McAfee Web Gateway 7.5.0 Produkthandbuch

Transcription

Produkthandbuch
Revision A
McAfee Web Gateway 7.5.0
COPYRIGHT
Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch .
Konventionen . . . . . . .
Inhalt dieses Handbuchs . .
Quellen für Produktinformationen . .
1
15
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Einführung
17
Filtern des Web-Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptfunktionen der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptkomponenten der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellung der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Allgemeine Verwaltungsaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Benutzeroberfläche
Regeln
24
26
26
27
27
30
32
33
33
34
37
Informationen zur Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filterzyklen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prozessablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelelemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Format von Regeln auf der Benutzeroberfläche . . . . . . . . . . . . . . . . . .
Komplexe Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatzsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatz-Bibliothek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Rule Sets“ (Regelsätze) . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Benennen und Aktivieren einer Regel . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen) . . . . . . . . . . . .
Hinzufügen von Regelkriterien . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen einer Regelaktion . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Regelereignisses . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importieren eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren von Regeln . . . . . . . . . . . . . . . . .
17
18
20
21
22
23
Hauptelemente der Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützende Konfigurationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen durch erneutes Laden der Daten . . . . . . . . . . . . .
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche . . . . . . . . . . .
Schlüsselelementansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Schlüsselelements . . . . . . . . . . . . . . . . . . . . . .
Ansicht für vollständige Regeln . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Regelelements in der Ansicht für vollständige Regeln . . . . . . . .
Verwalten von Web Gateway ohne die Benutzeroberfläche . . . . . . . . . . . . . . . . .
3
15
15
16
16
37
39
39
41
42
43
44
45
46
47
49
50
50
53
54
55
56
58
59
Produkthandbuch
3
Inhaltsverzeichnis
Verwenden von Regeln und Regelsätzen in passenden Zyklen . . . . . . . . . . . . .
Verwendung aufwändiger Eigenschaften am Ende des Filterprozesses . . . . . . . . . .
Verwendung von höchstens zwei Eigenschaften in den Kriterien einer Regel . . . . . . .
Beschränken des Zugriffs auf Konfigurationselemente . . . . . . . . . . . . . . . . . . .
4
Listen
59
61
62
63
65
Listentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Zugreifen auf eine Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . 70
Zugreifen auf eine Liste in einer Regel . . . . . . . . . . . . . . . . . . . . . . 70
Erstellen einer Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
Hinzufügen einer neuen Liste . . . . . . . . . . . . . . . . . . . . . . . . .
71
Füllen einer Liste mit Einträgen . . . . . . . . . . . . . . . . . . . . . . . . . 71
Arbeiten mit verschiedenen Listentypen . . . . . . . . . . . . . . . . . . . . . . . . 72
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs . . . . . . . 72
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste . . . . . . . . . . . . . . 73
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen . . . . . . . . . . . 74
Abonnierte Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Erstellen einer abonnierten Liste . . . . . . . . . . . . . . . . . . . . . . . . 75
Einstellungen für Inhalt abonnierter Listen . . . . . . . . . . . . . . . . . . . . 76
Aktualisieren abonnierter Listen . . . . . . . . . . . . . . . . . . . . . . . .
77
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste . . . . . . . . . . . . 78
Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee verwalteten abonnierten Liste
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Externe Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Verwenden externer Listendaten in Regeln . . . . . . . . . . . . . . . . . . . . 83
Ersetzung und Platzhalter . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Konfigurieren des Moduls „External Lists“ . . . . . . . . . . . . . . . . . . . . . 85
Einstellungen für das Modul „External Lists“ . . . . . . . . . . . . . . . . . . . . 86
Konfigurieren von allgemeinen Einstellungen für externe Listen . . . . . . . . . . . . 93
Systemeinstellungen für „External Lists“ (Externe Listen) . . . . . . . . . . . . . . 93
Zuordnungstyplisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Erstellen einer Zuordnungstypliste . . . . . . . . . . . . . . . . . . . . . . . . 95
Verwenden von Eigenschaften zur Arbeit mit Zuordnungstyplisten . . . . . . . . . . . 96
Abrufen von Zuordnungsdaten aus externen und abonnierten Listen . . . . . . . . . . 97
Allgemeiner Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Vorbereiten der Verwendung von Common Catalog-Listen . . . . . . . . . . . . . . 98
Einrichten eines Benutzerkontos für Common Catalog-Listen . . . . . . . . . . . . . 99
Einrichten eines Administratorkontos für Common Catalog-Listen . . . . . . . . . . . 99
Aktivieren der Nutzung der REST-Schnittstelle für Common Catalog-Listen . . . . . . . 100
Beispieleinstellungen zum Registrieren von Web Gateway auf einem McAfee ePO-Server .
100
JSON-Daten (JavaScript Object Notation) . . . . . . . . . . . . . . . . . . . . . . .
101
5
Einstellungen
107
Einstellungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Settings“ (Einstellungen) . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel . . . . . . . . . .
Zugreifen auf Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Aktions- und Moduleinstellungen . . . . . . . . . . . . . . . . . . . . .
6
Proxys
107
109
110
110
111
111
111
113
Konfigurieren von Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4
Produkthandbuch
Inhaltsverzeichnis
Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Konfigurieren des expliziten Proxy-Modus . . . . . . . . . . . . . . . . . . . . 115
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus . . .
116
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
Einstellungen für „Transparenter Proxy“ . . . . . . . . . . . . . . . . . . . . . 121
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) . . . . . . . . . . . . . . 129
Transparenter Router-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Konfigurieren des transparenten Router-Modus . . . . . . . . . . . . . . . . . . 130
Konfigurieren von Knoten im transparenten Router-Modus . . . . . . . . . . . . . 131
Einstellungen für „Transparenter Router“ . . . . . . . . . . . . . . . . . . . .
134
Transparenter Bridge-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . .
136
Konfigurieren des transparenten Bridge-Modus . . . . . . . . . . . . . . . . . . 136
Konfigurieren von Knoten im transparenten Bridge-Modus . . . . . . . . . . . . .
137
Einstellungen für die transparente Bridge . . . . . . . . . . . . . . . . . . . . 140
Secure ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
SOCKS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Konfigurieren eines SOCKS-Proxys . . . . . . . . . . . . . . . . . . . . . . . 142
Verwenden von Eigenschaften und eines Ereignisses in Regeln für einen SOCKS-Proxy . . 143
Konfigurieren von SOCKS-Proxy-Einstellungen . . . . . . . . . . . . . . . . . . 144
SOCKS Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
XMPP-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Konfigurieren von allgemeinen Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . 149
Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Steuern ausgehender Quell-IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . 162
Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen . . . . . . . . . . . . . 164
Verwenden von WCCP zum Umleiten von FTP-Datenverkehr . . . . . . . . . . . . . . . . 164
Konfigurieren der Verwendung von WCCP zum Umleiten des FTP-Datenverkehrs . . . . . 165
Verwenden der Raptor-Syntax für die FTP-Anmeldung . . . . . . . . . . . . . . . . . .
166
Protokolle für die Kommunikation zwischen Knoten . . . . . . . . . . . . . . . . . . .
167
Verwendung von DNS-Servern in Abhängigkeit von Domänen . . . . . . . . . . . . . . . 167
Konfigurieren Sie die Verwendung von DNS-Servern entsprechend Domänen . . . . . . 168
Einstellungen für den Domain Name Service . . . . . . . . . . . . . . . . . . . 168
Reverse-HTTPS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Umleiten von HTTPS-Datenverkehr im Modus „Transparente Bridge“ oder „Transparenter Router“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
170
Festlegen der Überwachung von über DNS-Einträge umgeleiteten Anfragen durch die Appliance
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
171
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration . . . . . . . . . . . . . 173
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPS-Proxy-Konfiguration . . . . 177
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) . . . . . . . . . . . . . 185
Bereitstellen einer PAC-Datei . . . . . . . . . . . . . . . . . . . . . . . . . 185
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“ . . . . . . . . . . . . 186
Konfigurieren der automatischen Erkennung eines WPAD-Hosts . . . . . . . . . . . 186
Verwenden des Helix-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . .
186
Konfigurieren der Verwendung des Helix-Proxys . . . . . . . . . . . . . . . . .
187
7
Authentifizierung
189
Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP-Digest-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Moduls „Authentication“ . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementieren einer anderen Authentifizierungsmethode . . . . . . . . . . . . . . . .
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung . . . . . . . .
Einstellungen für „Kerberos Administration“ . . . . . . . . . . . . . . . . . . .
190
191
193
194
194
207
208
208
Produkthandbuch
5
Inhaltsverzeichnis
Beitreten einer Appliance zu einer Windows-Domäne . . . . . . . . . . . . . . .
Einstellungen für die Windows-Domänenmitgliedschaft . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen . . .
Authentifizierung für den Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . .
Authentifizierung für transparente Modi . . . . . . . . . . . . . . . . . . . . .
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP . . . . . . . . . . . .
Instant Messaging-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Instant Messaging-Authentifizierung . . . . . . . . . . . . . . .
Konfigurieren des Authentifizierungsmoduls für die Instant Messaging-Authentifizierung .
Konfigurieren des Dateisystem-Protokollierungsmoduls für die Instant MessagingAuthentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IM Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Einmalkennwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einmalkennwörtern für das Authentifizieren von Benutzern . . . . . .
Konfigurieren von Einmalkennwörtern für das autorisierte Außerkraftsetzen . . . . . . .
Konfigurieren von Einstellungen für Einmalkennwörter . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP) (Regelsatz) . . . . . . . . .
Authorized Override with OTP (Regelsatz) . . . . . . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP and Pledge) (Regelsatz) . . . .
Authorized Override with OTP and Pledge (Regelsatz) . . . . . . . . . . . . . . .
Authentifizierung der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Zertifikaten für die Client-Zertifikat-Authentifizierung . . . . . . . . .
Regelsätze für die Client-Zertifikat-Authentifizierung . . . . . . . . . . . . . . . .
Umleiten von Anfragen an einen Authentifizierungs-Server . . . . . . . . . . . . .
Implementieren der Authentifizierung von Client-Zertifikaten . . . . . . . . . . . .
Importieren des Regelsatzes „Authentication Server (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Server-Zertifikaten
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Zertifizierungsstellen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Listener-Ports für eingehende Anfragen auf der Appliance . . . . .
Importieren des Regelsatzes „Cookie Authentication (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports für eingehende Anfragen . .
Importieren eines Client-Zertifikats in einen Browser . . . . . . . . . . . . . . .
Administratorkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . .
Bearbeiten eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . .
Löschen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorkonten . . . . . . . . . . . . . . . . . . . . .
Verwalten der Administratorrollen . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorrollen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der externen Kontoverwaltung . . . . . . . . . . . . . . . . . . .
8
Kontingentverwaltung
221
222
224
225
225
226
227
230
232
234
236
237
238
238
240
240
241
242
243
244
244
245
247
247
247
248
248
249
249
250
253
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung . . . . . . .
Zeitkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Zeitkontingenten . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Zeitkontingent . . . . . . . . . . . . . . . . . . . . . .
Time Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Volumenkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Volumenkontingenten . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Volumenkontingent . . . . . . . . . . . . . . . . . . . .
Volume Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Coachings . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
209
210
210
212
214
218
219
220
221
254
257
257
258
259
261
261
262
263
265
266
266
267
Produkthandbuch
Inhaltsverzeichnis
Autorisiertes Außerkraftsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des autorisierten Außerkraftsetzens . . . . . . . . . . . . . . . . .
Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) . . . . . . . .
Authorized Override (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Blockierungssitzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Blockierungssitzungen . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Blockierungssitzung . . . . . . . . . . . . . . . . . . . .
Blocking Sessions (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Kontingent-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Web-Filterung
268
269
269
270
272
272
273
273
274
277
Viren- und Malware-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Konfigurieren von Schlüsselelementen für die Viren- und Malware-Filterung . . . . . . . 279
Schlüsselelemente für die Viren- und Malware-Filterung . . . . . . . . . . . . . . . 280
Konfigurieren der Viren- und Malware-Filterung mithilfe der vollständigen Regelansicht . . 281
Konfigurieren von Einstellungen für das Modul „Anti-Malware“ . . . . . . . . . . . . 282
Ändern der Modulkombination zum Scannen von Web-Objekten . . . . . . . . . . . 282
Einstellungen für „Anti-Malware“ . . . . . . . . . . . . . . . . . . . . . . . . 284
Gateway Anti-Malware (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . 290
Scannen des Mediendatenstroms . . . . . . . . . . . . . . . . . . . . . . . . 292
Warteschlange für Malware-Schutz . . . . . . . . . . . . . . . . . . . . . . . 292
Entfernen eines Malware-Schutz-Wasserzeichens . . . . . . . . . . . . . . . . . 294
URL-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Konfigurieren von Schlüsselelementen für die URL-Filterung . . . . . . . . . . . . . 298
Schlüsselelemente für die URL-Filterung . . . . . . . . . . . . . . . . . . . . . 298
Konfigurieren der URL-Filterung mithilfe der vollständigen Regelansicht . . . . . . . .
299
Konfigurieren von Einstellungen für das Modul „URL Filter“ . . . . . . . . . . . . .
300
URL-Filtereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
300
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten in die Whitelist mithilfe von URLEigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
304
URL Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
URL-Filterung mit Dynamic Content Classifier . . . . . . . . . . . . . . . . . . . 312
Verwenden einer eigenen URL-Filter-Datenbank . . . . . . . . . . . . . . . . . . 313
URL-Filterung mithilfe eines IFP-Proxys . . . . . . . . . . . . . . . . . . . . . 315
Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Konfigurieren von Schlüsselelementen für die Medientyp-Filterung . . . . . . . . . . 321
Schlüsselelemente für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . 321
Konfigurieren der Medientyp-Filterung mithilfe der vollständigen Regelansicht . . . . . . 322
Eigenschaften für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . 322
Bearbeiten einer Medientyp-Filterregel . . . . . . . . . . . . . . . . . . . . . 323
Media Type Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 325
Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Konfigurieren der Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . 328
Erstellen einer Liste zur Anwendungsfilterung . . . . . . . . . . . . . . . . . . . 329
Bearbeiten der Risikostufen in einer Anwendungsfilterregel . . . . . . . . . . . . . 330
Application Control (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 331
Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
332
Konfigurieren der Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . 334
Konfigurieren des Moduls für die Streaming-Medien-Erkennung . . . . . . . . . . . . 335
Empfohlene Vorgehensweisen – Konfigurieren Stream Detector . . . . . . . . . . .
335
Einstellungen für Stream Detector . . . . . . . . . . . . . . . . . . . . . . . 337
Globale Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Konfigurieren von globalen Whitelists . . . . . . . . . . . . . . . . . . . . . . 338
Global Whitelist (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 338
SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Konfigurieren des SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . 340
Produkthandbuch
7
Inhaltsverzeichnis
Konfigurieren der Module für SSL-Scans . . . . . . . . . . . . . . . . . . . . .
Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle . . . . . . . . . . . . .
Liste der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „SSL Scanner“ . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für SSL-Client-Kontext . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Zertifikatskette . . . . . . . . . . . . . . . . . . . . . .
SSL Scanner (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hardware Security Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwendung eines Hardware Security Module zum Verwalten von Zertifikatsschlüsseln . .
Konfigurieren der lokalen Verwendung eines Hardware Security Module . . . . . . . .
Konfigurieren der Remote-Verwendung eines Hardware Security Module . . . . . . . .
Konfigurieren eines Zertifikats mithilfe einer Schlüssel-ID . . . . . . . . . . . . . .
Einstellungen für das Hardware Security Module . . . . . . . . . . . . . . . . . .
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Workflows für die Verwendung von Advanced Threat Defense . . . . . . . . . . . .
Kriterien für das zusätzliche Scannen durch Advanced Threat Defense . . . . . . . . .
Konfigurationselemente für die Verwendung von Advanced Threat Defense . . . . . . .
Überwachung der Aktivitäten von Advanced Threat Defense . . . . . . . . . . . . .
Nutzung eines vorhandenen Scan-Berichts von Advanced Threat Defense . . . . . . .
Nutzung eines laufenden Scans von Advanced Threat Defense . . . . . . . . . . . .
Konfigurieren der Verwendung von Advanced Threat Defense . . . . . . . . . . . .
Konfigurieren von Schlüsselelementen für die Verwendung von Advanced Threat Defense
Schlüsselelemente für die Verwendung von Advanced Threat Defense . . . . . . . . .
Konfigurieren von Einstellungen für die Verwendung von Advanced Threat Defense . . . .
Gateway ATD-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Advanced Threat Defense (Regelsatz) . . . . . . . . . . . . . . . . . . . . . .
ATD – Offline Scanning with Immediate File Availability (Regelsatz) . . . . . . . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Standardklassifizierungen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Wörterbucheinträgen . .
Einstellungen für Data Loss Prevention (Klassifizierung) . . . . . . . . . . . . . .
Einstellungen für Data Loss Prevention (Wörterbücher) . . . . . . . . . . . . . . .
Data Loss Prevention (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Verhindern von Datenlecks mit einem ICAP-Server . . . . . . . . . . . . . . . .
10
Unterstützende Funktionen
385
386
387
389
390
392
395
Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Fortschrittsanzeige-Module . . . . . . . . . . . . . . . . . . .
Einstellungen für „Progress Page“ (Fortschrittsseite) . . . . . . . . . . . . . . . .
Einstellungen für das Durchlassen von Daten . . . . . . . . . . . . . . . . . . .
Progress Indication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bandbreitenbeschränkungsregeln . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . .
Web-Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der Aktivierung des Web-Cache . . . . . . . . . . . . . . . . . . .
Web Cache (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nächster-Hop-Proxy-Modi . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Proxys am nächsten Hop zu einer Liste . . . . . . . . . . . . . .
Konfigurieren des Moduls „Next Hop Proxy“ . . . . . . . . . . . . . . . . . . .
Proxys am nächsten Hop für SOCKS-Datenverkehr . . . . . . . . . . . . . . . . .
8
341
342
344
347
348
349
350
355
357
358
358
359
360
363
364
365
365
367
368
370
370
373
373
374
375
378
378
381
384
395
396
397
398
399
400
400
401
402
403
403
404
405
406
407
407
408
408
Produkthandbuch
Inhaltsverzeichnis
Einstellungen für Nächster-Hop-Proxy . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) . . . . . .
Einstellungen für „Protocol Detector“ . . . . . . . . . . . . . . . . . . . . . .
Next Hop Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Benutzermeldungen
417
Senden von Meldungen an Benutzer . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten des Texts einer Benutzermeldung . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Authenticate“ (Authentifizieren) . . . . . . . . . . . . . . . . . . .
Blockierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Redirect“ (Umleitung) . . . . . . . . . . . . . . . . . . . . . . .
Template Editor (Vorlagen-Editor) . . . . . . . . . . . . . . . . . . . . . . . . . .
12
Systemkonfiguration
Zentrale Verwaltung
417
419
420
421
422
423
429
Erstkonfiguration der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Systemkonfiguration nach der Erstkonfiguration . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Funktionen . . . . . . . . . . . . . . . . . .
Netzwerk-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Authentifizierung und Kontingente . . . . . . . . . . . . .
Systemeinstellungen für die Web-Filterung . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . .
Systemeinstellungen für Protokollierung und Fehlerbehebung . . . . . . . . . . . .
Konfigurieren der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Appliance-Funktionen . . . . . . . . . . . . . . . .
Lizenzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das GTI-URL-Feedback . . . . . . . . . . . . . . . . . . . . .
Datums- und Uhrzeiteinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Datei-Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Benutzeroberfläche . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Netzwerkfunktionen . . . . . . . . . . . . . . . . . . . . . .
Network Interfaces settings (Einstellungen für die Netzwerkschnittstellen) . . . . . . .
Netzwerkschutzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Port Forwarding“ (Port-Weiterleitung) . . . . . . . . . . . . . .
Einstellungen für statische Routen . . . . . . . . . . . . . . . . . . . . . . .
Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „File Editor“ (Datei-Editor) . . . . . . . . . . . . . . . . . . . . . . .
Ändern der Cache-Volume-Größe . . . . . . . . . . . . . . . . . . . . . . . . . . .
Datenbankaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Aktualisieren der Datenbankinformationen . . . . . . . . . . . . . . .
Planen automatischer Modul-Aktualisierungen . . . . . . . . . . . . . . . . . .
Aktualisierung geschlossener Netzwerke . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren einer Appliance in einem geschlossenen Netzwerk . . . . . . . . . . .
13
413
413
414
415
430
430
430
430
431
431
431
432
432
432
434
434
435
436
438
439
441
441
445
446
447
448
449
450
451
451
452
452
453
455
Konfiguration mit zentraler Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 456
Konfigurieren der zentralen Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 457
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung . . . . . . . . . 458
Konfigurieren der Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . 459
Zuweisen eines Knotens zu Knotengruppen . . . . . . . . . . . . . . . . . . . . . . 459
Zuweisen eines Knotens zu einer Laufzeitgruppe . . . . . . . . . . . . . . . . . 460
Zuweisen eines Knotens zu einer Aktualisierungsgruppe . . . . . . . . . . . . . . 460
Zuweisen eines Knotens zu Netzwerkgruppen . . . . . . . . . . . . . . . . . .
461
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit zentraler
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Überprüfen der Synchronisierung von Knoten . . . . . . . . . . . . . . . . . . . . . . 464
Produkthandbuch
9
Inhaltsverzeichnis
Hinzufügen eines geplanten Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung . . . . . . 465
Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . . . . . . . 466
14
Cloud Single Sign On
481
Konfiguration von Cloud Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Prozess im Proxy- und im Nicht-Proxy-Modus . . . . . . . . . . . . . . . . . . . .
Unterstützte Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . .
SSO-Datenquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Katalog der unterstützten Cloud-Dienste . . . . . . . . . . . . . . . . . . . . . .
Anzeigen des SSO-Katalogs . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Katalog als Dienst . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vergleich von allgemeinen und spezifischen Konnektorvorlagen . . . . . . . . . . . .
Konfigurieren eines benutzerdefinierten Cloud-Konnektors mithilfe einer Vorlage . . . . .
Löschen eines benutzerdefinierten Cloud-Konnektors . . . . . . . . . . . . . . . .
SSO-Konnektorlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Cloud-Zugriffs mithilfe von SSO-Konnektorlisten . . . . . . . . . .
Hinzufügen eines Cloud-Konnektors zu einer SSO-Konnektorliste . . . . . . . . . . .
Bereitstellen von SSO-Diensten für HTTP-Cloud-Anwendungen . . . . . . . . . . . . . . .
Das Modell für SSO-Anmeldeinformationen für HTTP-Cloud-Anwendungen . . . . . . .
Konfigurieren eines HTTP-Cloud-Konnektors . . . . . . . . . . . . . . . . . . .
Konfigurieren eines allgemeinen HTTP-Cloud-Konnektors . . . . . . . . . . . . . .
Allgemeine HTTP-Konnektoreinstellungen . . . . . . . . . . . . . . . . . . . .
Bereitstellen von SSO-Diensten für SAML 2.0-Cloud-Anwendungen . . . . . . . . . . . . .
Initiierung von SAML Single Sign On . . . . . . . . . . . . . . . . . . . . . .
Zertifikatsverwaltung für SAML Single Sign On . . . . . . . . . . . . . . . . . .
Konfigurieren eines SAML2-Cloud-Konnektors . . . . . . . . . . . . . . . . . . .
Einstellungen für den SAML2-Konnektor . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines allgemeinen SAML2-Cloud-Konnektors . . . . . . . . . . . . .
Einstellungen für den allgemeinen SAML2-Konnektor . . . . . . . . . . . . . . . .
Konfigurieren externer Datenquellen für SAML-Single Sign On . . . . . . . . . . . .
Bereitstellen von SSO-Diensten für .NET- und Java-Web-Anwendungen . . . . . . . . . . .
Konfigurieren eines allgemeinen IceToken-Cloud-Konnektors . . . . . . . . . . . . .
Einstellungen für den allgemeinen IceToken-Konnektor . . . . . . . . . . . . . . .
Verwendung des Anwendungsstartfensters durch den Endbenutzer . . . . . . . . . . . . .
Erstellen von Lesezeichen für Cloud-Dienste im Unternehmen . . . . . . . . . . . . . . .
Überwachen von Anmeldungen bei Cloud-Diensten im Dashboard . . . . . . . . . . . . . .
Zusammenfassung zum Regelsatz „Single Sign On“ . . . . . . . . . . . . . . . . . . .
Schlüsselelemente für die Konfiguration von Cloud Single Sign On . . . . . . . . . . . . .
Single Sign On (Regelsatzreferenz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Select Services (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
HTTPS Handling (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Launchpad (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OTP Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Get Login Action (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Manage Form Credentials (Regelsatz) . . . . . . . . . . . . . . . . . . . . . .
Block Unhandled Management Requests (Regelsatz) . . . . . . . . . . . . . . . .
Perform SSO (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Listen und -Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Single Sign-On-Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Zertifikat und Einstellungen für private Schlüssel . . . . . . . . . . . . . . .
Beheben von SSO-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Cloud-Speicherverschlüsselung
482
483
485
485
485
486
487
487
488
489
489
489
490
490
491
491
492
493
496
496
498
500
500
502
502
506
509
510
511
512
514
515
515
517
519
519
523
524
526
528
532
534
534
535
535
537
538
541
543
Verschlüsseln und Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . 543
10
Produkthandbuch
Inhaltsverzeichnis
Konfigurieren der Verschlüsselung und Entschlüsselung von Cloud-Speicherdaten . . . . . . .
Konfigurieren der Einstellungen für das Verschlüsseln und Entschlüsseln von Daten . . . . . .
Einstellungen für die Cloud-Speicherverschlüsselung . . . . . . . . . . . . . . . . . . .
Unterstützungseinstellungen der Cloud-Speicherverschlüsselung . . . . . . . . . . . . . .
Manuelles Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . . . .
Cloud Storage Encryption (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
16
Hybridlösung
551
Arbeiten mit der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren einer Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Einstellungen für die Hybridlösung . . . . . . . . . . . . . . . . . . .
Auswählen eines Regelsatzes für die Hybridlösung . . . . . . . . . . . . . . . . . . . .
Manuelles Durchführen einer Synchronisierung . . . . . . . . . . . . . . . . . . . . .
Einschränkungen der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Web Hybrid“ . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ältere Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Synchronisieren der Einstellungen für die ältere Hybridlösung . . . . . . . . . . . .
Web-Filterungseinstellungen für die Synchronisierung . . . . . . . . . . . . . . .
Konfigurieren von Synchronisierungseinstellungen . . . . . . . . . . . . . . . . .
Einstellungen für „Web Hybrid Legacy“ (Ältere Web Hybrid-Versionen) . . . . . . . . .
17
Überwachung
552
553
553
554
555
555
557
559
559
560
561
561
563
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf das Dashboard . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Alerts“ (Warnmeldungen) . . . . . . . . . . . . . . . . . . . .
Registerkarte „Charts and Tables“ (Diagramme und Tabellen) . . . . . . . . . . . .
Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Protokolldateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einstellungen für Protokolldateien . . . . . . . . . . . . . . . .
Einstellungen für Log File Manager . . . . . . . . . . . . . . . . . . . . . . .
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) . . . . . . .
Erstellen eines Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Protokoll-Handlers . . . . . . . . . . . . . . . . . . . . . . .
Elemente einer Protokollierungsregel . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Hinzufügen eines Protokolldateifelds . . . . . . . . .
Empfohlene Vorgehensweisen – Erstellen eines Protokolls . . . . . . . . . . . . . .
Access log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Found Viruses Log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Informationen zu Vorfällen . . . . . . . . . . . . . . . . .
Konfigurieren der Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . .
Anzeigen der Regelsätze zur Fehlerbehandlung . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Arbeiten mit dem Fehler-Handler . . . . . . . . . . .
Fehler-Handler-Regelsatz „Default“ . . . . . . . . . . . . . . . . . . . . . . .
Leistungsmessung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Leistungsinformationen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Leistungsmessung . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Eigenschaften in Regeln zur Protokollierung von Leistungsinformationen
Verwenden von Ereignissen in Regeln zum Messen der Regelsatz-Verarbeitungszeit . . .
Ereignisüberwachung mit SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . .
SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Übertragen von Daten für die McAfee ePO-Überwachung . . . . . . . . . . . . . . . . .
547
547
548
548
549
549
563
564
564
567
575
577
577
578
579
581
584
584
585
586
587
588
595
596
596
596
597
598
598
599
602
609
611
611
612
613
614
615
615
618
Produkthandbuch
11
Inhaltsverzeichnis
Konfigurieren der ePolicy Orchestrator-Einstellungen . . . . . . . . . . . . . . . .
Einstellungen für ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . .
Bypass ePO Requests (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Senden von Syslog-Daten an McAfee Enterprise Security Manager . . . . . . . . . . . . .
Konfigurieren des Sendevorgangs für Syslog-Daten . . . . . . . . . . . . . . . .
Anpassen der Systemdatei „rsyslog“ für die Datenübertragung . . . . . . . . . . . .
Einstellen der Erfassung und Auswerten der syslog-Daten . . . . . . . . . . . . . .
Beheben von Problemen bei der Übertragung von syslog-Daten . . . . . . . . . . .
18
Fehlerbehebung
618
619
619
620
620
621
621
623
625
Methoden zur Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Regelverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
Beheben von Problemen bei der Regelverarbeitung mithilfe der Regelverfolgung . . . . . 628
Regelverfolgungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Ermitteln der Gründe für die Blockierung einer Anfrage anhand der Regelverfolgung . . . 638
Empfohlene Vorgehensweisen – Herausfinden, warum auf einer Webseite keine Bilder angezeigt
werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Wiederherstellen entfernter Regelverfolgungen in den Regelverfolgungsbereichen . . . . 641
Löschen von Regelverfolgungen . . . . . . . . . . . . . . . . . . . . . . . . 643
Erstellen einer Feedback-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . .
643
Erstellung von Core-Dateien aktivieren . . . . . . . . . . . . . . . . . . . . . . . .
