisten unter DLP Classification
(DLP-Klassifizierung) im Zweig System Lists (Systemlisten) der Listen-Baumstruktur anzeigen, jedoch
nicht bearbeiten oder löschen.
Wenn Sie die Einstellungen des Moduls bearbeiten, das für die Klassifizierungen zuständig ist,
können Sie aus den Ordnern dieser Listen passende Unterordner auswählen und eine Liste mit
Klassifizierungen zur Data Loss Prevention in Ihrem Netzwerk erstellen.
•
Wörterbucheinträge: Geben Sie vertrauliche oder unangemessene Inhalte an, z. B. Namen von
Personen oder Stichwörter, die auf Inhalte hinweisen, die das Netzwerk nicht verlassen dürfen
Das Wörterbuch wird im Rahmen der Einstellungen für das Modul erstellt, das für diese Liste
zuständig ist.
Durch das Erstellen eines Wörterbuchs und das Füllen des Wörterbuchs mit vertraulichen oder
unangemessenen Inhalten lässt sich der Data Loss Prevention-Prozess im Gegensatz zur
Verwendung der Standardklassifizierungen der Systemlisten noch weiter konfigurieren. Auf diese
Weise können Sie den Prozess an die Anforderungen Ihres Netzwerks anpassen.
Data Loss Prevention-Module
Die Aufgabe der Data Loss Prevention-Module (auch als Engines bezeichnet) ist es, vertrauliche oder
unangemessene Inhalte im Textteil von Anfragen und Antworten und in allen weiteren Texten der
Anfragen und Antworten zu erkennen.
Wenn zusammengesetzte Objekte, z. B. Archivdokumente, Textteile von POST-Anfragen usw., mit
Anfragen oder Antworten gesendet werden, sind auch diese Teil des Data Loss Prevention-Prozesses.
Um diese Objekte zu berücksichtigen, werden die Data Loss Prevention-Regeln auch im Zyklus
„Embedded Objects“ (Eingebettete Objekte) verarbeitet.
Abhängig von den Ergebnissen der Data Loss Prevention-Module werden die textabhängigen
Eigenschaften in den Regelkriterien auf true oder false gesetzt, sodass der Web-Datenverkehr
letztendlich blockiert oder zugelassen wird.
Es gibt zwei Module, die Listen zur Erkennung relevanter Inhalte unterschiedlich einsetzen:
•
Data Loss Prevention (Klassifizierungen): Verwendet Standardklassifizierungen auf
Systemlisten zur Date Loss Prevention
•
Data Loss Prevention (Wörterbücher): Verwendet Wörterbücher mit Einträgen für vertrauliche
und unangemessene Inhalte, die Sie sich selber zur Data Loss Prevention bereitstellen
Beim Konfigurieren der Einstellungen für die Module geben Sie an, nach welchen Inhalten gesucht
werden soll. Die Standardklassifizierungen und Wörterbucheinträge, die den Inhalt angeben, sind Teil
der Einstellungsparameter.
Produkthandbuch
353
9
Web-Filterung
Suchmethoden zur Data Loss Prevention
Es gibt verschiedene Methoden zur Suche nach Inhalten, die das Netzwerk nicht verlassen bzw. nicht
hineinkommen dürfen.
•
Eine Suche kann beispielsweise herausfinden, ob ein bestimmter Anfrage- oder Antworttext Teile
der Inhalte enthält, die als vertraulich oder unangemessen festgelegt wurden.
•
Eine Suche kann mit einem Teil des Inhalts beginnen, z. B. einem URL-Parameter oder Header, und
herausfinden, ob dieser Teil entsprechend Ihrer Konfiguration vertraulich oder unangemessen ist.
Für die erste Methode können Sie die DLP.Classification.BodyText.Matched-Eigenschaft verwenden, die
bereits in einer Beispielregel gezeigt wurde.
Für die zweite Methode können Sie die DLP.Classification.AnyText.Matched-Eigenschaft verwenden.
Diese Eigenschaft verwendet einen Zeichenfolgeparameter für den Inhaltsteil, der darauf überprüft
wird, ob er in einer Systemliste oder in einem Wörterbuch enthalten ist.
Abhängig davon, womit Sie arbeiten, würden Sie die beiden bereits erwähnten Parameter mit
Systemlisten und DLP.Dictionaries.BodyText.Matched und DLP.Dictionaries.AnyText.Matched mit dem
Wörterbuch verwenden.
Protokollierung von Data Loss Prevention
Zusätzliche Eigenschaften stehen zur Protokollierung der Ergebnisse des Data Loss
Prevention-Prozesses zur Verfügung. Somit können Sie diese Daten beispielsweise mit einem Ereignis
in einer Regel protokollieren.
Wenn der Wert für DLP.Classification.BodyText.Matched für den Text einer verarbeiteten Anfrage oder
Antwort true ist, gilt Folgendes für die relevanten Protokollierungseigenschaften:
•
DLP.Classification.BodyText.MatchedTerms enthält eine Liste der übereinstimmenden Begriffe aus
dem Textteil
•
DLP.Classification.BodyText.MatchedClassifications enthält eine Liste der übereinstimmenden
Klassifizierungen
Wenn DLP.Dictionary.BodyText.Matched den Wert true hat, enthält
DLP.Dictionary.BodyText.MatchedTerms eine Liste aller übereinstimmenden Begriffe.
Ähnlich können übereinstimmende Begriffe und Klassifizierungen für die Suchmethode protokolliert
werden, die nach Übereinstimmungen einer bestimmten Textzeichenfolge sucht.
Wenn der Wert für DLP.Classification.AnyText.Matched true ist:
•
DLP.Classification.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe, die in
anderen Texten als dem Textteil gefunden wurden.
•
DLP.Classification.AnyText.MatchedClassifications enthält eine Liste übereinstimmender
Klassifizierungen, die in anderen Texten als dem Textteil gefunden wurden.
Wenn sich die Übereinstimmung in einem Wörterbuch befindet, ist DLP.Dictionary.AnyText.Matched
true, und DLP.Dictionary.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe.
Informationen zu den Data Loss Prevention-Ergebnissen werden auch im Dashboard angezeigt.
Verhindern des Verlusts medizinischer Daten
Das nachfolgende Beispiel aus Data Loss Prevention geht davon aus, dass medizinische Daten das
Netzwerk eines amerikanischen Krankenhauses nicht verlassen dürfen.
354
Produkthandbuch
Web-Filterung
9
Standardklassifizierungen zur Verhinderung des Verlustes medizinischer Daten befinden sich im
HIPAA-Ordner (Health Insurance Portability and Accountability Act). Zusätzlich zu diesen
Standardinformationen werden die Namen der Ärzte, die im Krankenhaus arbeiten, in ein Wörterbuch
eingegeben, damit auch diese Informationen das Netzwerk nicht verlassen.
Die folgenden Aktivitäten müssen zur Konfiguration von Data Loss Prevention in diesem Beispiel
durchgeführt werden:
•
Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Klassifizierungen), die die
Standard-HIPAA-Klassifizierungen enthalten
•
Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Wörterbücher), die die Namen
der Ärzte als Wörterbucheinträge enthalten
•
Sicherstellen, dass die Regel aktiviert ist, die den Composite Opener aktiviert
Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem
Regelsatz „Common Rules“ untergeordnet ist.
•
Erstellen einer Regel, die Inhalte entsprechend den konfigurierten Einstellungen überprüft
Die Regel muss in einem Regelsatz enthalten sein, der im Anfragezyklus für Anfragen zum
Hochladen von Daten aus dem Krankenhausnetzwerk in das Internet gilt.
Dieser Regelsatz kann im Standard-Regelsatz für Data Loss Prevention oder in einem von Ihnen
erstellten Regelsatz eingebettet sein.
In diesem Beispiel überprüft die Regel nur Text aus dem Textteil einer Anfrage. Es könnte wie folgt
aussehen:
Name
Prevent loss of HIPAA data and doctors' names
Kriterien
Aktion
DLP.Classification.BodyText.Matched<HIPAA> equals true AND –> Block<DLP.Classification.Block>
DLP.Dictionary.BodyText.Matched<Doctors'Names> equals true
Konfigurieren von Data Loss Prevention
Sie können Data Loss Prevention konfigurieren, um zu verhindern, dass vertrauliche Inhalte Ihr
Netzwerk verlassen. Sie können damit auch verhindern, dass unangemessene Inhalte in Ihr Netzwerk
gelangen.
Vorgehensweise
1
Importieren Sie den Regelsatz „Data Loss Prevention“ aus der Bibliothek.
2
Prüfen Sie die enthaltenen Regeln, und ändern Sie sie gegebenenfalls.
Sie können z. B. Folgendes ausführen:
•
Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von
Standardklassifizierungen.
•
Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von
Wörterbucheinträgen.
•
Ändern Sie die Parameter weiterer Einstellungen.
•
Erstellen Sie eigene Regeln.
Produkthandbuch
355
9
Web-Filterung
Sie können auch einen eigenen Regelsatz für Data Loss Prevention erstellen, anstatt den
Bibliotheks-Regelsatz zu nutzen.
3
Vergewissern Sie sich, dass Composite Opener aktiviert ist, sodass der mit Anfragen und Antworten
gesendete Text überprüft werden kann.
Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem
Regelsatz „Common Rules“ untergeordnet ist.
4
Wenn Data Loss Prevention mit ICAP ausgeführt werden soll, können Sie einen weiteren Regelsatz
aus der Bibliothek importieren und dessen Regeln nach Bedarf ändern.
5
Konfigurieren von Data Loss Prevention für die Verwendung
von Standardklassifizierungen
Sie können Data Loss Prevention konfigurieren, indem Sie Standardklassifizierungen aus Systemlisten
auswählen und diese in eine Liste eingeben, die in den Einstellungen des Data Loss Prevention-Moduls
für die Verarbeitung von Klassifizierungen enthalten ist.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Classifications) (Data Loss Prevention
(Klassifizierungen)) aus, und klicken Sie auf Add (Hinzufügen).
3
4
Konfigurieren Sie die Parameter für allgemeine Einstellungen:
a
b
Einstellungen ein.
c
möchten.
Klicken Sie auf der Symbolleiste der internen Liste DLP Classifications (Data Loss
Prevention-Klassifizierungen) auf das Symbol Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Verzeichnisstruktur von Ordnern, die
Unterordner mit Standardklassifizierungen enthalten.
5
Erweitern Sie einen Ordner, z. B. SOX Compliance (SOX-Compliance), und wählen Sie einen
Unterordner aus, z. B. Compliance Reports (Compliance-Berichte). Klicken Sie anschließend auf OK.
Sie können auch mehrere Unterordner eines Ordners gleichzeitig, Ordner aus verschiedenen
Unterordnern oder komplette Ordner mit allen darin enthaltenen Unterordnern auswählen.
Das Fenster Edit (Bearbeiten) wird nun geschlossen, und der bzw. die Unterordner werden in der
internen Liste DLP Classifications (Data Loss Prevention-Klassifizierungen) angezeigt.
6
356
Produkthandbuch
9
Web-Filterung
Konfigurieren von Data Loss Prevention für die Verwendung
von Wörterbucheinträgen
Sie können Text und Platzhalterausdrücke eingeben, die vertrauliche oder unangemessene Inhalte
angeben, die als Einträge eines Wörterbuchs für Data Loss Prevention verwendet werden.
Nach dem Importieren des Bibliotheks-Regelsatzes „Data Loss Prevention“ ist die Verwendung eines
Wörterbuchs mit Einträgen für vertrauliche oder unangemessene Inhalte noch nicht implementiert. Sie
müssen geeignete Einstellungen erstellen, um diese zu implementieren und das Wörterbuch mit
Einträgen zu füllen.
Aufgaben
•
Erstellen von Einstellungen mit einem Wörterbuch auf Seite 357
Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen
mit einem Wörterbuch erstellen.
•
Füllen des Wörterbuchs mit Einträgen auf Seite 357
Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit
Einträgen füllen.
Erstellen von Einstellungen mit einem Wörterbuch
Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen mit einem
Wörterbuch erstellen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Dictionaries) (Data Loss Prevention
(Wörterbücher)) aus, und klicken Sie dann auf Add (Hinzufügen).
3
Konfigurieren Sie die Parameter für allgemeine Einstellungen:
a
b
Einstellungen ein.
c
möchten.
Nun können Sie in das Wörterbuch Einträge einfügen.
Füllen des Wörterbuchs mit Einträgen
Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit Einträgen füllen.
Vorgehensweise
1
Klicken Sie in den für Data Loss Prevention mit Wörterbucheinträgen erstellten Einstellungen auf
der Symbolleiste der Inline-Liste Dictionary (Wörterbuch) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen).
2
Wählen Sie unter Type of data to search (Typ der zu durchsuchenden Daten) Text oder Wildcard expression
(Platzhalterausdruck) aus.
3
Geben Sie im Feld Text or wildcard expression (Text oder Platzhalterausdruck) eine Textzeichenfolge oder
einen Platzhalterausdruck ein.
Produkthandbuch
357
9
Web-Filterung
4
[Optional] Geben Sie zusätzliche Informationen für einen Eintrag an:
•
•
Wenn Sie eine Textzeichenfolge eingegeben haben, wählen Sie eine oder eine beliebige
Kombination der folgenden Optionen aus:
•
Case-sensitive (Groß-/Kleinschreibung berücksichtigen)
•
At start of word (Am Anfang des Wortes)
•
At end of word (Am Ende des Wortes)
Wenn Sie einen Platzhalterausdruck eingegeben haben, aktivieren bzw. deaktivieren Sie die
Option Case-sensitive (Groß-/Kleinschreibung berücksichtigen) nach Bedarf.
5
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar im Nur-Text-Format zu einem
Eintrag ein.
6
Klicken Sie auf OK.
Daraufhin wird das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen) geschlossen,
und der neue Eintrag wird im Wörterbuch angezeigt.
Wiederholen Sie die Schritte 1 bis 6, um weitere Einträge hinzuzufügen.
7
Klicken Sie im Fenster Add Settings (Einstellungen hinzufügen) auf OK.
Daraufhin wird das Fenster geschlossen, und die Einstellungen werden in der
Einstellungs-Baumstruktur unter Data Loss Prevention (Dictionaries) (Data Loss Prevention
(Wörterbücher)) angezeigt.
Einstellungen für Data Loss Prevention (Klassifizierung)
Die Einstellungen für Data Loss Prevention (Klassifizierung) werden zum Konfigurieren von Einträgen
in Klassifizierungslisten verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen
eingestuft werden.
DLP-Klassifizierungsparameter
Konfigurationseinstellungen für die Verwendung von Klassifizierungslisten bei der Suche nach
vertraulichen bzw. unangemessenen Inhalten
358
Produkthandbuch
9
Web-Filterung
Tabelle 9-42 DLP-Klassifizierungsparameter
Option
Definition
Tracking policy
(Überwachungsrichtlinie)
Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte
im Textteil von Anfragen und Antworten fest.
Die Suche wird für alle ausgewählten Klassifizierungen durchgeführt. Sie
können die Suche jedoch in folgendem Umfang anpassen:
• Minimum: Die Suche für eine bestimmte Klassifizierung wird beendet,
wenn für diese eine Instanz mit vertraulichem bzw. unangemessenem
Inhalt gefunden wurde oder wenn die Suche nach einer solchen Instanz
kein Ergebnis erbrachte. Anschließend wird die Suche für die nächste
Klassifizierung durchgeführt.
Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen
verarbeitet wurden.
• Maximum: Die Suche ermittelt für eine bestimmte Klassifizierung alle
Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die
Suche für eine Klassifikation abgeschlossen ist, wird die nächste
Klassifikation verarbeitet.
Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen
verarbeitet wurden.
DLP Classifications
(DLP-Klassifizierungen)
Enthält eine Liste zur Auswahl von Einträgen in Klassifizierungslisten aus
den Systemlisten, die in der Listen-Baumstruktur unter DLP Classification
(DLP-Klassifizierung) aufgeführt sind.
In der folgenden Tabelle wird ein Eintrag in der Liste „DLP Classifications“ erläutert.
Tabelle 9-43 DLP-Klassifizierungsparameter – Listeneintrag
Option
Definition
DLP Classification (DLP-Klassifizierung) Enthält Informationen bezüglich der Erkennung vertraulicher bzw.
unangemessener Inhalte.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Eintrag.
Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention
Option
Definition
Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl)
des ausgegebenen Kontexts)
eines bei der Suche gefundenen Begriffs begrenzen.
Der gefundene Begriff ist der in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherte Wert.
Context list size (Länge der
Kontextliste)
Hier können Sie die Anzahl der aufgelisteten Begriffe begrenzen, die bei
der Suche gefunden wurden.
Die gefundenen Begriffe sind die in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherten Werte.
Produkthandbuch
359
9
Web-Filterung
Einstellungen für Data Loss Prevention (Wörterbücher)
Die Einstellungen für Data Loss Prevention (Wörterbücher) werden zum Konfigurieren von Begriffen
und Platzhalterausdrücken verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen
eingestuft werden.
DLP-Wörterbuchparameter
Einstellungen zum Konfigurieren von Begriffen und Platzhalterausdrücken zur Angabe, welche Inhalte
als vertraulich bzw. unangemessen eingestuft werden
Tabelle 9-45 DLP-Wörterbuchparameter
Option
Definition
Tracking policy
(Überwachungsrichtlinie)
Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte
im Textteil von Anfragen und Antworten fest.
Die Suche wird für alle erstellten Wörterbucheinträge durchgeführt. Die
Suche kann jedoch in folgendem Umfang angepasst werden:
• Minimum: Die Suche wird für einen bestimmten Wörterbucheintrag
beendet, wenn für diesen eine Instanz mit vertraulichem bzw.
unangemessenem Inhalt gefunden wurde oder wenn die Suche nach einer
solchen Instanz kein Ergebnis erbrachte. Anschließend wird die Suche für
den nächsten Eintrag durchgeführt.
Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet
wurden.
• Maximum: Die Suche ermittelt für einen bestimmten Wörterbucheintrag
alle Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die
Suche für einen Eintrag abgeschlossen ist, wird der nächste Eintrag
verarbeitet.
Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet
wurden.
Dictionary (Wörterbuch)
Enthält eine Liste zur Eingabe von Begriffen und Platzhalterausdrücken, die
als vertraulicher bzw. unangemessener Inhalt eingestuft werden oder mit
einem solchen Inhalt übereinstimmen.
In der folgenden Tabelle wird ein Eintrag in der Liste Dictionary (Wörterbuch) erläutert.