643
Erstellung von Dateien für Verbindungsverfolgung aktivieren . . . . . . . . . . . . . . . 644
Erstellen einer Paketverfolgungsdatei . . . . . . . . . . . . . . . . . . . . . . . . . 644
Arbeiten mit Netzwerk-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . .
645
Sichern und Wiederherstellen einer Konfiguration für eine Appliance . . . . . . . . . . . . . 646
Einstellungen für „Troubleshooting“ (Fehlerbehebung) . . . . . . . . . . . . . . . . . .
646
A
Konfigurationslisten
649
Liste
Liste
Liste
Liste
Liste
Liste
der Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Blockierungsgrund-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Ereignisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Vorfalls-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften A bis H . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften I bis Q . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften R bis W . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Platzhalterausdrücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Testen eines Platzhalterausdrucks . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger glob-Sonderzeichen . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger Sonderzeichen für reguläre Ausdrücke (regex) . . . . . . . . . . . .
B
REST-Schnittstelle
777
Vorbereiten der Verwendung der REST-Schnittstelle . . . . . . . . . . . . . . . . . . .
Aktivieren der Nutzung der Schnittstelle . . . . . . . . . . . . . . . . . . . . .
Gewähren der Zugriffsberechtigung für die Schnittstelle . . . . . . . . . . . . . .
Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von curl als Datenübertragungs-Tool . . . . . . . . . . . . . . . . .
Authentifizieren bei der Schnittstelle . . . . . . . . . . . . . . . . . . . . . .
Anfordern von Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen grundlegender Aktivitäten . . . . . . . . . . . . . . . . . . . . . .
Arbeiten auf einzelnen Appliances . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit zur Fehlerbehebung hochgeladenen Dateien . . . . . . . . . . . . . .
Arbeiten mit Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
649
650
651
657
674
687
687
706
750
771
771
772
773
778
778
778
779
780
781
783
784
785
787
788
789
790
Produkthandbuch
Inhaltsverzeichnis
Beispielskripte für das Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . .
C
Software anderer Hersteller
795
799
Liste der Software anderer Hersteller . . . . . . . . . . . . . . . . . . . . . . . . . 799
Index
807
Produkthandbuch
13
Inhaltsverzeichnis
14
Produkthandbuch
Einleitung
®
Im vorliegenden Produkthandbuch werden die Funktionen und Merkmale von McAfee Web Gateway,
Version 7.5.0 beschrieben. Sie erhalten einen Überblick über das Produkt sowie ausführliche
Anleitungen zur Konfiguration und Wartung.
Inhalt
Informationen zu diesem Handbuch
Quellen für Produktinformationen
Informationen zu diesem Handbuch
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Buchtitel, Begriff,
Hervorhebung
Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine
Hervorhebung.
Fett
Text, der stark hervorgehoben wird.
Benutzereingabe, Code,
Meldung
Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein
Code-Beispiel; eine angezeigte Meldung.
Benutzeroberflächentext
Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen,
Menüs, Schaltflächen und Dialogfelder.
Hypertext-Blau
Ein Link auf ein Thema oder eine externe Website.
Hinweis: Zusätzliche Informationen, beispielsweise eine alternative
Methode für den Zugriff auf eine Option.
Tipp: Vorschläge und Empfehlungen.
Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres
Computersystems, der Software-Installation, des Netzwerks, Ihres
Unternehmens oder Ihrer Daten.
Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der
Nutzung eines Hardware-Produkts zu vermeiden.
Produkthandbuch
15
Einleitung
Inhalt dieses Handbuchs
Dieses Handbuch ist so gegliedert, dass Sie die gewünschten Informationen schnell finden können.
Die McAfee Web Gateway-Appliance wird mit einem Überblick über die Hauptfunktionen, die
Bereitstellungsoptionen, die Systemarchitektur und die Administrator-Aktivitäten vorgestellt.
Darauf folgt eine Erläuterung, wie Sie die Appliance einrichten und die ersten Schritte bis zu dem
Punkt ausführen, an dem Proxy-, Authentifizierungs- und Web-Filterungsfunktionen konfiguriert
werden.
Die Konfiguration dieser Hauptfunktionen wird in separaten Kapiteln erläutert.
Zudem wird erläutert, wie Sie Funktionen des Appliance-Systems konfigurieren, z. B. Domain Name
Services, Port-Weiterleitung oder statische Routen, und eine Appliance als Knoten in einer
Konfiguration mit zentraler Verwaltung einrichten.
Kapitel zur Überwachung und Fehlerbehebung befinden sich am Ende des Handbuchs.
Ein Anhang enthält Listen wichtiger Konfigurationselemente wie Aktionen, Ereignisse, Eigenschaften
usw.
Nach der Veröffentlichung eines Produkts werden Informationen zu dem Produkt im Online-Knowledge
Center von McAfee eingegeben.
Vorgehensweise
16
1
Rufen Sie das McAfee ServicePortal unter http://support.mcafee.com auf, und klicken Sie auf
Knowledge Center.
2
Geben Sie einen Produktnamen ein, wählen Sie eine Version, und klicken Sie dann auf Suchen, um
eine Liste der Dokumente anzuzeigen.
Produkthandbuch
1
Einführung
Die McAfee® Web Gateway-Appliance sorgt für umfassende Web-Sicherheit für Ihr Netzwerk.
Sie schützt Ihr Netzwerk vor Bedrohungen aus dem Web, z. B. vor Viren und sonstiger Malware,
unangemessenen Inhalten, Datenlecks und ähnlichen Problemen. Zudem sorgt sie für die Einhaltung
gesetzlicher Bestimmungen (Compliance) und eine reibungslos funktionierende Arbeitsumgebung.
Inhalt
Filtern des Web-Datenverkehrs
Hauptfunktionen der Appliance
Hauptkomponenten der Appliance
Bereitstellung der Appliance
Allgemeine Verwaltungsaktivitäten
Filtern des Web-Datenverkehrs
Die Appliance wird als Gateway installiert, das Ihr Netzwerk mit dem Web verbindet und den ein- und
ausgehenden Datenverkehr filtert.
Die von Benutzern aus dem Netzwerk an das Web gesendeten Anfragen sowie die aus dem Web
zurückgesendeten Antworten werden entsprechend den implementierten Web-Sicherheitsregeln
gefiltert. Mit Anfragen oder Antworten gesendete eingebettete Objekte werden ebenfalls gefiltert.
Produkthandbuch
17
1
Einführung
Bösartige und unangemessene Inhalte werden blockiert, während das Passieren nützlicher Inhalte
zugelassen wird.
Abbildung 1-1 Filtern des Web-Datenverkehrs
1 – Ihr Netzwerk
2 – Web Gateway
3 – Web
Sendet Anfragen an das Web.
Filtert Anfragen und Antworten.
Sendet Antworten an Ihr Netzwerk.
Das Filtern von Web-Datenverkehr ist ein komplexer Prozess. Die Hauptfunktionen der Appliance
tragen auf unterschiedliche Weise dazu bei.
Filtern von Web-Objekten
Spezielle Virenschutz- und Malware-Schutzfunktionen auf der Appliance scannen und filtern
Web-Datenverkehr und blockieren Web-Objekte, wenn diese infiziert sind.
Andere Funktionen filtern angefragte URLs anhand der Informationen aus dem Global Threat
Intelligence -System oder führen eine Medientyp- und Anwendungsfilterung durch.
™
Sie werden von Funktionen unterstützt, die sich selbst nicht filtern, jedoch beispielsweise
Benutzeranfragen zählen oder den Fortschritt beim Herunterladen von Web-Objekten anzeigen.
Filtern von Benutzern
Authentifizierungsfunktionen der Appliance filtern Benutzer unter Verwendung der Informationen aus
internen und externen Datenbanken und Methoden, z. B. NTLM, LDAP, RADIUS, Kerberos usw.
Zusätzlich zum Filtern regulärer Benutzer können Sie über die Appliance die Rechte und
Zuständigkeiten des Administrators steuern.
Abfangen des Web-Datenverkehrs
Beim jedem Filtern von Web-Objekten oder Benutzern ist eine Voraussetzung zu erfüllen. Diese wird
durch die Proxy-Funktionen der Appliance anhand verschiedener Netzwerkprotokolle erreicht, z. B.
HTTP, HTTPS, FTP, Yahoo, ICQ, Windows Live Messenger, XMPP usw.
Die Appliance kann im expliziten Proxy-Modus, im transparenten Bridge-Modus oder im Router-Modus
ausgeführt werden.
18
Produkthandbuch
Einführung
1
Überwachen des Filterungsprozesses
Die Überwachungsfunktionen der Appliance bieten eine fortlaufende Übersicht über den
Filterungsprozess.
Sie umfassen ein Dashboard zur Anzeige von Informationen zu Warnmeldungen, zur Web-Nutzung, zu
Filteraktivitäten und zum Systemverhalten. Neben Protokollierungs- und Verfolgungsfunktionen sind
auch Optionen zur Weiterleitung von Daten an den McAfee ePolicy Orchestrator -Server (McAfee ePO)
oder zur Ereignisüberwachung mit einem SNMP-Agenten verfügbar.
®
™
Produkthandbuch
19
1
Einführung
Die McAfee Web Gateway-Appliance umfasst mehrere Subsysteme zur Bereitstellung der Filterung und
anderer Funktionen, die auf dem Betriebssystem basieren.
Appliance-Subsysteme
Die Subsysteme der Appliance und deren Module haben folgende Aufgaben:
•
Kern-Subsystem: Bietet ein Proxy-Modul zum Abfangen des Web-Datenverkehrs und ein
Regelmodul zum Verarbeiten der Filterregeln, aus denen Ihre Web-Sicherheitsrichtlinie besteht.
Des weiteren stellt dieses Subsystem die Module bereit, die spezielle Aufgaben für die Filterregeln
erfüllen und von Ihnen konfiguriert werden können, z. B. das Anti-Malware-Modul, das URL
Filter-Modul oder das Authentication-Modul.
Ein Modul zur Ablaufverwaltung sorgt für eine effiziente Zusammenarbeit der Module.
•
Koordinator-Subsystem: Speichert alle Konfigurationsdaten, die auf der Appliance verarbeitet
werden
Dieses Subsystem bietet auch Funktionen zur Aktualisierung und für die zentrale Verwaltung.
•
Konfigurator-Subsystem: Stellt die Benutzeroberfläche zur Verfügung (Name des internen
Subsystems ist Konfigurator)
Abbildung 1-2 Appliance-Subsysteme und Module
Betriebssystem
Die Subsysteme der Appliance basieren auf den Funktionen ihres Betriebssystems, bei dem es sich um
MLOS2 handelt (McAfee Linux Operating System, Version 2).
20
Produkthandbuch
Einführung
1
Diese Version wird auch von anderen Linux-basierten McAfee-Sicherheitsprodukten verwendet, z. B.
von McAfee Email Gateway. Dies erleichtert die Einarbeitung, wenn Sie für die Verwaltung von
mehreren dieser Produkte zuständig sind.
Das Betriebssystem bietet Funktionen zum Ausführen der durch die Filterregeln ausgelösten Aktionen,
zum Lesen und Schreiben in der Datei und im Netzwerk sowie zur Zugriffssteuerung.
Ein Konfigurations-Daemon (sysconfd-Daemon) implementiert geänderte Konfigurationseinstellungen
im Betriebssystem.
Entscheiden Sie vor der Einrichtung der McAfee Web Gateway-Appliance, auf welche Weise diese
genutzt werden soll. Sie kann auf unterschiedlichen Plattformen ausgeführt werden, und Sie haben die
Möglichkeit, verschiedene Modi der Netzwerkintegration zu konfigurieren. Sie können auch mehrere
Appliances als Knoten innerhalb einer Konfiguration mit zentraler Verwaltung einrichten und
entsprechend verwalten.
Plattform
Sie können die Appliance auf unterschiedlichen Plattformen ausführen.
•
Hardware-basierte Appliance: auf einer physischen Hardware-Plattform
•
Virtuelle Appliance: auf einer virtuellen Maschine
Netzwerkintegration
Die Appliance kann für das Abfangen, Filtern und Übertragen des Web-Datenverkehrs im Netzwerk
verschiedene Modi nutzen.
•
Expliziter Proxy-Modus: Die mit der Appliance kommunizierenden Clients registrieren, dass es
sich um Kommunikation mit der Appliance handelt. Sie müssen die Clients „explizit“ für das Senden
des Datenverkehrs an die Appliance konfigurieren.
•
Transparente Modi: Die Clients registrieren nicht, dass mit der Appliance kommuniziert wird.
•
Transparente Bridge: Die Appliance agiert als „unsichtbare“ Verbindung zwischen Clients und
Web. Die Clients müssen hierfür nicht extra konfiguriert werden.
•
Transparenter Router: Die Appliance leitet den Datenverkehr entsprechend einer
Routing-Tabelle weiter, die von Ihnen ausgefüllt werden muss.
Verwaltung und Aktualisierungen
Das Verwalten der Appliance sowie die Verteilung von Aktualisierungen kann auf unterschiedliche
Arten erfolgen.
•
Eigenständig: Die Appliance wird separat verwaltet und erhält keine Aktualisierungen von
anderen Appliances.
•
Zentrale Verwaltung: Die Appliance wird als Knoten innerhalb einer komplexen Konfiguration
eingerichtet. Von der Benutzeroberfläche der Appliance aus können andere Knoten verwaltet und
auch Aktualisierungen verteilt werden.
Die Appliance kann dann auch von anderen Knoten aus verwaltet und dafür konfiguriert werden,
dass sie Aktualisierungen von diesen Knoten erhält.
Produkthandbuch
21
1
Einführung
Die Verwaltung der Appliance umfasst verschiedene Aktivitäten, die von den jeweiligen Anforderungen
Ihres Netzwerks abhängen.
Im Folgenden werden die empfohlenen allgemeinen Verwaltungsaktivitäten erläutert.
Vorgehensweise
1
Führen Sie die Erstkonfiguration durch.
Die Einrichtung umfasst die Erstkonfiguration von Systemparametern wie Host-Name und
IP-Adresse, die Implementierung eines anfänglichen Systems von Filterregeln sowie die
Lizenzierung.
In dieser Phase sind zwei Assistenten verfügbar: einer für die Erstkonfiguration und einer für die
Filterregeln.
2
Konfigurieren Sie die Proxy-Funktionen.
Nach Abschluss der Erstkonfiguration sind der explizite Proxy-Modus und das HTTP-Protokoll auf
der Appliance vorkonfiguriert.
Sie können diese Konfiguration ändern und außerdem andere Netzwerkkomponenten konfigurieren,
mit denen die Appliance kommuniziert.
3
Implementieren Sie ggf. die Authentifizierung.
Die Authentifizierung ist auf der Appliance nicht standardmäßig implementiert.
Wenn Sie sie implementieren möchten, können Sie aus einer Reihe von
Authentifizierungsmethoden eine Methode auswählen, u. a. NTLM, LDAP und Kerberos.
4
Konfigurieren Sie die Web-Filterung.
Sie können die während der Erstkonfiguration implementierten Regeln für Viren- und
Malware-Filterung, URL-Filterung, Medientyp-Filterung und andere Filterprozesse überprüfen.
Sie können diese Regeln optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen.
Die Arbeit mit den Filterregeln umfasst das Verwalten der von den Regeln verwendeten Listen und
das Konfigurieren der Einstellungen für Aktionen von Regeln sowie von Modulen, die am
Filterprozess beteiligt sind.
5
Überwachen Sie das Verhalten der Appliance.
Wenn Sie die Appliance entsprechend den jeweiligen Anforderungen konfiguriert haben, sollten Sie
überwachen, auf welche Weise sie den Filterprozess durchführt.
Darüber hinaus können Sie Systemfunktionen wie CPU- und Speicherauslastung, Anzahl der
aktiven Verbindungen und weitere Funktionen überwachen.
Weitere Informationen zu diesen Aktivitäten finden Sie in den Abschnitten, in denen sie konkret
behandelt werden, z. B. in Einrichtung, Authentifizierung oder Web-Filterung.
22
Produkthandbuch
2
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie mit Regeln, Listen, Einstellungen, Konten und weiteren
Elementen zur Verwaltung von Web Gateway arbeiten. Sie bietet Informationen zur Schlüsselfilterung
und zu Systemparametern und ermöglicht die Durchführung von Maßnahmen zur Fehlerbehebung.
Inhalt
Hauptelemente der Benutzeroberfläche
Unterstützende Konfigurationsfunktionen
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche
Verwalten von Web Gateway ohne die Benutzeroberfläche
Produkthandbuch
23
2
Benutzeroberfläche
Die Hauptelemente der Benutzeroberfläche werden auf dem folgenden Beispielbildschirm angezeigt.
Abbildung 2-1 Benutzeroberfläche
In der folgenden Tabelle werden die Hauptelemente der Benutzeroberfläche beschrieben.
Tabelle 2-1 Hauptelemente der Benutzeroberfläche
Option
Definition
System-Informationszeile
Zeigt System- und Benutzerinformationen an.
User Preferences
(Benutzereinstellungen)
Öffnet ein Fenster, in dem Sie Einstellungen für die
Benutzeroberfläche konfigurieren und Ihr Kennwort ändern können.
Logout (Abmelden)
Meldet Sie von der Benutzeroberfläche ab.
Hilfesymbol
Öffnet die Online-Hilfe.
Sie können die Seiten durchsuchen oder über eine
Verzeichnisstruktur navigieren sowie eine Volltextsuche durchführen
oder nach Indexbegriffen suchen.
24
Produkthandbuch
2
Benutzeroberfläche
Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung)
Option
Definition
Übergeordnete Menüleiste
Sie können eines der folgenden Menüs auswählen:
• Dashboard: Zum Anzeigen von Informationen zu Ereignissen, zur
Web-Nutzung, zu Filteraktivitäten und zum Systemverhalten
• Policy (Richtlinie): Zum Konfigurieren Ihrer Web-Sicherheitsrichtlinie
• Configuration (Konfiguration): Zum Konfigurieren der
Systemeinstellungen der Appliance
• Accounts (Konten): Zum Verwalten der Administratorkonten
• Troubleshooting (Fehlerbehebung): Zum Beheben von Problemen auf
der Appliance
Search (Suche)
Öffnet ein Fenster mit den folgenden Suchoptionen:
• Search for objects (Suche nach Objekten): Ermöglicht die Suche nach
Regelsätzen, Regeln, Listen und Einstellungen.
Durch die Eingabe des Suchbegriffs im Eingabefeld werden alle
Objekte angezeigt, deren Namen mit dem Suchbegriff
übereinstimmen.
• Search for objects referring to (Suche nach verweisenden Objekten):
Ermöglicht die Auswahl einer Liste, einer Eigenschaft oder die
Auswahl von Einstellungen und zeigt alle Regeln, die das
ausgewählte Element verwenden.
Save Changes (Änderungen speichern) Speichert die Änderungen.
Registerkartenleiste
Stellt die Registerkarten des aktuell ausgewählten übergeordneten
Menüs bereit.
Übergeordnete Menüs haben die folgenden Registerkarten:
• Dashboard
• Alerts (Warnungen)
• Charts and Tables (Diagramme und Tabellen)
• Policy (Richtlinie)
• Rule Sets (Regelsätze)
• Liste (Listen)
• Settings (Einstellungen)
• Templates (Vorlagen)
• Configuration (Konfiguration)
• Appliances
• File Editor (Datei-Editor)
• Accounts (Konten)
• Administrator Accounts (Administratorkonten)
Das übergeordnete Menü Troubleshooting (Fehlerbehebung) enthält
keine Registerkarten.
Symbolleiste (auf
Registerkarte)
Bietet verschiedene Tools (abhängig von der ausgewählten
Registerkarte).
Produkthandbuch
25
2
Benutzeroberfläche
Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung)
Option
Definition
Navigationsbereich
Bietet Verzeichnisstrukturen der Konfigurationselemente, z. B.
Regeln, Listen und Einstellungen.
Konfigurationsbereich
Bietet Optionen zum Konfigurieren des derzeit im Navigationsbereich
ausgewählten Elements.
Die Benutzeroberfläche bietet mehrere Funktionen zur Unterstützung Ihrer Konfigurationsaktivitäten.
Tabelle 2-2 Unterstützende Administrationsfunktionen
Option
Definition
Gelbes Dreieck
Wird mit dem Namen einer Liste angezeigt, die noch leer ist und von Ihnen
gefüllt werden muss.
Einige Listen werden vom Assistenten der Richtlinienkonfiguration erstellt,
aber nicht gefüllt, da sie vertraulich sind.
Text mit gelbem
Hintergrund
Wird angezeigt, wenn Sie den Mauszeiger über ein Element auf der
Benutzeroberfläche bewegen und bietet Informationen zur Bedeutung und
Verwendung des Elements.
OK-Symbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe gültig ist.
Fehlersymbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe ungültig ist.
Meldungstext
Wird mit dem Fehlersymbol angezeigt und bietet Informationen zur ungültigen
Eingabe.
Hellrotes Eingabefeld Gibt einen ungültigen Eintrag an.
Save Changes
(Änderungen speichern)
Schaltfläche wird rot angezeigt, wenn Sie ein Element ändern.
Rotes Dreieck
Wird mit Registerkarten, Symbolen und Listeneinträgen angezeigt, wenn Sie
ein Element geändert und noch nicht gespeichert haben.
Wird wieder grau angezeigt, nachdem Sie Ihre Änderungen gespeichert
haben.
Wenn Sie eine Regel geändert haben, wird das rote Dreieck beispielsweise an
folgenden Stellen angezeigt:
• In der Zeile des Regeleintrags im Abschnitt für Einstellungen
• Auf dem Regelsatzsymbol
• Auf der Prognose der Registerkarte Rule Sets (Regelsätze)
• Auf dem Symbol Policy (Richtlinie) in der übergeordneten Menüleiste
Verwerfen von Änderungen
Wenn Sie auf der Benutzeroberfläche Administratortätigkeiten ausgeführt haben, können Sie statt des
Speicherns der vorgenommenen Änderungen diese Änderungen auch verwerfen.
Eine Möglichkeit ist es, beim Abmelden die Abmeldung ohne Speichern der Änderungen zu bestätigen.
Alternativ dazu können Sie auch Änderungen verwerfen, indem Sie die Konfigurationsdaten erneut
laden.
26
Produkthandbuch
Benutzeroberfläche
2
Beim erneuten Laden der Konfigurationsdaten wird die Konfiguration wieder hergestellt, die nach dem
letzten Speichern vorhanden war. Dies kann von Ihnen oder einem anderen Administratoren
vorgenommen worden sein. Wenn nach der Ersteinrichtung der Appliance noch keine Änderungen
gespeichert wurden, wird die Konfiguration der Ersteinrichtung wieder hergestellt.
Verwerfen von Änderungen durch erneutes Laden der Daten
Sie können auf der Benutzeroberfläche vorgenommene Änderungen verwerfen, indem Sie die
bestehenden Konfigurationsdaten erneut laden.
Vorgehensweise
1
Klicken Sie hierfür auf das kleine schwarze Dreieck neben der Schaltfläche Save Changes (Änderungen
speichern).
Es wird der Hinweis Reload Data from Backend (Daten neu aus Backend laden) eingeblendet.
2
Klicken Sie auf den Hinweis.
Die vorgenommenen Änderungen werden verworfen, und die Konfigurationsdaten werden erneut
geladen.
Konfigurieren einer Web-Sicherheitsrichtlinie auf der
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie für Ihr Netzwerk eine Web-Sicherheitsrichtlinie konfigurieren.
Eine Web-Sicherheitsrichtlinie wird in Web Gateway mittels verschiedener Regeln implementiert, die zu
Regelsätzen zusammengefasst sind. Die Regeln innerhalb eines Regelsatzes beziehen sich für
gewöhnlich auf einen bestimmten Bereich der Web-Sicherheit. Beispielsweise gibt es Regelsätze mit
Regeln für die Malware-Schutz-Filterung, für URL-Filterung, für Medientyp-Filterung usw.
Auf der Benutzeroberfläche können Sie diese Regeln und Regelsätze anzeigen, bearbeiten, löschen
und auch neue Regeln und Regelsätze erstellen.
Eine Regel umfasst verschiedene Elemente. Eine Regel zur URL-Filterung kann z. B. eine Liste mit
Kategorien für URLS, eine Aktion zur Blockierung und weitere Elemente enthalten. Wenn ein Benutzer
eine Anfrage für den Web-Zugriff sendet, würde diese Regel die Anfrage blockieren, sofern die dabei
angefragte URL in eine der Kategorien fällt.
Mit der Verwendung dieser Regel in Ihrer Web-Sicherheitsrichtlinie können Sie dafür sorgen, dass
Benutzer vom Netzwerk aus beispielsweise keine Websites aufrufen können, die in die Kategorien
Online-Shopping, Unterhaltung oder Drogen fallen.
Produkthandbuch
27
2
Benutzeroberfläche
Registerkarten für Richtlinien
Auf der Benutzeroberfläche stehen für das Konfigurieren einer Web-Sicherheitsrichtlinie drei
Registerkarten zur Auswahl.
•
Rule Sets (Regelsätze): Auf dieser Registerkarte können Sie alle Schritte zum Konfigurieren von
Web-Sicherheitsregeln vornehmen.
Die von den Regeln auf dieser Registerkarte verwendeten Listen und Einstellungen können auch
bearbeitet werden.
•
Lists (Listen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in den Regeln
verwendeten Listen. Sie können hier Listen aus der Listen-Baumstruktur auswählen und sie
anschließend konfigurieren.
Weitere Informationen zum Arbeiten mit Listen finden Sie im Kapitel Listen.
•
Settings (Einstellungen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in
den Regeln verwendeten Einstellungen. Sie können hier Einstellungen aus der
Einstellungs-Baumstruktur auswählen und sie anschließend konfigurieren.
Bei der Konfiguration von Regeln in Web Gateway wird der Begriff Einstellungen für eine Gruppe
von Parametern verwendet, für die bestimmte Werte festgelegt sind. Es gibt zwei Arten von
Einstellungen:
•
Einstellungen für die Module (auch als Engines bezeichnet), die Aufgaben der Regelverarbeitung
übernehmen, beispielsweise das Modul „Anti-Malware“, das Web-Objekte auf Viren- und andere
Malware-Infektionen scannt.
•
Einstellungen für die von Regeln durchgeführten Aktionen, z. B. die Aktion zur Blockierung.
Für ein Modul bzw. eine Aktion kann es unterschiedliche Einstellungen geben. Auf diese Weise kann
ein Modul seine Aufgabe auf verschiedene Arten durchführen und eine Aktion kann auf
unterschiedliche Weise ausgeführt werden, je nachdem, welche der verschiedenen Einstellungen für
das Modul bzw. die Aktion gerade konfiguriert sind.
Weitere Informationen zum Arbeiten mit Einstellungen finden Sie im Kapitel Einstellungen.
Arbeiten mit der Registerkarte „Rule Sets“ (Regelsätze)
Auf der Registerkarte Rule Sets (Regelsätze) können Sie einen Regelsatz auswählen, z. B. den Regelsatz
„URL Filtering“, und die darin enthaltenen Regeln bearbeiten.
Für Regelsätze sind zwei unterschiedliche Ansichten möglich, in denen Sie jeweils folgendermaßen
arbeiten können:
•
Schlüsselelemente von Regeln: In dieser Regelsatzansicht werden nur die Schlüsselelemente
der Regeln eines bestimmten Regelsatzes angezeigt, jedoch nicht die vollständigen Regeln mit allen
konfigurierbaren Elementen.
Schlüsselelemente sind diejenigen, deren Bearbeitung beim Konfigurieren der
Web-Sicherheitsrichtlinie am wahrscheinlichsten ist. Bei dieser Ansicht können Sie sich voll und
ganz auf die Arbeit an diesen wichtigen Elementen konzentrieren.
Diese Regelsatzansicht wird bei folgenden Aktionen aufgerufen:
•
Bei Auswahl eines Standard-Regelsatzes
•
Beim Importieren bestimmter Regelsätze aus der Regelsatz-Bibliothek
Manche Regelsätze aus der Bibliothek werden nicht in dieser Ansicht angezeigt.
28
Produkthandbuch
Benutzeroberfläche
2
Diese Regelsatzansicht wird nicht für Regelsätze angezeigt, die Sie selbst erstellt haben.
Hier sehen Sie ein Beispiel für ein Schlüsselelement, das in dieser Ansicht konfiguriert werden
kann:
Abbildung 2-2 Beispiel für Schlüsselelement: URL-Whitelist
Eine URL-Whitelist ist beispielsweise ein Elementeiner Regel zur URL-Filterung.
Klicken Sie auf Edit (Bearbeiten), um die Liste zur Bearbeitung zu öffnen.
•
Vollständige Regeln: In dieser Regelsatzansicht werden vollständige Regeln angezeigt, sowie alle
Regeln, die in einem bestimmten Regelsatz enthalten sind. Sie können einzelne Elemente dieser
Regeln auswählen und sie anschließend konfigurieren. Dies gilt auch für die Schlüsselelemente. Das
Löschen von Regeln und das Erstellen von neuen Regeln ist in dieser Ansicht ebenfalls möglich.
Wenn Sie einen Standard-Regelsatz oder einen Bibliotheks-Regelsatz auswählen, für den beide
Ansichten verfügbar sind, müssen Sie erst die Schlüsselelementansicht verlassen, bevor Sie in der
Ansicht für vollständige Regeln arbeiten können. Nach dem Verlassen der Schlüsselelementansicht
können Sie zu dieser Ansicht nur zurückkehren, wenn Sie alle Änderungen verwerfen oder den
Regelsatz erneut importieren.
Das Beispiel der URL-Whitelist ist ein Schlüsselelement einer Regel für die URL-Filterung, das bei
Anzeige in der Ansicht für vollständige Regeln folgendermaßen aussieht:
Abbildung 2-3 Beispiel für Element innerhalb einer vollständigen Regel: URL-Whitelist
Klicken Sie auf URL WhiteList (URL-Whitelist), um die Liste zur Bearbeitung zu öffnen.
Siehe auch
Schlüsselelementansicht auf Seite 30
Ansicht für vollständige Regeln auf Seite 33
Produkthandbuch
29
2
Benutzeroberfläche
Schlüsselelementansicht
In der Schlüsselelementansicht werden Schlüsselelemente der Regeln in einem Regelsatz angezeigt;
diese können in der Ansicht konfiguriert werden.
Abbildung 2-4 Schlüsselelementansicht
Optionen der Schlüsselelementansicht
In der folgenden Tabelle werden die Optionen der Schlüsselelementansicht beschrieben.
Tabelle 2-3 Optionen der Schlüsselelementansicht
Option
Definition
Rule set name field (Feld für Zeigt den Standardnamen des Regelsatzes an, für den
den Regelsatznamen)
Schlüsselelemente angezeigt werden; dieser Name kann bearbeitet
werden.
30
Rule set description field
(Feld für die
Regelsatzbeschreibung)
Zeigt die Standardbeschreibung des Regelsatzes an, für den
Schlüsselelemente angezeigt werden; diese Beschreibung kann
bearbeitet werden.
Enable (Aktivieren)
Bei Auswahl dieser Option wird der Regelsatz aktiviert, dessen
Schlüsselelemente derzeit konfiguriert werden.
Produkthandbuch
Benutzeroberfläche
2
Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung)
Option
Definition
Unlock View (Ansicht
entsperren)
Schließt die Schlüsselelementansicht und zeigt die entsprechende
Ansicht für vollständige Regeln an.
Eine Bestätigungsmeldung wird angezeigt. Beachten Sie, dass Sie
nach dem Verlassen der Schlüsselelementansicht zu dieser Ansicht nur
zurückkehren können, wenn Sie alle Änderungen verwerfen oder den
Regelsatz erneut importieren.
In der Regelsatz-Baumstruktur zeigen Symbole vor dem
Regelsatznamen, welche der beiden Anzeigen gerade aktiviert ist.
Regelsatz in der Schlüsselelementansicht
Regelsatz in Ansicht für vollständige Regeln
• Klicken Sie zum Arbeiten mit untergeordneten Regelsätzen auf Unlock
View (Ansicht entsperren) für den untergeordneten Regelsatz.
Die untergeordneten Regelsätze werden in der
Regelsatz-Baumstruktur mit jeweils aktivierter Ansicht der
vollständigen Regelsätze angezeigt.
• Um die untergeordneten Regelsätze des Standardregelsatzes
Common Rules (Allgemeine Regeln) anzuzeigen, erweitern Sie diesen
Regelsatz.
Die Ansicht für vollständige Regeln ist bereits für den letzten der
untergeordneten Regelsätze aktiviert, während die anderen weiterhin
in der Schlüsselelementansicht angezeigt werden.
Mit der Option Unlock (Entsperren) im Kontextmenü des
Regelsatzes können Sie die Schlüsselelementansicht für einen
Regelsatz oder mehrere Regelsätze in einem Schritt verlassen.
1 Wählen Sie einen Regelsatz oder mehrere Regelsätze auf
einmal aus, klicken Sie mit der rechten Maustaste, und
wählen Sie Unlock (Entsperren).
Sie können auch einen Regelsatz erweitern, der
untergeordnete Regelsätze enthält, und einen oder mehrere
untergeordnete Regelsätze auswählen.
2 Bestätigen Sie, dass Sie die Schlüsselelementansicht
beenden möchten.
Die Ansicht für vollständige Regeln wird für alle ausgewählten
Regelsätze aktiviert.
Produkthandbuch
31
2
Benutzeroberfläche
Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung)
Option
Definition
Permissions (Berechtigungen)
Öffnet ein Fenster, in dem Sie festlegen können, welche Personen auf
den Regelsatz zugreifen dürfen, dessen Schlüsselelemente Sie gerade
konfigurieren.
Schlüsselelemente für einen
Regelsatz
Die Schlüsselelemente variieren für die verschiedenen Regelsätze.
Schlüsselelemente für zusammengehörende Funktionen werden in
einer Gruppe angezeigt. Jeder Gruppe ist ein Gruppen-Header
vorangestellt.
In der Schlüsselelementansicht für die URL-Filterung werden
Schlüsselelemente z. B. in Basic Filtering (Grundlegende Filterung),
SafeSearch und anderen Gruppen angezeigt.
Diese Gruppen enthalten Schlüsselelemente für die grundlegende
URL-Filterung, für die zusätzliche Verwendung von
SafeSearch-Funktionen im Filterprozess sowie für andere Funktionen.
Konfigurieren eines Schlüsselelements
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Schlüsselelements einer
Web-Sicherheitsregel.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Schlüsselelement für eine Regel
im Standard-Regelsatz zur URL-Filterung.
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus.
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus.
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
3
Klicken Sie unter Basic Filtering (Standardfilter) neben URL Whitelist (URL-Whitelist) auf Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
4
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) den Ausdruck http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
32
Produkthandbuch
Benutzeroberfläche
5
2
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
6
Klicken Sie auf Save Changes (Änderungen speichern).
Ansicht für vollständige Regeln
Die Ansicht für vollständige Regeln zeigt die in einem Regelsatz enthaltenen vollständigen Regeln an.
In dieser Ansicht können Sie mit den zugehörigen Elementen, auch den Schlüsselelementen, arbeiten.
Sie können Regeln bearbeiten und löschen sowie eigene Regeln erstellen. Sie können auch Regelsätze
bearbeiten, löschen und erstellen. Neue Regelsätze können sowohl mit bestehenden Regeln als auch
mit eigenen Regeln gefüllt werden.
Sie können auch Regelsätze aus einer Regelsatz-Bibliothek auf Web Gateway oder aus einer
Online-Regelsatz-Bibliothek importieren. Sie können auf die gleiche Weise wie mit anderen Regeln und
Regelsätzen auch mit diesen Regelsätzen und ihren Regeln arbeiten.
Abbildung 2-5 Ansicht für vollständige Regeln
Weitere Informationen zur Ansicht für vollständige Regeln finden Sie im Kapitel Regeln.
Konfigurieren eines Regelelements in der Ansicht für
vollständige Regeln
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Elements einer
Web-Sicherheitsregel in der Ansicht für vollständige Regeln.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Element einer Regel im
Standard-Regelsatz zur URL-Filterung. Um dies zu erreichen, muss beinahe genauso vorgegangen
werden wie beim Ausführen dieses Tasks in der Schlüsselelement-Ansicht. Der einzige Unterschied ist
die Art und Weise des Zugriffs auf die URL-Whitelist.
Produkthandbuch
33
2
Benutzeroberfläche
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
2
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
3
Klicken Sie auf Unlock View (Anzeige entsperren), um die Schlüsselelement-Ansicht zu verlassen.
Sie werden nun in einer Meldung aufgefordert, das Verlassen der Ansicht für die Schlüsselelemente
zu bestätigen, und zudem gewarnt, dass Sie nicht zu dieser Ansicht zurückkehren können.
4
Klicken Sie auf Yes (Ja).
Nur wird die Ansicht der vollständigen Regeln angezeigt.
5
Klicken Sie in der Regel Allow URLs that match in URL WhiteList auf URL WhiteList.
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
6
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) beispielsweise http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
7
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
8
Weitere Informationen zum Arbeiten mit Regeln und Regelsätzen finden Sie im Kapitel Regeln.
Mit der zusätzlich zur Verfügung stehenden Schnittstelle können Sie Verwaltungsvorgänge für Web
Gateway vornehmen, ohne bei der standardmäßigen Benutzeroberfläche angemeldet zu sein. Diese
alternative Schnittstelle wird als REST-Schnittstelle (Representational State Transfer) bezeichnet.
Hiermit können Sie auf einer bestimmten Web Gateway-Appliance und auch auf anderen damit
verbundenen Appliances Verwaltungsaktivitäten durchführen, z. B. eine Appliance ausschalten und neu
starten, mit Listen und Einstellungen arbeiten oder Aktualisierungen starten.
34
Produkthandbuch
Benutzeroberfläche
2
Eine Einführung zur REST-Schnittstelle mit Erklärungen zu den grundlegenden Arbeitsweisen sowie
Beispielskripten für die Kommunikation mit der Schnittstelle finden Sie im Abschnitt REST-Schnittstelle
im Anhang dieses Handbuchs.
Produkthandbuch
35
2
Benutzeroberfläche
36
Produkthandbuch
3
Regeln
Web-Filterung und Authentifizierung werden durch Regeln gesteuert, die Sie implementieren und so
modifizieren können, dass sie genau auf die Anforderungen Ihres Netzwerks zugeschnitten sind.
Die Regeln werden in Gruppen zusammengefasst und in Regelsätzen verfügbar gemacht, die jeweils
ein bestimmtes Feld der Filteraktivitäten abdecken. Es kann z. B. einen Regelsatz für die Viren- und
Malware-Filterung, einen Regelsatz für die URL-Filterung, einen Regelsatz für Authentifizierungen usw.
geben.
Bei der Ersteinrichtung der Appliance wird ein Standard-Regelsatzsystem implementiert. Diese
Regelsätze und die zugehörigen Regeln können Sie überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Regeln und Regelsätze oder sogar ein komplettes System selbst erstellen.
Darüber hinaus können Sie Regelsätze aus Bibliotheken importieren und sie ebenfalls auf diese Weise
ändern.
Inhalt
Informationen zur Filterung
Regelelemente
Regelsätze
Regelsatzsystem
Regelsatz-Bibliothek
Registerkarte „Rule Sets“ (Regelsätze)
Erstellen einer Regel
Erstellen eines Regelsatzes
Importieren eines Regelsatzes
Empfohlene Vorgehensweisen – Konfigurieren von Regeln
Beschränken des Zugriffs auf Konfigurationselemente
Auf der Appliance wird ein Filterprozess ausgeführt, der mithilfe der implementierten Regeln
durchgehend für die Web-Sicherheit im Netzwerk sorgt.
Dieser Prozess filtert den Web-Datenverkehr. Hierbei wird einigen Objekten der Durchgang verwehrt,
während andere durchgelassen werden, in etwa so wie ein Teesieb Teeblätter auffängt und den Tee
selbst in die Tasse fließen lässt.
Produkthandbuch
37
3
Regeln
Woher kann der Prozess nun zwischen Blättern und Flüssigkeit unterscheiden? Das Teesieb arbeitet
offensichtlich nach dem Konzept der Größenunterschiede: Was zu groß ist, wird nicht durchgelassen.
Auf ähnliche Weise nutzt der Filterprozess auf der Appliance in seinen Regeln alle möglichen
Eigenschaften, die Web-Objekte haben können bzw. die sich auf irgendeine Weise auf Web-Objekte
beziehen, um entsprechende Filterentscheidungen zu treffen.
Eigenschaften gefilterter Objekte
Eine der möglichen Eigenschaften eines während des Filterprozesses überprüften Web-Objekts ist
being virus-infected (mit Virus infiziert). Ein Web-Objekt kann also die Eigenschaft „mit Virus infiziert“
haben. Um es klarer auszudrücken: es kann mit einem Virus infiziert sein.
Weitere Beispiele sind u. a. die Eigenschaft, zu einer bestimmten URL-Kategorie zu gehören oder die
Eigenschaft, eine bestimmte IP-Adresse zu besitzen.
Bezüglich dieser und auch anderer Eigenschaften können nun folgende Fragen gestellt werden:
•
Welchen Wert hat die Eigenschaft p eines bestimmten Web-Objekts?
•
Sowie: Wenn dieser Wert gleich x ist, welche Aktion ist dann erforderlich?
Die Antwort auf die zweite Frage ergibt bereits eine Regel:
Wenn der Wert der Eigenschaft p gleich x ist, dann muss Aktion y durchgeführt werden.
Eigenschaften sind Schlüsselelemente, die in allen Regeln auf der Appliance verwendet werden. Das
genaue Verständnis einer Eigenschaft ist grundlegend wichtig für das Verständnis der gesamten Regel.
Beim Erstellen einer Regel ist es immer sinnvoll, mit der Überlegung zu beginnen, welche Eigenschaft
genutzt werden soll. Nimmt man die Eigenschaft einer bereits vorhandenen Regel als Beispiel, so
könnten Sie folgende Überlegung anstellen:
Ich möchte Viren und andere Malware filtern. Hierfür nutze ich die Eigenschaft „mit Virus infiziert“ und
verwende diese als Grundlage zum Erstellen einer Regel. Wenn ein bestimmtes Web-Objekt diese
Eigenschaft besitzt, lasse ich die Regel eine Blockierungsaktion vornehmen.
Die entsprechende Regel könnte folgendermaßen aussehen:
Wenn „mit Virus infiziert“ den Wert „true“ hat (für ein bestimmtes Web-Objekt), dann blockiere den
Zugriff auf dieses Objekt.
Das Web-Objekt könnte z. B. eine Datei sein, die von einem Web-Server auf Anfrage eines Benutzers
im Netzwerk gesendet wurde und die auf der Appliance abgefangen und gefiltert wird.
In diesem Abschnitt werden die Eigenschaften und Regeln auf Deutsch benannt und beschrieben. Auf
der Benutzeroberfläche der Appliance werden diese dann auf Englisch angezeigt, das Format
unterscheidet sich jedoch nicht wesentlich von der normalerweise verwendeten Sprache.
Die oben beschriebene Regel bezüglich Virusinfektionen könnte auf der Benutzeroberfläche
folgendermaßen aussehen:
Antimalware.Infected equals true –> Block (Default)
Hierbei ist Antimalware.infected (Malware-Schutz infiziert) die Eigenschaft und Block (blockieren) die
Aktion, die standardmäßig durchgeführt wird.
Der Pfeil wird auf der Benutzeroberfläche nicht angezeigt, sondern nur in dieser Darstellung
hinzugefügt, um zu verdeutlichen, dass die Blockierungsaktion ausgelöst wird, wenn ein Web-Objekt
tatsächlich die besagte Eigenschaft aufweist.
38
Produkthandbuch
3
Regeln
Filtern von Benutzern
Eigenschaften können nicht nur im Zusammenhang mit Web-Objekten, sondern auch mit den sie
anfragenden Benutzern verwendet werden.
Beispielsweise könnte eine Regel die Eigenschaft Benutzergruppen, in denen dieser Benutzer Mitglied
ist nutzen, um alle Anfragen von Benutzern zu blockieren, die nicht zu einer zugelassenen Gruppe
gehören:
Wenn Benutzergruppen, deren Mitglied der Benutzer ist (für einen bestimmten Benutzer), nicht in der
Liste zugelassener Gruppen enthalten sind, dann werden von diesem Benutzer gesendete Anfragen
blockiert.
Filterzyklen
Der Filterprozess auf der Appliance weist drei Zyklen auf: „Request“ (Anfrage), „Response“ (Antwort)
und „Embedded Objects“ (Eingebettete Objekte). Es kann immer nur jeweils einer dieser Zyklen
laufen.
Der Zyklus „Request“ (Anfrage) wird zum Filtern von Anfragen ausgeführt, die Benutzer Ihres
Netzwerks an das Web senden, der Zyklus Response (Antwort) hingegen für die Antworten, die auf
diese Anfragen aus dem Web empfangen werden.
Wenn mit den Anfragen oder Antworten eingebettete Objekte gesendet werden, wird als zusätzlicher
Verarbeitungszyklus der Zyklus „Embedded Objects“ (Eingebettete Objekte) ausgeführt.
Ein eingebettetes Objekt ist z. B. eine Datei, die mit einer Anfrage zum Hochladen einer Datei
gesendet wird und die in die betreffende Datei eingebettet ist. Der Filterprozess beginnt mit dem
Zyklus „Request“ (Anfrage), wobei die Anfrage gefiltert und die Datei überprüft wird, deren Upload
angefordert wurde. Anschließend wird der Zyklus „Embedded Objects“ (Eingebettete Objekte) für die
eingebettete Datei gestartet.
Ebenso werden der Zyklus Response (Antwort) und der Zyklus „Embedded Objects“ (Eingebettete
Objekte) nacheinander für eine Datei gestartet, die als Antwort von einem Web-Server gesendet wird
und in die eine andere Datei eingebettet ist.
Für jede Regel auf der Appliance wird angegeben, in welchem Zyklus sie verarbeitet wird. Der Zyklus
wird jedoch nicht einzeln für eine Regel angegeben, sondern für den Regelsatz, in dem sie enthalten
ist.
Ein Regelsatz kann in nur einem Zyklus oder in einer Kombination von Zyklen verarbeitet werden.
Prozessablauf
Im Filterprozess werden die implementierten Regeln nacheinander verarbeitet, je nach den Positionen,
an denen sie in ihren jeweiligen Regelsätzen aufgeführt sind.
Die Regelsätze selbst werden in der Reihenfolge des Regelsatzsystems verarbeitet, die auf der
Registerkarte Rule Sets (Regelsätze) der Benutzeroberfläche angezeigt wird.
In jedem der drei Zyklen werden die implementierten Regelsätze der Reihe nach durchsucht, um
festzustellen, welche Regelsätze im jeweiligen Zyklus verarbeitet werden müssen.
Wenn eine Regel verarbeitet wird und anzuwenden ist, löst sie eine Aktion aus. Die Aktion führt eine
Filtermaßnahme aus, z. B. Blockieren einer Anfrage für den Zugriff auf ein Web-Objekt oder Entfernen
eines angeforderten Objekts.
Darüber hinaus wirkt sich eine Aktion auf den Filterprozess aus. Sie kann angeben, dass der
Filterprozess komplett beendet werden muss, dass einige Regeln übersprungen werden und der
Prozess anschließend fortgesetzt wird oder dass einfach mit der nächsten Regel fortgefahren werden
soll.
Produkthandbuch
39
3
Regeln
Die Verarbeitung wird auch beendet, nachdem alle implementierten Regeln verarbeitet wurden.
Demzufolge kann der Prozessablauf wie folgt aussehen:
Alle Regeln wurden für alle
konfigurierten Zyklen
verarbeitet, und es wurde
keine weitere anwendbare
Regel mehr gefunden.
–> Die Verarbeitung wird beendet.
Im Anfragezyklus wird gestattet, dass die Anfrage an den
entsprechenden Web-Server übergeben wird.
Im Antwortzyklus wird die aus dem Web gesendete Antwort an
den entsprechenden Benutzer weitergeleitet.
Im Zyklus für eingebettete Objekte wird gestattet, dass das
eingebettete Objekt zusammen mit der Anfrage bzw. der
Antwort übergeben wird, mit der es gesendet wurde.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
Eine Regel wird angewendet,
und sie erfordert, dass die
Verarbeitung vollständig
beendet werden muss.
–> Die Verarbeitung wird beendet.
Ein Beispiel für eine Regel, die die Verarbeitung vollständig
beendet, ist eine Regel mit einer Blockierungsaktion.
Wenn beispielsweise eine Anfrage blockiert wird, weil die
angeforderte URL in einer Blockierungsliste aufgeführt wird, ist
eine weitere Verarbeitung ohne jeden Nutzen.
Es wird keine Antwort empfangen, da die Anfrage blockiert und
nicht an den entsprechenden Web-Server übergeben wurde.
Auch ein möglicherweise mit der Anfrage gesendetes
eingebettetes Objekt muss nicht gefiltert werden, weil die
Anfrage ohnehin blockiert wird.
An den von der Aktion betroffenen Benutzer wird eine Meldung
gesendet; in dieser wird der Benutzer z. B. über die Blockierung
der Anfrage und die Gründe für diese Aktion informiert.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
Verarbeitung für den aktuellen
Regelsatz beendet werden
muss.
–> Die Verarbeitung für diesen Regelsatz wird beendet.
Die auf die beendende Regel folgenden Regeln des Regelsatzes
werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines
Regelsatzes beendet, ist eine Whitelist-Regel, auf die in
demselben Regelsatz eine Blockierungsregel folgt.
Wird ein angefordertes Web-Objekt in einer Whitelist gefunden,
wird das Weiterleiten der Anfrage ohne weitere Filtervorgänge
zugelassen. Daher erfolgt keine weitere Verarbeitung des
Regelsatzes, und die Regel, die das Objekt schließlich blockiert,
wird übersprungen.
Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt.
Der nächste Regelsatz kann Regeln enthalten, die z. B. eine
Anfrage blockieren, obwohl deren Weiterleitung durch den
vorhergehenden Regelsatz zugelassen wurde.
Verarbeitung für den aktuellen
Zyklus beendet werden muss.
–> Die Verarbeitung für diesen Zyklus wird beendet.
Die Regel und die Regelsätze, die auf die beendende Regel im
Zyklus folgen, werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines Zyklus
beendet, ist eine Regel für globale Whitelists.
40
Produkthandbuch
Regeln
Regelelemente
3
Wird ein angefordertes Web-Objekt in einer globalen Whitelist
gefunden, wird das Weiterleiten der Anfrage an den
entsprechenden Web-Server zugelassen. Um sicherzustellen,
dass die Anfrage nicht schließlich durch eine der folgenden
Regeln und Regelsätze blockiert wird, wird die Verarbeitung des
Anfragezyklus beendet.
Die Verarbeitung wird mit dem nächsten Zyklus fortgesetzt.
Verarbeitung mit der nächsten
Regel fortgesetzt wird.
–> Die Verarbeitung wird mit der nächsten Regel fortgesetzt.
Dabei kann es sich um die nächste Regel im aktuellen Regelsatz
oder um die erste Regel im nächsten Regelsatz oder Zyklus
handeln.
Ein Beispiel für eine Regel, die die nahtlose Fortsetzung des
Filterprozesses ermöglicht, ist eine Statistikregel.
Diese Regel zählt lediglich Anfragen durch Erhöhen eines
Zählers; andere Aktionen werden von ihr nicht durchgeführt.
Regelelemente
Eine Web Security-Regel auf der Appliance weist drei Hauptelemente auf: Criteria, Action und
(optional) Event (Kriterien, Aktion und Ereignis).
1
Criteria (Kriterien)
Diese bestimmen, ob eine Regel angewendet wird.
In anderer Regelsyntax wird anstelle von Criteria (Kriterien) der Begriff Condition (Bedingung)
verwendet.
If the category of a URL is on list x, ...
Die Kriterien setzen sich aus drei Elementen zusammen: Property, Operator und Operand
(Eigenschaft, Operator und Operand)
•
Property (Eigenschaft)
Bezieht sich auf ein Web-Objekt oder einen Benutzer.
... the category of a URL ...
•
Operator
Verknüpft die Eigenschaft mit einem Operanden.
... is on list ...
•
Operand
Gibt einen Wert an, den die Eigenschaft aufweisen kann.
... x (list name), ...
Der Operand wird auf der Benutzeroberfläche auch als Parameter bezeichnet.
Produkthandbuch
41
3
Regeln
Regelelemente
2
Action (Aktion)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... block the URL ...
3
Event (Ereignis)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... and log this action.
Ein Ereignis ist für eine Regel optional. Eine Regel kann zudem über mehrere Ereignisse verfügen.
Format von Regeln auf der Benutzeroberfläche
Auf der Benutzeroberfläche werden Regeln im folgenden Format dargestellt.
Abbildung 3-1 Format einer Regel auf der Benutzeroberfläche
In der folgenden Tabelle wird die Bedeutung der einzelnen Elemente einer Regel erläutert.
Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche
Option
Definition
Enabled
(Aktiviert)
Ermöglicht Ihnen das Aktivieren bzw. Deaktivieren der Regel.
Name
Der Name der Regel
• Block URLs... Text für den Namen
• Category BlockList (im Namen der Regel): Von der Regel verwendete Liste
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist und Sie Einträge hinzufügen müssen.
42
Produkthandbuch
3
Regeln
Regelelemente
Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche (Fortsetzung)
Option
Definition
Criteria (Kriterien) Kriterien der Regel
Die Kriterien werden erst angezeigt, nachdem Sie auf die Schaltfläche Show details
(Details anzeigen) geklickt haben.
• URL.Categories: Eigenschaft
• <Default>: Einstellungen des Moduls, das einen Wert für die Eigenschaft abruft
Die hier angezeigten Einstellungen für Default sind z. B. die Einstellungen des URL
Filter-Moduls.
Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im
Bearbeitungsmodus geöffnet.
Der Modulname wird in der Regel nicht angezeigt. Er wird jedoch im Fenster Edit
(Bearbeiten) für die Regelkriterien angegeben.
• at least one in list: Operator
• Category BlockList: Operand (wird auch als Parameter bezeichnet)
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
Der Listenname wird sowohl im Regelnamen als auch in den Kriterien angezeigt,
sodass er auch dann verfügbar ist, wenn die Kriterien nicht sichtbar sind.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist.
Action (Aktion)
Die Aktion der Regel
• Block: Name der Aktion
• <URLBlocked>: Einstellungen der Aktion
Events
(Ereignisse)
Ein oder mehrere Ereignisse der Regel
Die Ereignisse werden erst dann vollständig angezeigt, nachdem Sie auf die
Schaltfläche Show Details (Details anzeigen) geklickt haben.
• Statistics.Counter. Increment: Name des Ereignisses
• "BlockedByURLFilter, 1": Parameter des Ereignisses
• <Default>: Einstellungen des Ereignisses
Komplexe Kriterien
Die Kriterien einer Regel können durch die Konfiguration mit zwei oder mehr Teilen komplex gestaltet
werden.
Bei komplexen Kriterien verfügt jeder Teil über eine Eigenschaft mit Operator und Operand. Die Teile
sind durch UND bzw. ODER verbunden.
Produkthandbuch
43
3
Regeln
Regelsätze
Die Kriterien sind erfüllt, wenn eine gefilterte URL zu einer Kategorie gehört, die sich in einer der
beiden angegebenen Kategorielisten (oder in beiden) befindet.
Wenn Sie Kriterien mit drei oder mehr Teilen konfigurieren, und sowohl UND als auch ODER zwischen
ihnen verwenden, müssen Sie durch Setzen von Klammern angeben, wie die Teile logisch verbunden
sind. Beispielsweise hat (a UND b) ODER c eine andere Bedeutung als a UND (b ODER c).
Wenn Sie auf der Benutzeroberfläche einen dritten Kriterienteil hinzufügen, werden Kleinbuchstaben
vor den Teilen angezeigt, und unten im Konfigurationsbereich wird ein zusätzliches Feld eingefügt.
Das Feld zeigt Ihre Kriterienteile in Kurzform an, z. B. a UND b ODER c. Sie können dann nach Bedarf
Klammern im Feld eingeben.
Regelsätze
Regeln werden in Regelsätzen auf der Appliance gruppiert und eingeschlossen. Eine Regel kann nicht
eigenständig verwaltet werden, sie muss in einem Regelsatz enthalten sein.
Ein Regelsatz kann eine einzige Regel oder mehrere Regeln enthalten. Er kann auch einen oder
mehrere untergeordnete Regelsätze enthalten. Wenn untergeordnete Regelsätze enthalten sind,
können sich einzelne Regeln auf derselben Ebene wie die untergeordneten Regelsätze befinden.
Regelsätze enthalten normalerweise Regeln, die zusammenwirken, um eine bestimmte Funktion zum
Gewährleisten der Web-Sicherheit bereitzustellen.
Ein Regelsatz für die Viren- und Malware-Filterung beispielsweise enthält eine Regel, die infizierte
Objekte blockiert und eine oder mehrere andere Regeln, die Objekte in Whitelists aufnehmen, damit
für diese die Blockierungsregel umgangen wird und Benutzer darauf zugreifen können.
Sie können die implementierten Regelsätze ändern und eigene Regelsätze erstellen, um
Funktionseinheiten aufzubauen, die den konkreten Anforderungen Ihres Netzwerks gerecht werden.
Regelsatzkriterien
Ebenso wie Regeln weisen Regelsätze Kriterien auf und werden angewendet, wenn ihre Kriterien erfüllt
sind.
Normalerweise unterscheiden sich die Kriterien eines Regelsatzes von denen seiner Regeln. Damit eine
Regel angewendet wird, müssen sowohl ihre eigenen Kriterien als auch die Kriterien ihres Regelsatzes
erfüllt sein.
Regelsatzzyklen
Regelsätze werden mit ihren Regeln in drei Zyklen des Filterprozesses verarbeitet.
Ein Regelsatz kann in einer beliebigen Kombination dieser Zyklen verarbeitet werden, z. B.
ausschließlich im Anfragezyklus, sowohl im Anfrage- als auch im Antwortzyklus oder aber in allen drei
Zyklen.
Die Zyklen eines Regelsatzes sind gleichzeitig diejenigen der einzelnen in ihm enthaltenen Regeln. Eine
Regel kann in Bezug auf Zyklen kein Verhalten aufweisen, das von dem des Regelsatzes abweicht.
Untergeordnete Regelsätze
Regelsätze können untergeordnete Regelsätze enthalten. Ein untergeordneter Regelsatz verfügt über
eigene Kriterien.
Hinsichtlich der Zyklen kann er nur in den Zyklen des übergeordneten Regelsatzes verarbeitet werden;
er muss jedoch nicht in allen diesen Zyklen verarbeitet werden.
44
Produkthandbuch
Regeln
Regelsatzsystem
3
Auf diese Weise kann ein untergeordneter Regelsatz so konfiguriert werden, dass er ausschließlich in
einem bestimmten Zyklus angewendet wird, während ein anderer untergeordneter Regelsatz in einem
anderen Zyklus verarbeitet wird.
Ein Regelsatz für die Medientyp-Filterung kann sich z. B. auf alle Zyklen beziehen, er kann jedoch
untergeordnete Regelsätze enthalten, die nur in bestimmten Zyklen verarbeitet werden.
Regelsatz Media Type Filtering (für Anfragen, Antworten und eingebettete Objekte)
•
Untergeordneter Regelsatz Media Type Upload (für Anfragen)
•
Untergeordneter Regelsatz Media Type Download (für Antworten und eingebettete Objekte)
Regelsatzsystem
Regelsätze werden auf der Appliance in einem Regelsatzsystem implementiert.