Tabelle 9-46 Wörterbuch – Listeneintrag
Option
Definition
Text or wildcard expression (Begriff oder
Platzhalterausdruck)
Gibt einen Begriff bzw. Platzhalterausdruck an, der als
vertraulicher bzw. unangemessener Inhalt eingestuft wird oder
mit einem solchen Inhalt übereinstimmt.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Begriff
(Zeichenfolge) bzw. einem Platzhalterausdruck.
Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention
360
Produkthandbuch
9
Web-Filterung
Option
Definition
Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl)
des ausgegebenen Kontexts)
eines bei der Suche gefundenen Begriffs begrenzen.
Der gefundene Begriff ist der in der Eigenschaft
DLP.Dictionary.Matched.Terms gespeicherte Wert.
Context list size (Länge der
Kontextliste)
Hier können Sie die Anzahl von Treffern begrenzen, die für den
angegebenen Wert in der Liste angezeigt werden.
Die gefundenen Begriffe sind die in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherten Werte.
Data Loss Prevention (Regelsatz)
Der Regelsatz „Data Loss Prevention (DLP)“ ist ein Bibliotheks-Regelsatz, mit dem verhindert wird,
dass vertrauliche Inhalte Ihr Netzwerk verlassen bzw. dass unangemessene Inhalte in Ihr Netzwerk
eindringen.
Standard-Regelsatz – Data Loss Prevention (DLP)
Criteria – Always
•
DLP in Request Cycle
•
DLP in Response Cycle
Dieser Regelsatz ist standardmäßig nicht aktiviert.
DLP in Request Cycle
Dieser untergeordnete Regelsatz blockiert Anfragen, die von Clients Ihres Netzwerks an Web-Server
gesendet werden, wenn erkannt wird, dass es sich dabei um vertrauliche Inhalte handelt. So würde
beispielsweise eine Anfrage zum Hochladen einer Datei mit vertraulichen Inhalten in das Internet
blockiert.
Untergeordneter Bibliotheks-Regelsatz – DLP in Request Cycle
Criteria – Cycle.TopName equals "Request"
Cycles – Requests (and IM) and Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage auf der
Appliance verarbeitet wird.
Block files with HIPAA information
DLP.Classification.BodyText.Matched <HIPAA> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Die Regel überprüft anhand der DLP.Classification.BodyText.Matched -Eigenschaft, ob der Textteil der
derzeit verarbeiteten Anfrage Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text
kann z. B. in einer Datei enthalten sein, deren Upload in das Internet angefragt wird.
Text wird gemäß den HIPAA-Vorschriften für das Gesundheitswesen als vertraulicher Inhalt
eingestuft. Die Nutzung der relevanten Informationen wird im Rahmen der Moduleinstellungen
konfiguriert, die nach dem Eigenschaftennamen angegeben sind.
Produkthandbuch
361
9
Web-Filterung
Wenn im Textteil einer Anfrage vertrauliche Inhalte enthalten sind, wird die Anfrage blockiert. Die
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfragenden Benutzer
an.
Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines
Data Loss Prevention-Treffers.
Block files with Payment Card Industry information
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Text wird gemäß den geltenden Vorschriften für Kreditkarten als vertraulicher Inhalt eingestuft.
Darunter würde beispielsweise eine Kreditkartennummer fallen. Ob ein Text vertrauliche Inhalte
enthält, wird auf dieselbe Weise wie für die HIPAA-bezogene Regel anhand geeigneter Informationen
bestimmt.
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer
an.
Block files with SOX information
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Text wird gemäß den Bestimmungen des Sarbanes-Oxley (SOX) Act zur Rechenschaftspflicht
börsennotierter Unternehmen als vertraulich eingestuft. Darunter würden beispielsweise Protokolle
von Vorstandssitzungen fallen. Ob ein Text vertrauliche Inhalte enthält, wird auf dieselbe Weise wie
für die HIPAA-bezogene Regel anhand geeigneter Informationen bestimmt.
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer
an.
DLP in Response Cycle
Dieser untergeordnete Regelsatz blockiert Antworten, die auf der Appliance von Web-Servern
empfangen werden, wenn erkannt wird, dass diese unangemessene Inhalte enthalten, z. B.
diskriminierende oder anstößige Sprache.
Untergeordneter Bibliotheks-Regelsatz – DLP in Response Cycle
Criteria – Cycle.TopName equals "Response"
Cycles – Responses and embedded objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Antwort auf der
Appliance verarbeitet wird.
362
Produkthandbuch
9
Web-Filterung
Acceptable use
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Die Regel überprüft anhand der DLP.Classification.BodyText.Matched-Eigenschaft, ob der Textteil der
derzeit verarbeiteten Antwort Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text
kann z. B. in einer Datei enthalten sein, die als Antwort auf eine Download-Anfrage gesendet wird.
Das von der Regel aufgerufene Modul, von dem festgestellt wird, ob im Textteil der Antwort
unangemessene Inhalte enthalten sind, nutzt geeignete Informationen aus Klassifizierungslisten. Die
Nutzung dieser Listen wird im Rahmen der Moduleinstellungen konfiguriert, die nach dem
Eigenschaftennamen angegeben sind.
Wenn im Textteil einer Antwort unangemessene Inhalte enthalten sind, wird die Antwort blockiert.
Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den Benutzer an, an den
die Antwort weitergeleitet werden sollte.
Verhindern von Datenlecks mit einem ICAP-Server
Wenn Sie Data Loss Prevention mit einem ICAP-Server implementiert haben, der den Filterprozess
behandelt, können Sie Einstellungen konfigurieren und einen Regelsatz implementieren, um einen
reibungslosen Datenfluss zwischen der Appliance und dem ICAP-Server sicherzustellen.
Für Data Loss Prevention können Sie die Lösung nDLP verwenden. In dieser Lösung werden Daten
gefiltert, die Benutzer aus dem Netzwerk in das Web hochladen möchten, um Datenlecks zu
verhindern. Die Filterung wird durch einen ICAP-Server abgewickelt. Der Datenfluss läuft wie folgt ab:
•
Aus den Client-Systemen der Benutzer gesendete Daten werden an die Appliance weitergeleitet.
•
Die Appliance stellt einen ICAP-Client bereit, der REQMOD-Anfragen mit den Benutzerdaten an den
ICAP-Server sendet.
•
Die Anfragen werden auf dem Server gefiltert, indem sie gemäß dem ICAP-Protokoll geändert und
an die Web-Server übergeben werden, die die Ziele der Anfragen darstellen.
Nach dem Importieren des Regelsatzes Data Loss Prevention with ICAP aus der Bibliothek steuern auf
der Appliance implementierte Regeln das Senden von Anfragen an den ICAP-Server.
Entsprechend diesen Regeln wird eine Anfrage unter folgenden Umständen nicht weitergeleitet:
•
Der Textteil der Anfrage enthält keine Daten, und die Anfrage enthält keine URL-Parameter.
•
Der Textteil der Anfrage überschreitet eine bestimmte Größe (Standardwert: 50 MB).
Zusammen mit dem Regelsatz werden Einstellungen importiert, die Sie konfigurieren müssen. Hierzu
zählt eine Liste der ICAP-Server, an die die Appliance Anfragen weiterleiten kann.
Sie können außerdem den ICAP-Client auf der Appliance so konfigurieren, dass keine größere Anzahl
von Verbindungen zum Senden von Anfragen gleichzeitig geöffnet wird, als von einem bestimmten
ICAP-Server bewältigt werden kann.
Produkthandbuch
363
9
Web-Filterung
Erstellen einer ICAP-Server-Liste für Data Loss Prevention
Da die nDLP-Lösung zur Data Loss Prevention zum Filtern von Daten einen ICAP-Server nutzt, müssen
Sie für das Ausführen dieser Lösung eine Liste der entsprechenden Server konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur ICAP Client (ICAP-Client) aus, und klicken Sie auf die
Einstellung ReqMod.
3
Konfigurieren Sie nun die in diesen Einstellungen verfügbare ICAP-Server-Liste je nach Bedarf.
4
ICAP-Client-Einstellungen
Mit den ICAP-Client-Einstellungen wird die Kommunikation im REQMOD-Modus zwischen einem
ICAP-Client auf der Appliance und ICAP-Servern konfiguriert.
ICAP Service (ICAP-Dienst)
Einstellungen für ICAP-Server, an die der ICAP-Client auf der Appliance Anfragen sendet
Tabelle 9-48 Select Scanning Engines (Scan-Module auswählen)
Option
Definition
List of ICAP Servers (Liste von ICAP-Servern) Stellt eine Liste für die Auswahl einer Liste von Servern bereit,
die bei der ICAP-Kommunikation verwendet werden.
In der folgenden Tabelle wird ein Eintrag für einen ICAP-Server in einer Serverliste beschrieben.
Tabelle 9-49 Eintrag in einer Liste von ICAP-Servern
Option
Definition
URI
Gibt den URI eines ICAP-Servers an.
Format: ICAP://<IP-Adresse>:<Port-Nummer>
Respect max concurrent connections Bei Auswahl dieser Option öffnet der ICAP-Client auf der Appliance
limit (Zulässige Höchstzahl für
nicht mehr gleichzeitige Verbindungen zum Senden von Anfragen, als
gleichzeitige Verbindungen beachten) vom ICAP-Server bewältigt werden können.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem ICAP-Server.
Data Loss Prevention With ICAP (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Data Loss Prevention With ICAP“ kann der Datenfluss zwischen der
Appliance und einem ICAP-Server innerhalb einer Data Loss Prevention-Lösung konfiguriert werden.
Bibliotheks-Regelsatz – Data Loss Prevention With ICAP
Criteria – URL.Host does not equal “ ”
Cycles – Requests (and IM) and Embedded Objects
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn für eine in einer Anfrage
an die Appliance gesendete URL ein Host-Name gefunden wird.
Skip requests that do not carry information
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule Set
364
Produkthandbuch
9
Web-Filterung
Die Regel überprüft mithilfe der Eigenschaft Body.Size, ob der Textteil einer bestimmten Anfrage leer
ist. Außerdem überprüft die Regel mit der Eigenschaft ListOfString.IsEmpty, ob eine Anfrage
URL-Parameter enthält.
Wenn ein Teil dieses zweiteiligen Kriteriums zutrifft, wird die Verarbeitung des Regelsatzes beendet,
und die Anfrage wird nicht an den ICAP-Server weitergeleitet.
Skip body that is greater than 50 MB
Body.Size greater than 52428800 –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft „Body.Size“, ob der Textteil einer bestimmten Anfrage
größer als 50 MB ist. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die
Anfrage wird nicht an den ICAP-Server weitergeleitet.
In diesem Regelsatzkriterium wird die maximale Größe des Textteils einer Anfrage in Bytes
angegeben.
Call ReqMod server
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
Wenn eine Anfrage das Filtern durch die ersten zwei Regeln des Regelsatzes bestanden hat, wird sie
an den ICAP-Server weitergeleitet. Die Eigenschaft „ICAP.ReqMod.Satisfaction“ erhält dann den Wert
„True“ (wahr).
Die Regel prüft, ob dies für eine Regel zutrifft, und beendet anschließend die Verarbeitung des
laufenden Zyklus.
Produkthandbuch
365
9
Web-Filterung
366
Produkthandbuch
10
Einige Funktionen der Appliance dienen nicht zur Filterung von Web-Objekten oder Benutzern, sondern
unterstützen den Filterungsprozess auf eine andere Art.
Die unterstützenden Funktionen bieten folgende Möglichkeiten:
•
Download-Fortschritt anzeigen: Sie können Methoden konfigurieren, um Benutzern den
Fortschritt beim Herunterladen von Web-Objekten sichtbar zu machen.
•
Bandbreite für Uploads und Downloads beschränken: Sie können die Geschwindigkeit
beschränken, mit der Daten von Clients auf die Appliance hochgeladen oder von Web-Servern auf
die Appliance heruntergeladen werden.
•
Web-Cache für die Speicherung und Bereitstellung von Web-Objekten verwenden: Wenn
Sie Objekte aus dem Web-Cache an die Appliance senden, können Sie Antworten auf
Client-Anfragen beschleunigen.
•
Anfragen über Proxys des nächsten Hops umleiten: Über diese Proxys können Sie Anfragen
an das jeweilige Ziel umleiten.
Inhalt
Fortschrittsanzeige
Bandbreitenbeschränkung
Web-Caching
Nächster-Hop-Proxys
Fortschrittsanzeige
Die Fortschrittsanzeige zeigt einem Benutzer, der den Download eines Web-Objekts gestartet hat, der
Fortschritt beim Herunterladen des Objekts an.
•
Fortschrittsanzeigeregeln, die den Prozess steuern
•
Fortschrittsanzeigemodule, die von den Regeln für die Verarbeitung der verschiedenen Methoden
für die Fortschrittsanzeige aufgerufen werden
Fortschrittsanzeigeregeln
Die Regeln, die die Fortschrittsanzeige steuern, sind normalerweise in einem Regelsatz enthalten.
Verschiedene Regeln steuern die Verwendung der unterschiedlichen Methoden für die
Fortschrittsanzeige. Demzufolge rufen sie verschiedene Module zum Verarbeiten dieser Methoden auf.
Produkthandbuch
367
10
Fortschrittsanzeige
Auf der Appliance sind zwei Methoden für die Fortschrittsanzeige verfügbar. Welche Methode für einen
Download geeignet ist, hängt von dem Browser ab, mit dem der Benutzer die Download-Anfrage
sendet.
•
Fortschrittsseite: Für Mozilla-Browser
Bei dieser Methode wird für den Benutzer, der einen Download gestartet hat, eine Seite mit einem
Fortschrittsbalken angezeigt; anschließend wird eine weitere Seite beim Abschluss des Downloads
angezeigt.
•
Durchlassen von Daten: Für alle anderen Browser
Bei dieser Methode wird ein Web-Objekt in Paketen und mit einer bestimmten
Weiterleitungsgeschwindigkeit an den Benutzer weitergeleitet.
Die Fortschrittsanzeige ist im Standard-Regelsatzsystem nicht implementiert. Diese Funktionen
werden von einem Bibliotheks-Regelsatz bereitgestellt. Dieser heißt Progress Indication.
Sie können diesen Regelsatz implementieren, die darin enthaltenen Regeln überprüfen, ändern oder
löschen, und Sie können auch eigene Regeln erstellen.
Fortschrittsanzeigemodule
Für die Verarbeitung der verschiedenen Methoden der Fortschrittsanzeige sind zwei
Fortschrittsanzeigemodule (auch als Engine bezeichnet) verfügbar:
•
Modul „Progress Page“: für die Fortschrittsseitenmethode
•
Modul „Data Trickling“: für die Methode zum Durchlassen von Daten
Sie können Einstellungen für diese Module konfigurieren, um die Art der Verarbeitung dieser Methoden
zu ändern.
Es werden Vorlagen für das Konfigurieren der beiden Seiten für die Fortschrittsseitenmethode
bereitgestellt. Die Konfiguration erfolgt auf die gleiche Weise wie für Benutzermeldungsvorlagen.
Konfigurieren der Fortschrittsanzeige
Sie können die Fortschrittsanzeige implementieren und konfigurieren, um sie an die Anforderungen
Vorgehensweise
1
Importieren Sie den Regelsatz „Progress Indication“ aus der Bibliothek.
2
Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
•
368
Konfigurieren Sie Einstellungen für das Modul „Progress Page“:
•
Wählen Sie eine bestimmte Sprache für die Fortschrittsseite aus.
•
Ändern Sie den Text der Fortschrittsseite.
•
Geben Sie Zeitlimits für die heruntergeladene Seite an, z. B. ein Zeitlimit für den Zeitraum,
den eine Seite nach dem Download verfügbar ist.
Produkthandbuch
Fortschrittsanzeige
•
3
10
Konfigurieren Sie Einstellungen für das Modul „Data Trickling“:
•
Größe des ersten Pakets beim Durchlassen von Daten
•
Weiterleitungsgeschwindigkeit
Konfigurieren der Fortschrittsanzeige-Module
Sie können die Fortschrittsanzeige-Module konfigurieren, um zu ändern, auf welche Weise der
Fortschritt beim Download von Web-Objekten für Benutzer angezeigt wird.
Für die Fortschrittsanzeige sind zwei verschiedene Module vorhanden: das Modul „Progress Page“ und
das Modul „Data Trickling“.
Vorgehensweise
1
Wählen Sie Policy Rule Sets (Richtlinie | Regelsätze) aus.
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Fortschrittsanzeige aus.
Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz
Progress Indication.
3
4
Suchen Sie je nach konfigurierter Fortschrittsanzeige nach der Regel, die das Modul „Progress
Page“ bzw. das Modul „Data Trickling“ aufruft.
Im Bibliotheks-Regelsatz sind dies die Regeln Enable progress page und Enable data trickling.
5
Klicken Sie im Regelereignis der entsprechenden Regel auf den Namen der Einstellungen.
für das Modul „Progress Page“ bzw. das Modul „Data Trickling“.
6
7
8
Einstellungen für „Progress Page“ (Fortschrittsseite)
Mit den Einstellungen für „Progress Page“ (Fortschrittsseite) wird die Fortschrittsseite konfiguriert, die
Benutzern beim Herunterladen von Web-Objekten angezeigt wird.
Parameter für „Progress Page“ (Fortschrittsseite)
Einstellungen für die Fortschrittsseite
Tabelle 10-1 Parameter für „Progress Page“ (Fortschrittsseite)
Option
Definition
Templates (Vorlagen) Stellt Einstellungen für die Vorlagen bereit, die für die Fortschrittsseite genutzt
werden.
Timeouts (Zeitlimits) Stellt Einstellungen für Zeitlimits bereit, die sich auf die Fortschrittsseite beziehen.
Templates (Vorlagen)
Einstellungen für die Vorlagen, die für die Fortschrittsseite genutzt werden
Produkthandbuch
369
10
Fortschrittsanzeige
Tabelle 10-2 Templates (Vorlagen)
Option
Definition
Language (Sprache)
Bietet Einstellungen zum Auswählen der Sprache der Fortschrittsseite.
• Auto (Browser): Bei Auswahl dieser Option wird die Meldung in der
Sprache des Browsers ausgegeben, von dem die blockierte Anfrage
gesendet wurde.
• Force to (Erzwingen von): Bei Auswahl dieser Option wird die Meldung
in der Sprache ausgegeben, die in der hier bereitgestellten Liste
ausgewählt wird.
• Value of 'Message.Language' property (Wert der
Message.Language-Eigenschaft): Bei Auswahl dieser Option wird die
Meldung in der Sprache ausgegeben, die als Wert der Eigenschaft
„Message.Language“ festgelegt ist.