Wenn eine Web-Zugriffanfrage auf der Appliance empfangen wird, werden für diese Anfrage alle
Regelsätze im System der Reihe nach von oben nach unten verarbeitet.
Wenn festgestellt wird, dass eine Regel in einem Regelsatz anwendbar ist, wird die Aktion der
betreffenden Regel ausgeführt. Wenn die Aktion „Block“ (Blockieren) ist, wird die Verarbeitung
beendet. Andere Aktionen hingegen setzen die Verarbeitung auf bestimmte Weise fort.
Ebenso werden die Regelsätze des implementierten Systems für Antworten und eingebettete Objekte
verarbeitet, die mit Anfragen und Antworten gesendet werden.
Arbeiten mit dem Regelsatzsystem
Während der Erstkonfiguration der Appliance wird ein Standardsystem von Regelsätzen implementiert.
Sie können dieses System wie folgt optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen:
•
Ändern von Regeln und Regelsätzen
•
Löschen von Regeln und Regelsätzen
•
Erstellen von neuen Regeln und Regelsätzen
•
Importieren von Regelsätzen
•
Verschieben von Regeln und Regelsätzen an neue Positionen
•
Kopieren von Regeln und Einfügen der Regeln in anderen Regelsätzen
Standard-Regelsatzsystem
Das Standard-Regelsatzsystem sieht wie folgt aus (untergeordnete Regelsätze sind nicht abgebildet).
Tabelle 3-2 Standard-Regelsatzsystem
Regelsatz
Beschreibung
SSL Scanner
Bereitet SSL-gesicherten Web-Datenverkehr für die Verarbeitung
durch andere Filterfunktionen vor.
(standardmäßig nicht aktiviert)
Global Whitelist
Gibt an, dass die Filterung von Anfragen für in Whitelists enthaltene
URLs oder IP-Adressen übersprungen wird.
Common Rules
Stellt Funktionen bereit, die den Filterprozess unterstützen, z. B.
Web-Caching, Fortschrittsanzeige und Öffnen von Archiven.
Produkthandbuch
45
3
Regeln
Tabelle 3-2 Standard-Regelsatzsystem (Fortsetzung)
Regelsatz
Beschreibung
URL Filtering
Steuert das Filtern von einzelnen URLs und von URL-Kategorien.
Media Type Filtering
Steuert das Filtern von bestimmten Medientypen.
Gateway AntiMalware
Steuert die Viren- und Malware-Filterung mithilfe von
Virussignaturen und proaktiven Methoden.
Die Regelsatz-Bibliothek stellt Regelsätze bereit, die Sie in Ihr Regelsatzsystem importieren können.
Sie können einen Regelsatz importieren, um z. B. eine Funktion hinzuzufügen, die in Ihrem System
nicht vorhanden ist oder wenn die implementierten Regelsätze für Ihr Netzwerk nicht geeignet sind.
•
Die Regelsatz-Bibliothek enthält zudem die Regelsätze, die Teil des Standard-Regelsatzsystems
sind.
•
Weitere Regelsätze sind in einer Online-Regelsatz-Bibliothek verfügbar. Ein Link zu dieser Bibliothek
befindet sich im Fenster der Regelsatz-Standardbibliothek.
Im Standard-Regelsatzsystem sind Regelsätze in Kategorien gruppiert, z. B. Authentifizierung oder
URL-Filterung.
In der folgenden Tabelle sind die Kategorien der Regelsatz-Standardbibliothek aufgelistet.
Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen
46
Regelsatzkategorie
Zweck der enthaltenen Regelsätze
Application Control
(Anwendungssteuerung)
Filtern von Anwendungen und einzelnen Funktionen von
Anwendungen
Authentication (Authentifizierung)
Authentifizieren von Benutzern
Coaching/Quota (Coaching/Kontingente)
Festlegen von Kontingenten und anderen
Einschränkungen für den Web-Zugriff von Benutzern
Common Rules (Allgemeine Regeln)
Unterstützen des Filterprozesses, z. B. durch
Web-Caching, Fortschrittsanzeige oder Öffnen von
Archiven
DLP
Implementieren von Data Loss Prevention
ePO
Aktivieren der Verwendung von ePolicy Orchestrator
Error Handling (Fehlerbehandlung)
Implementieren von Maßnahmen der Fehlerbehandlung
Gateway Anti-Malware
Filtern von Web-Objekten auf Infektionen mit Viren und
sonstiger Malware
HTML/Script Filter (HTML-/Skript-Filter)
Filtern von HTML-Seiten und Skripts
ICAP Client (ICAP-Client)
Ausführen eines ICAP-Clients auf einer Appliance
Logging (Protokollierung)
Protokollieren der Filterung und anderer Aktivitäten
Media Type Filter (Medientypfilter)
Filtern von bestimmten Medientypen
Mobile Security (Sicherheit für
Mobilgeräte)
Filtern des Datenverkehrs von Mobilgeräten
Next Hop Proxy (Nächster-Hop-Proxy)
Verwenden von Nächster-Hop-Proxys für die
Datenübertragung
Privacy (Datenschutz)
Ändern von Anfragen zum Gewährleisten des
Datenschutzes
Produkthandbuch
Regeln
3
Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen (Fortsetzung)
Regelsatzkategorie
Zweck der enthaltenen Regelsätze
SiteAdvisor Enterprise
Verwenden des SiteAdvisor zum Filtern von Anfragen
SSL Scanner (SSL-Scanner)
Verarbeiten von SSL-gesichertem Web-Datenverkehr
URL Filter (URL-Filter)
Filtern einzelner URLs und von URL-Kategorien
Web Hybrid
Aktivieren der Synchronisierung mit dem McAfee SaaS
Web Protection Service
Auf der Registerkarte Rule Sets (Regelsätze) können Sie mit Regeln und Regelsätzen arbeiten.
Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Rule Sets (Regelsätze)
beschrieben.
Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze)
Element
Beschreibung
Symbolleiste „Rule Sets“ (Regelsätze) Elemente zum Arbeiten mit den Regelsätzen in der
Regelsatz-Baumstruktur
Regelsatz-Baumstruktur
Verzeichnisstruktur, in der die Regelsätze der Appliance-Konfiguration
angezeigt werden
Produkthandbuch
47
3
Regeln
Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze) (Fortsetzung)
Element
Beschreibung
Menü „Rule sets“ (Regelsätze)
Schaltflächen zum Anzeigen der Verzeichnisstrukturen für folgende
Elemente:
• (Allgemeine) Regelsätze
• Protokoll-Handler-Regelsätze
• Fehler-Handler-Regelsätze
• Benutzerdefinierte Eigenschaften (für die Verwendung in
Regelsatzkriterien, Regelkriterien und Regelereignissen)
Symbolleiste „Rules“ (Regeln)
Elemente zum Arbeiten mit Regeln
Regeln
Regeln des derzeit ausgewählten Regelsatzes
Symbolleiste „Rule Sets“ (Regelsätze)
Die Symbolleiste „Rules Sets“ (Regelsätze) bietet die folgenden Optionen.
Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze)
Option
Definition
Add (Hinzufügen)
Öffnet ein Menü oder ein Fenster zum Hinzufügen eines Elements, in
Abhängigkeit von der aktuellen Auswahl im Menü „Rule sets“ (Regelsätze).
• (Rule Sets (Regelsätze) ist ausgewählt): Öffnet ein Menü, in dem Folgendes
ausgewählt werden kann:
• Rule Set from Library (Regelsatz aus Bibliothek): Öffnet das Fenster Add from Rule
Set Library (Aus Regelsatz-Bibliothek hinzufügen), in dem ein Regelsatz aus
der Regelsatz-Bibliothek hinzugefügt werden kann.
• Rule Set (Regelsatz): Öffnet das Fenster Add New Rule Set (Neuen Regelsatz
hinzufügen), in dem Sie der Appliance-Konfiguration einen Regelsatz
hinzufügen können.
• Top-Level Rule Set (Regelsatz der obersten Ebene): Öffnet das Fenster Add New
Top-Level Rule Set (Neuen Regelsatz der obersten Ebene hinzufügen), in dem
Sie in der Regelsatz-Baumstruktur einen Regelsatz an oberster Position
hinzufügen können.
• (Log Handler (Protokoll-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Log Handler (Protokoll-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Log Handler (Neuen Protokoll-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Protokoll-Handler-Regelsatz hinzufügen
können.
• (Error Handler (Fehler-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Error Handler (Fehler-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Error Handler (Neuen Fehler-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Fehler-Handler-Regelsatz hinzufügen können.
• (User-Defined Property (Benutzerdefinierte Eigenschaft) ist ausgewählt): Hiermit
können Sie User-Defined Property (Benutzerdefinierte Eigenschaft) auswählen, um
das Fenster Add New User-Defined Property (Neue benutzerdefinierte Eigenschaft
hinzufügen) zum Hinzufügen einer Eigenschaft zu öffnen.
48
Export (Exportieren)
Öffnet das Fenster Export Rule Set (Regelsatz exportieren), in dem Sie einen
Regelsatz in die Bibliothek oder in eine Datei exportieren können.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule Set (Regelsatz bearbeiten), in dem Sie einen
ausgewählten Regelsatz bearbeiten können.
Produkthandbuch
Regeln
3
Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze) (Fortsetzung)
Option
Definition
Delete (Löschen)
Löscht einen ausgewählten Regelsatz.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen
müssen.
Move up (Nach oben)
Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach oben.
Move down (Nach unten) Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach unten.
Move out of
(Verschieben aus)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz auf die gleiche
Ebene wie der übergeordnete Regelsatz.
Move into (Verschieben
in)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz in den
Regelsatz, der auf den betreffenden Regelsatz folgt.
Expand all (Alle
einblenden)
Zeigt alle ausgeblendeten Elemente in der Regelsatz-Baumstruktur an.
Collapse all (Alle
ausblenden)
Blendet alle angezeigten Elemente in der Regelsatz-Baumstruktur aus.
Symbolleiste „Rules“ (Regeln)
Die Symbolleiste „Rules“ (Regeln) bietet die folgenden Optionen.
Tabelle 3-6 Symbolleiste „Rules“ (Regeln)
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Rule (Regel hinzufügen), in dem eine Regel
hinzugefügt werden kann.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule (Regel bearbeiten), in dem eine ausgewählte
Regel bearbeitet werden kann.
Delete (Löschen)
Löscht eine ausgewählte Regel.
müssen.
Move up (Nach oben)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach oben.
Move down (Nach unten)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach unten.
Copy (Kopieren)
Kopiert eine ausgewählte Regel.
Paste (Einfügen)
Fügt eine kopierte Regel ein.
Show details (Details anzeigen) Zeigt die Details des Regeleintrags einschließlich der Kriterien an bzw.
blendet diese aus.
Das Erstellen einer Regel umfasst verschiedene Schritte, die jeweils für die unterschiedlichen Elemente
einer Regel erforderlich sind.
Zum Erstellen einer Regel wird das Fenster Add Rule (Regel hinzufügen) verwendet. Hier können Sie die
zum Konfigurieren der Regelelemente erforderlichen Aktivitäten in der von Ihnen gewünschten
Reihenfolge durchführen.
Sie können beispielsweise mit dem Benennen und Aktivieren einer Regel beginnen und anschließend
Kriterien, die Aktion sowie ein Ereignis hinzufügen.
Produkthandbuch
49
3
Regeln
Aufgaben
•
Benennen und Aktivieren einer Regel auf Seite 50
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
•
Hinzufügen von Regelkriterien auf Seite 53
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
•
Hinzufügen einer Regelaktion auf Seite 54
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien
ausgeführt wird.
•
Hinzufügen eines Regelereignisses auf Seite 55
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei
Übereinstimmung mit den Regelkriterien ausgeführt wird bzw. werden.
Benennen und Aktivieren einer Regel
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die neue Regel aus.
3
Klicken Sie über dem Einstellungsbereich auf Add Rule (Regel hinzufügen).
Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt
ist.
4
Konfigurieren Sie allgemeine Einstellungen für die Regel:
a
Geben Sie im Feld Name einen Namen für die Regel ein.
b
Wählen Sie Enable rule (Regel aktivieren), damit die Regel zusammen mit dem Regelsatz
verarbeitet wird.
c
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur
Regel ein.
Setzen Sie das Hinzufügen der Regelelemente fort.
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen)
Das Fenster zum Hinzufügen der Regelkriterien bietet eine Reihe von Funktionen, die die Auswahl
geeigneter Elemente für Kriterien erleichtern.
Gemäß den drei Elementen der Regelkriterien ist auch das Fenster in die folgenden drei Spalten
unterteilt:
•
Linke Spalte zum Auswählen einer Eigenschaft
•
Mittlere Spalte zum Auswählen eines Operators
•
Rechte Spalte zum Auswählen eines Operanden
Innerhalb einer Spalte werden Eigenschaften, Operatoren und Operanden in Listen angezeigt.
50
Produkthandbuch
Regeln
3
Sie können beispielsweise Folgendes auswählen:
•
Linke Spalte: MediaType.EnsuredTypes
•
Mittlere Spalte: non in list
•
Rechte Spalte: Anti-Malware Media Type Whitelist
Damit wird das Kriterium MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist
erstellt. Wenn Sie Block (Blockieren) als Aktion hinzufügen, erhalten Sie eine Regel zum Blockieren
des Zugriffs auf Medien sämtlicher Typen, die sich nicht in der angegebenen Whitelist befinden.
Im Fenster werden Sie durch Folgendes bei der Auswahl geeigneter Elemente unterstützt:
•
Listen werden gemäß den von Ihnen angegebenen Filtereinstellungen gefiltert.
•
Bei der Auswahl eines Elements in einer Spalter werden die Listen in anderen Spalten entsprechend
angepasst, sodass nur Elemente angezeigt werden, die sich für die Konfiguration mit dem
ausgewählten Element eignen.
•
Listenelemente in der linken und der rechten Spalte werden in die Kategorien Recommended
(Empfohlen), Suggested (Vorgeschlagen) und Other (Sonstige) gruppiert, wenn eine solche
Kategorisierung für die derzeit angezeigten Elemente möglich ist.
•
Es werden zwei oder drei Elemente (je ein Element pro Spalte) vorab ausgewählt, wenn diese
Kombination empfehlenswert ist.
Beginnen mit der linken oder rechten Spalte
Je nach Ihren Vorstellungen in Bezug auf die weiteren Kriterien können Sie mit der Auswahl eines
Elements aus der linken oder der rechten Spalte beginnen.
Wenn das Kriterium z. B. Bestandteil einer Regel zum Filtern infizierter Web-Objekte sein soll, können
Sie beginnen, indem Sie die Antimalware.Infected-Eigenschaft in der linken Spalte auswählen und
anschließend überprüfen, welche geeigneten Elemente damit kombiniert werden können. Mögliches
Ergebnis: Antimalware.Infected (Eigenschaft) equals (Operator) true (Operand).
Wenn Sie jedoch die Kriterien in eine Regel einschließen möchten, die den Zugriff Ihrer Benutzer im
Netzwerk auf Drogenhändler-Websites verhindern soll, könnten Sie beginnen, indem Sie die
URL-Kategorieliste Drugs (Drogen) als Operanden auswählen und diesen anschließend mit einem
geeigneten Operator und einer geeigneten Eigenschaft kombinieren. Mögliches Ergebnis:
URL.Categories (Eigenschaft) at least one in list (Operator) Drugs (Operand).
Linke Spalte
In der Liste in der linken Spalte des Fensters können Sie eine Eigenschaft auswählen. Die derzeit
ausgewählte Eigenschaft wird in der Spalte an oberster Stelle im Feld Selected property (Ausgewählte
Eigenschaft) angezeigt.
Sie können die Liste wie folgt anpassen:
•
Filtern Sie die Liste.
•
Filtern Sie mithilfe des Menüs Filter nach Folgendem:
•
Eigenschaftentyp
•
Modul (auch als Engine bezeichnet), das aufgerufen wird, um einen Wert für eine Eigenschaft
zu liefern
Produkthandbuch
51
3
Regeln
•
Gruppe von Kriterien, z. B. Kriterien für „Anti-Malware“, für „Media Type“ usw.
Dieser Teil des Menüs wird auch unmittelbar vor dem Öffnen des Fensters angezeigt. Nach
dem Auswählen einer Gruppe von Kriterien werden in den Listen sämtlicher Spalten lediglich
die Elemente angezeigt, die für das Konfigurieren von Kriterien der ausgewählten Gruppe
geeignet sind.
•
•
•
Benutzerdefinierte Eigenschaften (sodass nur die betreffenden Eigenschaften angezeigt
werden)
Mit einem Filterbegriff, den Sie im Eingabefeld unterhalb des Menüs eingeben
Fügen Sie der Liste mithilfe der Schaltfläche und des Fensters Add User-Defined Property
(Benutzerdefinierte Eigenschaft hinzufügen) selbstkonfigurierte Eigenschaften hinzu.
Wenn Sie einen Operanden in der Liste in der rechten Spalte auswählen, wird die Liste automatisch
angepasst. Es werden dann nur Eigenschaften angezeigt, die sich für die Konfiguration mit dem
betreffenden Operanden eignen.
Nach dem Auswählen einer Eigenschaft können Sie deren Einstellungen und Parameter konfigurieren
(sofern vorhanden). Anschließend werden die Schaltflächen Settings (Einstellungen) und Parameter
angezeigt, über die Fenster zum Konfigurieren der entsprechenden Elemente aufgerufen werden.
Mittlere Spalte
In der Liste in der mittleren Spalte des Fensters können Sie einen Operator auswählen. Der derzeit
ausgewählte Operator wird in der Spalte an oberster Stelle im Feld Selected operator (Ausgewählter
Operator) angezeigt.
Wenn Sie ein Element in der Liste in der linken bzw. rechten Spalte auswählen, wird die Liste
automatisch angepasst. Es werden dann nur Operatoren angezeigt, die sich für die Konfiguration mit
den betreffenden Elementen eignen.
Rechte Spalte
In der Liste in der rechten Spalte des Fensters können Sie einen Operanden auswählen. Der derzeit
ausgewählte Operand wird in der Spalte an oberster Stelle im Feld Selected operand (Ausgewählter
Operand) angezeigt.
Ein Operand kann ein Einzelelement von verschiedenen Typen, einer Liste von Elementen oder einer
anderen Eigenschaft sein. Die Einzeloperanden können vom Typ Boolean, String, Number, Category
usw. sein.
Sie können die Liste wie folgt anpassen:
•
Wählen Sie einen Operandentyp (einschließlich des Listen- und Eigenschaftentyps) in der Liste
oben in der Spalte aus.
In der Hauptliste werden dann nur Elemente dieses Typs angezeigt.
•
(Nur für Listen und Eigenschaften:) Filtern Sie die Liste mithilfe des Dropdown-Menüs Filter oder des
darunter befindlichen Eingabefelds.
Wenn Listen als Operanden angezeigt werden, werden am unteren Rand der Spalte die Schaltflächen
Add <Listentyp> (<Listentyp> hinzufügen) und Edit <Listentyp> (<Listentyp> bearbeiten) angezeigt. Über
diese Schaltflächen können Sie Fenster öffnen, in denen Sie auf normale Weise Listen hinzufügen und
bearbeiten können.
Die Liste wird automatisch angepasst, wenn Sie eine Eigenschaft in der Liste in der linken Spalte
auswählen. Anschließend werden nur Operanden angezeigt, die für die Konfiguration mit der
betreffenden Eigenschaft geeignet sind.
52
Produkthandbuch
Regeln
3
Hinzufügen von Regelkriterien
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Rule Criteria (Regelkriterien).
2
Im Abschnitt Apply this rule (Diese Regel anwenden) können Sie auswählen, wann die Regel
angewendet werden soll:
•
Always (Immer): Die Regel wird immer angewendet.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Die Regel wird angewendet, wenn
die konfigurierten Kriterien erfüllt werden.
Fahren Sie mit dem nächsten Schritt fort.
3
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie im Dropdown-Menü
eine Kriteriengruppe aus.
Nun wird das Fenster Add Criteria (Kriterien hinzufügen) geöffnet, das die geeigneten Elemente zum
Konfigurieren der Kriterien aus der ausgewählten Gruppe enthält.
Wenn Sie die Elemente aller Kriterien anzeigen möchten, klicken Sie auf Advanced criteria (Kriterien –
erweitert).
Im Fenster werden drei Spalten angezeigt:
•
Links: Auswahl einer Eigenschaft
•
Mitte: Auswahl eines Operators
•
Rechts: Auswahl eines Operanden
Die aktuell ausgewählten Elemente werden in den einzelnen Spalten jeweils oben unter Selected
property (Ausgewählte Eigenschaft), Selected operator (Ausgewählter Operator) bzw. Compare with
(Vergleichen mit) angezeigt.
Das Fenster unterstützt die Auswahl geeigneter Elemente, indem die Listen der anderen Spalten
automatisch angepasst werden, sobald Sie in einer Spalte ein Element ausgewählt haben. In den
anderen Spalten werden nun ausschließlich Elemente angezeigt, die gemeinsam mit dem
ausgewählten Element konfiguriert werden können.
Sie können mit der Auswahl sowohl in der linken als auch in der rechten Spalte beginnen.
Entsprechend können die Schritte 4 bis 6 auch in umgekehrter Reihenfolge erfolgen.
Wenn eines Ihrer Kriterien die Nutzung einer Liste als Operand ist, wird empfohlen, diese Liste aus
der rechten Spalte auszuwählen.
4
Wählen Sie eine Eigenschaft aus.
a
Wählen Sie aus der Liste in der linken Spalte ein Element aus, bzw. lassen Sie das
vorausgewählte Element unverändert (falls dies zutrifft).
Sie können die Liste auch filtern und selbstkonfigurierte Eigenschaften hinzufügen.
Produkthandbuch
53
3
Regeln
b
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der Einstellungen
erforderlich sind, wählen Sie diese aus dem Dropdown-Menü Settings (Einstellungen) aus, das für
die Eigenschaft angezeigt wird, oder lassen Sie die vorkonfigurierten Einstellungen unverändert.
c
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der das Festlegen von
Parametern erforderlich ist, klicken Sie unter dem Eigenschaftsnamen auf Parameters (Parameter).
In dem nun angezeigten Fenster können Sie mittels der vorhandenen Optionen die Werte für
alle benötigten Parameter festlegen.
5
Wählen Sie aus der Liste in der mittleren Spalte einen Operator aus, bzw. lassen Sie den
vorausgewählten unverändert (falls dies zutrifft).
6
Wählen Sie aus der Liste in der rechten Spalte einen Operanden aus, bzw. übernehmen Sie den
vorausgewählten (sofern vorhanden). Sollte die Liste leer sein, geben Sie einen geeigneten Wert
ein, z. B. eine Zahl.
Wenn der Typ der angezeigten Operanden geändert werden soll, wählen Sie aus der Liste
oben in der Spalte einen anderen Typen aus.
Nach der Auswahl eines bestimmten Operanden bzw. Operandentyps werden die Listen in der
mittleren und der linken Spalte angepasst und zeigen ausschließlich passenden Operatoren und
Eigenschaften an.
7
Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
Die neuen Kriterien werden nun im Fenster Add Rule (Regel hinzufügen) angezeigt.
Wenn Sie komplexere Kriterien konfigurieren möchten, wiederholen Sie die Schritte 3 bis 6 zum
Konfigurieren weiterer Teilkriterien.
Die einzelnen Teilkriterien können durch die in diesem Fall verfügbaren Optionen AND (UND) bzw.
OR (ODER) kombiniert werden. Beim Vorhandensein von drei oder mehr Teilkriterien wird das Feld
Criteria combination (Kriterienkombination) angezeigt. Legen Sie dort durch Eingabe von Klammern
fest, welche logische Verbindung zwischen den Teilkriterien bestehen soll.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
Hinzufügen einer Regelaktion
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien ausgeführt wird.
Vorgehensweise
54
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Action (Aktion).
2
Wählen Sie aus der Liste Action (Aktion) eine der folgenden Aktionen aus:
•
Continue (weiter): Fährt mit der Verarbeitung der nächsten Regel fort.
•
Block (Blockieren): Blockiert den Zugriff auf ein Objekt und beendet die Regelverarbeitung.
•
Redirect (Umleiten): Leitet den Client, der den Zugriff auf ein Objekt anfragt, auf ein anderes
Objekt um.
•
Authenticate (Authentifizieren): Beendet die Verarbeitung des aktuellen Zyklus und sendet eine
Authentifizierungsanfrage.
•
Stop Rule Set (Regelsatz anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes und fährt
mit dem nächsten Regelsatz fort.
Produkthandbuch
3
Regeln
3
•
Stop Cycle (Zyklus anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes, blockiert
jedoch nicht den Zugriff auf das angefragte Objekt.
•
Remove (Entfernen): Entfernt das angefragte Objekt und beendet die Verarbeitung des aktuellen
Zyklus.
[Falls zutreffend] Wenn Sie eine Aktion ausgewählt haben, für die Einstellungen erforderlich sind
(Blockieren, Umleiten, Authentifizieren), wählen Sie aus der Liste Settings (Einstellungen) die
entsprechenden Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
4
Wenn Sie alle erforderlichen Regelelemente erstellt haben, aber kein Ereignis hinzufügen möchten,
dann führen Sie folgende Schritte durch:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
Klicken Sie auf Finish (Fertig stellen).
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem
dafür ausgewählten Regelsatz angezeigt.
Hinzufügen eines Regelereignisses
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei Übereinstimmung mit
den Regelkriterien ausgeführt wird bzw. werden.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Events (Ereignisse).
2
Klicken Sie im Abschnitt Events (Ereignisse) auf Add (Hinzufügen), und wählen Sie im
Dropdown-Menü den Eintrag Events (Ereignisse) aus.
Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen).
3
Wählen Sie in der Liste Event (Ereignis) ein Ereignis aus.
Tragen Sie zum Filtern der Liste einen Filterbegriff in das oberhalb der Liste befindliche Eingabefeld
ein.
4
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von
Einstellungen erforderlich ist, wählen Sie aus der Liste Settings (Einstellungen) die entsprechenden
Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
5
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von Parametern
erforderlich ist, klicken Sie auf Parameters (Parameter). In dem nun angezeigten Fenster können Sie
mittels der vorhandenen Optionen die Werte für alle benötigten Parameter festlegen.
6
Klicken Sie auf OK.
Das Fenster Add Event (Ereignis hinzufügen) wird geschlossen, und das neue Ereignis wird nun in der
Liste Events (Ereignisse) angezeigt.
Produkthandbuch
55
3
Regeln
7
Sofern dies der letzte Schritt beim Hinzufügen ist:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
dafür ausgewählten Regelsatz angezeigt.
Sie können einen Regelsatz erstellen und diesen zur Konfiguration hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Klicken Sie über der Regelsatz-Baumstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich ein Dropdown-Menü.
4
Wählen Sie die Option Rule Set (Regelsatz) aus.
Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen).
5
6
7
8
Konfigurieren Sie für den Regelsatz die folgenden allgemeinen Einstellungen:
•
Name: Name der Regel
•
Enable (Aktivieren): Bei Auswahl dieser Option wird der Regelsatz aktiviert.
•
[Optional] Comment (Kommentar): Kommentar zum Regelsatz im Nur-Text-Format
Konfigurieren Sie im Abschnitt Applies to (Anwendung auf) die Verarbeitungszyklen. Sie können nur
einen Zyklus oder auch eine beliebige Kombination dieser drei Zyklen auswählen:
•
Requests (Anfragen): Der Regelsatz wird verarbeitet, wenn auf der Appliance Anfragen von
Benutzern des Netzwerks eingehen.
•
Responses (Antworten): Der Regelsatz wird verarbeitet, wenn Antworten von Web-Servern
empfangen werden.
•
Embedded objects (eingebettete Objekte): Der Regelsatz wird verarbeitet, wenn mit Anfragen oder
Antworten eingebettete Objekte mitgesendet werden.
Im Abschnitt Apply this rule set (Diesen Regelsatz anwenden) können Sie konfigurieren, wann der
Regelsatz angewendet werden soll:
•
Always (Immer): Der Regelsatz wird immer angewendet.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Der Regelsatz wird angewendet,
wenn die unten konfigurierten Kriterien erfüllt werden.
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen).
56
Produkthandbuch
Regeln
9
3
Konfigurieren Sie im Bereich Property (Eigenschaft) eine Eigenschaft unter Verwendung folgender
Elemente:
•
Property (Eigenschaft): Auswahlliste für Eigenschaften (Typ der jeweiligen Eigenschaft wird in
Klammern angezeigt)
•
Search (Suchen): Öffnet das Fenster Property Search (Eigenschaftensuche), in dem Sie nach
Eigenschaften suchen können.
•
Parameter: Öffnet das Fenster Property Parameters (Eigenschaftenparameter), in dem bis zu drei
Parameter hinzugefügt werden können (siehe Schritt 10).
Wenn die Eigenschaft keine Parameter beinhaltet, ist dieses Symbol abgeblendet.
•
Settings (Einstellungen): Auswahlliste für Einstellungen des Moduls, das für die Eigenschaft einen
Wert ausgibt (Modulnamen werden in Klammern angezeigt).
Wenn für eine Eigenschaft keine Einstellungen erforderlich sind, ist dieses Symbol abgeblendet,
und es wird ergänzend die Information (not needed) (nicht erforderlich) angezeigt.
•
Add (Hinzufügen; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie dies im
Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Edit (Bearbeiten): Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
der ausgewählten Einstellungen.
Falls für die Eigenschaft keine Parameter konfiguriert werden müssen, klicken Sie auf OK, und
fahren Sie mit Schritt 11 fort.
10 Wenn Eigenschaftenparameter hinzugefügt werden müssen, verfahren Sie folgendermaßen:
a
Klicken Sie auf Parameter.
Daraufhin öffnet sich das Fenster Property Parameters (Eigenschaftenparameter).
b
Fügen Sie die benötigte Anzahl an Parametern hinzu.
Es gibt die zwei folgenden Parametertypen:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
11 Wählen Sie in der Liste Operator einen Operator aus.
12 Fügen Sie im Bereich Parameter einen Parameter (auch als Operand bezeichnet) hinzu.
Die beiden möglichen Parametertypen sind:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert).