Mit dieser Eigenschaft kann eine Regel erstellt werden.
Collection (Sammlung)
Stellt eine Liste zum Auswählen einer Vorlagensammlung bereit.
• Add (Hinzufügen): Öffnet das Fenster „Add Template Collection“
(Vorlagensammlung hinzufügen), mit dem eine Vorlagensammlung
• Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum
Bearbeiten einer Vorlagensammlung.
Template name for progress bar
page (Name der Vorlage für Seite
mit Fortschrittsbalken)
Stellt eine Liste zum Auswählen einer Vorlage bereit.
• Add (Hinzufügen): Öffnet das Fenster „Add Template“ (Vorlage
hinzufügen), mit dem eine Vorlage hinzugefügt werden kann.
Bearbeiten einer Vorlage.
Template name for download
finished page (Name der Vorlage
für Seite bei
Download-Fertigstellung)
Template name for download
canceled page (Name der Vorlage
für Seite bei Abbruch des
Downloads)
Timeouts (Zeitlimits)
Einstellungen für Zeitlimits, die sich auf die Fortschrittsseite beziehen
370
Produkthandbuch
Fortschrittsanzeige
10
Option
Definition
Delay for redirects to progress page (Verzögerung für Beschränkt den Zeitraum (in Sekunden) bis zum Anzeigen
Umleitungen auf Fortschrittsseite)
der Fortschrittsseite auf den angegebenen Wert.
File availability time before download
(Dateiverfügbarkeitsdauer vor Download)
Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf
eine Datei für einen Benutzer vor dem Download nicht
mehr verfügbar ist, auf den angegebenen Wert.
File availability time after download
(Dateiverfügbarkeitsdauer nach Download)
Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf
eine Datei für einen Benutzer nach dem Download nicht
mehr verfügbar ist, auf den angegebenen Wert.
Einstellungen für das Durchlassen von Daten
Die Einstellungen für das Durchlassen von Daten werden zum Konfigurieren des Vorgangs des
Durchlassens von Daten genutzt, der angewendet wird, wenn ein Benutzer mit dem Download eines
Web-Objekts begonnen hat.
Parameter für das Durchlassen von Daten
Einstellungen bezüglich der einzelnen Teilpakete eines Web-Objekts, die im Datendurchlass-Modus
weitergeleitet werden
Tabelle 10-4 Parameter für das Durchlassen von Daten
Option
Definition
Size of first chunk (Größe des ersten Pakets)
Gibt die Größe des ersten Pakets (in Bytes) eines Web-Objekts
an, dessen Weiterleitung mithilfe der Methode zum
Durchlassen von Daten erfolgt.
Forwarding rate
(Weiterleitungsgeschwindigkeit)
Gibt die Größe der Pakete eines Web-Objekts an, die einzeln
alle fünf Sekunden weitergeleitet werden.
Die Weiterleitungsgeschwindigkeit beträgt ein Tausendstel der
gesamten weiterzuleitenden Datenmenge multipliziert mit dem
hier konfigurierten Wert.
Progress Indication (Regelsatz)
Mithilfe des Bibliotheks-Regelsatzes „Progress Indication“ kann Benutzern der Fortschritt beim
Herunterladen eines Web-Objekts angezeigt werden.
Bibliotheks-Regelsatz – Progress Indication
Criteria – MediaType.FromHeader does not equal text/html
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn Medien, die als Antwort
auf die von einem Benutzer gesendete Anfrage aus dem Web gesendet werden, nicht vom Typ „Text“
oder „HTML“ sind.
Enable progress page
Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable Progress
Page <Default>
Die Regel aktiviert eine Fortschrittsseite für Mozilla-Browser. Die Ereigniseinstellungen geben das
Erscheinungsbild der Fortschrittsseite an, z. B. die verwendete Sprache.
Produkthandbuch
371
10
FTP upload timeout prevention
URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable FTP
Upload Progress Indication
Die Regel aktiviert die Funktion „FTP Upload Progress Indication“, wenn eine Datei von einem Client
unter dem FTP-Protokoll zum Hochladen ins Web gesendet wurde.
Meldungen zum Upload-Fortschritt werden dann während des Upload-Prozesses an den Client
gesendet, um eine Zeitüberschreitung zu verhindern, die bei einer längeren Upload-Dauer auf dem
Client auftreten könnte.
Eine solche Zeitüberschreitung kann z. B. auf das Scannen der hochzuladenden Datei auf Infektionen
mit Viren und sonstiger Malware zurückzuführen sein.
Enable data trickling
Always –> Stop Rule Set – Enable Data Trickling<Default>
Die Regel aktiviert das Durchlassen von Daten für alle Browser, bei denen es sich nicht um
Mozilla-Browser handelt. In den Ereigniseinstellungen werden die Paket- und Blockgrößen für das
Durchlassen angegeben.
Sie können die Geschwindigkeit zum Hochladen und Herunterladen von Daten an bzw. von der
Appliance beschränken. Dies wird auch als Bandbreitenbeschränkung bezeichnet.
Mithilfe der Bandbreitenbeschränkung können Sie beispielsweise vermeiden, dass die
Netzwerkleistung, die Sie zur Durchführung eines bestimmten Tasks benötigen, von anderen
Benutzern beeinträchtigt wird, die einzelne Objekte in das Internet hochladen oder große Downloads
aus dem Internet herunterladen.
Bandbreitenbeschränkungsregeln
Bandbreitenbeschränkungsregeln begrenzen die Übertragungsgeschwindigkeit, wenn Objekte ins
Internet hochgeladen oder aus dem Internet heruntergeladen werden.
Ereignisse in Bandbreitenbeschränkungsregeln
In den Regeln zur Steuerung der Bandbreitenbeschränkung können zwei Ereignisse verwendet
werden:
•
Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Client an die
Appliance
Dies ist der Fall, wenn ein Client eine Anfrage zum Hochladen eines Objekts an einen Web-Server
sendet und die Anfrage auf der Appliance zusammen mit dem Objekt abgefangen wird.
•
Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Web-Server an
die Appliance
In diesem Fall gab es eine Client-Anfrage zum Herunterladen eines Objekts von einem Web-Server,
und nach dem Filtern der Anfrage auf der Appliance sowie dem Weiterleiten der Anfrage sendet der
Web-Server als Antwort das Objekt.
Bandbreitenbeschränkungsregeln für Uploads
Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Uploads
ausführen kann.
372
Produkthandbuch
10
Limit upload speed for hosts on throttling list (Upload-Geschwindigkeit für Hosts in
Beschränkungslisten begrenzen)
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
Die Regel verwendet das Ereignis Throttle.Client, um die Geschwindigkeit für Uploads auf 10 Kbit/s zu
begrenzen, wenn sich der Web-Server, an den die Daten hochgeladen werden sollen, in einer
bestimmten Liste befindet.
In den Kriterien der Regel wird die URL.Host-Eigenschaft verwendet, um den Host-Namen des
Web-Servers abzurufen, der in der Anfrage für das Hochladen angegeben wurde.
Wenn die Upload-Beschränkungsliste diesen Namen enthält, werden die Kriterien verglichen und die
Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt.
Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird.
Bandbreitenbeschränkungsregeln für Downloads
Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Downloads
ausführen kann.
Limit download speed for media types on throttling list (Download-Geschwindigkeit für
Medientypen in Beschränkungslisten begrenzen)
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue – Throttle.Server
(1000)
Die Regel verwendet das Ereignis Throttle.Server, um die Geschwindigkeit für Downloads auf
1000 Kbit/s zu begrenzen, wenn das herunterzuladende Web-Objekt zu einem Medientyp in einer
bestimmten Liste gehört.
In den Kriterien der Regel wird die MediaType.EnsuredTypes-Eigenschaft verwendet, um den
Medientyp des Web-Objekts zu erkennen, das der Web-Server sendet. Ein Objekt kann auch zu
mehreren Typen gehören.
Wenn sich einer dieser Typen auf der Medientyp-Beschränkungsliste befindet, werden die Kriterien
verglichen und die Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt.
Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird.
Bandbreitenbeschränkungsregeln und Regelsätze
Es wird empfohlen, einen Gesamtregelsatz für Bandbreitenbeschränkungsregeln zu erstellen und zwei
Regelsätze in diesen zu integrieren, einen zur Beschränkung von Uploads sowie einen weiteren zur
Beschränkung von Downloads. Der integrierte Upload-Regelsatz kann dann für den Anfragezyklus und
der eingebettete Download-Regelsatz für den Antwortzyklus gelten.
Jeder integrierte Regelsatz kann über mehrere Beschränkungsregeln verfügen, die für verschiedene
Arten von Web-Objekten gelten.
Der Gesamtregelsatz für die Bandbreitenbeschränkung sollte am Anfang Ihres Regelsatzsystems
platziert werden. Wenn dies nicht der Fall ist, können Regeln in anderen Regelsätzen unbeschränkte
Downloads anderer Web-Objekte starten, bevor Ihre Beschränkungsregeln ausgeführt werden.
Beispielsweise könnte eine Regel zur Virus- oder Malware-Filterung den Download eines Web-Objekts
auslösen, das von einem Web-Server als Antwort auf eine Benutzeranfrage gesendet wurde. Das
Web-Objekt muss dann vollständig auf die Appliance heruntergeladen werden, um zu überprüfen, ob
es infiziert ist.
Produkthandbuch
373
10
Web-Caching
Wenn sich der Regelsatz zur Bandbreitenbeschränkung hinter dem Regelsatz mit der Virus- und
Malware-Filterungsregel befindet und nach dieser verarbeitet wird, wird keine
Bandbreitenbeschränkung für den Download angewendet.
Konfigurieren der Bandbreitenbeschränkung
Sie können die Bandbreitenbeschränkung implementieren und konfigurieren, um sie an die
Anforderungen Ihres Netzwerks anzupassen.
Vorgehensweise
1
Erstellen Sie Listen von Web-Objekten, die von den Regeln für die Bandbreitenbeschränkung
verwendet werden sollen.
Sie können beispielsweise Folgendes erstellen:
•
Eine Liste von Hosts, für die die Übertragungsgeschwindigkeit bei einem Upload von Objekten
beschränkt wird
•
Eine Liste von Medientypen, für die die Übertragungsgeschwindigkeit beschränkt wird, wenn ein
Objekt eines der betreffenden Typen auf sie heruntergeladen wird
2
Erstellen Sie einen Regelsatz für die Bandbreitenbeschränkung.
3
Erstellen Sie innerhalb dieses Regelsatzes Regeln für die Bandbreitenbeschränkung.
Sie können beispielsweise Folgendes erstellen:
4
•
Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn Objekte auf
bestimmte Hosts hochgeladen werden
•
Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn ein Objekt eines
bestimmten Medientyps heruntergeladen wird
Entwerfen Sie diese Regeln nach Bedarf.
5
•
Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Client,
das die Bandbreitenbeschränkung beim Hochladen von Objekten in das Web aktiviert.
•
Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Server,
das die Bandbreitenbeschränkung beim Herunterladen von Objekten aus dem Web aktiviert.
Web-Caching
Ein Web-Cache wird auf der Appliance zum Speichern von Web-Objekten bereitgestellt, um schneller
auf Client-Anfragen antworten zu können.
Die Verwendung des Web-Caches der Appliance wird durch Regeln in einem Regelsatz gesteuert.
Um herauszufinden, ob auf Ihrer Appliance ein Web-Cache-Regelsatz implementiert ist, überprüfen Sie
das Regelsatzsystem auf der Registerkarte Rule Sets (Regelsätze) im übergeordneten Menü Policy
(Richtlinie).
Wenn keiner implementiert ist, können Sie den Bibliotheks-Regelsatz „Web Cache“ importieren. Nach
dem Importieren dieses Regelsatzes können Sie diesen auf der Registerkarte Rule Sets (Regelsätze)
überprüfen und für Ihr Netzwerk bearbeiten. Alternativ können Sie einen Regelsatz mit eigenen Regeln
erstellen.
374
Produkthandbuch
Web-Caching
10
Ein Web-Cache-Regelsatz enthält üblicherweise Regeln zum Lesen von Objekten aus dem Cache sowie
zum Schreiben von Objekten in den Cache.
Zusätzlich können Umgehungsregeln vorhanden sein, die Objekte vom Lesen und Schreiben
ausschließen.
Überprüfen der Aktivierung des Web-Cache
Sie können überprüfen, ob der Web-Cache aktiviert ist.
Vorgehensweise
1
Wählen Sie Configuration Appliances (Konfiguration | Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Aktivierung des
Web-Cache überprüfen möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Scrollen Sie nach unten zum Bereich Web Cache (Web-Cache), und überprüfen Sie, ob Enable Cache
(Cache aktivieren) ausgewählt ist. Aktivieren Sie diese Option bei Bedarf.
4
Klicken Sie bei Bedarf auf Save Changes (Änderungen speichern).
Web Cache (Regelsatz)
Der Regelsatz „Web Cache“ ist ein Bibliotheks-Regelsatz für Web-Caching.
Bibliotheks-Regelsatz – Web Cache
Criteria – Always
Cycles – Requests (and IM) and responses
•
Read from Cache
•
Write to Cache
Read from Cache
Dieser untergeordnete Regelsatz ermöglicht das Lesen von Web-Objekten aus dem Cache und
verbietet dies für URLs, die sich in einer Umgehungsliste befinden.
Untergeordneter Bibliotheks-Regelsatz – Read from Cache
Criteria – Always
Skip caching URLs that are in Web Cache URL Bypass List
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen
Umgehungsliste befinden.
Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen
aus dem Cache ermöglicht, wird dann nicht verarbeitet.
Produkthandbuch
375
10
Web-Caching
Enable Web Cache
Always –> Continue — Enable Web Cache
Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der
Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte
Objekte gelesen werden können.
Write to Cache
Dieser untergeordnete Regelsatz ermöglicht das Schreiben von Web-Objekten in den Cache und
verbietet dies sowohl für große Objekte als auch für URLs und Medientypen in bestimmten
Umgehungslisten.
Untergeordneter Bibliotheks-Regelsatz – Write to Cache
Criteria – Always
Cycles – Responses
Enable Web Cache
Always –> Continue — Enable Web Cache
376
Produkthandbuch
10
Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der
Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte
Objekte gelesen werden können.
Nächster-Hop-Proxys können als zusätzliche Maßnahme zum Weiterleiten von Anfragen, die von den
Clients einer Appliance erhalten wurden, an ihre Ziele verwendet werden.
Wenn Nächster-Hop-Proxys implementiert sind, verwendet eine Regel in einem zugehörigen Regelsatz
ein Modul (auch als Engine bezeichnet) zum Aufrufen von Nächster-Hop-Proxys, die in eine Liste zur
Weiterleitung von Anfragen eingegeben wurden.
Beispielsweise können Sie mit internen Nächster-Hop-Proxys Anfragen weiterleiten, die über interne
Ziele verfügen. IP-Adressen von internen Zielen werden dann in eine Liste eingegeben, auf der die
Weiterleitungsregel basiert. Zusätzlich gibt es eine Liste interner Nächster-Hop-Proxys zur Verwendung
durch die Regel.
Ein Regelsatz mit einer Regel zur Verwendung von Nächster-Hop-Proxys wird auf der Appliance nach
der Erstkonfiguration nicht implementiert. Sie können einen Regelsatz aus der Bibliothek importieren
und entsprechend den Bedürfnissen Ihres Netzwerks anpassen oder einen eigenen Regelsatz erstellen.
Wenn Sie den Nächster-Hop-Proxy-Regelsatz importieren, wird auch eine Liste mit Servern importiert,
die als Nächster-Hop-Proxys verwendet werden können. Die Liste ist anfangs leer und muss von Ihnen
gefüllt werden. Sie können auch mehrere Listen erstellen und diese Listen zum Routing in
verschiedenen Situationen verwenden.
Einstellungen für das Nächster-Hop-Proxy-Modul werden mit dem Bibliotheks-Regelsatz importiert. Sie
können diese Einstellungen so konfigurieren, dass das Modul eine bestimmte
Nächster-Hop-Proxy-Liste verwendet und der Modus zum Aufrufen der Nächster-Hop-Proxys ermittelt
wird (Round-Robin oder Failover).
Nächster-Hop-Proxy-Modi
Wenn mehrere Server als Nächster-Hop-Proxys zum Routing von Anfragen verfügbar sind, kann das
Nächster-Hop-Proxy-Modul zwei Modi verwenden, um diese aufzurufen: Round-Robin und Failover.
Beim Routing einer Anfrage im Round-Robin-Modus ruft das Nächster-Hop-Proxy-Modul den
Nächster-Hop-Proxy auf, der sich in der Liste neben dem zuletzt aufgerufenen Proxy befindet.
Bei der nächsten Anfrage wird dies auf die gleiche Art gehandhabt, sodass irgendwann alle Server in
der Liste als Nächste-Hop-Proxys verwendet wurden.
Produkthandbuch
377
10
Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im
Round-Robin-Modus.
Abbildung 10-1 Nächster-Hop-Proxys im Round-Robin-Modus
Beim Routing einer Anfrage im Failover-Modus ruft das Nächster-Hop-Proxy-Modul den ersten
Nächster-Hop-Proxy in der Liste auf.
Wenn dieser Nächster-Hop-Proxy nicht antwortet, wird dieser Aufruf wiederholt, bis die konfigurierte
Anzahl erneuter Versuche erreicht ist. Erst danach wird versucht, den zweiten Nächster-Hop-Proxy in
der Liste aufzurufen. Dieser wird auf die gleiche Weise wie der erste aufgerufen, und anschließend
wird versucht, den dritten Nächster-Hop-Proxy in der Liste aufzurufen.
Dies wird solange wiederholt, bis ein Nächster-Hop-Proxy antwortet oder festgestellt wird, dass alle
Nächster-Hop-Proxys in der Liste nicht verfügbar sind.
Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im Failover-Modus.
Abbildung 10-2 Nächster-Hop-Proxys im Failover-Modus
Konfigurieren von Nächster-Hop-Proxys
Sie können die Verwendung von Nächster-Hop-Proxys implementieren und konfigurieren, um sie an
die Anforderungen Ihres Netzwerks anzupassen.
378
Produkthandbuch
10
Vorgehensweise
1
Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Bibliothek.
2
Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
•
Bearbeiten Sie die Listen, die von der Regel für Nächster-Hop-Proxys verwendet werden.
•
3
Konfigurieren Sie die Einstellungen des Next Hop Proxy-Moduls.
Konfigurieren des Moduls „Next Hop Proxy“
Sie können das Modul „Next Hop Proxy“ konfigurieren, um zu ändern, wie Anfragen mithilfe von
Nächster-Hop-Proxys an das Web weitergeleitet werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für Nächster-Hop-Proxys aus.
Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz
Next Hop Proxy.
3
4
Suchen Sie nach der Regel, die das Modul „Next Hop Proxy“ aufruft.
Im Bibliotheks-Regelsatz ist dies die Regel Use internal proxy for internal host.
5
Klicken Sie im Regelereignis auf den Namen der Einstellungen.
Im Bibliotheks-Regelsatz lautet dieser Name Internal Proxy.
für das Modul „Next Hop Proxy“.
6
7
8
Einstellungen für Nächster-Hop-Proxy
Mit den Einstellungen des Nächster-Hop-Proxys werden Nächster-Hop-Proxys konfiguriert, über die
Anfragen, die auf der Appliance eingegangen sind, an das Web weitergeleitet werden sollen.
Nächster-Hop-Proxy-Server
Einstellungen für Nächster-Hop-Proxys
Produkthandbuch
379
10
Tabelle 10-5 Nächster-Hop-Proxy-Server
Option
Definition
List of next-hop proxy servers (Liste Zeigt eine Liste zur Auswahl einer Nächster-Hop-Proxy-Serverliste.
der Nächster-Hop-Proxy-Server)
Round robin (Round-Robin)
Bei Auswahl dieser Option verwendet das Nächster-Hop-Proxy-Modul
den Nächster-Hop-Proxy nach dem zuletzt verwendeten Proxy aus der
Liste.
Wenn das Ende der Liste erreicht wird, wird erneut der erste
Nächster-Hop-Proxy in der Liste ausgewählt.
Failover
Bei Auswahl dieser Option versucht das Nächster-Hop-Proxy-Modul
zuerst, den ersten Nächster-Hop-Proxy in der Liste zu verwenden.
Wenn dies nicht funktioniert, wird solange versucht, den Proxy zu
verwenden, bis das konfigurierte Maximum an erneuten Versuchen
erreicht ist. Dann wird versucht, den zweiten Nächster-Hop-Proxy in
der Liste zu verwenden usw., bis ein Server antwortet oder festgestellt
wurde, dass alle Proxys nicht verfügbar sind.
Next Hop Proxy (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Next Hop Proxy“ kann die Verwendung von Nächster-Hop-Proxys zum
Weiterleiten von Anfragen an die entsprechenden Ziele eingerichtet werden.
Bibliotheks-Regelsatz – Next Hop Proxy
Criteria – Always
Use internal proxy for internal hosts
URL.Destination.IP is in range list Next Hop Proxy IP Range List OR
URL.Destination.IP is in list Next Hop Proxy IP List –> Continue — Enable Next Hop Proxy<Internal
Proxy>
Die Regel überprüft mithilfe der Eigenschaft URL.Destination.IP, ob sich eine IP-Adresse, die einer
URL entspricht, in einem der Bereiche befindet, der in einer Liste aufgeführt ist oder direkt in eine
Liste eingegeben wurde. Wenn dies der Fall ist, leitet die Regel mithilfe eines Ereignisses Anfragen für
diese URLs über interne Nächster-Hop-Proxys weiter.
Die Ereigniseinstellungen geben Einstellungen an, zu denen die Liste der Nächster-Hop-Proxys und
der Modus zum Aufrufen der Proxys gehören.
380
Produkthandbuch
11
Benutzermeldungen
Meldungen können an Benutzer gesendet werden, wenn eine Filterregel ihre Anfragen auf Web-Zugriff
blockiert oder sie auf andere Art und Weise behindert.
Bei der Verwaltung dieses Prozesses befassen Sie sich hauptsächlich mit folgenden Elementen:
•
Meldungen: Meldungen werden an Benutzer gesendet, um ihnen mitzuteilen, dass ihre Anfragen
auf Web-Zugriff blockiert oder umgeleitet werden oder dass sie sich authentifizieren müssen.
•
Aktionseinstellungen: Meldungen an Benutzer sind Teil der Einstellungen für die Aktion, die in
einer Meldung erläutert wird.
•
Vorlagen: Meldungen an Benutzer beruhen auf Vorlagen, die im Template Editor (Vorlagen-Editor)
bearbeitet werden können.
Nach der ersten Einrichtung der Appliance gelten Standardeinstellungen für Benutzermeldungen und
die zugehörigen Vorlagen, die Sie überprüfen und nach Bedarf ändern können.
Inhalt
Senden von Meldungen an Benutzer
Bearbeiten des Texts einer Benutzermeldung
Einstellungen für „Authenticate“ (Authentifizieren)
Blockierungseinstellungen
Einstellungen für „Redirect“ (Umleitung)
Template Editor (Vorlagen-Editor)
Meldungen werden an Benutzer gesendet, um diese über Aktionen der Filterregeln zu informieren, von
denen sie betroffen sind.
Benutzermeldungen gehören zu verschiedenen Typen und basieren auf Vorlagen.
Meldungstypen
Entsprechend der Aktion, über die ein Benutzer durch eine Meldung informiert wird, gibt es
verschiedene Typen von Benutzermeldungen.
•
Authentifizierungsmeldung: Informiert einen Benutzer darüber, dass für den Zugriff auf eine
URL eine Authentifizierung erforderlich ist
•
Blockierungsmeldung: Informiert einen Benutzer darüber, dass eine Anfrage aus
unterschiedlichen Gründen blockiert wurde, z. B. weil im angefragten Objekt ein Virus gefunden
wurde
•
Umleitungsmeldung: Informiert einen Benutzer darüber, dass für den Zugriff auf das angefragte
Objekt eine Umleitung an eine andere URL erforderlich ist
Produkthandbuch
381
11
Benutzermeldungen
Meldungsvorlagen
An Benutzer gesendete Meldungen basieren auf Vorlagen. Sie können diese Vorlagen anpassen, um
das Erscheinungsbild dieser Meldungen zu ändern. Dies führen Sie in den Einstellungen für eine Aktion
durch.
Meldungsvorlagen enthalten Standardtext mit Variablen. Die Variablen werden in bestimmten
Situationen nach Bedarf mit Werten gefüllt.
Bei allen in den Meldungsvorlagen verwendeten Variablen handelt es sich auch um Eigenschaften, die
von Regeln verwendet werden. Beispielsweise ist URL sowohl eine Variable in einem Meldungstext als
auch eine Eigenschaft unter Verwendung in einer Regel zur Ausnahme von URLs von der Filterung.
Meldungstext und Variablen
Folgender Text und folgende Variablen könnten Teil einer Blockierungsmeldung sein, die an einen
Benutzer gesendet wird, wenn der Zugriff auf ein angefragtes Objekt aufgrund einer Vireninfektion des
Objekts blockiert wurde.
•
Standardtext: Die übertragene Datei enthielt einen Virus und wurde daher blockiert.
•
Variablen: Wie folgt:
•
URL: URL, die der Benutzer für den Zugriff auf die Datei angefragt hat
Die zum Anzeigen einer URL verwendete URL ist $URL$.
•
Virusname: Name des gefundenen Virus, der die Blockierung der Datei verursacht hat
Die zum Anzeigen eines Virusnamens verwendete Variable ist $List.OfString.ByName(String)$.
Beim Bearbeiten einer Meldungsvorlage können Sie Variablen aus einer Liste mit Eigenschaften
auswählen und einfügen. Um als Variablen in Meldungsvorlagen zu dienen, werden diese in
Zeichenfolgen konvertiert (wenn sie nicht bereits Zeichenfolgen sind).
Aus diesem Grund ergibt es keinen Sinn, hier Eigenschaften der Zeichenkonvertierung
auszuwählen, bei denen es sich um Eigenschaften zum Konvertieren anderer Datentypen in
Zeichenfolgen handelt, z. B. die Eigenschaft NumberToString(String).
Vorlagenversionen und Erfassungen
Hinsichtlich der folgenden Punkte können verschiedene Versionen einer bestimmten Vorlage
vorhanden sein:
•
Dateiformat: .html oder .txt
•
Sprache: Sprache der Vorlage
Sie können Vorlagen in Sammlungen gruppieren und somit beispielsweise über eine
Standardsammlung und Sammlungen für andere Zwecke verfügen.
Der Template Editor (Vorlagen-Editor) ist ein auf der Benutzeroberfläche verfügbares Tool, mit dem Sie
bestehende Vorlagen für Benutzermeldungen bearbeiten können.
Sie können auf diesen beim Konfigurieren der Einstellungen einer Aktion zugreifen, die den Benutzer
betrifft, z. B. der Blockierungsaktion.
Beim Bearbeiten einer Meldungsvorlage haben Sie folgende Möglichkeiten:
382
•
Auswählen einer Sprache für die Meldung
•
Bearbeiten des Meldungstextes
Produkthandbuch
Benutzermeldungen
•
Ersetzen der Variablen in der Vorlage
•
Angeben eines Blockierungsgrunds zu Protokollierungszwecken (nur für Vorlagen zur
Blockierungsaktion)
•
Angeben einer URL zur Umleitung (nur für Vorlagen zur Umleitungsaktion)
11
Sie können den Text einer Benutzermeldung bearbeiten, um die Meldung den Anforderungen des
Vorgehensweise
1
2
Wählen Sie den Regelsatz mit der Regel aus, die die Aktion mit der zu bearbeitenden
Benutzermeldung enthält.
Dies kann beispielsweise der Regelsatz Gateway Antimalware sein.
3
Achten Sie darauf, dass Show details (Details anzeigen) aktiviert ist.
4
Klicken Sie in der entsprechenden Regel auf die Einstellungen der Aktion mit der zu bearbeitenden
Benutzermeldung.
Klicken Sie z. B. in der Regel Block if virus was found auf die Einstellung Virus Found der
Blockierungsaktion.
5
Klicken Sie neben dem Feld Template Name (Vorlagenname) auf Edit (Bearbeiten).
Daraufhin öffnet sich der Template Editor (Vorlagen-Editor).
6
Erweitern Sie in der Vorlagenstruktur den Ordner mit der entsprechenden Aktionsvorlage, z. B. Virus
Found (Virus gefunden).
Nun werden die verfügbaren Sprachversionen der Vorlage angezeigt.
7
Erweitern Sie eine Sprachversion, beispielsweise en für Englisch.
Nun werden die verfügbaren Meldungsformate der gewählten Sprachversion angezeigt.
8
Wählen Sie ein Format aus, z. B. html.
Der Inhalt der Vorlage wird nun im Einstellungsbereich im ausgewählten Format angezeigt. Die
Vorlage enthält den Text der Benutzermeldung.
Dieser lautet z. B. für die englischsprachige Vorlage Virus Found (Virus gefunden) im HTML-Format
folgendermaßen:
The transferred file contained a virus and was therefore blocked. (Die übertragene Datei enthielt
einen Virus und wurde daher blockiert.)
9
Bearbeiten Sie den Text nun nach Bedarf.
Produkthandbuch
383
11
Benutzermeldungen
10 Klicken Sie auf Save Template Changes (Änderungen der Vorlage speichern).
Der Template Editor (Vorlagen-Editor) wird geschlossen.
11 Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen.
Mit den Einstellungen für Authenticate (Authentifizieren) konfigurieren Sie die Ausführung der Aktion
„Authenticate“ (Authentifizieren), wenn eine Filterregel mit dieser Aktion angewendet wird.
Failed Login Message Template (Vorlage für Anmeldefehler-Meldung)
Einstellungen zum Konfigurieren von Benutzermeldungen und eines Blockierungsgrunds für
Protokollierungszwecke
Tabelle 11-1 Failed Login Message Template (Vorlage für Anmeldefehler-Meldung)
Option
Definition
Language (Sprache)
Bietet Einstellungen zum Auswählen der Sprache einer Benutzermeldung.
• Auto (Browser): Bei Auswahl dieser Option wird die Meldung in der Sprache
des Browsers ausgegeben, von dem die blockierte Anfrage gesendet
wurde.
• Force to (Erzwingen von): Bei Auswahl dieser Option wird die Meldung in
der Sprache ausgegeben, die in der hier bereitgestellten Liste ausgewählt
wird.
• Value of Message.Language property (Wert der Message.Language-Eigenschaft):
Bei Auswahl dieser Option wird die Meldung in der Sprache ausgegeben,
die als Wert der Message.Language-Eigenschaft festgelegt ist.
Template collection
(Vorlagensammlung)
• Add (Hinzufügen): Öffnet das Fenster Add Template Collection
(Vorlagensammlung hinzufügen), in dem eine Vorlagensammlung
Template name (Vorlagenname) Stellt eine Liste zum Auswählen einer Vorlage bereit.
• Add (Hinzufügen): Öffnet das Fenster Add Template (Vorlage hinzufügen), in
dem eine Vorlage hinzugefügt werden kann.
384
McAfee Web Reporter block
reason ID
(Blockierungsgrund-ID –
McAfee Web Reporter)
Stellt einen numerischen Wert bereit, der den Blockierungsgrund angibt.
Block reason
(Blockierungsgrund)
Gibt den Grund für die Blockierung im Nur-Text-Format an.
Produkthandbuch
Benutzermeldungen
11
Mit den Blockierungseinstellungen konfigurieren Sie die Ausführung der Blockierungsaktion, wenn eine
Filterregel mit dieser Aktion angewendet wird.
Sprach- und Vorlageneinstellungen
Tabelle 11-2 Sprach- und Vorlageneinstellungen
Option
Definition
Language (Sprache)
wurde.
wird.
Template collection
(Vorlagensammlung)
Template name
(Vorlagenname)
reason ID
Block reason
(Blockierungsgrund)
Mit den Einstellungen für Redirect (Umleitung) wird konfiguriert, wie die Aktion „Redirect“ ausgeführt
wird, wenn eine Filterregel mit dieser Aktion angewendet wird.
Produkthandbuch
385
11
Benutzermeldungen
Tabelle 11-3 Einstellungen für „Redirect“ (Umleitung)
Option
Definition
Redirect.URL
Bei Auswahl dieser Option ist der Wert der Eigenschaft Redirect.URL die
URL, die für die Umleitung verwendet wird.
Diese Eigenschaft kann in einer geeigneten Regel verwendet werden.
User-defined URL
(Benutzerdefinierte URL)
Bei Auswahl dieser Option geben Sie die Umleitungs-URL selbst an.
Redirect URL
(Umleitungs-URL)
Gibt die URL an, die als Umleitungs-URL verwendet werden soll.
Language (Sprache)
wurde.
wird.
Template collection
(Vorlagensammlung)
Template name (Vorlagenname) Stellt eine Liste zum Auswählen einer Vorlage bereit.
reason ID
Block reason
(Blockierungsgrund)
Der Template Editor (Vorlagen-Editor) ist ein auf der Benutzeroberfläche verfügbares Tool, mit dem Sie
bestehende Vorlagen für Benutzermeldungen bearbeiten können.
Hier werden Vorlagen n einer Verzeichnisstruktur angezeigt und können zur Bearbeitung ausgewählt
werden.
386
Produkthandbuch
Benutzermeldungen
11
In der folgenden Tabelle werden die unter Templates (Vorlagen) vorhandenen Optionen beschrieben.
Option
Definition
Template collections
(Vorlagensammlungen)
Enthält verschiedene Vorlagensammlungen, beispielsweise die Sammlung
Default (Standard).
Enthält die zu einer bestimmten Sammlung gehörenden Vorlagen, z. B. die
Vorlage Virus Found (Virus gefunden).
Für jede Vorlage sind unter einem Verzeichnisknoten folgende Optionen
verfügbar:
• de, en ... : Sprachversionen der Vorlage
• html: Version im HTML-Format
• txt: Version im TXT-Format
Nach dem Auswählen des Formats wird im Bereich HTML Editor
(HTML-Editor) der Inhalt der Vorlage angezeigt.
Mit dieser Option wird das Fenster Import (Importieren) geöffnet, in dem Sie
zu einer Datei mit bestimmten Sprachversionen von HTML- bzw.
TXT-Vorlagen navigieren und diese importieren können.
Mit dieser Option wird das Fenster Export (Exportieren) geöffnet, in dem Sie
zu einer Vorlagendatei navigieren und diese exportieren können.
Zeigt alle bis dahin ausgeblendeten Elemente der Vorlagen-Baumstruktur
wieder an.
Collapse All (Alle ausblenden)
Blendet alle bis dahin eingeblendeten Elemente wieder aus.
Rechtsklick auf eine
Sammlung, Vorlage,
Sprachversion oder ein
Format
Öffnet ein Menü mit den folgenden Optionen.
Die verfügbaren Optionen richten sich nach dem Element, auf das mit der
rechten Maustaste geklickt wurde.
• Clone (Klonen): Öffnet das Fenster zum Klonen von Elementen, in dem
die Kopie eines Elements unter neuem Namen zu einer Sammlung
• Add Content File (Inhaltsdatei hinzufügen): Öffnet das Fenster zum
Hinzufügen einer Inhaltsdatei.
• Rename (Umbenennen): Öffnet ein Fenster, in dem das Umbenennen
eines Elements vorgenommen werden kann.
• Change (Ändern): Öffnet ein Fenster, in dem die Änderung einer
Sprachversion vorgenommen werden kann.
• Delete (Löschen): Mit dieser Option wird ein Element gelöscht.
bestätigen müssen-
File System (Dateisystem)
Das Dateisystem bietet eine Verzeichnisstruktur, in der allgemeine Aktionen ausgeführt werden
können, z. B. das Hinzufügen, Umbenennen oder Löschen von Vorlagendateien.
In der folgenden Tabelle werden die unter File System (Dateisystem) vorhandenen Optionen
beschrieben.
Produkthandbuch
387
11
Benutzermeldungen
Tabelle 11-5 File System (Dateisystem)
Option
Definition
Template collections
(Vorlagensammlungen)
Enthält verschiedene Vorlagensammlungen, beispielsweise die
Sammlung Default (Standard).
Language versions
(Sprachversionen)
Enthält nach Sprachversionen sortierte Vorlagen. Innerhalb einer
Sprachversion sind die Vorlagen nach Namen und dort nach Format
geordnet.
Beispielsweise enthält die Sprachgruppe en (für Englisch) folgende
Vorlagen:
• authenticationrequired.html
• AuthorizedOnly.txt
• authenticationrequired.txt
• usw.
• AuthorizedOnly.html
Nach dem Auswählen des Formats wird im Bereich HTML Editor
(HTML-Editor) der Inhalt der Vorlage angezeigt.