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
13 Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
14 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf den neuen Regelsatz berechtigt ist.
Produkthandbuch
57
3
Regeln
15 Klicken Sie auf OK, um das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) zu schließen.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird geschlossen, und der Regelsatz wird
in das Regelsatzsystem eingefügt.
16 Klicken Sie auf Save Changes (Änderungen speichern).
Sie können einen Regelsatz aus der Bibliothek in Ihr Regelsatzsystem importieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Wählen Sie im Dropdown-Menü Add (Hinzufügen) die Option Rule Set from Library (Regelsatz aus
Bibliothek) aus.
Daraufhin öffnet sich ein Fenster mit einer Liste der Bibliotheks-Regelsätze.
4
Wählen den zu importierenden Regelsatz aus, z. B. den Regelsatz Gateway Antimalware.
Wenn beim Importieren des betreffenden Regelsatzes Konflikte auftreten, werden diese im Fenster
angezeigt.
Konflikte treten auf, wenn ein Regelsatz Konfigurationsobjekte wie Listen oder Einstellungen
verwendet, die bereits im Regelsatzsystem vorhanden sind.
5
Sie können Konflikte mit einer der folgenden Methoden beheben:
•
•
6
Klicken Sie auf Auto-Solve Conflicts (Konflikte automatisch beheben), und wählen Sie eine der
folgenden Strategien für alle Konflikte aus:
•
Solve by referring to the existing objects (Beheben durch Verweisen auf vorhandene Objekte): Wenn
Regeln des importierten Regelsatzes auf Objekte verweisen, die in der
Appliance-Konfiguration unter denselben Namen vorhanden sind, werden Verweise auf die
vorhandenen Objekte erstellt.
•
Solve by copying and renaming to suggested (Beheben durch Kopieren und Umbenennen in
vorgeschlagene Namen): Wenn Regeln des importierten Regelsatzes auf Objekte verweisen,
die in der Appliance-Konfiguration unter denselben Namen vorhanden sind, werden die
betreffenden Objekte ebenfalls verwendet, jedoch umbenannt, sodass Konflikte vermieden
werden.
Klicken Sie nacheinander auf die aufgelisteten Konflikte, um sie einzeln zu beheben, indem Sie
jedes Mal eine der beiden obigen Strategien auswählen.
Klicken Sie auf OK.
Der Regelsatz wird nun in der Regelsatz-Baumstruktur eingefügt. Er ist standardmäßig aktiviert.
Vom Regelsatz zum Durchführen der Filteraufgaben benötigte Listen und Einstellungen werden
zusammen mit dem Regelsatz implementiert. Sie werden in der Struktur der Listen und der
Einstellungs-Baumstruktur angezeigt.
58
Produkthandbuch
3
Regeln
7
Verwenden Sie ggf. die blauen Pfeile oberhalb der Regelsatz-Baumstruktur, um den Regelsatz an
die gewünschte Position zu verschieben.
8
In Web Gateway können Regeln auf unterschiedliche Weise konfiguriert werden. Für eine effiziente
Filterung sollten jedoch einige Richtlinien berücksichtigt werden.
•
Verwenden Sie Regeln und Regelsätze in den dafür geeigneten Filterzyklen: Einige
Filteraktivitäten eignen sich eher für den Anfragezyklus, während andere auch gut im
Antwortzyklus verarbeitet werden können. Beispielsweise sollte eine Regel, die Anfragen basierend
auf den Kategorien der gesendeten URLs blockiert, im Antwortzyklus verarbeitet werden.
•
„Aufwändige“ Eigenschaften gegen Ende des Filterprozesses einsetzen: Bei manchen
Eigenschaften ist ein höherer Zeitaufwand und mehr Bandbreite erforderlich, um während des
Filterprozesses für diese Eigenschaften Werte abzurufen.
Beispielsweise erfordert die Eigenschaft Antimalware.Infected einen solchen hohen Aufwand.
Deshalb sollte eine Regel, in der diese Eigenschaft enthalten ist, eher hinter einer Regel platziert
werden, die z. B. über die weniger aufwändige Eigenschaft URL.Categories verfügt. Wird nämlich
eine Anfrage gleich von der ersten Regel blockiert, entfällt der Verarbeitungsaufwand für die zweite
Regel.
•
In den Regelkriterien möglichst nicht mehr als zwei Eigenschaften verwenden: Dies
verringert zwar nicht den Verarbeitungsaufwand, die Funktionsweise der Regeln lässt sich jedoch
besser nachvollziehen.
Verwenden von Regeln und Regelsätzen in passenden Zyklen
Die Regelverarbeitung in Web Gateway erfolgt in unterschiedlichen Zyklen. Filteraktivitäten sollten in
den Zyklen eingesetzt werden, die sich am besten für die jeweilige Aktivität eignen.
Es stehen folgende Zyklen zur Verfügung:
•
Request cycle (Anfragezyklus): Für die Verarbeitung der Anfragen von Clients von Web Gateway.
Dieser Zyklus arbeitet mit allen in einer Anfrage vorhandenen Daten, z. B. der Client-IP-Adresse,
der URL, dem Benutzernamen (sofern eine Authentifizierung durchgeführt wird) und
Browser-bezogenen Header-Informationen.
Wenn eine Anfrage in diesem Zyklus blockiert wird, erfolgt kein Antwortzyklus, da die Anfrage nicht
an einen Web-Server weitergeleitet und daher auch keine Antwort empfangen wird.
•
Response cycle (Antwortzyklus): Für die Verarbeitung von Antworten, die Web-Server als
Reaktion auf die von Web Gateway an sie weitergeleiteten Anfragen senden.
Dieser Zyklus arbeitet mit allen in einer Antwort vorhandenen Daten, wie z. B. mit den angefragten
Daten oder mit Server-bezogenen Header-Informationen.
•
Embedded objects cycle (Zyklus für eingebettete Objekte): Für die Verarbeitung von in Anfragen
bzw. Antworten eingebettete Web-Objekte.
Produkthandbuch
59
3
Regeln
Dieser Zyklus wird durchgeführt, wenn im Anfrage- oder Antwortzyklus ein Öffnungsmodul
aufgerufen wird, damit die Filtermodule ein Web-Objekt detaillierter untersuchen können. Es
stehen die beiden folgenden Öffnungsmodule zur Verfügung:
•
Composite Opener: das reguläre Öffnungsmodul zur Untersuchung von ZIP-, EXE- und
weiteren Dateien
•
HTML Opener: sehr selten in bestimmten komplexen Konfigurationen verwendet
Der Zyklus für eingebettete Objekte wird nach dem Anfrage- bzw. Antwortzyklus und nur dann
durchgeführt, wenn eingebettete Objekte untersucht werden müssen. Wenn keine eingebetteten
Objekte vorhanden sind, wird der Zyklus nicht durchgeführt.
Nachdem die Anfrage- und Antwortzyklen sowie der Zyklus für eingebettete Objekte abgeschlossen
sind, werden in Web Gateway Regelsätze mit Protokollierungsregeln verarbeitet, damit die
entsprechenden Daten in Protokollierungsdateien geschrieben werden. Die Verarbeitung dieser
Regelsätze wird manchmal auch als Durchführung des Protokollierungszyklus bezeichnet.
Allgemeine empfohlene Vorgehensweise zur Verwendung des Anfragezyklus
Lassen Sie alle in einer Anfrage vorhandenen Informationen bereits im Anfragezyklus filtern, um alle
blockierten Elemente so früh wie möglich zu beseitigen. Die folgende Beispielfälle veranschaulichen
den Nutzen dieser Vorgehensweise:
•
Wenn die Filterung nach URL-Kategorien im Antwort- und nicht schon im Anfragezyklus erfolgt,
werden die angefragten Daten des Web-Servers erst empfangen, um anschließend festzustellen,
dass sie gar nicht an den Client weitergeleitet werden können, da ihre Kategorie nicht zulässig ist.
•
Wenn die Filterung nach Client-IP-Adressen im Anfragezyklus erfolgt und eine Anfrage blockiert
wird, erfolgt kein Antwortzyklus, weshalb es nutzlos wäre, eine Regel zum Filtern dieser Daten im
Antwortzyklus zu platzieren. Wenn eine Anfrage zugelassen wird, ist ein zweiter Filterdurchgang im
Antwortzyklus nicht erforderlich.
Verarbeitungszyklen und empfohlene Filteraktivitäten
In der folgenden Tabelle sind die für die jeweiligen Zyklen empfohlenen Filteraktivitäten aufgeführt.
Tabelle 3-7 Verarbeitungszyklen und empfohlene Filteraktivitäten
Anfragezyklus
Antwortzyklus
Zyklus für eingebettete
Objekte
Filterung basierend auf Whitelists
Filterung basierend auf
Whitelists
Untersuchung des Inhalts
einer Anfrage bzw. Antwort
Filterung basierend auf
Blockierungslisten
Filterung basierend auf von
Servern gesendeten Headern,
z. B. dem
Content-Length-Header
Medientyp-Filterung
Filterung basierend auf von Clients
gesendeten Headern, z. B. dem
User-Agent-Header
Medientyp-Filterung
Malware-Schutz-Scan für
eingebettete Objekte
Benutzerauthentifizierung
Malware-Schutz-Scan für
Downloads
URL-Filterung
Malware-Schutz-Scan für Uploads
Diese Übersicht zeigt unter anderem auch, dass manche Aktivitäten nur für einen Zyklus empfohlen
werden, während andere, wie beispielsweise die Nutzung von Whitelists oder Malware-Schutz-Scans
für zwei oder mehr Zyklen empfohlen werden.
60
Produkthandbuch
3
Regeln
Verwendung aufwändiger Eigenschaften am Ende des
Filterprozesses
„Aufwändige“ Eigenschaften beanspruchen beim Verarbeiten eine hohe Kapazität. Regeln mit diesen
Eigenschaften sollten deshalb am Ende des Regelsatzsystems platziert werden.
Beim Verarbeiten von Regeln werden die Module (auch als Engines bezeichnet) in Web Gateway
aufgerufen, um Werte für ihre Eigenschaften abzurufen. Einige dieser Module beanspruchen in der
Regel mehr Zeitaufwand und höhere Bandbreiten als andere. Beispielsweise werden beim Betreiben
der Malware-Scan-Module meistens mehr Ressourcen verbraucht als beim Abrufen von Informationen
zu URL-Kategorien durch das Modul „URL Filter“.
Sie sollten daher zur Leistungsoptimierung Regelsätze mit Regeln, die solche aufwändigen
Eigenschaften enthalten, am Ende des Regelsatzsystems platzieren, sodass zuerst die Regeln mit
weniger aufwändigen Eigenschaften verarbeitet werden. Wenn nun eine Anfrage bzw. Antwort bereits
von einer der ersten Regeln blockiert wird, müssen die Regeln mit aufwändigeren Eigenschaften gar
nicht erst verarbeitet werden.
Aufwand von Eigenschaften
Die folgende Tabelle gibt den erforderlichen „Aufwand“ für einige häufig in Regeln eingesetzte
Eigenschaften an.
Eigenschaften, die mit einem Sternchen (*) markiert sind, nutzen außerdem noch externe
Komponenten, z. B. Authentifizierungs-Server, was die Leistung zusätzlich beeinträchtigt. Des
Weiteren ist in der Tabelle auch der Aufwand zweier Regelelemente aufgeführt, bei denen es sich nicht
um Eigenschaften, sondern um Ereignisse handelt.
Geringerer Aufwand
Mittel
Höherer Aufwand
URL
URL.Destination.IP*
Antimalware.Infected
URL.Host
Media.EnsuredTypes
Für DLP-Filterung (Data Loss
Prevention) genutzte
Eigenschaften
URL.Categories*
Zur Authentifizierung von
Benutzern verwendete
Eigenschaften*
Nutzung des Moduls „HTML
Opener“ (durch ein Ereignis
aktiviert)
Client.IP
Nutzung des Moduls
„Composite Opener“ (durch
ein Ereignis aktiviert)
Proxy.IP
Proxy.Port
System.Hostname
Zur Überprüfung von
HTTP-Header-Informationen
genutzte Eigenschaften
Aufwand von Eigenschaften innerhalb von Regeln
Die empfohlene Vorgehensweise für den Einsatz von Eigenschaften entsprechend ihres Aufwands gilt
nicht nur für die Positionierung von Regeln und Regelsätzen innerhalb des gesamten Regelsystems,
sondern auch für die Positionierung von Eigenschaften innerhalb einer einzelnen Regel.
Die folgende Regel blockiert die Zugriffsanfrage für einen Web-Server mit einem bestimmten
Host-Namen, wenn die Anfrage von einem Client mit einer bestimmten IP-Adresse gesendet wurde.
Produkthandbuch
61
3
Regeln
Name
Block host abcd.com for client with IP address 1.2.3.4
Criteria (Kriterium)
Client.IP equals 1.2.3.4 AND URL.Host matches
*abcd.com
Action (Aktion)
Event (Ereignis)
–> Block<Default>Continue
Bei der Verarbeitung der Regel wird zuerst der Wert für Client.IP abgerufen, um die Herkunft der
Anfrage zu ermitteln. Wenn diese nicht mit dem konfigurierten Operanden übereinstimmt, wird die
Regel nicht angewendet, und die Verarbeitung wird mit der nächsten Regel fortgesetzt. Nur wenn der
Wert für Client IP exakt 1.2.3.4 entspricht, wird auch der Wert für URL.Host abgerufen, um zu
ermitteln, ob die Kriterien vollständig übereinstimmen.
Client.IP steht an der ersten Stelle der Kriterien, da der Vergleich zweier Client-IP-Adressen
geringeren Aufwand verursacht als die Prüfung der Übereinstimmung eines Host-Namens mit einem
Platzhalterausdruck.
Verwendung von höchstens zwei Eigenschaften in den Kriterien
einer Regel
Wenn Sie in den Kriterien einer Regel (nach Möglichkeit) maximal zwei Eigenschaften einsetzen, lässt
sich diese Regel nicht nur von anderen Benutzern, sondern bei späterer erneuter Verwendung auch
von Ihnen selbst leichter nachvollziehen.
Die folgende Beispielregel lässt den Zugriff auf Ziele mit einer bestimmten Domäne sowie für
Administratoren zu, jedoch nur dann, wenn sie einen bestimmten Port für den Zugriff verwenden. Die
Kriterien dieser Regel verfügen über vier verschiedene Eigenschaften, mit denen folgende Parameter
überprüft werden:
•
Host name of a URL (Host-Name einer URL): Wird Zugriff auf die konfigurierte Domäne
angefordert?
•
User group (Benutzergruppe): Ergab die Authentifizierung, dass der Benutzer, der die Anfrage
gesendet hat, zur Benutzergruppe für Administratoren gehört?
•
Client IP address range (Client-IP-Adressbereich): Wurde die Anfrage von einem Client
gesendet, dessen IP-Adresse sich im für Administratoren reservierten IP-Adressbereich befindet?
•
Proxy port (Proxy-Port): Wurde die Zugriffsanfrage für die Domäne über den konfigurierten Port
gesendet?
Die Regel sieht folgendermaßen aus:
Name/Criteria
Action
Event
Allow only administrators using port 9090 access to test domain
URL.Host matches "testdomain.com" AND (Authentication.UserGroups
does not contain "Administrator" OR Client.IP is not in range
192.168.42.0/24 OR Proxy.Port does not equal 9090)
–> Block <Default>
Damit eine Übereinstimmung die Regel zur Anwendung bringt, kontrolliert der erste Teil der
Regelkriterien, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt ist.
Alle anderen Kriterienelemente werden negativ formuliert: Wenn der Benutzer kein Administrator ist
oder sich die Client-IP-Adresse nicht innerhalb des konfigurierten Bereichs befindet oder der
Proxy-Port nicht 9090 lautet, wird die Anfrage blockiert.
62
Produkthandbuch
3
Regeln
Diese Regel lässt den Zugriff also nur dann zu, wenn eine Zugriffsanfrage für die Testdomäne von
einem Administrator eines Clients mit einer IP-Adresse innerhalb des konfigurierten Bereichs unter
Verwendung des Proxy-Ports 9090 gesendet wird.
Die drei letzten Kriterienkomponenten sind in Klammern eingeschlossen, damit für diese ein
kombinierter Wahrheitswert ermittelt und anschließend mit dem Wert der ersten Komponente
überprüft werden kann.
Eine identische Vorgehensweise hinsichtlich der Filterung kann auch erreicht werden, indem diese
Regel in die drei folgenden kürzeren Regeln aufgeteilt wird.
Name/Criteria
Action
Event
Check whether request is for accessing test domain
URL.Host does not match *testdomain.com
–> Stop Rule Set
Block access if not over proxy port 9090
Proxy.Port does not equal 9090
–> Block <Default>
Block users who are not administrators based on user name and client IP address
Authentication.UserGroups does not contain "Administrator" OR Client.IP –> Block <Default>
is not in range 192.168.42.0/24
Die erste der drei Regeln kontrolliert, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt
ist. Wenn dies nicht der Fall ist, werden die auf diese Regel folgenden weiteren Regeln innerhalb des
Regelsatzes nicht mehr verarbeitet.
Dies bedeutet, dass keine Verarbeitung der beiden auf die erste Regel folgenden Blockierungsregeln
erfolgt. Da überhaupt kein Zugriffsversuch auf die Testdomäne erfolgt ist, müssen diese Regeln gar
nicht verarbeitet werden.
Bei der Verarbeitung der beiden Blockierungsregeln überprüfen diese die beteiligten Parameter, um zu
ermitteln, ob eine Zugriffsanfrage für die Testdomäne zugelassen wird. Diese Überprüfung erfolgt auf
die gleiche Weise wie in der oben erläuterten Regel, deren Kriterien vier Eigenschaften umfasste.
Die Parameter bezüglich des Administratorstatus eines Benutzers werden in einer Regel mit zwei
Eigenschaften kombiniert.
Beim Erstellen von bzw. beim Arbeiten mit vorhandenen Regelsätzen, Listen oder Einstellungen
können Sie den Zugriff darauf beschränken.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) bzw. Lists (Listen) oder Settings (Einstellungen)
aus.
2
Navigieren Sie in der Verzeichnisstruktur zu der Position, an der Sie das neue Element hinzufügen
möchten.
3
Klicken Sie oben in der Verzeichnisstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add (Hinzufügen).
Produkthandbuch
63
3
Regeln
4
Führen Sie die Schritte zum Hinzufügen eines neuen Elements aus. Klicken Sie anschließend auf die
Registerkarte Permissions (Berechtigungen).
Es können drei Zugriffsmodi konfiguriert werden: Read and Write (Lesen und Schreiben), Read
(Lesen) und No Access (Kein Zugriff).
5
Klicken Sie unter dem Abschnitt Read and Write (Lesen und Schreiben) auf Add (Hinzufügen).
Das Fenster Add Role or User (Rolle oder Benutzer hinzufügen) wird geöffnet.
6
Wählen Sie in der Liste im entsprechenden Abschnitt eine Rolle oder einen Benutzer (oder mehrere
Einträge des entsprechenden Typs gleichzeitig) aus. Sie können auch im Feld Wildcard (Platzhalter)
einen Platzhalterausdruck als Namen einer Rolle oder eines Benutzers eingeben.
7
Fügen Sie im Feld Read and Write (Lesen und Schreiben) die erforderliche Anzahl von Einträgen hinzu.
Löschen Sie Einträge, indem Sie unter dem Abschnitt auf die Schaltfläche Delete (Löschen) klicken.
8
Füllen Sie die Abschnitte Read (Lesen) und No Access (Kein Zugriff) auf dieselbe Weise.
9
Konfigurieren Sie mithilfe der Optionsfelder unter All other roles have (Alle anderen Rollen verfügen
über) den Zugriff für alle Rollen und Benutzer, die in keiner der Listen auf der Registerkarte
enthalten sind.
10 Klicken Sie auf OK, um das Fenster zu schließen.
64
Produkthandbuch
4
Listen
Listen werden von Regeln zum Abrufen von Informationen über Web-Objekte und Benutzer verwendet.
Es gibt verschiedene Arten von Listen, die sich zum Beispiel hinsichtlich des Erstellers oder der darin
enthaltenen Elementtypen unterscheiden. Dementsprechend arbeiten Sie auf unterschiedliche Art mit
diesen Listen.
Listen erscheinen an verschiedenen Stellen auf der Benutzeroberfläche, zum Beispiel in den Kriterien
von Regeln und Regelsätzen, auf der Registerkarte „Lists“ (Listen) und in den Einstellungen.
Nach der ersten Einrichtung der Appliance werden die Listen gemeinsam mit dem Regelsatzsystem
implementiert.
Sie können die Listen des implementierten Systems überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Listen erstellen.
Inhalt
Listentypen
Registerkarte „Lists“ (Listen)
Zugreifen auf eine Liste
Erstellen einer Liste
Arbeiten mit verschiedenen Listentypen
Abonnierte Listen
Externe Listen
Zuordnungstyplisten
Allgemeiner Katalog
JSON-Daten (JavaScript Object Notation)
Produkthandbuch
65
4
Listen
Listentypen
Listentypen
Web-Sicherheitsregeln in Web Gateway verwenden verschiedene Arten von Listen zum Abrufen von
Informationen zu Web-Objekten und Benutzern.
Dies sind die wichtigsten Listentypen:
•
Benutzerdefinierte Listen: Diese Listen können von Ihnen geändert werden. Sie werden in der
Listenstruktur im oberen Zweig auf der Registerkarte Lists (Listen) angezeigt, z. B. die Liste der
URLs, die von der Filterung ausgenommen werden.
Benutzerdefinierte Listen können Einträge im Zeichenfolgen-, Zahlen-, Kategorie- und anderen
Formaten enthalten. Listen mit unterschiedlichen Formaten erfordern möglicherweise
unterschiedliche Methoden zur Verwaltung. Einige benutzerdefinierte Listen sind anfangs leer und
müssen von Ihnen mit Einträgen gefüllt werden.
Zu den benutzerdefinierten Listen, die von Web Gateway nach der Ersteinrichtung bereitgestellt
werden, können Sie eigene Listen hinzufügen.
•
Systemlisten: Diese Listen können nicht von Ihnen geändert werden. Sie werden in der
Listenstruktur im unteren Zweig auf der Registerkarte Lists (Listen) angezeigt.
Zu den Systemlisten gehören Listen mit Kategorie-, Medientyp- und Anwendungsnamen sowie mit
Konnektoren, die für Cloud Single Sign On verwendet werden. Sie werden aktualisiert, wenn Sie ein
Upgrade auf eine neue Version von Web Gateway vornehmen.
Systemlisten, die für Data Loss Prevention (DLP), die Anwendungsfilterung und den Dynamic
Content Classifier verwendet werden, können in von Ihnen geplante automatische Aktualisierungen
einbezogen werden.
•
Interne Listen: Diese Listen können von Ihnen geändert werden, werden jedoch nicht auf der
Registerkarte Lists (Listen) angezeigt. Sie werden intern in den Einstellungen eines
Konfigurationselements angezeigt, z. B. eine Liste von HTTP-Ports in den Proxy-Einstellungen.
•
Abonnierte Listen: Diese Listen werden von Ihnen mit einem Namen in Web Gateway
eingerichtet. Sie sind anfangs leer, und ihr Inhalt wird von einer Datenquelle abgerufen, die Sie
abonniert haben. Abonnierte Listen werden in der Listenstruktur am Ende der benutzerdefinierten
Listen angezeigt.
Es gibt zwei Untertypen von abonnierten Listen:
•
Von McAfee verwaltete Listen: Der Inhalt dieser Listen wird von einem McAfee-Server
abgerufen.
Eine Reihe von Listen stehen auf dem McAfee-Server zur Verfügung, z. B. Listen mit
IP-Adressbereichen oder Medientypen.
•
Von Kunden verwaltete Listen: Der Inhalt dieser Listen wird von einer Datenquelle
abgerufen, die Sie angeben.
Die Quellen, die Sie angeben können, sind Dateien auf Web-Servern, die unter HTTP, HTTPS
oder FTP ausgeführt werden.
Der Listeninhalt wird auf den jeweiligen Servern verwaltet. Um sicherzustellen, dass neuere
Versionen dieses Inhalts in Ihre Listen in Web Gateway übertragen werden, können Sie manuelle
Aktualisierungen durchführen oder automatische Aktualisierungen konfigurieren.
66
Produkthandbuch
Listen
Listentypen
•
4
Externe Listen: Diese Listen sind unter ihrem eigenen Namen in externen Quellen gespeichert.
Ihr Inhalt wird in Web Gateway übertragen, wo sie den Wert einer Eigenschaft in einer Regel
bereitstellen.
Der Inhalt von externen Listen wird zur Laufzeit übertragen, d. h., er wird abgerufen, wenn die
Regel mit der Eigenschaft für externe Listen verarbeitet wird.
Wenn der Inhalt abgerufen wurde, wird dieser im Cache gespeichert und bis zu seinem
Ablaufdatum, das Sie einstellen können, wiederverwendet. Nach dem Ablauf erfolgt eine neue
Übertragung, wenn die Regel wieder verarbeitet wird.
Zu den Quellen, aus denen Inhalt abgerufen werden kann, gehören Dateien auf Web-Servern, die
unter HTTP, HTTPS, FTP oder LDAP ausgeführt werden, sowie Dateien in bestimmten Arten von
Datenbanken. Darüber hinaus gehören dazu Dateien, die in Ihrem lokalen Dateisystem gespeichert
sind.
•
Zuordnungstyplisten: In diesen Listen werden einander zugeordnete Schlüssel- und Wertepaare
gespeichert. Sie können Zuordnungstyplisten in Web Gateway erstellen und mit Listeneinträgen
füllen oder diese als abonnierte oder externe Listen aus anderen Quellen abrufen.
Schlüssel und Werte in Zuordnungslisten werden anfangs im Zeichenfolgenformat gespeichert,
können jedoch mithilfe von entsprechenden Eigenschaften in Regeln in andere Formate konvertiert
werden.
•
Common Catalog-Listen: Diese Listen können von einem McAfee ePO-Server mithilfe von Push
auf Web Gateway übertragen werden.
Common Catalog-Listen können Einträge im IP-Adress-, Domänennamen-, Zeichenfolgen- oder
Platzhalterausdruckformat enthalten. Sie werden auf dem McAfee ePO-Server verwaltet.
Produkthandbuch
67
4
Listen
Auf der Registerkarte Lists (Listen) können Sie mit Listen arbeiten.
Hauptelemente der Registerkarte „Lists“ (Listen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Liste (Listen) beschrieben.
Tabelle 4-1 Hauptelemente der Registerkarte „Lists“ (Listen)
Element
Beschreibung
Listen-Symbolleiste
Elemente zum Arbeiten mit den Listen in der Listenbaumstruktur
Listen-Baumstruktur
Verzeichnisstruktur, die die Listen der Appliance-Konfiguration anzeigt
Listeneinträge-Symbolleiste Einstellungen für das derzeit ausgewählte Element in der
Einstellungs-Baumstruktur
Listeneinträge
Einträge der aktuell ausgewählten Liste
Listen-Symbolleiste
Die Listen-Symbolleiste bietet die folgenden Optionen.
68
Produkthandbuch
Listen
4
Tabelle 4-2 Listen-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen einer Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Liste bearbeiten) zum Bearbeiten einer
ausgewählten Liste.
Delete (Löschen)
Löscht eine ausgewählte Liste.
müssen
Import (Importieren)
Öffnet den Datei-Manager auf Ihrem System, damit Sie eine Liste
importieren können.
Öffnet den Datei-Manager auf Ihrem System, damit Sie die in der
Listen-Baumstruktur ausgewählte Liste exportieren können.
View (Anzeigen)
Öffnet ein Menü zum Anzeigen der Listen auf unterschiedliche Weise (A-Z,
Z-A, nach Listentyp, mit oder ohne Listentypen, für die derzeit keine Listen
vorhanden sind).
Expand All (Alle einblenden)
Zeigt alle bis dahin ausgeblendeten Elemente der Listen-Baumstruktur
wieder an.
Collapse All (Alle ausblenden) Blendet alle in der Listen-Baumstruktur eingeblendeten Elemente aus.
Listeneinträge-Symbolleiste
Die Listeneinträge-Symbolleiste bietet die folgenden Optionen.
Tabelle 4-3 Listeneinträge-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
eines Listeneintrags, z. B. das Fenster Add String (Zeichenfolge hinzufügen).
Add multiple (Mehrere
hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
mehrerer Listeneinträge, wenn dies für einen Listentyp möglich ist.
Edit (Bearbeiten)
Öffnet das Fenster Edit <List type> (<Listentyp> bearbeiten) zum Bearbeiten
eines ausgewählten Listeneintrags, z. B. das Fenster Edit String (Zeichenfolge
bearbeiten).
Delete (Löschen)
Löscht einen ausgewählten Listeneintrag.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang
bestätigen müssen.
Move up (Nach oben)
Verschiebt einen Eintrag in der Liste nach oben.
Move down (Nach unten)
Verschiebt einen Eintrag in der Liste nach unten.
Filter (Filtern)
Feld zur Eingabe eines Filterbegriffs, sodass nur übereinstimmende
Einträge angezeigt werden
Die Filterfunktion wird sofort ausgeführt, sobald Sie ein Zeichen in das Feld
eingeben.
Produkthandbuch
69
4
Listen
Sie können auf eine Liste über die Registerkarte Lists (Listen) zugreifen oder indem Sie in einer Regel
auf den entsprechenden Listennamen klicken.
Aufgaben
•
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) auf Seite 70
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie
die entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
•
Zugreifen auf eine Liste in einer Regel auf Seite 70
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der
Registerkarte Rule Sets (Regelsätze), und klicken Sie darauf.
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen)
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie die
entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
Vorgehensweise
1
Wählen Sie Policy | Lists (Richtlinie | Listen) aus.