Images (Bilder)
Enthält Image-Dateien mit in Vorlagen verwendeten Bildern. Die
Dateien sind nach Namen sortiert.
Add (Hinzufügen)
Diese Option öffnet folgende Menüauswahl:
• New File (neue Datei): Öffnet das Fenster Filename (Dateiname), in dem
eine Datei mit neuem Namen hinzugefügt werden kann.
• New Directory (neues Verzeichnis): Öffnet das Fenster Rename Directory
(Verzeichnis umbenennen), in dem ein in der Verzeichnisstruktur
ausgewählter Ordner unter einem neuen Namen hinzugefügt werden
kann.
• Existing File or Directory (vorhandene Datei bzw. vorhandenes
Verzeichnis): Öffnet den Datei-Manager des Systems zum Auswählen
und Hinzufügen einer Datei bzw. eines Ordners.
Edit (Bearbeiten)
• Rename (Umbenennen): Öffnet das Fenster Rename <Element>
(<Element> umbenennen), in dem ein Element umbenannt werden
kann.
• Delete (Löschen): Mit dieser Option wird ein Element gelöscht.
Cut (Ausschneiden)
Kopiert und löscht ein ausgewähltes Element.
Copy (Kopieren)
Kopiert ein ausgewähltes Element.
Zeigt alle bis dahin ausgeblendeten Elemente der
Dateisystem-Baumstruktur wieder an.
Collapse All (Alle ausblenden)
Blendet alle bis dahin eingeblendeten Elemente wieder aus.
Durch einen Rechtsklick auf ein Element öffnet sich ein Menü mit den obigen Optionen.
Optionen, die nicht auf das entsprechende Element zutreffen, sind abgeblendet.
HTML Editor (HTML-Editor)
Zeigt den Inhalt der Vorlage an, die derzeit in einem der Bereiche Templates (Vorlagen) bzw. File System
(Dateisystem) zur Bearbeitung ausgewählt ist.
In der folgenden Tabelle werden die Optionen des HTML-Editors beschrieben.
388
Produkthandbuch
Benutzermeldungen
11
Tabelle 11-6 HTML Editor (HTML-Editor)
Option
Definition
Add (Hinzufügen)
• Resource Reference (Ressourcenverweis): Öffnet das Fenster Insert Resource Path
(Ressourcenpfad eingeben), in dem der Speicherpfad einer Ressource, z. B.
eines Bildes oder anderen Grafikelements, eingegeben werden kann, das in
einer Vorlage angezeigt werden soll.
• Property (Eigenschaft): Öffnet das Fenster Choose Property (Eigenschaft
auswählen), in dem eine Eigenschaft hinzugefügt werden kann, die in einer
Vorlage als Variable verwendet werden soll, wie z. B. $URL$.
Edit (Bearbeiten)
• Cut (Ausschneiden): Kopiert und löscht einen ausgewählten Abschnitt des
Vorlageninhalts.
• Copy (Kopieren): Kopiert einen ausgewählten Abschnitt.
• Paste (Einfügen): Fügt einen kopierten Abschnitt ein.
• Delete (Löschen): Löscht einen ausgewählten Abschnitt.
• Select All (alles markieren): Markiert den gesamten Vorlageninhalt als
ausgewählten Abschnitt.
Discard Changes
(Änderungen verwerfen)
Die an einer Vorlage vorgenommenen Änderungen werden verworfen.
Show Source (Quellcode
anzeigen)
Zeigt den HTML-Quellcode einer Vorlage an bzw. blendet diesen Code aus
(Schaltfläche mit wechselnder Funktion).
Languages drop-down menu Hier können Sie die für die Vorschau verwendete Sprache auswählen.
(Dropdown-Menü für
Sprachen)
Preview (Vorschau)
Zeigt eine Vorlage in der Vorschau an.
Viewer (Anzeige)
Zeigt das Bild, an, das in der derzeit ausgewählten Image-Datei enthalten ist.
Die Anzeige ist dann vorhanden (anstelle des HTML-Editors), wenn in der Dateisystem-Baumstruktur
eine Image-Datei ausgewählt wurde.
In der folgenden Tabelle werden die für die Anzeige verfügbaren Optionen beschrieben.
Tabelle 11-7 Viewer (Anzeige)
Option
Definition
Zoom In (Vergrößern)
Vergrößert ein Bild.
Zoom Out (Verkleinern)
Verkleinert ein Bild.
Fit to Window (In Fenster einpassen) Wählt die Bildgröße so, dass das Bild den Bereich Viewer (Anzeige)
vollständig ausfüllt.
Original Size (Originalgröße)
Zeigt ein Bild wieder in seiner Originalgröße an.
General options (Allgemeine Optionen)
Optionen zur Ausführung allgemeiner Schritte während der Arbeit im Template Editor
(Vorlagen-Editor).
Produkthandbuch
389
11
Benutzermeldungen
Tabelle 11-8 General options (Allgemeine Optionen)
390
Option
Definition
Save Template Changes (Änderungen an
Vorlage speichern)
Die an einer Vorlage vorgenommenen Änderungen werden
gespeichert.
Cancel (Abbrechen)
Mit dieser Option wird der Template Editor (Vorlagen-Editor)
ohne Speicherung der Änderungen beendet.
Produkthandbuch
12
Systemkonfiguration
Das Appliance-System bietet Basisfunktionen, die von anderen Funktionen, wie z. B. der
Web-Filterung, der Authentifizierung oder der Kontingentverwaltung, verwendet werden. Dieses
System können Sie so konfigurieren, dass es genau auf die Anforderungen in Ihrem Netzwerk
zugeschnitten ist.
Bei der Konfiguration des Appliance-Systems arbeiten Sie hauptsächlich mit Folgendem:
•
Systemeinstellungen: Werden für Netzwerkschnittstellen, DNS-Server, Proxys, die zentrale
Verwaltung und weitere Komponenten und Methoden konfiguriert, die zum Appliance-System
gehören
•
Systemdateien: Enthalten Einstellungen für Funktionen des Appliance-Systems, die mit dem
Datei-Editor geändert werden können
•
Datenbankaktualisierungen: Stellen sicher, dass relevante Informationen für die Filterfunktionen
einer Appliance zur Verfügung stehen
Die Systemkonfiguration wird teilweise während der Ersteinrichtung einer Appliance durchgeführt.
Nach dieser Einrichtung können Sie weitere Konfigurationsaktivitäten am Appliance-System
vornehmen.
Inhalt
Erstkonfiguration der Systemeinstellungen
Systemkonfiguration nach der Erstkonfiguration
Konfigurieren der Systemeinstellungen
Appliances (Registerkarte)
Systemeinstellungen für allgemeine Appliance-Funktionen
Systemeinstellungen für Netzwerkfunktionen
Systemdateien
Registerkarte „File Editor“ (Datei-Editor)
Ändern der Cache-Volume-Größe
Datenbankaktualisierungen
Aktualisierung geschlossener Netzwerke
Erstkonfiguration der Systemeinstellungen
Bei der Erstkonfiguration einer Appliance müssen einige ihrer Systemeinstellungen konfiguriert
werden.
Sie können die Standardwerte der Ersteinstellungen übernehmen oder eigene Einstellungen
implementieren. Diese Einstellungen können auch zu einem späteren Zeitpunkt geändert werden.
In der folgenden Tabelle sind die Einstellungen aufgeführt, die bei der Erstkonfiguration festgelegt
werden; außerdem sind ihre Standardwerte angegeben.
Produkthandbuch
391
12
Systemkonfiguration
Tabelle 12-1 Erstkonfiguration der Systemeinstellungen
Parameter
Standardwert
Primary network interface (Primäre Netzwerkschnittstelle)
eth0
Autoconfiguration with DHCP (Automatische Konfiguration mit DHCP)
yes
mwgappl
Root password (Root-Kennwort)
<keines>
Remote root logon with SSH (Remote-Root-Anmeldung mit SSH)
Aktiviert
Default gateway (Standard-Gateway)
<konfiguriert durch DHCP>
DNS server (DNS-Server)
<konfiguriert durch DHCP>
Alle Einstellungen für das Appliance-System können nach dessen Erstkonfiguration konfiguriert
werden. Dazu gehört das Bearbeiten der Einstellungen, die während dieser Konfiguration konfiguriert
wurden.
Einstellungen für das Appliance-System können in verschiedenen Feldern konfiguriert werden.
Systemeinstellungen für allgemeine Funktionen
Einige Systemeinstellungen werden für Funktionen des Appliance-Systems konfiguriert, die allgemeine
Dienste bieten, z. B. Lizenzierung oder Datum und Uhrzeit auf einer Appliance.
Netzwerk-Systemeinstellungen
Netzwerk-Systemeinstellungen werden zur Integration des Appliance-Systems in das Netzwerk
konfiguriert.
Einige Netzwerk-Systemeinstellungen werden bereits bei der Erstkonfiguration festgelegt, darunter
Einstellungen für die primäre Netzwerkschnittstelle einer Appliance und für den von einer Appliance
verwendeten DNS-Server.
Später können Sie dann auch Einstellungen für die Proxy-Funktionen, die Port-Weiterleitung, die
statischen Routen und weitere netzwerkbezogene Funktionen konfigurieren.
Systemeinstellungen für Authentifizierung und Kontingente
Authentifizierungs- und Kontingent-Systemeinstellungen werden konfiguriert, um Methoden zum
Authentifizieren von Benutzern auf einer Appliance zu implementieren und Einschränkungen für ihre
Web-Nutzung festzulegen.
Authentifizierung und Kontingente werden auf einer Appliance hauptsächlich über Regeln in
Regelsätzen für Authentifizierung und Kontingente konfiguriert.
Einige Authentifizierungsfunktionen hingegen werden als Einstellungen des Appliance-Systems
konfiguriert, u. a. Einstellungen für die Kerberos-Authentifizierung und die Mitgliedschaft in
Windows-Domänen.
Einige Kontingentparameter werden auch als Systemeinstellungen konfiguriert.
392
Produkthandbuch
Systemkonfiguration
12
Systemeinstellungen für die Web-Filterung
Die Systemeinstellungen für die Web-Filterung werden konfiguriert, um Funktionen zum Filtern von
Web-Objekten auf einer Appliance zu implementieren.
Die Konfiguration der Web-Filterung auf einer Appliance erfolgt größtenteils über die Regeln in
Regelsätzen zur Web-Filterung, z. B. die Regelsätze „Gateway Antimalware“ oder „URL Filter“.
Einige Web-Filterungsfunktionen werden jedoch als Einstellungen des Appliance-Systems konfiguriert,
z. B. die Malware-Schutz-Warteschlange, die Web-Objekte in einer Warteschlange sammelt, um die
Arbeitslast für die Scan-Module einer Appliance zu verringern.
Systemeinstellungen für die zentrale Verwaltung
Die Systemeinstellungen für die zentrale Verwaltung werden konfiguriert, wenn Sie mehrere
Appliances als Knoten in einer gemeinsamen Konfiguration ausführen.
Bei der Konfiguration der zentralen Verwaltung können Sie auch Systemeinstellungen für andere
Knoten über den Knoten konfigurieren, bei dem Sie angemeldet sind.
Systemeinstellungen für Protokollierung und Fehlerbehebung
Systemeinstellungen für die Protokollierung und Fehlerbehebung werden konfiguriert, um den Log File
Manager auf einer Appliance zu steuern und externe Komponenten zum Erfassen von Protokolldaten
zu verwenden.
Die Verwendung externer Komponenten umfasst die Weiterleitung von Daten an einen
McAfee ePO-Server sowie die Überwachung von Ereignissen mit einem SNMP-Agenten.
Sie können die Einstellungen für das Appliance-System konfigurieren, um es an die Anforderungen
Ihres jeweiligen Netzwerks anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur eine Appliance aus, und klicken Sie dann auf die
Systemeinstellungen, die Sie konfigurieren möchten.
3
4
Produkthandbuch
393
12
Systemkonfiguration
Auf der Registerkarte „Appliances“ können Sie Systemeinstellungen für eine Appliance konfigurieren.
Hauptelemente der Registerkarte „Appliances“
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Appliances beschrieben.
Tabelle 12-2 Hauptelemente der Registerkarte „Appliances“
Element
Beschreibung
Symbolleiste „Appliances“
Symbolleiste mit Elementen zum Hinzufügen von
Appliances zu einer Konfiguration mit zentraler
Verwaltung sowie zum Entfernen von Appliances und
zum gleichzeitigen Aktualisieren aller Appliances
Appliances-Baumstruktur
Verzeichnisstruktur von Appliances mit
Systemeinstellungen für jede einzelne Appliance
Symbolleiste „Appliance“
Symbolleiste mit Elementen zum Arbeiten mit einer
ausgewählten Appliance
(wird angezeigt, wenn eine Appliance in
der Appliances-Baumstruktur ausgewählt
ist)
Appliance-Einstellungen
Systemeinstellungen für die ausgewählte Appliance
Symbolleiste „Appliances“
Die Symbolleiste „Appliances“ bietet die folgenden Optionen.
394
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-3 Symbolleiste „Appliances“
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Appliance (Appliance hinzufügen) zum
Hinzufügen einer Appliance.
Delete (Löschen)
Löscht eine ausgewählte Appliance.
Manual engine update (Manuelle
Modulaktualisierung)
Aktualisiert DAT-Dateien mit Virussignaturen und anderen
Filterinformationen für alle Appliances in einer Konfiguration mit
zentraler Verwaltung.
Symbolleiste „Appliance“
Die Symbolleiste „Appliance“ bietet die folgenden Optionen.
Tabelle 12-4 Symbolleiste „Appliance“
Option
Definition
Reboot (Neu starten)
Hiermit wird eine Appliance neu gestartet.
Flush cache (Cache leeren)
Hiermit wird der Web-Cache einer Appliance geleert.
Update appliance software
(Appliance-Software aktualisieren)
Hiermit wird eine aktualisierte Version der Appliance-Software
installiert.
Shutdown (Herunterfahren)
Hiermit wird eine Appliance in den Zustand der Inaktivität
versetzt.
Rotate logs (Protokolle rotieren)
Hiermit werden die Protokolldateien auf einer Appliance rotiert.
Rotate and push logs (Protokolle rotieren und
mithilfe von Push übertragen)
Rotiert Protokolldateien auf einer Appliance und überträgt sie
mithilfe von Push an das Ziel, das in den Einstellungen für den
Log File Manager (Protokolldatei-Manager) angegeben ist.
Einige Systemeinstellungen werden für Funktionen konfiguriert, die allgemeine Dienste des
Appliance-Systems bieten.
Einstellungen für allgemeine Appliance-Funktionen enthalten folgende Einstellungen:
•
Lizenzeinstellungen
•
Datum- und Uhrzeiteinstellungen
•
Datei-Server-Einstellungen
•
Einstellungen für die Benutzeroberfläche
Lizenzeinstellungen
Mit den Lizenzeinstellungen wird eine Lizenz in eine Appliance importiert. Informationen zur Lizenz
werden zusammen mit diesen Einstellungen angezeigt.
Lizenzverwaltung
Einstellungen zum Importieren einer Lizenz und Informationen zu einer importierten Lizenz
Produkthandbuch
395
12
Systemkonfiguration
Tabelle 12-5 Lizenzverwaltung
Option
Definition
Import License (Lizenz
importieren)
Stellt Elemente zum Importieren einer Lizenz bereit.
• License file (Lizenzdatei): Gibt den Namen einer Lizenzdatei an.
Sie können entweder hier einen Dateinamen eingeben oder über die
Schaltfläche Browse (Durchsuchen) die gewünschte Datei auswählen.
• Browse (Durchsuchen): Öffnet den lokalen Datei-Manager, um nach einer
Lizenzdatei zu suchen.
• Activate (Aktivieren): Aktiviert die im Eingabefeld angegebene Lizenz.
Die Schaltfläche Activate (Aktivieren) bleibt abgeblendet, bis Sie einen
Dateinamen im Feld eingegeben haben.
License information
(Lizenzinformationen)
Zeigt Informationen zu einer importierten Lizenz.
• Status: Gibt den Namen einer Lizenzdatei an.
Sie können entweder hier einen Dateinamen eingeben oder über die
Schaltfläche Browse (Durchsuchen) die gewünschte Datei auswählen.
• Creation (Erstellung): Öffnet den lokalen Datei-Manager, um nach einer
Lizenzdatei zu suchen.
• Activate (Aktivieren): Aktiviert die im Eingabefeld angegebene Lizenz.
Die Schaltfläche Activate (Aktivieren) bleibt abgeblendet, bis Sie einen
Dateinamen im Feld eingegeben haben.
• Expiration (Ablauf): Gibt das Ablaufdatum der Lizenz an.
• License ID (Lizenz-ID): Bezeichnet die Lizenz.
• Customer (Kunde): Gibt den Namen des Lizenzbesitzers an.
• Seats (Plätze): Gibt die Anzahl der Arbeitsplätze in der Firma des
Besitzers an, für die die Lizenz gilt.
• Evaluation (Auswertung): Enthält Informationen darüber, ob die Lizenz
ausgewertet wurde.
Einstellungen für das GTI-URL-Feedback
Mit den Einstellungen für das GTI-URL-Feedback wird die Erfassung der Feedback-Daten zu potenziell
bösartigen Web-Objekten (wie Webseiten oder ausführbaren Dateien) und Websites konfiguriert, die
vom Dynamic Content Classifier bewertet wurden.
Feedback Settings (Feedback-Einstellungen)
Einstellungen für das Erfassen von Feedback-Daten
396
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-6 Feedback Settings (Feedback-Einstellungen)
Option
Definition
Send feedback to McAfee about system information
and suspicious URLs to improve threat prediction
and protection services (Feedback zu
Systeminformationen und verdächtigen URLs an
McAfee senden, um Bedrohungsvorhersagen und
Schutzdienste zu verbessern)
Bei Auswahl dieser Option werden Feedback-Daten erfasst
und an spezielle Feedback-Server von McAfee gesendet.
McAfee erfasst diese Daten, um sie zu analysieren und die
Bedrohungsvorhersagen und Schutzfunktionen von
Web Gateway zu verbessern.
Sie können die beiden Feedback-Optionen separat
aktivieren oder deaktivieren.
Weitere Informationen hierzu erhalten Sie im Abschnitt
Data Usage Statement (Datennutzungserklärung).
Send feedback to McAfee about potentially malicious Bei Auswahl dieser Option werden relevante Daten für die
websites (Feedback zu potenziell bösartigen
Viren- und Malware-Filterung erfasst und an einen
Websites an McAfee senden)
speziellen Feedback-Server von McAfee gesendet.
Send feedback to McAfee about dynamically
classified websites (Feedback zu dynamisch
klassifizierten Websites an McAfee senden)
Bei Auswahl dieser Option werden relevante Daten für die
Klassifizierung von Websites erfasst und an einen
speziellen Feedback-Server von McAfee gesendet.
Further Information (Weitere Informationen)
Link zur Datennutzungserklärung
Tabelle 12-7 Further Information (Weitere Informationen)
Option
Definition
Data Usage Statement
(Datennutzungserklärung)
Stellt einen Link zur Datennutzungserklärung bereit, in der Folgendes
erläutert wird:
• Zweck der Erfassung von Feedback-Daten durch McAfee
• Art der erfassten Daten
• Möglichkeit des Deaktivierens der Datenerfassung für verschiedene
Datentypen
Die Datennutzungserklärung wurde Ihnen bereits bei der
Ersteinrichtung der Appliance präsentiert.
Erweiterte Einstellungen für das Erfassen von Feedback-Daten
Option
Definition
Use upstream proxy (Upstream-Proxy
verwenden)
Bei Auswahl dieser Option werden Feed-Backdaten über einen
Proxy-Server an McAfee gesendet.
IP or name of the proxy (IP-Adresse
oder Name des Proxys)
Gibt die IP-Adresse oder den Host-Namen des Proxy-Servers an.
Port of the proxy (Port des Proxys)
Gibt die Nummer des Ports auf dem Proxy-Server an, an dem
Anfragen zum Senden von Feedback-Daten empfangen werden.
Die Port-Nummer kann im Bereich von 1 bis 65635 liegen.
Produkthandbuch
397
12
Systemkonfiguration
Option
Definition
Gibt den Benutzernamen an, der zum Anmelden beim Proxy-Server
benötigt wird.
Password (Kennwort)
Gibt das Kennwort an, das zum Anmelden beim Proxy-Server
benötigt wird.
Durch Klicken auf Set (Festlegen) wird ein Fenster zum Festlegen des
Kennworts geöffnet.
Choose feedback server
(Feedback-Server auswählen)
Bei Auswahl dieser Option können eine IP-Adresse und eine
Port-Nummer für den Server konfiguriert werden, an den
Feedback-Daten gesendet werden.
IP of the server (IP-Adresse des
Servers)
Gibt die IP-Adresse des Feedback-Servers an.
Port of the server (Port des Servers)
Gibt die Nummer des Ports auf dem Feedback-Server an, an dem
Anfragen zum Senden von Daten empfangen werden.
Die Port-Nummer kann im Bereich von 1 bis 65635 liegen.
Port of the server (Port des Servers)
Bei Auswahl dieser Option werden Aktivitäten zum Senden von
Feedback protokolliert.
Datums- und Uhrzeiteinstellungen
Mithilfe der Datums- und Uhrzeiteinstellungen werden die Zeit-Server konfiguriert, die Datum und
Uhrzeit des Appliance-Systems synchronisieren. Außerdem können Sie die Systemzeit in diesen
Einstellungen auch manuell festlegen.
Date and Time (Datum und Uhrzeit)
Einstellungen für Datum und Uhrzeit des Appliance-Systems
398
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-9 Date and Time (Datum und Uhrzeit)
Option
Definition
Enable time synchronization with
NTP servers (Zeitsynchronisierung
mit NTP-Servern aktivieren)
Bei Auswahl dieser Option verwendet die Appliance zur
Zeitsynchronisierung Zeit-Server, die das NTP-Protokoll (Network Time
Protocol) nutzen.
Hierbei wird die Systemzeit der Appliance mit der Zeit der NTP-Server
synchronisiert. Wenn die Abweichung zwischen beiden Zeiten jedoch zu
groß ist, schlägt die Synchronisierung fehl.
Es wird deshalb empfohlen, nach dem Festlegen der Synchronisierung
mit NTP-Servern einen Neustart der Appliance durchzuführen. Bei
einem solchen Neustart stellt die Appliance die Systemzeit
entsprechend der Zeit der NTP-Server ein.
NTP server list (Liste der
NTP-Server)
Enthält eine Liste, in die für die Zeitsynchronisierung unter Verwendung
des NTP-Protokolls einzusetzende Server eingegeben werden.
Die Liste enthält folgende Elemente:
• String (Zeichenfolge): Gibt den Namen eines NTP-Servers an.
• Comment (Kommentar): Enthält einen Kommentar zum NTP-Server im
Nur-Text-Format.
Select time zone (Zeitzone
auswählen)
Enthält eine Auswahlliste für die Zeitzonen.
Die von den NTP-Servern durchgeführte Zeitsynchronisierung sowie die
manuell eingestellte Zeit beziehen sich auf die hier ausgewählte
Zeitzone.
Set System Time Manually (Systemzeit manuell festlegen)
Einstellungen für das manuelle Konfigurieren von Datum und Uhrzeit des Appliance-Systems
Tabelle 12-10 Set System Time Manually (Systemzeit manuell festlegen)
Option
Definition
Current date and time
(Aktuelles Datum und
aktuelle Uhrzeit)
Enthält Elemente zur Einstellungen von Datum und Uhrzeit des
Appliance-Systems.
• Date (Datum): Hier kann mithilfe eines Kalenders bzw. durch direkte Eingabe in
das Feld ein Datum festgelegt werden.
• Kalendersymbol: Öffnet einen Kalender zur Auswahl eines Datums.
Nach Auswahl eines Datums aus dem Kalender und Klicken auf OK wird dieses
Datum im Datumsfeld angezeigt.
• Time (Uhrzeit): Hier können Sie durch direkte Eingabe eine Uhrzeit festlegen.
Die Systemzeit der Appliance wird anschließend mit der Zeit der NTP-Server
synchronisiert. Wenn die Abweichung zwischen beiden Zeiten jedoch zu groß ist,
schlägt die Synchronisierung fehl.
Es wird deshalb empfohlen, nach dem Festlegen der Synchronisierung mit
NTP-Servern einen Neustart der Appliance durchzuführen. Bei einem solchen
Neustart stellt die Appliance die Systemzeit entsprechend der Zeit der
NTP-Server ein.
Set now (Jetzt
einstellen)
Die im jeweiligen Feld eingegebenen Datums- und Uhrzeiteinstellungen werden
übernommen.
Produkthandbuch
399
12
Systemkonfiguration
Datei-Server-Einstellungen
Mit den Datei-Server-Einstellungen werden dedizierte Datei-Server-Ports auf einer Appliance
konfiguriert, um beispielsweise das Herunterladen von Dateien durch Clients zu ermöglichen.
HTTP Connector Port (HTTP-Konnektor-Port)
Einstellungen für dedizierte Datei-Server-Ports auf einer Appliance
Tabelle 12-11 HTTP Connector Port (HTTP-Konnektor-Port)
Option
Definition
Enable dedicated file server
port over HTTP (Dedizierten
Datei-Server-Port über HTTP
aktivieren)
Bei Auswahl dieser Option sind die unten konfigurierten dedizierten
HTTP-Datei-Server-Ports aktiviert.
HTTP connector
(HTTP-Konnektor)
Gibt die Port-Nummer des dedizierten HTTP-Datei-Server-Ports an.
Hier können mehrere Port-Nummern durch Kommas getrennt eingegeben
werden. Der zulässige Bereich erstreckt sich von 1024 bis 65335.
Sie können eine Port-Weiterleitungsregel einrichten, wenn Sie Anfragen an
die Ports 1 bis 1023 weiterleiten möchten.
Sie können die Port-Nummer auch zusammen mit einer IP-Adresse
eingeben. Das bedeutet, dass eine Verbindung mit einer Appliance über
diesen Port nur unter Verwendung der angegebenen IP-Adresse zulässig ist.
Beispiel:
Eine Appliance weist zwei Schnittstellen mit den folgenden IP-Adressen auf:
eth0: 192.168.0.10, eth1: 10.149.110.10
Sie geben unter „HTTP connector“ (HTTP-Konnektor) Folgendes ein:
4711, 192.168.0.10:4722
Anschließend ist das Herstellen von Verbindungen mit der Appliance über
Port 4711 mit beiden IP-Adressen zulässig, während beim Herstellen von
Verbindungen über 4722 die IP-Adresse 192.168.0.10 verwendet werden
muss.
Eine derartige Beschränkung von Verbindungen kann zum Einrichten eines
Intranets vorgenommen werden.
Enable dedicated file server
port over HTTPS (Dedizierten
Datei-Server-Port über HTTPS
aktivieren)
Bei Auswahl dieser Option ist ein dedizierter HTTPS-Datei-Server-Port
aktiviert.
HTTPS connector
(HTTPS-Konnektor)
Gibt die Port-Nummer des dedizierten HTTPS-Datei-Server-Ports an.
werden. Der zulässige Bereich erstreckt sich von 1024 bis 65335.
Die Eingabe einer IP-Adresse mit einer Port-Nummer kann auf dieselbe
Weise wie für den HTTP-Konnektor erfolgen, und sie hat dieselbe
Bedeutung.
die Ports 1 bis 1023 weiterleiten möchten.
400
Produkthandbuch
Systemkonfiguration
12
Einstellungen für die Benutzeroberfläche
Die Einstellungen für die Benutzeroberfläche werden zum Konfigurieren von Elementen der
Benutzeroberfläche verwendet, z. B. Ports, die Anmeldeseite sowie ein Zertifikat zur
SSL-verschlüsselten Kommunikation.
HTTP Connector Port (HTTP-Konnektor-Port)
Einstellungen für die Ports der lokalen Benutzeroberfläche auf einer Appliance und für das
Sitzungszeitlimit
Tabelle 12-12 HTTP Connector Port (HTTP-Konnektor-Port)
Option
Definition
Enable local user interface over Wenn diese Option ausgewählt ist, können Sie über das HTTP-Protokoll
HTTP (Lokale
eine Verbindung mit der Benutzeroberfläche herstellen.
Benutzeroberfläche über HTTP
aktivieren)
HTTP connector
(HTTP-Konnektor)
Gibt einen Port für die Verbindung mit einer Benutzeroberfläche unter
HTTP her.
werden. Zulässige Werte sind 1024 bis 65335.
die Ports 1–1023 weiterleiten.
eingeben. Das bedeutet, dass eine Verbindung mit der Benutzeroberfläche
über diesen Port nur unter Verwendung der angegebenen IP-Adresse
zulässig ist.
Enable local user interface over Wenn diese Option ausgewählt ist, können Sie über das HTTPS-Protokoll
HTTPS (Lokale
eine Verbindung mit der Benutzeroberfläche herstellen.
Benutzeroberfläche über HTTPS
aktivieren)
HTTPS connector
(HTTPS-Konnektor)
Gibt einen Port für die Verbindung mit einer Benutzeroberfläche unter
HTTPS her
werden. Zulässige Werte sind 1024 bis 65335.
die Ports 1–1023 weiterleiten.
eingeben. Das bedeutet, dass eine Verbindung mit der Benutzeroberfläche
über diesen Port nur unter Verwendung der angegebenen IP-Adresse
zulässig ist.
Session timeout
(Sitzungszeitlimit)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf eine Sitzung auf
der Benutzeroberfläche abgebrochen wird, wenn in dieser Zeit keinerlei
Aktivitäten verzeichnet werden.
Zulässige Werte sind 1 bis 9999.
Optionen der Anmeldeseite
Einstellungen für die Seite, die zur Anmeldung bei der Benutzeroberfläche einer Appliance verwendet
wird
Produkthandbuch
401
12
Systemkonfiguration
Tabelle 12-13 Optionen der Anmeldeseite
Option
Definition
Allow browser to save login credentials (Browser das
Speichern der Anmeldeinformationen erlauben)
Wenn diese Option ausgewählt ist, werden die von
einem Benutzer zur Anmeldung an einer Appliance
angegebenen Anmeldeinformationen vom Browser
gespeichert.
Restrict browser session to IP address of user
(Browser-Sitzung auf IP-Adresse des Benutzers
einschränken)
Wenn diese Option ausgewählt ist, ist eine Sitzung zur
Arbeit mit der Benutzeroberfläche nur solange gültig,
wie die IP-Adresse des Clients, über den der Benutzer
die Sitzung gestartet hat, unverändert bleibt.
Let user decide to restrict session for IP address or not Wenn diese Option ausgewählt ist, bleibt es dem
(Benutzer entscheiden lassen, ob Sitzung für IP-Adresse Benutzer, der eine Sitzung zur Arbeit mit der
eingeschränkt wird)
Benutzeroberfläche gestartet hat, überlassen, ob diese
nur für die IP-Adresse des Clients, über den die Sitzung
gestartet wurde, gültig ist.
Allow multiple logins per login name (Mehrere
Anmeldungen pro Anmeldename zulassen)
Wenn diese Option ausgewählt ist, können sich
mehrere Benutzer über denselben Benutzernamen und
dasselbe Kennwort an der Benutzeroberfläche
anmelden.
Use HTTPOnly session cookies (applet loading may take Wenn diese Option ausgewählt ist, werden
longer) (HTTPOnly-Sitzungs-Cookies verwenden (Laden HTTPOnly-Cookies für eine Sitzung mit der
des Applets kann länger dauern))
Benutzeroberfläche verwendet.
Benutzeroberflächen-Zertifikat
Einstellungen für ein Zertifikat, das bei der SSL-verschlüsselten Kommunikation über den HTTPS-Port
für die Benutzeroberfläche verwendet wird
Tabelle 12-14 Benutzeroberflächen-Zertifikat
Option
Definition
Subject, Issuer, Validity, Extensions (Inhaber,
Aussteller, Gültigkeit, Erweiterungen)
Bietet Informationen zum derzeit verwendeten Zertifikat.
Öffnet das Fenster Import Certificate Authority (Zertifizierungsstelle
importieren) zum Importieren eines neuen Zertifikats.
Zeigt eine Zertifikatskette, die mit einem Zertifikat importiert
wird.
Fenster zum Zertifizierungsstellenimport
Einstellungen zum Importieren eines Zertifikats, das bei der SSL-verschlüsselten Kommunikation
verwendet wird
Tabelle 12-15 Fenster zum Zertifizierungsstellenimport
Option
Definition
Certificate (Zertifikat)
Gibt den Namen einer Zertifikatsdatei an.
Der Dateiname kann manuell oder über die Schaltfläche Browse (Durchsuchen)
in der entsprechenden Zeile eingegeben werden.
Browse (Durchsuchen)
402
Öffnet den lokalen Datei-Manager, um nach einer Zertifikatsdatei zu suchen
und diese auszuwählen.
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-15 Fenster zum Zertifizierungsstellenimport (Fortsetzung)
Option
Definition
Private key (Privater
Schlüssel)
Gibt den Namen der Datei eines privaten Schlüssels an.
Hier können nur AES-128-Bit-verschlüsselte Schlüssel oder unverschlüsselte
Schlüssel verwendet werden.
Öffnet den lokalen Datei-Manager, um nach der Datei eines privaten Schlüssels
zu suchen und diese auszuwählen.
Password (Kennwort)
Legt ein Kennwort fest, das die Verwendung eines privaten Schlüssels zulässt.
Öffnet das Fenster Import Certificate Authority (Zertifizierungsstelle importieren)
zum Importieren eines neuen Zertifikats.
OK
Startet den Importvorgang für das angegebene Zertifikat.
Certificate Chain
(Zertifikatskette)
Gibt den Namen einer Zertifikatskettendatei an.
Öffnet den lokalen Datei-Manager, um nach einer Zertifikatskettendatei zu
suchen und diese auszuwählen.
Nach dem Importieren eines Zertifikats mit einer Zertifikatskette wird die
Zertifikatskette im Feld Certificate chain (Zertifikatskette) der Einstellungen für
das Benutzeroberflächenzertifikat angezeigt.
Einige Systemeinstellungen werden für Funktionen konfiguriert, die das Appliance-Systems in Ihr
Netzwerk integrieren.
Systemeinstellungen für Netzwerkfunktionen umfassen Proxy-Einstellungen sowie die folgenden
Einstellungen:
•
Einstellungen für Netzwerkschnittstelle
•
Einstellungen für statische Routen
•
Einstellungen für Domain Name Service
•
Einstellungen für die Port-Weiterleitung
•
Netzwerk-Schutzeinstellungen
Netzwerkeinstellungen
Mit den Netzwerkeinstellungen werden die Netzwerkschnittstellen einer Appliance konfiguriert.
Einstellungen für Netzwerkschnittstelle
Einstellungen für die Netzwerkschnittstellen
Tabelle 12-16 Einstellungen für Netzwerkschnittstelle
Option
Definition
Gibt den Host-Namen einer Appliance an.
Enable these network interfaces (Diese
Netzwerkschnittstellen aktivieren)
Stellt eine Liste von Netzwerkschnittstellen zum Aktivieren oder
Deaktivieren bereit.
Produkthandbuch
403
12
Systemkonfiguration
Tabelle 12-16 Einstellungen für Netzwerkschnittstelle (Fortsetzung)
Option
Definition
IPv4
Bietet Einstellungen zum Konfigurieren von
Netzwerkschnittstellen unter der Version 4 des
Internet-Protokolls.
IPv6
Bietet Einstellungen zum Konfigurieren von
Netzwerkschnittstellen unter der Version 6 des
Advanced (Erweitert)
Bietet Einstellungen zum Konfigurieren zusätzlicher Medien und
einer zusätzlichen Brücke für eine Netzwerkschnittstelle.
IPv4
Registerkarte zum Konfigurieren von Netzwerkschnittstellen unter der Version 4 des
Internet-Protokolls
Tabelle 12-17 IPv4
Option
Definition
IP settings (IP-Einstellungen) Ermöglicht die Auswahl einer Methode zum Konfigurieren einer IP-Adresse
für eine Netzwerkschnittstelle.
• Obtain automatically (DHCP) (Automatisch abrufen (DHCP)): Die IP-Adresse wird
automatisch über das Dynamic Network Host Protocol (DHCP) abgerufen.
• Configure manually (Manuell konfigurieren): Die IP-Adresse wird über die
nachfolgenden Eingabefelder manuell konfiguriert.
Wenn diese Option nicht ausgewählt ist, werden die Eingabefelder
abgeblendet.
• Disable IPv4 (IPv4 deaktivieren): Version 4 des Internet-Protokolls wird für
diese Schnittstelle nicht verwendet.
IP address (IP-Adresse)
Gibt die IP-Adresse einer Netzwerkschnittstelle an (manuell konfiguriert).