2
Navigieren Sie in der Listen-Baumstruktur zu dem Zweig, der die gewünschte Liste enthält, und
klicken Sie auf den Listennamen.
Daraufhin werden im Einstellungsbereich die Listeneinträge angezeigt.
Nun können Sie mit der Liste arbeiten.
Zugreifen auf eine Liste in einer Regel
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der Registerkarte
Rule Sets (Regelsätze), und klicken Sie darauf.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit der gewünschten
Liste enthält.
Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Führen Sie in der Regel mit der Liste, auf die Sie zugreifen möchten, einen der folgenden Schritte
aus:
•
Klicken Sie im Regelnamen auf den Listennamen, sofern dieser dort enthalten ist.
•
Klicken Sie in den Regelkriterien auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List <Typ> (Liste <Typ> bearbeiten), wobei <Typ> hier für den
Typ der gewünschten Liste steht.
Nun können Sie mit der Liste arbeiten.
70
Produkthandbuch
Listen
4
Zusätzlich zu den bei der Erstkonfiguration der Appliance implementierten oder aus der Bibliothek
importierten Listen können Sie auch eigene Listen erstellen.
Für das Erstellen einer Liste sind die beiden folgenden Schritte erforderlich:
•
Hinzufügen einer neuen Liste
•
Füllen der neuen Liste mit Einträgen
Aufgaben
•
Hinzufügen einer neuen Liste auf Seite 71
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
•
Füllen einer Liste mit Einträgen auf Seite 71
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit
Einträgen füllen.
Hinzufügen einer neuen Liste
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
Vorgehensweise
1
2
Navigieren Sie in der Listen-Baumstruktur zu der Position, an der die gewünschte Liste eingefügt
werden soll.
3
Klicken Sie auf der Symbolleiste auf Add (Hinzufügen).
Daraufhin wird das Fenster Add List (Liste hinzufügen) geöffnet, in dem die Registerkarte Add List
(Liste hinzufügen) ausgewählt ist.
4
Mithilfe der folgenden Elemente können Sie die allgemeinen Einstellungen der Liste konfigurieren:
•
Name: Name der Liste
•
Comment (Kommentar): [Optional] Kommentar zur Liste im Nur-Text-Format
•
Type (Typ): Liste zur Auswahl des Listentyps
5
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf die Liste berechtigt ist.
6
Klicken Sie auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der
Listen-Baumstruktur angezeigt.
7
Nun können Sie Einträge in die Liste einfügen.
Füllen einer Liste mit Einträgen
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit Einträgen füllen.
Vorgehensweise
1
2
Wählen Sie in der Struktur der Listen die Liste aus, der Einträge hinzugefügt werden sollen.
Produkthandbuch
71
4
Listen
3
Klicken Sie im Abschnitt für Einstellungen auf Add (Hinzufügen).
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geöffnet, z. B. das Fenster Add String
(Zeichenfolge hinzufügen).
4
Fügen Sie einen Eintrag in der entsprechenden Weise für den jeweiligen Listentyp hinzu.
5
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Listeneintrag ein.
6
Klicken Sie auf OK.
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geschlossen, und der Eintrag wird nun in
der Liste angezeigt.
7
Die Vorgehensweise bei der Arbeit mit Listen hängt vom Listentyp ab.
Wenn der Typ beispielsweise String (Zeichenfolge) ist, können Sie Einträge hinzufügen, indem Sie im
Fenster Add String (Zeichenfolge hinzufügen) im Feld String (Zeichenfolge) Zeichenfolgen eingeben. Wenn
der Typ jedoch MediaType ist, müssen Sie einen Eintrag aus einem Medientypordner auswählen, der
Teil eines Ordnersystems ist.
Listen für Zeichenfolgen und Platzhalterausdrücke verfügen über eine Option zum gleichzeitigen
Hinzufügen mehrerer Einträge. Klicken Sie dazu auf „Add multiple“ (Mehrere hinzufügen), und geben
Sie für jeden Eintrag Text in einer neuen Zeile ein.
In einer Medientypliste können Sie gleichzeitig mehrere Einträge oder Ordner auswählen, wenn Sie
diese nicht separat hinzufügen möchten.
Aufgaben
•
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs auf Seite 72
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für
eine globale Whitelist verwendet wird.
•
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste auf Seite 73
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf
alle URLs blockieren lassen, die in diese Kategorie fallen.
•
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen auf Seite 74
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen
hinzufügen.
Hinzufügen eines Platzhalterausdrucks zu einer globalen
Whitelist für URLs
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für eine
globale Whitelist verwendet wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz aus, der Regeln für das Führen einer
globalen Whitelist enthält, beispielsweise Global Whitelist.
Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt.
72
Produkthandbuch
Listen
3
4
Suchen Sie nach der Regel, die mittels einer Whitelist Anfragen freistellt, wenn die Hosts der dabei
übermittelten URLs mit den Platzhalterausdrücken in der Liste übereinstimmen, z. B. URL.Host matches
in list Global Whitelist, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie
Einträge hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Wildcard Expression) (Liste bearbeiten, Platzhalterausdruck).
4
Klicken Sie auf Add (Hinzufügen).
5
Geben Sie im Feld Wildcard expression (Platzhalterausdruck) einen Platzhalterausdruck ein.
Wenn Sie gleichzeitig mehrere Platzhalterausdrücke hinzufügen möchten, klicken Sie auf Add multiple
(Mehrere hinzufügen), und beginnen Sie für jeden Platzhalterausdruck eine neue Zeile.
6
[Optional] Geben Sie in das Feld Comment (Kommentar) einen Kommentar zum Platzhalterausdruck
im Nur-Text-Format ein.
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Platzhalterausdruck wird nun in der Whitelist angezeigt.
8
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf alle URLs
blockieren lassen, die in diese Kategorie fallen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regeln zur URL-Filterung
enthält.
3
Suchen Sie nach der Regel, die eine auf Kategorien basierende Blockierungsliste verwendet, z. B.
Block URLs whose category is in Category BlockList, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben der Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge
hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie).
4
Erweitern Sie den Gruppenordner, der die zu blockierende Kategorie enthält, z. B. Purchasing
(Einkauf), und wählen Sie die Kategorie aus, z. B. Online Shopping (Online-Shopping).
Wenn Sie mehrere Kategorien auf einmal hinzufügen möchten, wählen Sie mehrere Kategorien
oder einen bzw. mehrere Gruppenordner aus.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Kategorie wird nun in der Blockierungsliste angezeigt.
6
Produkthandbuch
73
4
Listen
Abonnierte Listen
Hinzufügen eines Medientyps zu einer Filterliste für
Medientypen
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu einem Regelsatz mit Regeln zur Medienfilterung,
z. B. dem untergeordneten Regelsatz Download Media Types, und wählen Sie diesen aus.
3
Wählen Sie die Regel Block types from Media Type Blocklist aus, und klicken Sie auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List (MediaType) (Liste bearbeiten, Medientyp).
4
Klicken Sie auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten). Es enthält eine Liste mit Gruppenordnern mit
Medientypen.
5
Erweitern Sie den Gruppenordner, der den hinzuzufügenden Medientypen enthält, z. B. Audio, und
wählen Sie den Medientypen aus, beispielsweise audio/mp4.
Wenn Sie mehrere Medientypen auf einmal hinzufügen möchten, wählen Sie mehrere Medientypen
oder einen bzw. mehrere Gruppenordner aus.
6
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Medientyp wird nun in der Filterliste angezeigt.
7
Abonnierte Listen
Listen zur Verwendung in Web-Sicherheitsregeln können mit Inhalt gefüllt werden, der von
entsprechenden Servern abgerufen wird. Diese Listen werden als abonnierte Listen bezeichnet.
Beim Arbeiten mit abonnierten Listen müssen Sie lediglich allgemeine Einstellungen wie den
Listennamen selber konfigurieren. Der Listeninhalt, z. B. IP-Adressen oder URLs, stammt von einem
Server. Dies kann der McAfee-Server, der zur Verwaltung abonnierter Listen zur Verfügung steht, oder
ein anderer, von Ihnen angegebener Server sein.
Abonnierte Listen, die den Inhalt vom McAfee-Server abrufen, werden als McAfee-verwaltete Listen
bezeichnet. Listen, die den Inhalt von anderen Server abrufen, werden als Kundenverwaltete Listen
bezeichnet.
Nachdem Sie eine abonnierte Liste erstellt haben, wird diese auf der Benutzeroberfläche in der
Listen-Baumstruktur im Zweig der abonnierten Listen angezeigt. Sie können mit abonnierten Listen
auf die gleiche Weise wie mit anderen Listen der Listen-Baumstruktur arbeiten.
Für abonnierte Listen gilt eine Größenbeschränkung. Eine abonnierte Liste darf nicht größer als 4 MB
sein oder nicht mehr als 100.000 Einträge enthalten.
Durch das Konfigurieren von Aktualisierungsplänen oder durch manuelle Aktualisierungen stellen Sie
sicher, dass den Web-Sicherheitsregeln der aktuelle Inhalt durch eine abonnierte Liste bereitgestellt
wird.
74
Produkthandbuch
4
Listen
Abonnierte Listen
Abrufen des Listeninhalts vom McAfee-Server
Wenn der Inhalt einer abonnierten Liste vom McAfee-Server abgerufen wird, der zu diesem Zweck
bereitgestellt wird, wählen Sie die Art des Inhalts für diese Liste aus einem Katalog aus.
Der Inhalt wird auf dem McAfee-Server verwaltet. Um sicherzustellen, dass McAfee-verwaltete Listen
über aktuellen Inhalt verfügen, führen Sie manuelle Aktualisierungen auf der Benutzeroberfläche Ihrer
Appliance durch.
Abrufen des Listeninhalts von einem anderen Server
Wenn der Inhalt einer abonnierten Liste von einem anderen Server als dem McAfee-Server abgerufen
wird, geben Sie die URL für die Datei an, die diesen Inhalt auf dem Server enthält.
Der Inhalt wird auf diesem Server verwaltet. Aktualisierungen für diese Art von abonnierten Listen
werden nach einem Zeitplan durchgeführt, den Sie beim Konfigurieren der Listeneinstellungen
festlegen.
Erstellen einer abonnierten Liste
Zum Erstellen einer abonnierten Liste müssen Sie allgemeine Listeneinstellungen sowie Einstellungen
für den Listeninhalt konfigurieren.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen).
3
Konfigurieren Sie die allgemeinen Einstellungen für die Liste.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie aus der Liste Type (Typ) den Listentyp aus.
c
Wählen Sie unter Contains (Enthält) die Art der Einträge, die in der Liste enthalten sein werden.
d
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur
Liste ein.
e
4
Wählen Sie die Option List content is managed remotely (Verwaltung des Listeninhalts per Fernzugriff)
aus.
5
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Bei Listeninhalt, der vom McAfee-Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle McAfee maintained list (Von McAfee gepflegte Liste).
•
Klicken Sie auf Choose (Auswählen).
Daraufhin öffnet sich das Fenster Choose List Content (Listeninhalt auswählen).
•
Wählen Sie einen Inhaltstyp aus.
•
Klicken Sie auf OK, um das Fenster zu schließen.
Produkthandbuch
75
4
Listen
Abonnierte Listen
•
Bei Listeninhalt, der von einem anderen Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle Customer maintained list (Von Kunden gepflegte Liste).
•
Klicken Sie auf Setup (Einrichten).
Daraufhin öffnet sich Fenster Setup (Einrichten).
6
•
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Klicken Sie erneut auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die Liste wird nun in der
Listen-Baumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt.
7
Einstellungen für Inhalt abonnierter Listen
Wenn eine abonnierte Liste auf einem anderen Server als dem McAfee-Server verwaltet wird, müssen
Einstellungen für den Inhalt konfiguriert werden.
Tabelle 4-4 Einstellungen für Inhalt abonnierter Listen
Option
Definition
URL to download
(Herunterzuladende URL)
Gibt die URL einer Datei mit Inhalt für eine abonnierte Liste an.
Die URL wird im folgenden Format angegeben:
HTTP| HTTPS| FTP ://<Pfad>/<Dateiname>.<Erweiterung>
Use this (Dies verwenden)
Bei Auswahl dieser Option wird das Zertifikat verwendet, das in der
Zertifizierungsstellenkette enthalten ist, die neben dem Optionsfeld
angezeigt wird.
Dies ist erforderlich, wenn es sich bei der Verbindung zum Server, der den
Listeninhalt bereitstellt, um eine SSL-gesicherte Verbindung zur
Kommunikation unter dem HTTPS-Protokoll handelt.
Ignore certificate errors
(Zertifikatfehler ignorieren)
Bei Auswahl dieser Option führen Zertifikatfehler nicht zu einem Fehler
beim Abrufen des Listeninhalts von einem Server
URL authentication
(URL-Authentifizierung)
Bietet Einstellungen zum Konfigurieren eines Benutzernamens und eines
Kennworts, wenn für den Zugriff auf einen Server eine Authentifizierung
erforderlich ist.
• User name (Benutzername): Gibt einen Benutzernamen für die
Authentifizierung beim Server an.
• Password (Kennwort): Legt ein Kennwort für die Authentifizierung beim
Server fest.
Proxy
Bietet eine Liste zur Auswahl von Proxy-Servern, die für den Zugriff auf
einen Server mit Listeninhalt verwendet werden.
Standardmäßig wird kein Proxy-Server für den Zugriff auf einen Server
mit Listeninhalt verwendet.
76
Produkthandbuch
4
Listen
Abonnierte Listen
Tabelle 4-4 Einstellungen für Inhalt abonnierter Listen (Fortsetzung)
Option
Definition
Add Proxy (Proxy hinzufügen)
Öffnet ein Fenster zum Hinzufügen eines Proxy-Servers zur Liste.
List content update
(Aktualisierung des
Listeninhalts)
Bietet Einstellungen zum Konfigurieren eines Aktualisierungsplans für
Listeninhalt.
Eine Aktualisierung kann wie folgt durchgeführt werden:
• Hourly at (Stündlich um): Legt die Minuten nach der vollen Stunde fest.
• Daily at (Täglich um): Legt Stunden und Minuten fest.
• Weekly at (Wöchentlich um): Legt einen Wochentag mit Stunden und
Minuten fest.
• Every (Alle): Legt die Minuten des Intervalls fest, nach dessen Ablauf die
nächste Aktualisierung erfolgt.
Aktualisieren abonnierter Listen
Aktualisierungen der Inhalte abonnierter Listen erfolgen manuell oder entsprechend einem Plan,
abhängig davon, ob der Inhalt von dem zu diesem Zweck bereitgestellten McAfee-Server oder einem
anderen Server abgerufen wird.
Für Listeninhalt, der vom McAfee-Server abgerufen wird, müssen die Aktualisierungen manuell
durchgeführt werden. Bei jeder manuellen Aktualisierung werden alle McAfee-verwalteten Listen
zusammen aktualisiert.
Der Inhalt McAfee-verwalteter Listen wird ebenfalls beim Erstellen jeder neuen Liste dieses Typs
aktualisiert.
Für Listeninhalt, der von einem anderen Server als dem McAfee-Server abgerufen wird, werden die
Aktualisierungen gemäß einem Zeitplan durchgeführt. Jede abonnierte Liste verfügt über einen
eigenen Plan. Sie können den Plan beim Konfigurieren der Einstellungen für den Listeninhalt einrichten
und bearbeiten.
Beim Verwalten abonnierter Listen auf einem Knoten in einer Konfiguration mit zentraler Verwaltung
werden Aktualisierungen mit allen anderen Knoten innerhalb der Aktualisierungsgruppe geteilt.
Die Aktualisierungsgruppe wird im Abschnitt This Node Is a Member of the Following Groups (Dieser Knoten
gehört zu folgenden Gruppen) der Einstellungen für die zentrale Verwaltung konfiguriert.
Aktualisieren der auf dem McAfee-Server verwalteten abonnierten Listen
Für abonnierte Listen, die auf dem McAfee-Server verwaltet werden, müssen Aktualisierungen manuell
durchgeführt werden.
Der Inhalt McAfee-verwalteter Listen wird auch beim Erstellen einer neuen Liste aktualisiert.
Vorgehensweise
1
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus.
2
Klicken Sie auf der Symbolleiste über der Appliances-Baumstruktur auf Manual Engine Update (Manuelle
Modulaktualisierung).
Der Inhalt aller McAfee-verwalteter Listen wird aktualisiert.
Produkthandbuch
77
4
Listen
Abonnierte Listen
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste
Wenn eine abonnierte Liste als eine von Kunden gepflegte Liste konfiguriert ist, muss eine Inhaltsdatei
zur Beschreibung der Listen-Baumstruktur erstellt und auf dem Web-Server gespeichert werden, von
dem der Inhalt für diese Liste abgerufen wird.
Inhaltsdateien werden im TXT- oder XML-Format erstellt, je nachdem, ob sie die Struktur einer
einfachen oder einer komplexen von Kunden gepflegten Liste beschreiben. Bei einfachen Listen kann
die Erstellung der Inhaltsdatei in beiden Formaten erfolgen, bei komplexen Listen muss das
XML-Format verwendet werden.
Von Kunden gepflegte einfache Listen können Listen folgenden Typs sein: Application Name
(Anwendungsname), Category (Kategorie), Dimension (Größe), IP, IPRange (IP-Bereich), MediaType
(Medientyp), Number (Zahl), String (Zeichenfolge), Wildcard Expression (Platzhalterausdruck).
Von Kunden gepflegte komplexe Listen können dagegen Listen folgenden Typs sein: Certificate
Authority (Zertifizierungsstelle), Extended List Element (erweitertes Listenelement),
HostAndCertificate (Host und Zertifikat), ICAP Server (ICAP-Server), NextHopProxy
(Nächster-Hop-Proxy).
Inhaltsdatei einer einfachen Liste im TXT-Format
Dies ist ein Beispiel für eine Inhaltsdatei im TXT-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck).
type=regex"*.txt" "txt file extension""*.xml" "xml file extension"
Das Beispiel veranschaulicht die für eine Inhaltsdatei im TXT-Format geltenden Konventionen.
•
Die erste Zeile der Datei gibt den Typ der von Kunden gepflegten Liste an, der die Inhaltsdatei
zugeordnet ist. Die Zeile hat das folgende Format: type=<Listentyp>
Als Listentyp muss einer der folgenden Begriffe verwendet werden: applcontrol, category,
dimension, ip, iprange, mediatype, number, string, regex.
•
Die nach der ersten Zeile folgenden Zeilen sind für Listeneinträge in der von Kunden gepflegten
Liste reserviert.
Eine Zeile enthält jeweils die gleiche Anzahl an Elementen, die in einem Listeneintrag in der von
Kunden gepflegten Liste vorhanden ist. Jedes einzelne Element ist in doppelte Anführungszeichen
gefasst.
Die Einträge in einer Liste des Typs „Wildcard Expression“ (Platzhalterausdruck) enthalten jeweils
zwei Elemente. Ein Element ist der Platzhalterausdruck, das zweite ein Kommentar, der diesen
Platzhalterausdruck beschreibt.
Das folgende Beispiel veranschaulicht noch weitere Konventionen für Inhaltsdateien.
type=string"withoutDescription""*emptyDescription\"\"\" """data with description and more
spaces in-between"
"description""data with spaces*
"
"description""Hello
\"Michael\" \"Michael!\"" ""
78
Produkthandbuch
4
Listen
Abonnierte Listen
•
Die Einträge in Listen des Typs „String“ (Zeichenfolge) enthalten ebenfalls jeweils zwei Elemente:
die Zeichenfolge sowie einen beschreibenden Kommentar. Eine Beschreibung ist jedoch nicht
obligatorisch.
Wenn die Beschreibung weggelassen wird, kann das entsprechende Element dafür in der
Inhaltsdatei ebenfalls entfallen. Dies wird in Zeile 2 gezeigt.
•
Eine weggelassene Beschreibung kann alternativ auch durch zwei direkt aufeinander folgende
doppelte Anführungszeichen dargestellt werden. Dies ist in Zeile 3 zu sehen.
In dieser Zeile wird außerdem Folgendes veranschaulicht:
•
Auf in einer Zeichenfolge verwendete doppelte Anführungszeichen muss immer ein umgekehrter
Schrägstrich folgen.
•
Ein umgekehrter Schrägstrich, der nicht unmittelbar hinter doppelten Anführungszeichen steht,
stellt einen tatsächlichen umgekehrten Schrägstrich dar.
•
Als erstes Zeichen in einer Zeichenfolge dürfen auch nicht-alphanumerische Zeichen, wie z. B.
das Sternchen (*), verwendet werden.
Der in Zeile 3 angegebene Listeneintrag würde auf der Benutzeroberfläche folgendermaßen
dargestellt werden: *emptyDescription\""
•
Wenn sich zwischen den in der Inhaltsdatei vorhandenen Elementen mehrfache Leerzeichen
befinden, werden diese in den Listeneinträgen der von Kunden gepflegten Liste ignoriert.
Der in Zeile 4 angegebene Eintrag würde auf der Benutzeroberfläche daher folgendermaßen
dargestellt werden: "data with description and more spaces in-between" "description"
•
Mehrfache Leerzeichen innerhalb einer Zeichenfolge in einer Inhaltsdatei werden in den
Listeneinträgen der von Kunden gepflegten Liste ebenfalls ignoriert.
Der in Zeile 5 angegebene Eintrag würde auf der Benutzeroberfläche also folgendermaßen
dargestellt werden: "data with spaces* " "description"
•
Zeile 6 veranschaulicht mehrere der bereits erläuterten Konventionen.
Inhaltsdatei einer einfachen Liste im XML-Format
Dies ist ein Beispiel für eine Inhaltsdatei im XML-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck). Der Listeninhalt ist mit dem im ersten Beispiel des
vorhergehenden Unterabschnitts dargestellten Listeninhalt identisch.
<content type="regex"> <listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
Für den Inhaltstyp müssen dieselben Begriffe wie für eine Inhaltsdatei im TXT-Format verwendet
werden.
Inhaltsdateien für komplexe Listen
Das manuelle Erstellen einer Inhaltsdatei für eine von Kunden gepflegte komplexe Liste ist relativ
schwierig. Sie können jedoch mithilfe der Optionen auf der Benutzeroberfläche eine vorhandene
komplexe Liste importieren und in einer Datei speichern.
In dieser Datei ist die komplexe Liste dann im XML-Format hinterlegt. Wenn Sie in der Datei nun alle
Zeilen vor dem öffnenden Tag <content> sowie alle Zeilen nach dem schließenden Tag </content>
löschen, hat diese Datei schon fast die Struktur einer Inhaltsdatei für die entsprechende komplexe
Liste.
Produkthandbuch
79
4
Listen
Abonnierte Listen
Nun müssen Sie nur noch das öffnende Tag von <content> in <content type="<Dateityp>" ändern,
beispielsweise: <content type="nexthopproxy">.
Zur Angabe des Dateityps können Sie folgende Begriffe verwenden: ca, extendedlist, icapserver,
hostandcertificate, nexthopproxy.
Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee
verwalteten abonnierten Liste
Sie können von McAfee verwaltete abonnierte Listen in einer Regel Ihrer Web-Sicherheitsrichtlinie
einsetzen, z. B. wenn eine bestimmte Art von Datenverkehr das SSL-Scannen umgehen soll.
Angenommen, dass von den Clients Ihres Unternehmensnetzwerkes aus über SSL-verschlüsselte
Verbindungen Datenverkehr an bestimmte Ziele, z. B. WebEx-Anwendungen, gesendet wird. Wenn
dieser Datenverkehr nun von Web Gateway empfangen wird, soll das SSL-Scannen übersprungen
werden.
Hierfür benötigen Sie eine Liste der von WebEx verwendeten IP-Adressbereiche. Da sich diese
Adressen häufig ändern, verwaltet McAfee eine entsprechende Adressliste, so dass Sie die Liste nicht
ständig manuell aktualisieren müssen.
Die Liste ist in dem von Ihnen in Web Gateway konfigurierten Aktualisierungsplan enthalten, sodass
alle Aktualisierungen von McAfee an Ihre Web Gateway-Appliance bzw. an alle in einer Konfiguration
mit zentraler Verwaltung vorhandenen Appliances weitergegeben werden.
So verwenden Sie die von McAfee verwaltete Liste in Ihrer Web-Sicherheitsrichtlinie:
•
Erstellen Sie eine neue leere Liste, und lassen Sie diese mit den WebEx-Adressbereichen aus der
McAfee-Liste füllen.
•
Richten Sie eine Regel ein, die anhand dieser Liste dafür sorgt, dass Zugriffsanfragen für
WebEx-Ziele das SSL-Scannen überspringen können.
Erstellen einer von McAfee verwalteten abonnierten Liste mit IPAdressbereichen
Zum Erstellen einer von McAfee verwalteten abonnierten Liste mit IP-Adressbereichen für
WebEx-Anwendungen müssen Sie zuerst eine eigene Liste erstellen und diese anschließend mit
Inhalten aus einer von McAfee verwalteten Liste füllen.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Hinzufügen.
3
Konfigurieren Sie im Fenster Add List (Liste hinzufügen) eine Liste nach folgendem Muster.
a
80
Konfigurieren Sie die allgemeinen Einstellungen für die Liste:
•
Name: Abonnierte Liste für WebEx oder ein ähnlich aussagekräftiger Name
•
Type (Typ): IPRange (IP-Adressbereich)
b
Wählen Sie die Option List content is managed remotely (Listeninhalt wird per Fernzugriff verwaltet)
aus.
c
Wählen Sie die Option McAfee-maintained list (Von McAfee verwaltete Liste) aus, und klicken Sie auf
Choose (Auswählen).
d
Wählen Sie im Fenster Choose List Content (Listeninhalt auswählen) die Liste WebEx IP Ranges
(WebEx-IP-Adressbereiche) aus.
Produkthandbuch
Listen
Externe Listen
4
4
Klicken Sie in beiden Fenstern auf OK.
Die Liste wird nun in der Listenbaumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt.
5
Sie können die neu erstellte Liste nun in einer geeigneten Rege einsetzen.
Verwenden einer von McAfee verwalteten abonnierten Liste in einer Regel
Wenn eine von McAfee verwaltete abonnierte Liste in einer Regel verwendet werden soll, die für
Web-Datenverkehr zu bestimmten Zielen eine entsprechende Aktion durchführt, muss diese Liste in
den Regelkriterien konfiguriert werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Standard-Regelsatz SSL Scanner aus, und klicken
Sie zum Anzeigen der vollständigen Regelansicht auf Unlock View (Anzeige entsperren).
3
Achten Sie darauf, dass der Regelsatz aktiviert ist, und wählen Sie den untergeordneten Regelsatz
Handle CONNECT Call aus.
4
Klicken Sie auf Add Rule (Regel hinzufügen), und konfigurieren Sie im nun angezeigten Fenster auf
folgende Weise eine Regel.
a
Geben Sie unter Name einen Regelnamen an, z. B. Bypass SSL scanning for WebEx
destinations (SSL-Scannen bei WebEx-Zielen umgehen).
b
Nehmen Sie unter Criteria (Kriterien) folgende Konfigurationen vor:
•
Property (Eigenschaft): URL.Destination.IP
•
Operator: is in range list
•
Compare with (operand) (Vergleichen mit, Operand): WebEx IP Ranges Subscribed Lists
c
Wählen Sie unter Action (Aktion) die Aktion Stop Rule Set.
d
Das Fenster wird geschlossen, und die Regel wird nun als letzte Regel des Regelsatzes
angezeigt.
e
5
Verschieben Sie die Regel an die oberste Position.
Anfragen zu Zielen, deren IP-Adressen auf der WebEx-Liste aufgeführt sind, werden nun beim
SSL-Scan in Web Gateway umgangen.
Externe Listen
Daten können aus externen Quellen (z. B. von Web-Servern) abgerufen und in Regeln auf der
Appliance verwendet werden.
Bei diesen Daten kann es sich um eine ganze Liste oder um einen einzelnen Wert handeln. Im
Allgemeinen werden sie als externe Listen oder Daten aus externen Listen bezeichnet. In einer
externen Liste können unterschiedliche Datentypen wie Zeichenfolgen, Zahlen, IP-Adressen usw.
vorhanden sein.
Produkthandbuch
81
4
Listen
Externe Listen
Ein wichtiges Merkmal von externen Listen besteht darin, dass sie dynamisch auf der Appliance
verarbeitet werden. Das Abrufen und Konvertieren der Daten aus externen Listen erfolgt komplett zur
Laufzeit, wenn die Daten erstmalig in einer Regel verwendet werden.
Nach dem Abrufen der Daten werden diese für einen konfigurierbaren Zeitraum in einem internen
Cache, jedoch nicht auf einem Datenträger gespeichert, sodass sie bei einem Neustart der Appliance
nicht erhalten bleiben. Zudem werden externe Listen nicht in der Struktur der Listen auf der
Benutzeroberfläche aufgeführt.
Eigenschaften für externe Listen
Der Zugriff auf die aus externen Quellen abgerufenen Daten wird über spezielle Eigenschaften
ermöglicht. Der Name einer Eigenschaft für externe Listen ist ExtLists.<Typ>, wobei <Typ> den Typ
der Elemente in der Liste angibt, die den Wert der Eigenschaft darstellt. Der Wert von
ExtLists.IntegerList ist beispielsweise eine Liste von ganzen Zahlen. Mögliche Listenelementtypen sind
Zeichenfolge, Zahl, Platzhalterausdruck u. a.
Normalerweise ist der Wert einer Eigenschaft für externe Listen eine Liste, es gibt jedoch auch
Eigenschaften für externe Listen für einzelne Werte. Wenn eine externe Quelle mehrere Werte als
Eingabe für den letzteren Typ von Eigenschaft liefert, wird lediglich der letzte Wert abgerufen und
gespeichert.
Daten aus externen Listen können je nach Quelltyp gefiltert werden. Zudem können sie in ein anderes
Format konvertiert werden; dies hängt vom Typ der Eigenschaft ab, die in der jeweiligen Regel
verwendet wird.