Subnet mask
(Subnetz-Maske)
Gibt die Subnetz-Maske einer Netzwerkschnittstelle an (manuell
konfiguriert).
Default route (Standardroute) Gibt die Standardroute für Web-Datenverkehr über die Netzwerkschnittstelle
an (manuell konfiguriert).
MTU
Beschränkt die Anzahl der Bytes in einer einzelnen Übertragungseinheit auf
den angegebenen Wert.
IP aliases (IP-Aliase)
Bietet eine Liste der Aliase für die IP-Adresse an.
• Add alias (Alias hinzufügen): Öffnet das Eingabefenster zum Hinzufügen
eines Alias.
• Delete (Löschen): Löscht einen ausgewählten Alias.
IPv6
Registerkarte zum Konfigurieren von Netzwerkschnittstellen unter der Version 6 des
Internet-Protokolls
404
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-18 IPv6
Option
Definition
IP settings
(IP-Einstellungen)
Ermöglicht die Auswahl einer Methode zum Konfigurieren einer IP-Adresse für
eine Netzwerkschnittstelle.
• Obtain automatically (DHCP) (Automatisch abrufen (DHCP)): Die IP-Adresse wird
automatisch über das Dynamic Network Host Protocol (DHCP) abgerufen.
• Solicit from router (Über Router beziehen): Die IP-Adresse wird von einem
Router abgerufen.
• Configure manually (Manuell konfigurieren): Die IP-Adresse wird über die
nachfolgenden Eingabefelder manuell konfiguriert.
Wenn diese Option nicht ausgewählt ist, werden die Eingabefelder
abgeblendet.
• Disable IPv6 (IPv6 deaktivieren): Version 6 des Internet-Protokolls wird für
diese Schnittstelle nicht verwendet.
IP address (IP-Adresse)
Gibt die IP-Adresse einer Netzwerkschnittstelle an (manuell konfiguriert).
Default route
(Standardroute)
Gibt eine Standardroute für Web-Datenverkehr über die Netzwerkschnittstelle
an (manuell konfiguriert).
MTU
Beschränkt die Anzahl der Bytes in einer einzelnen Übertragungseinheit auf
den angegebenen Wert.
IP aliases (IP-Aliase)
Bietet eine Liste der Aliase für die IP-Adresse an.
• Add alias (Alias hinzufügen): Öffnet das Eingabefenster zum Hinzufügen eines
Alias.
• Delete (Löschen): Löscht einen ausgewählten Alias.
Advanced (Erweitert)
Registerkarte zum Konfigurieren zusätzlicher Medien und einer zusätzlichen Brücke für eine
Netzwerkschnittstelle
Tabelle 12-19 Erweitert
Option
Definition
Media (Medien)
Ermöglicht die Auswahl zusätzlicher Medien zur Verwendung mit einer
Netzwerkschnittstelle.
• Automatically detect (Automatisch erkennen): Medien zur Verwendung mit einer
Netzwerkschnittstelle werden automatisch erkannt, sofern diese in der
Netzwerkumgebung einer Appliance verfügbar sind.
• 1000BaseT-FD, 1000Base-HD, ... – Das ausgewählte Medienelement wird mit einer
Netzwerkschnittstelle verwendet.
Bridge enabled
(Bridge aktiviert)
Bei Aktivierung dieser Option wird Web-Datenverkehr im transparenten
Bridge-Modus durch eine Netzwerkschnittstelle geleitet.
• Name: Gibt den Namen der transparenten Brücke an.
Produkthandbuch
405
12
Systemkonfiguration
Netzwerkschutzeinstellungen
Mit den Systemeinstellungen für den Netzwerkschutz werden Schutzregeln für den Datenverkehr
konfiguriert, der bei Appliances Ihres Netzwerks eingeht.
Netzwerkschutzregeln
Einstellungen für das Konfigurieren der Netzwerk-Schutzregeln
Tabelle 12-20 Netzwerkschutzregeln
Option
Definition
Enable network protection
(Netzwerkschutz aktivieren)
Bei Auswahl dieser Option werden die im Folgenden für den
Netzwerkschutz konfigurierten Einstellungen aktiviert.
Input policy (Eingaberichtlinie)
Hier können Sie die für eingehenden Datenverkehr angewendete
Aktion auswählen.
Eingehender Datenverkehr kann entweder abgewiesen oder
angenommen werden.
Allow Ping requests (Ping-Anfragen
zulassen)
Bei Auswahl dieser Option nimmt die Appliance Ping-Anfragen an und
beantwortet diese.
Exceptions from default policy
(Ausnahmen der Standardrichtlinie)
Enthält eine Liste zur Eingabe der Netzwerkgeräte, die Datenverkehr
an eine Appliance senden.
Der Datenverkehr dieser Geräte wird nicht entsprechend den aktuell
implementierten Regeln verarbeitet. Wenn diese Regeln eingehenden
Datenverkehr abweisen, wird der von den hier aufgeführten Geräten
gesendete Datenverkehr akzeptiert und umgekehrt.
In der folgenden Tabelle wird ein Eintrag in der Liste der Ausnahmen von der Standardrichtlinie
beschrieben.
Tabelle 12-21 Ausnahmen von der Standardrichtlinie – Listeneintrag
Option
Definition
Device (Gerät)
Gibt den Namen eines Netzwerkgeräts an, das Datenverkehr an die Appliance
sendet.
Die Eingabe von * oder keine Eingabe bedeutet, dass alle Geräte abgedeckt
sind.
Protocol (Protokoll)
Gibt das Protokoll an, das zum Senden des Datenverkehrs verwendet wurde.
Source (Quelle)
Gibt die IP-Adresse oder den IP-Adressbereich des Netzwerkgeräts oder der
Netzwerkgeräte an, die Datenverkehr an die Appliance senden.
Destination Port (Ziel-Port) Gibt den Port einer Appliance an, der das Ziel des Netzwerk-Datenverkehrs ist.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Ausnahme.
Einstellungen für „Port Forwarding“ (Port-Weiterleitung)
Mit den Einstellungen für „Port Forwarding“ (Port-Weiterleitung) konfigurieren Sie Regeln, mit denen
eine Appliance Web-Datenverkehr, der von einem Port auf einem bestimmten Host gesendet wurde, an
einen anderen Port weiterleitet.
Port Forwarding (Port-Weiterleitung)
Einstellungen für das Konfigurieren von Regeln für die Port-Weiterleitung
406
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-22 Port Forwarding (Port-Weiterleitung)
Option
Definition
Port forwarding rules (Regeln für die Port-Weiterleitung) Stellt eine Liste von Regeln für die Port-Weiterleitung
bereit.
In der folgenden Tabelle wird ein Eintrag in der Liste der Regeln für die Port-Weiterleitung beschrieben.
Tabelle 12-23
Port forwarding rules (Regeln für die Port-Weiterleitung) – Listeneintrag
Option
Definition
Source host (Quell-Host)
Gibt die IP-Adresse eines Hosts an, der die Quelle von Web-Datenverkehr in
einer Regel für die Port-Weiterleitung ist.
Bind IP (Bind-IP-Adresse)
Gibt die Bind-IP-Adresse an.
Target port (Ziel-Port)
Gibt den Port an, an den Web-Datenverkehr vom Quell-Host weitergeleitet
wird.
Destination host (Ziel-Host) Gibt die IP-Adresse des Hosts an, der das Ziel des Web-Datenverkehrs ist, der
vom Quell-Host gesendet wird.
Destination port (Ziel-Port) Gibt den Port des Ziel-Hosts an, an dem eingehender Web-Datenverkehr vom
Quell-Host empfangen wird.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Regel für die
Port-Weiterleitung.
Einstellungen für statische Routen
Mit den Einstellungen für statische Routen werden Routen konfiguriert, die immer dasselbe Gateway
sowie dieselbe Schnittstelle auf diesem Gateway verwenden, wenn Web-Datenverkehr von einer
Appliance an einen bestimmten Host geleitet wird.
Statische Routen
Einstellungen für statische Routen unter der Version 4 und 6 des Internet-Protokolls
Tabelle 12-24 Statische Routen
Option
Definition
Static routes list (Liste statischer Routen) Bietet eine Liste statischer Routen zum Übertragen des
Web-Datenverkehrs unter der Version 4 und 6 des
In der folgenden Tabelle wird ein Eintrag in der Liste der statischen Routen erläutert.
Tabelle 12-25 Statische Routen – Listeneintrag
Option
Definition
Destination (Ziel)
Gibt die IP-Adresse und (optional) die Netzwerkmaske des Hosts an, der das
Ziel einer statischen Route ist.
Gateway
Gibt die IP-Adresse des Gateways zur Weiterleitung des Web-Datenverkehrs
von der Appliance zu einem Host an.
Device (Gerät)
Gibt die Schnittstelle an, die auf einem Gateway für eine statische Route
verwendet wird.
Description (Beschreibung) Enthält eine Beschreibung einer statischen Route im Nur-Text-Format.
Comment (Kommentar)
Enthält einen Kommentar zu einer statischen Route im Nur-Text-Format.
Produkthandbuch
407
12
Systemkonfiguration
Systemdateien
Systemdateien
Systemdateien enthalten Einstellungen für Funktionen des Appliance-Systems. Sie können diese
Einstellungen über den Datei-Editor bearbeiten.
Die in Systemdateien gespeicherten Einstellungen enthalten Einstellungen der Parameter, die das
Appliance-System für die Netzwerkkommunikation verwendet, z. B. IP-Adressen, die maximale
Meldungsgröße oder die maximale Anzahl an Meldungen in einer Warteschlange.
Weitere Einstellungen werden zur Konfiguration der Funktionen des Appliance-Systems verwendet,
z. B. Protokollierung, Zugriffseinschränkung usw.
Ein Beispiel für eine Systemdatei ist die Datei /etc/hosts, die Einträge für IP-Adressen und
Host-Namen enthält, einschließlich der lokalen IP-Adresse und dem Host-Namen der Appliance selber.
Mit dem Datei-Editor können Sie die Einstellungen in diesen Dateien bearbeiten. Auf diesen kann über
eine Registerkarte auf der Benutzeroberfläche zugegriffen werden.
Verwenden Sie zum Bearbeiten von Systemdateien nur den Datei-Editor. Wenn Sie diese Dateien
außerhalb des Datei-Editors zur manuellen Bearbeitung öffnen, werden Ihre Änderungen bei der
Durchführung eines Upgrades auf eine neue Version von Web Gateway überschrieben.
Registerkarte „File Editor“ (Datei-Editor)
Auf der Registerkarte File Editor (Datei-Editor) können Sie Systemdateien einer Appliance bearbeiten.
Hauptelemente der Registerkarte „File Editor“ (Datei-Editor)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte File Editor (Datei-Editor)
beschrieben.
408
Produkthandbuch
Systemkonfiguration
12
Tabelle 12-26 Hauptelemente der Registerkarte „File Editor“ (Datei-Editor)
Element
Beschreibung
Files (Dateien)
Verzeichnisstruktur von Appliances mit den Systemdateien
für die einzelnen Appliances
Editor
Symbolleiste mit Elementen zum Bearbeiten einer
Systemdatei und einem Inhaltsabschnitt zum Anzeigen der
Dateieinträge
(wird angezeigt, wenn unter Files
(Dateien) eine Systemdatei ausgewählt
ist)
Symbolleiste „Editor“
Die Symbolleiste „Editor“ bietet die folgenden Optionen.
Tabelle 12-27 Symbolleiste „File Editor“ (Datei-Editor)
Option
Definition
Edit (Bearbeiten)
Öffnet ein Menü mit Optionen zum Bearbeiten des Texts in
Systemdatei-Einträgen.
• Cut (Ausschneiden): Schneidet den ausgewählten Text aus
• Copy (Kopieren): Kopiert den ausgewählten Text
• Paste (Einfügen): Fügt den kopierten oder ausgeschnittenen Text ein
• Delete (Löschen): Löscht den ausgewählten Text
• Select All (Alles auswählen): Wählt den gesamten Text aus
Discard Changes
(Änderungen verwerfen)
Verwirft am Text vorgenommene Änderungen.
Dabei wird ein Fenster angezeigt, in dem Sie das Verwerfen der Änderungen
Die Größe der logischen Volumes zum Web-Caching und Speichern temporärer Dateien und
Protokolldateien kann auf einer Appliance über einen Assistenten geändert werden.
Nach der Installation von Web Gateway auf einer Appliance ist das logische Volume für das
Web-Caching größer als das Volume zum Speichern temporärer Dateien sowie Protokolldateien. Mit
dem Assistenten für das Appliance-Volume können Sie dieses Größenverhältnis ändern und mehr Platz
zum Speichern von temporären Dateien und Protokolldateien schaffen.
Die Volume-Größe wird auf den Seiten des Assistenten in GB angezeigt. Vor der Größenänderung
könnten beispielsweise folgende Größen vorhanden sein:
•
Web-Cache-Volume: 197 GB
•
Volume für temporäre Dateien und Protokolldateien: 40 GB
Nach der Größenänderung kehrt sich das Verhältnis um:
•
Web-Cache-Volume: 40 GB
•
Volume für temporäre Dateien und Protokolldateien: 197 GB
Der Assistent führt Sie beim ersten Einrichten einer Web Gateway-Appliance durch den
Größenänderungsprozess. Nach dem Abschließen der Arbeit mit dem Konfigurationsassistenten für die
Systemersteinstellung startet die Appliance neu, und der Assistent wird angezeigt.
Produkthandbuch
409
12
Systemkonfiguration
Wenn der Assistent unterbrochen wird, können Sie diesen über die Befehlszeile einer Systemkonsole
mit dem folgenden Befehl neu starten:
mwg-cache-wizard
Wenn der Befehl yum upgrade zum Einrichten einer Appliance verwendet wird, muss auch der
Assistent manuell gestartet werden.
Der Pfad mit dem Dateinamen für das Hauptprotokoll, das die Aktivitäten des Assistenten erfasst,
lautet /var/log/resize-cache.log.
Wenn die Größenänderung bereits auf einer Appliance durchgeführt wurde, wird im Assistenten eine
entsprechende Meldung angezeigt.
Wenn Sie die Größe der Appliance-Volumes weiterhin ändern müssen, wenden Sie sich an den
McAfee-Support.
Informationen, die für die Verwendung beim Filterprozess aus externen Datenbanken abgerufen
werden, müssen gelegentlich aktualisiert werden.
Das Filtern von Web-Objekten auf einer Appliance erfolgt regelbasiert. Die Filterregeln benötigen über
diese Objekte Informationen, um entscheiden zu können, ob Aktionen, wie z. B. das Blockieren oder
Gewähren des Zugriffs auf ein Objekt, ausgelöst werden müssen. Diese Informationen erhalten die
Regeln von besonderen Modulen (auch als Engines bezeichnet).
Beispielsweise benötigt eine Regel zur Filterung von Viren und Malware das Modul „Anti-Malware“, um
zu bestimmen, ob ein Objekt mit einem Virus infiziert ist. Ein anderes Beispiel wäre eine Regel zur
URL-Filterung, die für Informationen über URL-Kategorien auf das Modul „URL Filter“ zurückgreift.
Die Module wiederum rufen solche Informationen, beispielsweise in DAT-Dateien gespeicherte
Virussignaturen, aus externen Datenbanken ab. Die Datenbankaktualisierungen auf einer Appliance
werden auch für diese Informationen durchgeführt.
Die Aktualisierung dieser Datenbankinformationen kann auf unterschiedliche Weise durchgeführt
werden.
410
•
Manual engine update (Manuelle Aktualisierung der Module): Für die Module auf der Appliance,
an der Sie zu diesem Zeitpunkt angemeldet sind, können Sie die Aktualisierung der
Datenbankinformationen manuell durchführen.
•
Automatic engine update (Automatische Aktualisierung der Module): Sie können für die Module
auf der Appliance, an der Sie zu diesem Zeitpunkt angemeldet sind, auch automatische
Aktualisierungen konfigurieren, die in regelmäßigen Abständen ausgeführt werden.
Produkthandbuch
Systemkonfiguration
12
Diese Aktualisierungen rufen aus folgenden Quellen Informationen ab:
•
Aus dem Internet: Die benötigten Informationen werden aus den entsprechenden externen
Datenbanken heruntergeladen.
Unmittelbar nach der Ersteinrichtung einer Appliance wird die erste Aktualisierung der
Datenbankinformationen auf diese Weise durchgeführt.
•
Von anderen Knoten in einer Konfiguration mit zentraler Verwaltung: Die benötigten
Informationen werden von diesen Knoten heruntergeladen. Sie können für jeden Knoten separat
festlegen, ob das Hochladen von Informationen von diesem Knoten aus auf andere Knoten
zulässig ist.
Sie können diese Aktualisierungseigenschaften beim Einrichten einer Konfiguration mit zentraler
Verwaltung festlegen und dabei auch für jeden Knoten angeben, wie sich dieser bezüglich der
automatischen Aktualisierungen verhalten soll.
Manuelles Aktualisieren der Datenbankinformationen
Sie können Datenbankinformationen für die Module einer Appliance manuell aktualisieren.
Die Aktualisierung gilt für die Module der Appliance, bei der Sie angemeldet sind, und für die Module
anderer Appliances, die Sie als Knoten in eine Konfiguration mit zentraler Verwaltung einbezogen
haben.
Vorgehensweise
1
2
Klicken Sie auf der Symbolleiste der Appliances auf Manual Engine Update (Manuelle
Modulaktualisierung).
Die Aktualisierung wird durchgeführt.
Planen automatischer Modul-Aktualisierungen
Sie können automatische Aktualisierungen der Datenbankinformationen für die Module einer Appliance
planen.
Wenn Sie in einer Konfiguration mit zentraler Verwaltung mehrere Appliances als Knoten ausführen,
können Sie Aktualisierungen für die Module (auch als Engines bezeichnet) auf den Knoten als Teil der
Konfigurationseinstellungen für diese Konfiguration planen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie automatische
Aktualisierungen planen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Scrollen Sie nach unten zu Automatic Engine Updates (Automatische Modul-Aktualisierungen), und
konfigurieren Sie die Aktualisierungseinstellungen nach Bedarf.
4
Produkthandbuch
411
12
Systemkonfiguration
Web Gateway-Appliances können in Netzwerken betrieben und aktualisiert werden, in denen es aus
Sicherheits- oder anderen Gründen keine Internet-Verbindung gibt. Diese Netzwerke werden auch als
„geschlossene“ oder „isolierte“ Netzwerke bezeichnet.
Wenn in diesen Netzwerken ausgeführte Appliances aktualisiert werden müssen, können diese keine
Verbindung mit den üblichen McAfee-Aktualisierungs-Servern herstellen. Stattdessen muss die
Aktualisierung offline erfolgen.
Sie können auf einem McAfee-Portal ein für diesen Zweck bereitgestelltes Aktualisierungspaket
auswählen und herunterladen, es auf einem portablen Medium speichern und dann von dort aus auf
die Appliances im geschlossenen Netzwerk anwenden.
Aktualisierungspakete enthalten aktualisierte Informationen für Module sowie Malware-Muster, die
beim Filtern auf einer Appliance verwendet werden. Im Portal stehen nur vollständige Aktualisierungen
(keine inkrementellen Aktualisierungen) zur Verfügung.
Wenn Sie sich im Portal befinden, müssen Sie die Versionsnummer für Web Gateway auf der zu
aktualisierenden Appliance angeben und erhalten dann eine Liste der Funktionen, für die derzeit
aktualisierte Informationen verfügbar sind.
Entsprechend Ihrer Auswahl wird ein Aktualisierungspaket mit allen zur Aktualisierung erforderlichen
Dateien im ZIP-Format zum Herunterladen erstellt.
Aktualisieren einer Appliance in einem geschlossenen Netzwerk
Um eine Appliance in einem Netzwerk ohne Internet-Verbindung zu aktualisieren, laden Sie ein
Aktualisierungspaket herunter, speichern Sie es auf einem tragbaren Medium, und führen Sie die
Aktualisierung über das Medium durch.
Vorgehensweise
1
Laden Sie ein Aktualisierungspaket herunter.
a
Navigieren Sie mit dem Browser zum Aktualisierungspaket des McAfee Content & Cloud Security
Portal unter:
https://contentsecurity.mcafee.com/update
b
Geben Sie auf der Aktualisierungsseite die Versionsnummer der zu aktualisierenden Appliance
ein.
Eine Liste der Funktionen, für die aktualisierte Informationen verfügbar sind, wird angezeigt.
c
Wählen Sie die Funktionen, die Sie aktualisieren möchten.
Nun wird ein Aktualisierungspaket entsprechend Ihrer Auswahl erstellt.
d
2
412
Laden Sie das Aktualisierungspaket auf Ihr System herunter.
Verwenden Sie ein tragbares Medium, z. B. ein USB-Laufwerk, um das Aktualisierungspaket vom
System, das Sie für den Download verwendet haben, auf Ihr Administrationssystem im
geschlossenen Netzwerk zu übertragen.
Produkthandbuch
Systemkonfiguration
3
12
Gehen Sie für jede Appliance im geschlossenen Netzwerk, die Sie aktualisieren möchten, wie folgt
vor:
a
b
Klicken Sie auf Update Engines (Module aktualisieren), und wählen Sie Upload Update File
(Aktualisierungsdatei hochladen) aus.
Daraufhin öffnet sich das Fenster Engine Update by File Upload (Modulaktualisierung durch
Datei-Upload).
c
Klicken Sie auf Browse (Durchsuchen), wechseln Sie zum Speicherplatz auf dem
Administrationssystem, an dem Sie das Aktualisierungspaket gespeichert haben, und wählen Sie
die Aktualisierungspaketdatei aus.
d
Klicken Sie auf Update (Aktualisieren).
Die Appliance wird über die Informationen aus dem Aktualisierungspaket aktualisiert.
e
Klicken Sie auf Close (Schließen), um das Fenster zu schließen.
Produkthandbuch
413
12
Systemkonfiguration
414
Produkthandbuch
13
Zentrale Verwaltung
Mit der zentralen Verwaltung können Sie mehrere Appliances verwalten, die Sie in Ihrem Netzwerk als
Knoten in einer normalen Konfiguration eingerichtet haben.
In einer Konfiguration mit zentraler Verwaltung haben Sie es hauptsächlich mit den folgenden
Elementen zu tun:
•
Knoten: Eine Appliance kann als Knoten eingerichtet werden, der mit anderen Knoten verbunden
ist und Daten zu und von ihnen senden und empfangen kann, um Aktualisierungen, Sicherungen,
Downloads und andere Aktivitäten durchzuführen.
•
Knotengruppen: Knoten werden verschiedenen Typen von Knotengruppen zugewiesen, die die
Datenübertragung auf verschiedene Weise zulassen.
•
Geplante Jobs: Daten können anhand von verschiedenen Zeitplänen übertragen werden, die Sie
konfigurieren können.
Das Aktualisieren der Zeitpläne kann auch für die Knoten in einer Konfiguration mit zentraler
Verwaltung konfiguriert werden. Geben Sie hierzu die Zeiten ein, wann Aktualisierungen durchgeführt
werden sollen und wann nicht.
Inhalt
Konfiguration mit zentraler Verwaltung
Konfigurieren der zentralen Verwaltung
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung
Konfigurieren der Einstellungen für die zentrale Verwaltung
Zuweisen eines Knotens zu Knotengruppen
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit
zentraler Verwaltung
Überprüfen der Synchronisierung von Knoten
Hinzufügen eines geplanten Jobs
Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung
Einstellungen für die zentrale Verwaltung
Produkthandbuch
415
13
Zentrale Verwaltung
Bei einer Konfiguration mit zentraler Verwaltung werden mehrere Appliances ausgeführt, die als
Knoten agieren. Je nach den festgelegten Einstellungen kann eine solche Konfiguration von jedem
beliebigen beteiligten Knoten aus verwaltet werden.
Die Knoten in einer Konfiguration mit zentraler Verwaltung sind innerhalb des Netzwerks
folgendermaßen miteinander verbunden:
•
Jeder Knoten ist mit Client-Systemen des Netzwerks verbunden, die ihren Web-Datenverkehr an
den jeweiligen Knoten weiterleiten.
•
Knoten sind zu Knotengruppen zugeordnet.
•
Innerhalb von Knotengruppen können allgemeine Verwaltungsaufgaben bezüglich der
Gruppenmitglieder ausgeführt werden, z. B. Aktualisierungen mittels Datenübertragung von
einem Knoten zu einem bzw. mehreren anderen Knoten.
•
Es gibt unterschiedliche Arten von Knotengruppen, in denen jeweils unterschiedliche Arten der
Datenübertragung möglich sind.
Eine Konfiguration mit zentraler Verwaltung, die aus mehreren Web Gateway-Appliances
besteht, wird gelegentlich auch als Cluster bezeichnet.
Dieser Cluster arbeitet jedoch nur dann als Hochverfügbarkeits-Cluster mit
Ausfallsicherungsfunktionen, wenn Sie für die Proxy-Funktionen der beteiligten Appliances
den Modus „Proxy HA“ (High Availability, Hochverfügbarkeit) konfigurieren.
Die folgende Abbildung zeigt mehrere Appliances, die als Knoten in einer Konfiguration mit zentraler
Verwaltung ausgeführt werden.
Abbildung 13-1 Konfiguration mit zentraler Verwaltung
Arten von Knotengruppen
Die Knoten in einer Konfiguration mit zentraler Verwaltung können zu Knotengruppen zugeordnet
werden.
416
Produkthandbuch
Zentrale Verwaltung
13
Diese Gruppen unterscheiden sich anhand ihres Namens und hinsichtlich ihrer Art. Es gibt folgende
Arten von Knotengruppen:
•
Laufzeitgruppe: Ein Knoten, der Mitglied einer Laufzeitgruppe ist, kann Laufzeitdaten mit allen
anderen Knoten in dieser Gruppe teilen.
Mit Laufzeitdaten sind Daten gemeint, die zur Laufzeit auf einer Appliance erzeugt werden. Dies
kann z. B. die Zeitmenge sein, die einem Benutzer zu einem bestimmten Zeitpunkt noch zur
Verfügung steht, wenn vorab ein Zeitkontingent für die Web-Nutzung festgelegt wurde.
Ein Knoten kann immer nur einer einzigen Laufzeitgruppe angehören.
•
Aktualisierungsgruppe: Ein Knoten, der Mitglied einer Aktualisierungsgruppe ist, kann
Aktualisierungen mit allen anderen Knoten in dieser Gruppe teilen.
Ein Knoten kann immer nur einer einzigen Aktualisierungsgruppe angehören.
•
Netzwerkgruppe: Ein Knoten, der Mitglied einer Netzwerkgruppe ist, kann sich sofort mit allen
anderen Knoten dieser Gruppe verbinden.
Ein Knoten kann gleichzeitig unterschiedlichen Netzwerkgruppen angehören.
Wenn ein Knoten gleichzeitig zu mehreren Knotengruppen gehört, beispielsweise zu den Gruppen A
und B, können Daten von anderen Knoten der Gruppe A, die nicht zu Gruppe B gehören, über
diesen Knoten an Knoten der Gruppe B übertragen werden, die nicht zu Gruppe A gehören.
Geplante Jobs
Sie können auf einer Appliance Jobs, beispielsweise das Erstellen einer Konfigurationssicherung oder
das Herunterladen von Dateien, so planen, dass sie zu einem festgelegten Zeitpunkt oder in
regelmäßigen Abständen ausgeführt werden.
Außerdem kann der Zeitplan auf der Benutzeroberfläche der Appliance, an der Sie gerade arbeiten, so
konfiguriert werden, dass Sie bestimmen können, auf welchem anderen Knoten innerhalb der
Konfiguration mit zentraler Verwaltung ein Job ausgeführt werden soll.
Sie können die zentrale Verwaltung für mehrere Appliances in Ihrem Netzwerk konfigurieren, um sie
als Knoten in einer gemeinsamen Konfiguration zu verwalten.
Vorgehensweise
1
Beginnen Sie mit der Konfiguration der zentralen Verwaltung auf der Benutzeroberfläche einer
Appliance im Netzwerk, und fügen Sie mindestens eine andere Appliance als Knoten in einer
gemeinsamen Konfiguration hinzu.
Appliances sind nicht standardmäßig als Knoten in einer Konfiguration mit zentraler Verwaltung
enthalten; daher müssen alle diesbezüglichen Aktivitäten vom Administrator ausgeführt werden.
Bei allen diesen Aktivitäten arbeiten Sie mit den Optionen auf der Registerkarte Appliances des
übergeordneten Menüs Configuration (Konfiguration).
Produkthandbuch
417
13
Zentrale Verwaltung
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung
Zum Hinzufügen eines Knotens zu einer Konfiguration müssen Sie mindestens Folgendes
konfigurieren:
•
Host-Name oder IP-Adresse der Appliance, die als Knoten hinzugefügt werden soll
•
Mitgliedschaft des Knotens in einer Netzwerkknotengruppe
Sie können auch die folgenden Einstellungen für einen Knoten konfigurieren:
•
IP-Adressen und Ports, die für die Kommunikation mit anderen Knoten verwendet werden sollen
•
Mitgliedschaft in Laufzeit- und Aktualisierungsgruppen für Knoten
•
Geplante Jobs
•
Aktualisierungen
Wiederholen Sie diese Aktivitäten für alle anderen Appliances, die der Konfiguration als Knoten
hinzugefügt werden sollen.
2
Führen Sie nach der Ersteinrichtung einer Konfiguration mit zentraler Verwaltung sonstige ggf.
erforderliche Konfigurationsschritte aus.
•
Einstellungen für die zentrale Verwaltung auf beliebigen Knoten der Konfiguration überprüfen
und ggf. ändern
Sie können die Einstellungen für einen beliebigen Knoten auf der Benutzeroberfläche jedes
anderen Knotens der Konfiguration überprüfen und bearbeiten.
•
3
Einen oder mehrere Knoten zur Konfiguration hinzufügen
Hinzufügen einer Appliance zu einer Konfiguration mit
zentraler Verwaltung
Sie können eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung hinzufügen und
anschließend zu einer Netzwerkgruppe zuordnen.
Vorgehensweise
1
Wählen Sie auf der Benutzeroberfläche einer Appliance Configuration | Appliances (Konfiguration |
Appliances) aus.
2
Klicken Sie auf der Symbolleiste der Appliance auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Appliance (Appliance hinzufügen).
3
418
Geben Sie im Feld Host name or IP (Host-Name oder IP) den Host-Namen oder die IP-Adresse einer
anderen zum Netzwerk gehörenden Appliance ein.
Produkthandbuch
Zentrale Verwaltung
13
4
Wählen Sie in der Liste Network group (Netzwerkgruppe) eine Netzwerkgruppe für die Appliance aus.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Appliance wird nun in der Appliances-Baumstruktur
angezeigt.
Die Appliance ist nun als Knoten in die Konfiguration mit zentraler Verwaltung aufgenommen, in der
sich auch die Appliance befindet, auf der Sie das Hinzufügen durchgeführt haben.
Sie können die Einstellungen für die zentrale Verwaltung so konfigurieren, dass mehrere Appliances als
Knoten in einer gemeinsamen Konfiguration verwaltet werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen
konfigurieren möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
Die Einstellungen für die zentrale Verwaltung werden im Abschnitt für Einstellungen angezeigt.
3
4
Sie können einer Appliance, die einen Knoten in einer Konfiguration mit zentraler Verwaltung darstellt,
Knotengruppen verschiedener Typen zuweisen, um unterschiedliche Arten der Datenübertragung
zwischen Knoten zu ermöglichen.
Das Verfahren zum Zuweisen eines Knotens zu einer Laufzeitgruppe oder Aktualisierungsgruppe ist
nahezu identisch.
Das Verfahren für eine Netzwerkgruppe ist jedoch abweichend, da ein Knoten Mitglied mehrerer
Netzwerkgruppen sein kann.
Aufgaben
•
Zuweisen eines Knotens zu einer Laufzeitgruppe auf Seite 420
Sie können einen Knoten einer Laufzeitgruppe zuweisen, indem Sie den Gruppennamen im
entsprechenden Eingabefeld eingeben.
•
Zuweisen eines Knotens zu einer Aktualisierungsgruppe auf Seite 420
Sie können einen Knoten einer Aktualisierungsgruppe zuweisen, indem Sie den
Gruppennamen im entsprechenden Eingabefeld eingeben.
•
Zuweisen eines Knotens zu Netzwerkgruppen auf Seite 421
Sie können einen Knoten einer oder mehreren Netzwerkgruppen zuweisen, indem Sie den
bzw. die Gruppennamen in die entsprechende Liste eingeben.
Produkthandbuch
419
13
Zentrale Verwaltung
Zuweisen eines Knotens zu einer Laufzeitgruppe
Sie können einen Knoten einer Laufzeitgruppe zuweisen, indem Sie den Gruppennamen im
Vorgehensweise
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer Laufzeitgruppe als
Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Geben Sie im Feld Group runtime (Gruppenlaufzeit) des Abschnitts This Node Is a Member of the Following
Groups (Dieser Knoten gehört zu folgenden Gruppen) den Namen der Laufzeitgruppe ein, der Sie
den Knoten zuweisen möchten.
Achten Sie darauf, dass Sie bei der Eingabe des Namens den Standardnamen all überschreiben, der
im Feld als Laufzeitgruppen-Standardname angezeigt wird.
Dieser Standardname wird angegeben, um Ihnen die Möglichkeit einzuräumen, nicht mehrere
verschiedene Laufzeitgruppen zu verwenden, sondern lediglich mit einer Laufzeitgruppe für alle
Knoten zu arbeiten.
Wenn Sie den Standardnamen all löschen und keinen Namen eingeben, weisen Sie den Knoten
dennoch einer Gruppe zu, deren Name jedoch eine leere Zeichenfolge ist.
4
Wenn Sie einen weiteren Knoten in dieselbe Laufzeitgruppe aufnehmen möchten, wählen Sie den
gewünschten Knoten in der Appliances-Baumstruktur aus, klicken Sie erneut auf Central Management
(Zentrale Verwaltung), und geben Sie denselben Namen im Feld Group runtime (Gruppenlaufzeit) ein.
Wiederholen Sie diesen Vorgang für jeden Knoten, den Sie in diese Laufzeitgruppe aufnehmen
möchten.
5
Zuweisen eines Knotens zu einer Aktualisierungsgruppe
Sie können einen Knoten einer Aktualisierungsgruppe zuweisen, indem Sie den Gruppennamen im
Vorgehensweise
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer Aktualisierungsgruppe
als Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Geben Sie im Feld Group update (Gruppenaktualisierung) des Abschnitts This Node Is a Member of the
Following Groups (Dieser Knoten gehört zu folgenden Gruppen) den Namen der Aktualisierungsgruppe
ein, der Sie den Knoten zuweisen möchten.
Das Verfahren ist identisch mit dem zum Zuweisen eines Knotens zu einer Laufzeitgruppe.
Gehen Sie für die Aufnahme weiterer Knoten in die Gruppe ebenfalls so wie bei einer
Laufzeitgruppe vor.
4
420
Produkthandbuch
Zentrale Verwaltung
13
Zuweisen eines Knotens zu Netzwerkgruppen
Sie können einen Knoten einer oder mehreren Netzwerkgruppen zuweisen, indem Sie den bzw. die
Gruppennamen in die entsprechende Liste eingeben.
Vorgehensweise
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer oder mehreren
Netzwerkgruppen als Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale
Verwaltung).
3
Wenn Sie den Knoten einer anderen Netzwerkgruppe als der Standardgruppe all hinzufügen
möchten, klicken Sie auf das Symbol Add (Hinzufügen) auf der Symbolleiste der Inline-Liste Group
network (Gruppennetzwerk).
Die Standardgruppe gibt Ihnen die Möglichkeit, nicht mehrere verschiedene Netzwerkgruppen zu
verwenden, sondern lediglich mit einer Netzwerkgruppe für alle Knoten zu arbeiten.
Wenn Sie mit mehreren Netzwerkgruppen arbeiten möchten, löschen Sie die Gruppe all, oder
benennen Sie sie um.
Daraufhin öffnet sich das Fenster Add String (Zeichenfolge hinzufügen).
4
Konfigurieren Sie eine neue Netzwerkgruppe.
a
Geben Sie im Feld Name einen Namen für die Netzwerkgruppe ein.
b
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kom

Web Gateway 7.4.1 Produkthandbuch

Transcription

Similar documents

McAfee Web Gateway 7.5.0 Produkthandbuch

McAfee Web Gateway 7.6.0 Produkthandbuch

Über VASCO - Deutsche Messe

Sidewinder - Westcon Security

Bachelorarbeit

Handbuch Baudisch.CP-CAM

Über die McAfee Advanced Threat Defense-Appliance