Indem Sie Parameter für eine Eigenschaft für externe Listen konfigurieren, können Sie Platzhalter
angeben, die zur Laufzeit durch Eigenschaftenparameter ersetzt werden. Durch die Angabe dieser
Platzhalter können Sie den Inhalt einer externen Liste von Kriterien wie einem Benutzernamen oder
Benutzergruppennamen abhängig machen.
Für Protokollierungszwecke können Sie die Eigenschaft ExtLists.LastUsedListName verwenden, deren
Wert der Name der Einstellungen für das Modul „External Lists (Externe Listen) ist, die zuletzt
verwendet wurden.
Modul „External Lists“
Um anzugeben, welche Daten aus einer externen Quelle abgerufen werden sollen, müssen Sie die
Einstellungen des Moduls External Lists (Externe Listen) konfigurieren, das die Daten abruft (dieses
Modul wird auch als Filter oder Engine „External Lists“ bezeichnet).
Wenn keine externen Daten abgerufen werden können, gibt das Modul „External Lists“ einen
Fehlercode zurück, der mit Fehler-Handler-Regeln verarbeitet werden kann. Für diesen Zweck ist ein
gesonderter Bereich von Fehler-IDs verfügbar.
Das Modul „External Lists“ belegt Speicher beim Caching von Daten, die es aus externen Quellen
abruft. Dies sollten Sie beim Einrichten von Regeln für die Verarbeitung externer Listen
berücksichtigen.
Quellen von Daten aus externen Listen
Zu den Quellen der Inhalte, mit denen externe Listen gefüllt werden, zählen Folgende:
82
•
Ein Web-Dienst, auf den unter dem HTTP-, HTTPS- oder FTP-Protokoll zugegriffen wird
•
Eine Datei in Ihrem lokalen Dateisystem
•
Ein LDAP- oder LDAPS-Server
Produkthandbuch
4
Listen
Externe Listen
•
Eine Datenbank:
•
PostgreSQL
•
SQLite3
Beim Abfragen der Datenbanken wird die SQL-Abfragesprache verwendet. Das konkrete Abfrageformat
kann sich jedoch für beide Datenbanktypen unterscheiden.
Da eine SQLite3-Datenbank dateibasiert arbeitet, empfiehlt es sich, sie für Testzwecke und nicht in
einer Produktionsumgebung zu nutzen. Dennoch können Sie diesen Typ ggf. nutzen, wenn Sie bereits
über Daten in einer Datenbank dieses Typs verfügen. Andernfalls ist es einfacher, einen Web-Dienst
oder eine Dateidatenquelle zu nutzen, um Inhalte externer Listen abzurufen.
Empfohlene Verwendung
Die Arbeit mit externen Listen empfiehlt sich u. a. in den nachfolgend beschriebenen Fällen.
Sie müssen eine große Anzahl von Listen verwalten, die zum Großteil in externen Quellen gespeichert
sind, Sie führen mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung aus,
und Sie müssen häufig Änderungen an den Listendaten vornehmen.
Beim Synchronisieren sämtlicher Listendaten auf allen Knoten ist möglicherweise keine Skalierbarkeit
mehr gegeben.
Verwenden externer Listendaten in Regeln
Zum Verarbeiten externer Listendaten müssen Sie Regeln konfigurieren, die passende Eigenschaften
für externe Listen in ihren Kriterien enthalten.
Angenommen, Sie möchten eine Anfrage für ein Web-Objekt blockieren, wenn dessen URL über eine
Ziel-IP-Adresse verfügt, die in einem der IP-Adressenbereiche in einer Liste liegt, die auf einer
externen Quelle gespeichert ist.
Sie können dies mit der folgenden Regel erreichen:
Block URLs with IP addresses in forbidden range
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –> Block<URL
Blocked>
Beim Verarbeiten der Regel wird überprüft, ob die IP-Adresse, bei der es sich um den Wert der
Eigenschaft URL.Destination.IP handelt, in einem der Bereiche in der Liste liegt, die der Wert für
ExtLists.IPRangeList ist.
Zusammen mit der Eigenschaft der externen Liste werden die <External Lists>-Einstellungen
angegeben. Hierbei handelt es sich um die Einstellungen, mit denen das Modul „External Lists“
(Externe Listen) die entsprechenden Daten als Wert für die Eigenschaft der externen Liste abruft.
Sie müssen diese Einstellungen konfigurieren, um dem Modul anzugeben, von welchem Speicherort
und auf welche Weise eine bestimmte externe Liste abgerufen werden soll. Wenn beispielsweise die
Liste in einer Textdatei auf einem Web-Server gespeichert wird, können Sie die URL für den Zugriff auf
die Datei angeben.
Außerdem können Sie Einstellungen wie Zeitlimits und Größenbeschränkungen konfigurieren.
Die Parameter der Eigenschaft einer externen Liste sind optional. In diesem Beispiel sind die
Parameter leer.
Produkthandbuch
83
4
Listen
Externe Listen
Standardmäßig sind auf der Appliance keine Regeln zur Verarbeitung externer Listen vorhanden. Wenn
Sie über Daten der externen Liste den Web-Zugriff für die Benutzer Ihres Netzwerks einschränken
möchten, müssen Sie eine oder mehrere Regeln wie die obigen Regeln einrichten und in einen
passenden Regelsatz einfügen.
Ersetzung und Platzhalter
Für eine höhere Flexibilität beim Abrufen externer Listendaten können Platzhalter beim Konfigurieren
der Einstellungen des Moduls „External Lists“ (Externe Listen) verwendet werden, z. B. in URLs.
Ein Platzhalter wird zur Laufzeit durch einen Wert ersetzt, den Sie als Parameter einer Eigenschaft für
externe Listen bereitstellen.
Angenommen, Sie möchten Daten von einem Web-Dienst abrufen, der Listen mit Medientypen
bereitstellt, die für einzelne Benutzer zulässig sind. Eine URL für einen bestimmten Medientyp sähe
dann wie folgt aus:
http://my-web-service.com/ mediatypes?user= <Wert>
Dabei ist <Wert> der Name eines Benutzers.
Da das Konfigurieren separater Einstellungen für das Modul „External Lists“ (Externe Listen) zur
individuellen Berücksichtigung jedes einzelnen Benutzers sehr aufwändig wäre, können Platzhalter wie
folgt verwendet werden:
•
Für den Parameter Web service’s URL (URL des Web-Diensts) in den Einstellungen geben Sie
Folgendes an:
http://my-web-service.com/mediatypes?user=${0}
Dabei ist ${0} ein Platzhalter für den ersten der drei Parameter der Eigenschaft für externe Listen,
die Sie in einer Regel verwenden.
•
Für den ersten Parameter der Eigenschaft für externe Listen geben Sie die Eigenschaft
Authentication.Username an.
Dadurch wird eine Liste mit den Medientypen abgerufen, die für einen individuellen Benutzer zulässig
sind. Der Benutzername ist der Name, den dieser Benutzer angegeben hat, als er sich nach dem
Senden einer Anfrage für den Zugriff auf einen bestimmten Medientyp authentifizieren musste.
84
Produkthandbuch
4
Listen
Externe Listen
Die folgenden beiden Platzhaltertypen können verwendet werden:
•
${<n>}: Durch einen konvertierten Wert ersetzter Platzhalter
<n> ist die Positionsnummer (0, 1, 2) für einen Parameter der Eigenschaft für externe Listen. Zur
Laufzeit wird dieser Platzhalter durch den Wert ersetzt, den Sie beim Konfigurieren des Parameters
angegeben haben.
Vor dem Ersetzen des Platzhalters wird der Wert konvertiert. Dieser Vorgang wird auch als
„Escaping“ bezeichnet. Die Konvertierung erfolgt gemäß den internen Regeln der beteiligten
Datenquelle.
Wenn die Quelle beispielsweise ein Web-Dienst ist, werden alle Zeichen ersetzt, die durch
%XX-Folgen nicht zulässig sind, wie im entsprechenden HTTP-Standard (RFC 2616) angegeben.
•
$<<n>>: Durch einen nicht konvertierten Wert ersetzter Platzhalter
Wie oben, jedoch ohne Konvertierung. Sie müssen also selber dafür sorgen, dass die Ersetzung zu
keinen unerwünschten Ergebnissen führt.
Sie können diesen Platzhaltertyp verwenden, wenn URLs vollständig und nicht nur teilweise ersetzt
werden.
Konfigurieren des Moduls „External Lists“
Sie können die Einstellungen für das Modul „External Lists“ konfigurieren, um die erforderlichen
Informationen anzugeben, anhand derer das Modul Daten aus externen Listen abruft.
Standardmäßig sind für dieses Modul auf der Appliance keine Einstellungen vorhanden. Sie müssen
einzelne Einstellungen hinzufügen und diese für jede externe Liste konfigurieren, aus der in einer
Regel Daten abgerufen werden sollen.
Vorgehensweise
1
Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus.
2
Wählen Sie in der Einstellungs-Baumstruktur External Lists (Externe Listen) aus, und klicken Sie auf
Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen).
3
Geben Sie im Feld Name den Namen der Einstellungen ein.
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
5
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an,
welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten.
6
Konfigurieren Sie die anderen Parameter der Einstellungen nach Bedarf.
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Einstellungen werden in der Einstellungs-Baumstruktur
unter External Lists (Externe Listen) angezeigt.
8
Produkthandbuch
85
4
Listen
Externe Listen
Einstellungen für das Modul „External Lists“
Mit den Einstellungen für das Modul „External Lists“ (Externe Listen) können Sie das Modul
konfigurieren, das Daten aus externen Quellen abruft.
Typ der Datenquelle
Einstellungen für den Typ der Quelle, von der die Daten abgerufen werden
Sie können bestimmte Einstellungen für jeden Quellentyp in einem anderen Abschnitt konfigurieren,
der je nachdem erscheint, was Sie hier auswählen.
Tabelle 4-5 Typ der Datenquelle
Option
Definition
Web service (Web-Dienst)
Daten werden mithilfe eines Web-Diensts unter dem HTTP-, HTTPS- oder
FTP-Protokoll abgerufen.
File on disk (Datei auf Datenträger) Daten werden aus einer Datei innerhalb Ihres lokalen Dateisystems
abgerufen.
LDAP
Data werden von einem LDAP-Server abgerufen.
Database (Datenbank)
Daten werden aus einer PostgreSQL- oder SQLite3-Datenbank
abgerufen.
Allgemeine Parameter
Einstellungen für Zeitbegrenzungen bei der Verarbeitung externer Listen
86
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-6 Allgemeine Parameter
Option
Definition
Operation timeout
(Vorgangszeitlimit)
Gibt die Zeitspanne (in Sekunden) an, nach der ein Verarbeitungsvorgang
für externe Listen abgebrochen wird, wenn er nicht erfolgreich
abgeschlossen werden kann.
Diese Option wird angewendet, wenn die Quelle einer externen Liste ein
Web-Server ist. Das Zeitlimit ist erreicht, wenn beispielsweise ein
Web-Server nicht auf die Anfrage der Appliance antwortet.
Das Ende des Zeitlimits können Sie wie folgt angeben:
• Simple expiration (Einfaches Ende): Bei Auswahl dieser Option können Sie im
Eingabefeld „Expiration time“ (Ablaufzeit) die Zeit (in Minuten) angeben,
die verstreichen soll, bevor abgerufene Listendaten aus dem internen
Cache gelöscht werden.
• Scheduled expiration (Geplantes Ende): Bei Auswahl dieser Option können Sie in
mehreren angezeigten Eingabefeldern die Zeit angeben, die verstreichen
soll, bevor eine externe Liste aus dem internen Cache gelöscht wird.
Expiration time (Ablaufzeit)
Begrenzung der Zeit (in Minuten), die verstreicht, bevor abgerufene Daten
aus dem internen Cache gelöscht werden.
Minutes/Hours/Days/Months/
Week days (Minuten/
Stunden/Tage/Monate/
Wochentage)
Begrenzung der Zeit, die verstreicht, bevor abgerufene Daten aus dem
internen Cache gelöscht werden.
Diese Eingabefelder werden angezeigt, wenn Sie Scheduled expiration
(Geplantes Ende) auswählen.
Ihre Eingabe muss in einem „cron“-kompatiblen Format erfolgen, da der
Löschvorgang von einem Cron-Job berechnet und durchgeführt wird.
Weitere Informationen hierzu finden Sie auf der Hilfeseite crontab (5) der
Dokumentation für Linux (UNIX)-Betriebssysteme.
Sie können in einem dieser Felder oder in einer beliebigen Kombination aus
Feldern Werte angeben.
Datenkonvertierungseinstellungen
Einstellungen für die Konvertierung von Daten, die aus einer externen Quelle abgerufen wurden
Diese Einstellungen sind nur verfügbar, wenn Sie als Datenquelle Web service (Web-Dienst) oder File on
disk (Datei auf Datenträger) ausgewählt haben.
Produkthandbuch
87
4
Listen
Externe Listen
Tabelle 4-7 Datenkonvertierungseinstellungen
Option
Definition
Data type (Datentyp)
Hier können Sie das Eingabeformat der zu konvertierenden Daten auswählen.
Sie können eine der folgenden Optionen auswählen:
• Plain text (Nur-Text): Die Daten liegen im Nur-Text-Format vor.
Jede Zeile erscheint als separater Eintrag in einer konvertierten Liste.
Optional können Sie einen regulären Ausdruck als Filterbegriff im darunter
befindlichen Eingabefeld angeben. Dann werden nur Zeichenfolgen, die mit
diesem Begriff übereinstimmen, in die Liste eingetragen.
Wenn sich im regulären Ausdruck kein Gruppierungsoperator befindet, wird
die gesamte Zeichenfolge in einer Liste gespeichert. Andernfalls werden die
von der ersten Gruppe erfassten Daten gespeichert.
• XML: Die Daten liegen im XML-Format vor.
Sie müssen einen XPath-Ausdruck angeben, um die abzurufenden Daten
auszuwählen. Die Daten können beispielsweise gemäß XML-Tags oder
Attributen abgerufen werden.
Regular expression
Hier können Sie einen regulären Ausdruck angeben, mit dem die zu
(Regulärer Ausdruck) konvertierenden Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option
Plain text (Nur-Text) ausgewählt haben.
XPath expression
(XPath-Ausdruck)
Hier können Sie einen XPath-Ausdruck angeben, mit dem die zu
konvertierenden Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option
XML text (XML-Text) ausgewählt haben.
Informationen über die Verwendung von XPath-Ausdrücken finden Sie in der
entsprechenden Dokumentation, beispielsweise im XPath-Tutorial auf der
Website w3schools.
XPath expression for
second attribute (only for
MapType)
(XPath-Ausdruck für
zweites Attribut (nur
für Zuordnungstyp))
Hier können Sie einen XPath-Ausdruck für ein zweites Attribut angeben, das
zum Abrufen von Konvertierungsdaten vom Typ „Zuordnungstyp“ verwendet
wird.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs abgerufen,
das durch das Angeben eines XPath-Ausdrucks im Feld XPath expression
(XPath-Ausdruck) konfiguriert wird.
Die Anzahl der Einträge, die mithilfe dieses XPath-Ausdrucks aus einer
externen Liste abgerufen werden, muss genauso groß wie die Anzahl der
Einträge sein, die mithilfe des Ausdrucks für das erste Attribut abgerufen
werden.
Die Reihenfolge, in der die Einträge mithilfe der beiden Ausdrücke abgerufen
werden, muss ebenfalls gleich sein.
Web-Dienst-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein Web-Dienst ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option
„Web service“ (Web-Dienst) ausgewählt ist.
88
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-8 Web-Dienst-spezifische Parameter
Option
Definition
Web service’s URL (URL des Web-Diensts) Hier können Sie die URL einer Datei auf einem Web-Server
angeben, die eine externe Liste enthält und die von einem
bestimmten Web-Dienst (HTTP, HTTPS oder FTP)
bereitgestellt wird.
In der URL können Sie einen Platzhalter angeben.
Specify authentication data
(Authentifizierungsdaten angeben)
Bei Auswahl dieser Option können Sie Informationen für eine
Authentifizierung angeben, die erfolgreich durchgeführt
werden muss, bevor Daten von einem Web-Dienst abgerufen
werden können.
Type of HTTP authentication
(HTTP-Authentifizierungstyp)
Hier können Sie aus einer Liste einen
HTTP-Authentifizierungstyp auswählen.
Die folgenden Typen werden unterstützt: None (Keine), Basic
(Einfach), Digest
User's name (Benutzername)
Hier können Sie einen Benutzernamen angeben, der zur
Authentifizierung gesendet wird.
User's password (Benutzerkennwort)
Hier können Sie ein Kennwort festlegen, das zur
Authentifizierung gesendet wird.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen
des Kennworts zu öffnen.
Use next-hop proxy for access to server (Proxy Bei Auswahl dieser Option erfolgt der Zugriff auf den
am nächsten Hop für Server-Zugriff
Web-Server über einen Proxy-Server des nächsten Hops
verwenden)
Wenn Sie dieses Kontrollkästchen aktivieren, können die
folgenden drei Elemente ausgewählt werden.
List of next-hop proxy servers to use (Liste
der zu verwendenden Proxy-Server
am nächsten Hop)
Hier können Sie aus einer Liste einen Server auswählen, der
als Proxy des nächsten Hops für den Zugriff auf den
Web-Server verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um
ein Fenster zum Hinzufügen einer neuen Liste bzw. zum
Bearbeiten einer vorhandenen Liste zu öffnen.
List of certificate authorities (Liste der
Zertifizierungsstellen)
Hier können Sie aus einer Liste eine Zertifizierungsstelle
auswählen, die für die SSL-gesicherte Kommunikation mit
einem Web-Dienst verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um
ein Fenster zum Hinzufügen einer neuen Liste bzw. zum
Bearbeiten einer vorhandenen Liste zu öffnen.
List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header)
Hier können Sie aus einer Liste einen Header auswählen, der
zu einer HTTP-Anfrage hinzugefügt wird, nachdem sie auf
einer Appliance empfangen wurde.
In der folgenden Tabelle sind die Elemente eines Eintrags unter List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header) beschrieben.
Produkthandbuch
89
4
Listen
Externe Listen
Tabelle 4-9 Zusätzliche HTTP-Header – Listeneintrag
Option
Definition
Header name (Header-Name) Hier können Sie den Namen eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Header value (Header-Wert)
Hier können Sie den Wert eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Comment (Kommentar)
Hier können Sie einen Kommentar im Nur-Text-Format zum Header eingeben.
Dateispezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datei in Ihrem
lokalen Dateisystem ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option File
on disk (Datei auf Datenträger) ausgewählt ist.
Tabelle 4-10 Dateispezifische Parameter
Option
Definition
Full path to the file (Vollständiger Pfad zur Datei) Hier können Sie den Pfad zu der Datei in Ihrem lokalen
Dateisystem angeben, die die Quelle einer externen Liste ist.
LDAP-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein LDAP-Server ist
LDAP ausgewählt ist.
Tabelle 4-11 LDAP-spezifische Parameter
Option
Definition
LDAP server’s URL (URL des Hier können Sie den Namen der Datei in Ihrem lokalen Dateisystem
LDAP-Servers)
angeben, die die Quelle einer externen Liste ist.
In der URL können Sie einen Platzhalter angeben.
Um den möglichen Speicherort der Datei einzugrenzen, können Sie bei der
Konfiguration der Systemeinstellungen für externe Listen einen bestimmten
Teil Ihres lokalen Dateisystems angeben.
Die Datei muss sich dann in diesem Teil befinden, z. B. opt/mwg/temp.
List of certificate authorities
(Liste der
Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die für
die SSL-gesicherte Kommunikation mit einem Web-Dienst verwendet werden
kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum
Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste
zu öffnen.
User name (Benutzername)
Hier können Sie den Benutzernamen angeben, den die Appliance zum
Herstellen einer Verbindung mit einem LDAP-Server sendet.
LDAP password
(LDAP-Kennwort)
Hier können Sie das Kennwort festlegen, das die Appliance zum Herstellen
einer Verbindung mit einem LDAP-Server sendet.
Zum Festlegen oder Ändern des Kennworts verwenden Sie die Schaltfläche
Set/Change (Festlegen/Ändern).
90
Produkthandbuch
4
Listen
Externe Listen
Tabelle 4-11 LDAP-spezifische Parameter (Fortsetzung)
Option
Definition
Search DN (DN durchsuchen) Hier können Sie den Namen einer Domäne in der Datenbank auf einem
LDAP-Server angeben, die nach einer externen Liste durchsucht wird.
In diesem Namen können Sie einen Platzhalter angeben.
Search scope (Suchbereich)
Hier können Sie den Suchbereich für die Suche nach einer externen Liste auf
einem LDAP-Server auswählen.
• Subtree (Unterstruktur): Die gesamte Unterstruktur der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• One level (Eine Ebene): Nur eine Ebene unter der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• Base (Basis): Nur die Basis der unter Search DN (DN durchsuchen)
angegebenen Domäne wird durchsucht.
Search filter (Suchfilter)
Hier können Sie einen Begriff für die Filterung der Suchergebnisse nach einer
externen Liste auf einem LDAP-Server angeben.
Nur wenn der Name eines Eintrags in der Datenbank mit dem Filterbegriff
übereinstimmt, wird das Element, für das der Eintrag steht, abgerufen.
In diesem Begriff können Sie einen Platzhalter angeben.
Attribute (Attribut)
Hier können Sie das Attribut eines Elements in der Datenbank auf einem
LDAP-Server angeben, nach dem gesucht wird, beispielsweise eine
E-Mail-Adresse.
Second attribute (only for
MapType) (Zweites Attribut
(nur für MapType))
Hier können Sie ein zweites Attribut eines Datenbankelements auf einem
LDAP-Server angeben, nach dem gesucht wird, wenn die Daten für dieses
Element vom Typ „Zuordnungstyp“ sind.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs
abgerufen, das im Feld Attribute (Attribut) konfiguriert wird.
Enable LDAP version 3
(LDAP-Version 3 aktivieren)
Bei Auswahl dieser Option wird die Version 3 des LDAP-Protokolls verwendet
Wenn Sie diese Option deaktivieren, müssen Sie die Codierung angeben, die
für die Kommunikation mit dem LDAP-Server verwendet wird.
Das folgende Eingabefeld für diese Informationen wird angezeigt, wenn Sie
die Auswahl von Enable LDAP version 3 (LDAP-Version 3 aktivieren) aufheben.
Allow LDAP library to follow
referrals (Verfolgen von
Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option können Weiterleitungen zu Speicherorten
außerhalb des LDAP-Servers, auf dem eine Suche nach einer externen Liste
durchgeführt wurde, verfolgt werden, um die Liste abzurufen.
Datenbankspezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datenbank ist
Database (Datenbank) ausgewählt ist.
Produkthandbuch
91
4
Listen
Externe Listen
Tabelle 4-12 Datenbankspezifische Parameter
Option
Definition
SQL query
(SQL-Abfrage)
Hier können Sie eine Zeichenfolge zur Kennzeichnung des Abfragetyps
angeben, der in einer Datenbank durchgeführt wird.
Der Standardabfragetyp zum Abrufen externer Listeninformationen lautet
SELECT.
Sie können die Zeichenfolge mit einem Semikolon (;) abschließen, dies ist
jedoch nicht erforderlich.
Eine Abfrage kann auch Platzhalter enthalten, um variable Daten
einzuschließen.
Wenn der Platzhalter $N verwendet wird, werden die als Variablenwert
eingefügten Daten „escaped“, um eine SQL-Injektion zu verhindern. Ein \
(umgekehrter Schrägstrich) wird dann durch einen \\ (doppelten umgekehrten
Schrägstrich) ersetzt, und einem ' (Apostroph) wird ein \ (umgekehrter
Schrägstrich) vorangestellt.
Eine SQL-Abfrage gibt normalerweise eine Datenspalte zurück. Wenn Sie eine
Abfrage durchführen, die mehrere Spalten zurückgibt, wird nur die erste Spalte
für externen Listeninhalt verwendet.
Um Inhalt aus mehreren Spalten abzurufen, müssen Sie mithilfe der
entsprechenden SQL-Operatoren kombinierte Spalten für die Ausgabe angeben.
Type of database
(Datenbanktyp)
Hier können Sie den Datenbanktyp angeben, aus dem Inhalt externer Listen
abgerufen wird.
Die folgenden Typen stehen zur Verfügung:
• PostgreSQL
• SQLite3
Nach der Auswahl des Datenbanktyps werden die entsprechenden
datenbankspezifischen Parameter angezeigt.
Tabelle 4-13 PostgreSQL-Datenbank-spezifische Parameter
Option
Definition
Database host (Datenbank-Host)
Hier können Sie den Host-Namen des Servers angeben, auf dem
sich eine Datenbank befindet.
Database port (Datenbank-Port)
Hier können Sie die Port-Nummer des Ports auf einem
Datenbank-Host angeben, der auf Anfragen zum Abrufen externer
Listeninhalte überwacht.
Die Standard-Port-Nummer lautet 5432.
Name of database on database server
(Name der Datenbank auf dem
Datenbank-Server)
Hier können Sie den Namen einer Datenbank angeben, unter dem
die Datenbank auf dem Datenbank-Server bekannt ist.
Database user name (Benutzername für
Datenbank)
Hier können Sie den Benutzernamen einer Appliance angeben, der
zum Herstellen einer Verbindung mit einem Datenbank-Server
verwendet wird.
Database password (Kennwort für
Datenbank)
Hier können Sie ein Kennwort für den Benutzernamen einer
Appliance festlegen.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des
Kennworts zu öffnen.
92
Produkthandbuch
Listen
Externe Listen
4
Tabelle 4-14 SQLite-Datenbank-spezifische Parameter
Option
Definition
File path to SQLite database (Dateipfad zu
SQLite-Datenbank)
Hier können Sie den vollständigen Pfad zu der Datei auf
einer Appliance angeben, die eine Datenbank enthält.
Erweiterte Parameter
Einstellungen für erweiterte Methoden bei der Verarbeitung externer Listen
Tabelle 4-15 Erweiterte Parameter
Option
Definition
Skip „bad“ entries during data
conversion (Fehlerhafte Einträge bei
Datenkonvertierung überspringen)
Bei Auswahl dieser Option werden Daten, die nicht in den
gewünschten Typ konvertiert werden können, z. B. Integer, Double
oder Boolean, übersprungen
Maximal number of entries to fetch
(Maximale Anzahl abzurufender
Einträge)
Hier können Sie die Anzahl der Einträge begrenzen, die aus der
externen Liste abgerufen werden.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Maximal size of entries to fetch
(Maximale Größe abzurufender
Einträge)
Hier können Sie die Datenmenge begrenzen (in KB), die aus einer
externen Liste abgerufen wird.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Diese Option ist nicht verfügbar, wenn die Quelle der externen Liste
ein LDAP-Server ist.
Konfigurieren von allgemeinen Einstellungen für externe Listen
Sie können Einstellungen konfigurieren, die für alle externen Listen gelten, die für die Verwendung auf
der Appliance abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen
konfigurieren möchten, und klicken Sie auf External Lists (Externe Listen).
Nun werden die Einstellungen für die externen Listen im Einstellungsbereich angezeigt.
3
Konfigurieren Sie diese Einstellungen nach Bedarf.
4
Systemeinstellungen für „External Lists“ (Externe Listen)
Die Systemeinstellungen für „External Lists“ (Externe Listen) gelten für alle externen Listen, die auf
der Appliance verarbeitet werden.
Global Configuration (Globale Konfigurationen)
Einstellung für den internen Cache auf der Appliance, in dem Daten aus externen Listen gespeichert
werden
Produkthandbuch
93
4
Listen
Externe Listen
Tabelle 4-16 Global Configuration (Globale Konfigurationen)
Option
Definition
Flush External Lists Cache
Entfernt die im internen Cache gespeicherten Daten.
(Cache für externe Listen leeren)
Time before retry after failure
Beschränkt den Zeitraum (in Sekunden), für den vom Modul „External
(Zeitraum bis Wiederholung nach Lists“ (Externe Listen) ein Fehler beim Abrufen von Daten aus einer
Fehler)
bestimmten externen Quelle gespeichert wird, auf den angegebenen Wert.
Das Modul führt keine Wiederholungsversuche für eine Quelle aus,
solange der Fehler gespeichert ist.
Es wird empfohlen, den Standardwert zu übernehmen oder diesen
entsprechend den jeweiligen Anforderungen Ihres Netzwerks zu ändern.
Auf diese Weise vermeiden Sie eine weitere Belastung eines ohnehin
bereits überlasteten Web-Servers durch ständige Wiederholungsversuche.
File Data Source Configuration (Konfiguration von Dateidatenquellen)
Einstellung für das lokale Dateisystem, aus dem Daten aus externen Listen abgerufen werden können
Tabelle 4-17 File Data Source Configuration (Konfiguration von Dateidatenquellen)
Option
Definition
File system allowed for file data
access (Zulässiges Dateisystem für
Dateidatenzugriff)
Gibt den Pfad zu dem Ordner im lokalen Dateisystem an, in dem
externe Listen gespeichert sind.
Externe Listen, aus denen Daten abgerufen werden, müssen in diesem
Ordner gespeichert sein.
Andernfalls wird beim Versuch, die Daten abzurufen, der Fehler
„Zugriff verweigert“ ausgegeben.
Wenn Daten aus externen Listen aus einer SQLite-Datenbank
abgerufen werden, wird hier der Pfad zum Ordner im lokalen
Dateisystem angegeben, der die Datenbank enthält.
Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Einstellung für alle Web-Dienste, die Quellen für Daten aus externen Listen darstellen
Tabelle 4-18 Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Option
Definition
Check SSL certificate identity
(Identität für SSL-Zertifikat
überprüfen)
Bei Auswahl dieser Option wird ein von einem Web-Server in der
SSL-gesicherten Kommunikation unter dem HTTPS-Protokoll
gesendetes Zertifikat überprüft
Die Überprüfung erfolgt gemäß den SSL-Scan-Regeln, die auf der
Appliance implementiert sind.
Dies kann z. B. zu einem Fehler führen, wenn der Web-Server ein
selbstsigniertes Zertifikat verwendet.
94
Produkthandbuch
4
Listen
Zuordnungstyplisten
Zuordnungstyplisten
Mit Zuordnungstyplisten, auch als Zuordnungen bezeichnet, können einander zugeordnete Schlüsselund Wertepaare gespeichert werden. Bei den Schlüsseln und den zugehörigen Werten handelt es sich
jeweils um Zeichenfolgen.
Vorhandene Zuordnungen können für Suchvorgänge verwendet werden, um beispielsweise
herauszufinden, ob ein bestimmter Schlüssel in einer Zuordnung vorhanden ist oder welcher Wert
einem Schlüssel zugeordnet ist.
Weiterhin ist es möglich, Werte für einen bestimmten Schlüssel zu setzen oder zu löschen und eine
komplette Zuordnung in eine einzelne Zeichenfolge zu konvertieren.
Sie können Zuordnungstyplisten auf der Benutzeroberfläche von Web Gateway erstellen und füllen
oder sie mithilfe der Funktionen „Externe Listen“ und „Abonnierte Listen“ von einem
Remote-Speicherort abrufen.
Wenn Sie mit anderen Datentypen für Ihre Zuordnungen arbeiten möchten, z. B. Nummern oder
IP-Adressen, können Sie diese mithilfe von Eigenschaften wie Number.ToString oder IP.ToString
konvertieren.
Erstellen einer Zuordnungstypliste
Zum Erstellen einer Zuordnungstypliste fügen Sie eine Liste dieses Typs hinzu und füllen diese mit
Paaren aus Schlüsseln und Werten.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
3
Fügen Sie eine Zuordnungsliste hinzu.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie in der Liste Type (Typ) die Option MapType (Zuordnungstyp) aus.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Zuordnungsliste wird nun in der Listen-Baumstruktur
unter Custom Lists | MapType (Benutzerdefinierte Listen | Zuordnungstyp) angezeigt.
Mithilfe des Einstellungsbereichs können Sie nun Einträge in die Liste einfügen.
4
Klicken Sie im Einstellungsbereich auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Map Type (Zuordnungstyp hinzufügen).
5
Für jedes Eintragungspaar müssen Sie Folgendes in die Liste eingeben:
a
Geben Sie im Feld key (Schlüssel) einen Schlüsselnamen ein.
b
Geben Sie im Feld value (Wert) einen Wert ein.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und das Eintragungspaar wird in der ersten Zeile des
Einstellungsbereichs angezeigt.
6
Produkthandbuch
95
4
Listen
Zuordnungstyplisten
Verwenden von Eigenschaften zur Arbeit mit
Zuordnungstyplisten
Es gibt mehrere Eigenschaften zur Arbeit mit Zuordnungstyplisten. Durch das Verwenden dieser
Eigenschaften in Regelkriterien können Sie Informationen zu einer Zuordnungstypliste abrufen, eine
Liste bearbeiten, eine neue Liste erstellen und auch eine Liste in eine Zeichenfolge konvertieren.
Zum Abrufen von Informationen über eine Zuordnungstypliste (Zuordnung) können Sie folgende
Aktionen ausführen:
•
Abrufen einer Zuordnung, für die Sie einen Namen angeben
•
Überprüfen, ob in einer Zuordnung ein bestimmter Schlüssel vorhanden ist
•
Abrufen der Anzahl an Schlüsselwertpaaren in einer Zuordnung
•
Abrufen einer Liste der Schlüssel in einer Zuordnung
•
Abrufen des Werts für einen bestimmten Schlüssel in einer Zuordnung
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.ByName
Stellt eine Zuordnung mit dem von Ihnen angegebenen Namen bereit.
Map.HasKey
Ist „True“, wenn die angegebene Zuordnung den angegebenen Schlüssel
enthält.
Map.Size
Gibt die Anzahl der Schlüsselwertpaare in einer Zuordnung an.
Map.GetKeys
Bietet eine Liste der Schlüssel in einer Zuordnung.
Map.GetStringValue Bietet die Zeichenfolge, die den Wert des angegebenen Schlüssels in der
angegebenen Zuordnung darstellt.
Sie können beispielsweise mithilfe der Eigenschaft Map.GetStringValue in den Kriterien einer Regel
feststellen, ob ein Schlüssel in einer Liste über einen bestimmten Wert verfügt. Der Schlüssel könnte
ein Benutzername und der Wert eine Zeichenfolge sein, die als Token zur Authentifizierung dient.
Die Kriterien würden dann folgendermaßen konfiguriert werden:
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
Wenn der Schlüssel sampleuser den Wert sampletoken hat, stimmen die Kriterien überein, und die
Regel führt eine bestimmte Aktion aus, z. B. Weiter.
Wenn eine Zuordnung bearbeitet wird, werden die Änderungen für eine Kopie der ursprünglichen
Zuordnung übernommen, und die ursprüngliche Zuordnung bleibt selber unverändert. Um eine
Zuordnung auf diese Weise zu bearbeiten, können Sie folgende Aktionen durchführen:
•
Festlegen eines bestimmten Werts für einen Schlüssel
•
Löschen eines Schlüssels
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.SetStringValue Bietet eine Zuordnung, in der der angegebene Wert für den angegebenen
Schlüssel festgelegt ist.
Map.DeleteKey
Bietet eine Zuordnung, in der der angegebene Wert gelöscht wird.
Zum Erstellen einer neuen Zuordnung oder zum Konvertieren einer Zuordnung in eine Zeichenfolge
werden die folgenden Eigenschaften verwendet.
96
Produkthandbuch
Listen
Zuordnungstyplisten
Eigenschaft
Beschreibung
Map.CreateStringMap
Bietet eine neue Zuordnung, die noch leer ist.
Map.ToString
Bietet eine in eine Zeichenfolge konvertierte Zuordnung.
4
Abrufen von Zuordnungsdaten aus externen und abonnierten
Listen
Daten für Zuordnungstyplisten (Zuordnungen) können aus externen und abonnierten Listen abgerufen
werden.
Externe Listen
Zum Abrufen von Zuordnungsdaten aus einer externen Liste wird die Eigenschaft ExtLists.StringMap
bereitgestellt, die in den Kriterien einer geeigneten Regel angegeben werden kann. Der Wert dieser
Eigenschaft ist eine Liste von Zuordnungen, deren Quelle eine externe Liste ist.
Wenn Sie z. B. feststellen möchten, ob ein bestimmter Schlüssel in einer aus einer externen Quelle
abgerufenen Liste enthalten ist, können Sie die folgenden Regelkriterien konfigurieren:
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
Zum Angeben der externen Liste und der Quelle, aus der sie abgerufen werden kann, müssen Sie die
Einstellungen des Moduls „External Lists“ (Externe Listen) konfigurieren, das die Listen abruft. In den
oben angegebenen Kriterien werden diese Einstellungen unter dem Namen External Lists (Externe
Listen) angezeigt.
Daten aus externen Listen können von einem Web-Dienst, aus einer Datei, einer PostgreSQL- oder
SQLite3-Datenbank oder über LDAP abgerufen werden. Beim Konfigurieren des Abrufens von Daten
für eine Zuordnung ist bei diesen Quelltypen Folgendes zu beachten:
•
Web-Dienst oder Datei
Der Typ der Daten, die von einem Web-Dienst oder aus einer Datei abgerufen werden, muss Plain
Text (Nur-Text-Format) sein.
Zum Auffinden der Daten wird ein regulärer Ausdruck verwendet, der zwei Teile umfasst. Der erste
Teil ist für die Schlüssel und der zweite Teil für die Werte bestimmt.
•
Datenbanken
Die Datenbankabfrage zum Abrufen der Daten muss zwei Spalten zurückgeben. Die erste Spalte
liefert die Schlüssel, während in der zweiten Spalte die Werte enthalten sind.
•
LDAP
Zum Abrufen der Daten werden in den LDAP-Einstellungen ein erstes und ein zweites Attribut
konfiguriert. Das erste Attribut liefert die Schlüssel, während das zweite Attribut die Werte angibt.
Abonnierte Listen
Einträge in abonnierten Listen, aus denen Zuordnungsdaten abgerufen werden, müssen das folgende
Format aufweisen.
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
Im Element listEntry ist ein complexEntry eingebettet. Dadurch kann das Modul „Subscribed Lists“ das
Format verarbeiten.
Produkthandbuch
97
4
Listen
Allgemeiner Katalog
Allgemeiner Katalog
Der allgemeine Katalog bietet Listen, die von einem McAfee ePO-Server mithilfe von Push an eine
Web Gateway-Appliance übertragen werden können.
Die folgenden Listentypen können mithilfe von Push übertragen werden: IP-Adresse, Domänenname,
Zeichenfolge, Platzhalterausdruck.
Der Inhalt dieser Listen auf der Web Gateway-Appliance darf nicht verändert werden, da dieser Inhalt
regelmäßig auf dem McAfee ePO-Server aktualisiert wird. Diese Aktualisierungen überschreiben alle von
Ihnen vorgenommenen Änderungen.
Die Listendaten werden über eine intern auf beiden Systemen ausgeführte REST-Schnittstelle
(Representational State Transfer) übertragen. Außerdem muss eine McAfee ePO-Erweiterung für
Web Gateway auf dem McAfee ePO-Server ausgeführt werden.
Diese Erweiterung umfasst eine Hilfserweiterung, die eine Online-Hilfe zum Umgang mit der
Erweiterung bietet. Ein Erweiterungspakt ist auf der Benutzeroberfläche von Web Gateway unter den
Systemeinstellungen für ePolicy Orchestrator verfügbar.
Um Anfragen des McAfee ePO-Servers die Filterung durch Web-Sicherheitsregeln auf Web Gateway
umgehen zu lassen, müssen Sie einen passenden Regelsatz aus der Bibliothek importieren, diesen an
der höchstmöglichen Stelle der Regelsatz-Baumstruktur platzieren und aktivieren.
Zusätzlich müssen Sie ein McAfee ePO-Benutzerkonto einrichten, da sich auf der Appliance eine
Instanz befinden muss, die die Listenübertragung bearbeiten darf. Zum Einrichten dieses Kontos
werden die ePolicy Orchestrator-Systemeinstellungen verwendet.
Der Benutzer des McAfee ePO-Kontos muss auch als ein Administrator mit einem Konto zwischen den
internen Web Gateway-Administratorkonten angezeigt werden.
Nachdem die Listen mithilfe von Push aus dem allgemeinen Katalog an Web Gateway übertragen
wurden, werden sie auf der Registerkarte Lists (Listen) ihrer Benutzeroberfläche angezeigt. Ein Präfix
im Listennamen gibt an, dass ein McAfee ePO-Server die Quelle einer Liste ist.
Wie alle anderen Listen auf der Registerkarte Lists (Listen) können Sie diese Listen zum Konfigurieren
von Regeln verwenden.
Vorbereiten der Verwendung von Common Catalog-Listen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Common Catalog-Listen
vorzubereiten, die von einem McAfee ePO-Server mithilfe von Push auf eine Web Gateway-Appliance
übertragen werden.
Vorgehensweise
98
1
Richten Sie ein Konto für einen McAfee ePO-Benutzer in Web Gateway ein.
2
Richten Sie ein Administratorkonto mit demselben Benutzernamen und demselben Kennwort in
Web Gateway ein.
3
Aktivieren Sie die Verwendung der REST-Schnittstelle in Web Gateway.
4
Importieren Sie den Regelsatz Bypass ePO Requests aus der Bibliothek auf der Benutzeroberfläche
von Web Gateway, verschieben Sie ihn in der Regelsatz-Baumstruktur an die oberste Position, und
aktivieren Sie ihn.
5
Laden Sie ein McAfee ePO-Erweiterungspaket für Web Gateway herunter, und installieren Sie es auf
dem McAfee ePO-Server.
Produkthandbuch
Listen
Allgemeiner Katalog
6
4
Registrieren Sie auf der Benutzeroberfläche des McAfee ePO-Servers einen neuen Server für die
Kommunikation mit Web Gateway, und geben Sie dabei eine Appliance an, auf der Web Gateway
ausgeführt wird.
Im Dashboard auf der Benutzeroberfläche werden nach ca. 15 Minuten Daten zum in Web Gateway
verarbeiteten Web-Datenverkehr angezeigt.
7
Übertragen Sie Listen vom McAfee ePO-Server mithilfe von Push zu Web Gateway.
Die mithilfe von Push zu Web Gateway übertragenen Listen werden in der Listen-Baumstruktur der
Benutzeroberfläche angezeigt.
Weitere Informationen zum Installieren eines McAfee ePO-Erweiterungspakets und zum Durchführen
von Aktivitäten auf dem McAfee ePO-Server finden Sie in der Dokumentation zu McAfee ePO.
Einrichten eines Benutzerkontos für Common Catalog-Listen
Um die Verwendung von Common Catalog-Listen zu ermöglichen, müssen Sie auf Web Gateway ein
McAfee ePO-Benutzerkonto einrichten, um eine Instanz zu erstellen, die die Listenübertragung
verarbeiten darf.
Vorgehensweise
1
Wählen Sie Configuration | ePolicy Orchestrator (Konfiguration | ePolicy Orchestrator) aus.
2
Konfigurieren Sie unter ePolicy Orchestrator Settings (ePolicy Orchestrator-Einstellungen) ein
Benutzerkonto.
a
Übernehmen Sie im Feld ePO user account (ePO-Benutzerkonto) den vorkonfigurierten Wert epo.
b
Klicken Sie neben dem Feld Password (Kennwort) auf Change (Ändern).
Daraufhin öffnet sich das Fenster New Password (Neues Kennwort).
c
Legen Sie über die Fensteroptionen ein neues Kennwort fest.
3
Achten Sie darauf, dass Enable data collection for ePO (Datensammlung für ePO aktivieren) aktiviert ist.
4
Der Benutzer des von ihnen konfigurierten McAfee ePO-Kontos muss auch als Administrator in einem
Administratorkonto auf Web Gateway angezeigt werden.
Einrichten eines Administratorkontos für Common CatalogListen
Um die Verwendung von Common Catalog-Listen zu aktivieren, müssen Sie auf Web Gateway ein
Administratorkonto mit demselben Benutzernamen und Kennwort wie für das McAfee
ePO-Benutzerkonto einrichten.
Vorgehensweise
1
Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus.
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
Produkthandbuch
99
4
Listen
Allgemeiner Katalog
3
Richten Sie ein Administratorkonto zur Verwendung von Common Catalog-Listen ein.
a
Geben Sie im Feld User name (Benutzername) den Wert epo ein.
b
Geben Sie in den Feldern Password (Kennwort) und Password repeated (Kennwort wiederholen) das
Kennwort ein, das Sie beim Einrichten des Benutzerkontos für den ePO-Benutzer konfiguriert
haben.
c
Wählen Sie in der Liste Role (Rolle) die Rolle ePO Common Catalog Administrator (ePO-Common
Catalog-Administrator) aus.
d
Klicken Sie auf Edit (Bearbeiten), um die aktuellen Rolleneinstellungen zu überprüfen.
Daraufhin öffnet sich das Fenster Edit Role (Rolle bearbeiten). Aktivieren Sie bei Bedarf die
folgenden Einstellungen:
e
•
Policy — Lists accessible (Richtlinie: Listen zugänglich)
•
Policy — Lists creation (Richtlinie: Listen erstellen)
•
REST Interface accessible (REST-Schnittstelle zugänglich)
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das neue Administratorkonto wird unter Internal
Administrator Accounts (Interne Administratorkonten) angezeigt.
Zusammen mit dem Benutzerkonto für den McAfee ePO-Benutzer dient dieses Administratorkonto als
die Instanz auf Web Gateway, die zur Verarbeitung der Übertragung von Listen von einem McAfee
ePO-Server vorhanden sein muss.
Aktivieren der Nutzung der REST-Schnittstelle für Common
Catalog-Listen
Für die Kommunikation mit dem McAfee ePO-Server, von dem aus die Common Catalog-Listen
übertragen werden können, müssen Sie in Web Gateway die interne REST-Schnittstelle
(Representational State Transfer) aktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf die Sie die Common
Catalog-Listen übertragen möchten, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Aktivieren Sie unter UI Access (Benutzeroberflächen-Zugriff) die beiden Optionen Enable REST interface
over HTTP (REST-Schnittstelle über HTTP aktivieren) und Enable REST interface over HTTPS
(REST-Schnittstelle über HTTPS aktivieren).
4
Aktivieren Sie unter Login Page Options (Optionen Anmeldeseite) die Option Allow multiple logins per login
name (Mehrere Anmeldungen pro Anmeldename zulassen).
5
Beispieleinstellungen zum Registrieren von Web Gateway auf
einem McAfee ePO-Server
Um Common Catalog-Listen an eine Web Gateway-Appliance übertragen zu können, müssen Sie die
Appliance auf dem McAfee ePO-Server als neuen Server registrieren.
Nachfolgend finden Sie Beispieleinstellungen für diese Registrierung.
100
Produkthandbuch
4
Listen
Option
Beispielwert
Server type (Servertyp)
McAfee Web Gateway 7
Name
mwg7-3.sample-lab.local
Notes (Hinweise)
(optional)
Host name (Host-Name)
mwg7-3.sample-lab.local
Host address (Host-Adresse)
171.18.19.226
Administration port (Verwaltungs-Port)
4712
Statistics retrieval port (Statistikabruf-Port)
9090
User name (for access to the host GUI)
(Benutzername (für Zugriff auf Host-GUI))
<Initialer oder aktueller Benutzername für Zugriff auf Web
Gateway-Benutzeroberfläche>
Password (Kennwort)
<Initiales oder aktuelles Kennwort für Zugriff auf die Web
Gateway-Benutzeroberfläche>
epo
User name (for statistics retrieval and list
management) (Benutzername (für Statistikabruf und
Listenverwaltung)
Password (Kennwort)
<Gleiches Kennwort wie das für den ePO-Benutzer und die
Administratorkonten auf Web Gateway konfigurierte
Kennwort>
Options (Optionen)
Allow ePO to manage lists on this system (Zulassen, dass ePO Listen
auf diesem System verwaltet) (aktiviert)
Der initiale Benutzername und das initiale Kennwort für den Zugriff auf die Benutzeroberfläche von Web
Gateway sind admin und webgateway.
In Web Gateway können im JSON-Format (JavaScript Object Notation) codierte Daten gelesen,
bearbeitet und erstellt werden.
JavaScript Object Notation ist ein textbasiertes Format für den Datenaustausch. Es ist unkompliziert
mit JavaScript lesbar, die Verwendung von JavaScript ist jedoch nicht zwingend notwendig. Diese
Notation wird für die Kommunikation mit interaktiven Websites und auch mit NoSQL- und
dokumentenorientierten Datenbanken (z. B. MongoDB oder CouchDB) verwendet.
JSON-basierte Programmierschnittstellen werden beispielsweise in populären sozialen Netzwerken wie
Facebook und Twitter genutzt.
®
In Web Gateway werden z. B. in von McAfee Advanced Threat Defense (Advanced Threat Defense)
erstellten Scan-Berichten JSON-Daten verwendet. Auch aus externen Quellen stammende Listen, die
in Web Gateway verarbeitet werden, können das JSON-Datenformat aufweisen.
JSON-Daten
JSON-Daten werden als Objekte zur Verfügung gestellt. Ein JSON-Objekt ist sozusagen ein Container,
in dem Daten eines einzigen oder unterschiedlicher einfacher Typen enthalten sind, beispielsweise
Zeichenfolgen, Zahlen usw.
Die grundlegende Struktur eines JSON-Objekts kann folgendermaßen dargestellt werden:
object: {"key": value, "key": value, ...}
Produkthandbuch
101
4
Listen
Beispiel:
Employee: {"First name": "Joe", "Last name": "Miller", "Age": 32}
Als Wert eines JSON-Elements sind Daten der folgenden Typen möglich: Zeichenfolge, Zahl,
boolescher Wert, leer.
JSON-Objekte können auch ein Array enthalten:
object: {"key": value, "key": value, array: [value, value, ...]}
Beispiel:
Employee: {"First name": "Joe", "Last Name": "Miller", "Children": [Ian, Lisa]}
In der ursprünglichen JavaScript Object Notation dürfen sich auf der obersten Ebene einer
hierarchischen Datenstruktur ausschließlich Objekte und Felder befinden. Sofern dies in Web Gateway
unterstützt wird, kann sich jedoch auch ein einfaches Element auf der obersten Ebene befinden.
JSON-Objekte können auch in andere JSON-Objekte eingebettet werden.
Umgang mit JSON-Daten mithilfe von Eigenschaften
In Web Gateway stehen mehrere Eigenschaften zum Lesen, Bearbeiten und Erstellen von JSON-Daten
zur Verfügung.
Beispielsweise kann mithilfe der Eigenschaft JSON.FromString aus einer Zeichenfolge ein
JSON-Element erstellt werden. Die Zeichenfolge wird als Parameter der Eigenschaft angegeben. Auf
diese Weise gibt die Eigenschaft JSON.FromString("Meier") die Zeichenfolge "Meier" als Wert eines
JSON-Elements aus.
Mit der Eigenschaft JSON.CreateObject kann ein JSON-Objekt erstellt werden. Nach der Erstellung ist
das Objekt vorerst leer. Um in dem Objekt nun ein JSON-Element speichern zu können, müssen beide
durch die Vergabe eines Namens identifiziert werden.
Das Objekt wird benannt, indem daraus eine benutzerdefinierte Eigenschaft gemacht wird, da
Eigenschaften immer mit einem Namen konfiguriert werden.
Beispielsweise können Sie eine benutzerdefinierte Eigenschaft mit dem Namen
User-Defined.myjsonemployee erstellen und dieser dann anhand eines Regelereignisses den Wert der
Eigenschaft „JSON.CreateObject“ zuweisen.
Name
JSON-Objekt als benutzerdefinierte Eigenschaft erstellen
Kriterien
Always
Aktion
–>
Continue
Ereignis
– Set User-Defined.myjsonemployee = JSON.CreateObject
Das leere JSON-Objekt User-Defined.myjsonemployee kann mittels der Eigenschaft
JSON.StoreByName gefüllt werden, die Parameter für den Namen des Objekts sowie für Schlüssel und
Wert des Elements enthält.
Beispielsweise wird wie folgt ein Element mit dem Schlüssel "Nachname" und dem Wert "Meier" im
Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", JSON.FromString("Meier"))
102
Produkthandbuch
4
Listen
Das Speichern eines Elements in einem Objekt lässt sich aber auch einfacher realisieren:
•
Es ist gar nicht notwendig, das Objekt vor Verwendung der Eigenschaft „JSON.StoreByName“ zu
erstellen.
Wenn Sie einen Objektnamen als Parameter der Eigenschaft angeben, wird dieses Objekt
automatisch erstellt, sofern es noch nicht vorhanden ist.
•
Die Verwendung der Eigenschaft „JSON.FromString“ zur Erfassung des Elementwerts ist nicht
notwendig.
Dieser Wert wird bei der direkten Angabe einer Zeichenfolge automatisch erstellt. Dies gilt ebenfalls
für die anderen einfachen Datentypen, zu denen der Wert eines JSON-Elements gehören kann.
Demzufolge wird mit folgender Aktion ebenfalls ein Element in einem Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", "Meier"))
Zusammenfassung der JSON-Eigenschaften in Gruppen
Viele JSON-Eigenschaften gleichen einander insofern, als dass sie für ähnliche Aktivitäten bezüglich
Daten verwendet werden.
So liefern die Eigenschaften des Formats JSON.From<x> (z. B. JSON.FromString) ein JSON-Element,
das den Wert eines einfachen Datentyps enthält. Dieser Wert mit einfachem Datentyp ist als
Parameter der JSON-Eigenschaft angegeben.
Dies sind einige wichtige Gruppen von JSON-Eigenschaften:
•
JSON.From<x> = Liefert ein JSON-Element, das den Wert eines einfachen Datentyps enthält.
Eigenschaften: JSON.FromString, JSON.FromNumber, JSON.FromBool, JSON.FromStringList,
JSON.FromNumberList
•
JSON.As<x> = Liefert den Wert eines JSON-Elements in einem einfachen Datenformat.
Mit den Eigenschaften dieser Gruppe wird eine entgegengesetzte Aktion zu derjenigen
durchgeführt, für die die Eigenschaften der Form JSON.From<x> verwendet werden.
Damit die Eigenschaften dieser Gruppe korrekt eingesetzt werden können, muss das Format des
JSON-Elements dem einfachen Datenformat entsprechen.
Beispielsweise gibt die Eigenschaft „JSON.AsString“ nur dann eine (einfache) Zeichenfolge aus,
wenn der Wert des JSON-Elements tatsächlich eine (JSON-)Zeichenfolge ist.
Eigenschaften: JSON.AsString, JSON.AsNumber, JSON.AsBool
•
JSON.Create<x> = Erstellt ein JSON-Objekt, ein entsprechendes Feld oder den Elementwert 0.
Eigenschaften: JSON.CreateObject, JSON.CreateArray, JSON.CreateNull
•
JSON.Get<x> = Gibt ein in einem Objekt enthaltenes JSON-Element oder den Datentypen eines
solchen Elements aus.
JSON.GetByName: Gibt ein in einem Objekt enthaltenes Element aus, das durch seinen Schlüssel
bezeichnet wird.
JSON.GetAt: Gibt ein Element aus, das durch seine Position innerhalb eines JSON-Felds identifiziert
wird.
JSON.GetType: Gibt den Typen eines Elements aus.
Produkthandbuch
103
4
Listen
JSON-Eigenschaften in Filterregeln verwenden
Die Eigenschaft JSON.ToString gibt den Wert eines JSON-Elements im Zeichenfolgenformat aus.
Sie können diese Eigenschaft z. B. in einer einfachen Regel zum Hinzufügen einer bestimmten
Client-IP-Adresse zur Whitelist verwenden.
Bei dieser Regel wird eine vorgegebene Client-IP-Adresse auf Übereinstimmung mit der Adresse
überprüft, die zur Whitelist hinzugefügt werden soll.
Name
Als JSON-Elementwert gelieferte Client-IP-Adresse zulassen
Kriterien
Aktion
Client.IP equals
String.ToIP(JSON.ToString(User-Defined.myjsonipaddress))
–> StopCycle (Zyklus
anhalten)
Die Client-IP-Adresse, die zur Whitelist hinzugefügt werden soll, liegt als Wert der benutzerdefinierten
Eigenschaft User-Defined.myjsonipaddress vor.
Die Eigenschaft JSON.ToString gibt diesen Wert im Zeichenfolgenformat aus. Die Eigenschaft
„String.ToIP“ konvertiert die Zeichenfolge wieder in eine IP-Adresse, damit diese mit der im Wert der
Eigenschaft „Client.IP“ am Beginn der Regel enthaltenen Adresse verglichen werden kann.
Vor der Verwendung der Eigenschaft „UserDefined.myjsonipaddress“ in der Beispielregel muss diese
Eigenschaft erst im JSON-Datenformat erstellt und als deren Wert die zur Whitelist hinzuzufügenden
Adresse festlegen.
Für das Zuweisen dieses Werts können Sie, wie im Folgenden gezeigt, ein Ereignis in einer weiteren
Beispielregel verwenden.
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Client-IP-Adresse festlegen
Kriterien
Always
Aktion
Ereignis
–> Continue – Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
Die Eigenschaft „JSON.FromString“ des Regelereignisses konvertiert die Client-IP-Adresse, die als
Eigenschaftsparameter im Zeichenfolgenformat angegeben ist, in den Wert eines JSON-Elements.
Abrufen von JSON-Daten aus einem Advanced Threat Defense-Bericht
Wenn eine Regel in Web Gateway zum Scannen eines Web-Objekts Advanced Threat Defense aufruft,
wird das Scan-Ergebnis als Wert der Eigenschaft Antimalware.MATD.Report gespeichert.
Die Ausgabe des Ergebnisses erfolgt als Zeichenfolge, in der die Ergebniselemente im JSON-Format
angeordnet sind. Mithilfe der Eigenschaft „JSON.ReadFromString“ kann das Ergebnis in ein
JSON-Element umgewandelt werden. Diese Eigenschaft verwendet die Eigenschaft
„AntiMalware.MATD.Report“ als Parameter.
Anschließend kann das JSON-Element als Wert einer benutzerdefinierten Eigenschaft festgelegt
werden.
Die entsprechende Regel für die Verwendung dieser Eigenschaften könnte z. B. so aussehen:
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Advanced Threat
Defense-Bericht festlegen
104
Produkthandbuch
Listen
Kriterien
Always
Aktion
4
Ereignis
–> Continue – Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
Die Ergebnisdaten können mit der Eigenschaft „JSON.GetByName“ abgerufen und z. B. in eine
Protokolldatei geschrieben werden.
Name
JSON-Daten aus Advanced Threat Defense-Bericht in Protokolldatei schreiben
Kriterien
Always
Aktion
Ereignis
– Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
Im Ereignis dieser Regel stellt "Summary" (Zusammenfassung) den Schlüssel eines JSON-Elements
dar, dessen Wert aus den Daten eines Scan-Ergebnisses besteht. Dieser Schlüssel sowie sein Wert
stammen aus einem JSON-Objekt, das den Wert der Eigenschaft „Antimalware.MATD.Report“ darstellt.
Die Struktur dieses JSON-Objekts wird im Folgenden dargestellt.
Das Objekt enthält mehrere weitere eingebettete Objekte. Die aufgeführten Elementschlüssel sind
genauso in Berichten enthalten, für die Werte wurden lediglich Beispielangaben verwendet.
Report: {"Summary": {"Selectors": [{"Engine": "GAM engine", "MalwareName": "EICAR test
file", "Severity": "5" }], "Verdict": {"Severity": "5", "Description": "Subject is
malicious" }, "Stats": [{"ID": "0", "Category": "Persistence, Installation Boot Survival",
"Severity": "5" }] }
Externe Listen im JSON-Datenformat abrufen
Um den weiteren Umgang mit JSON-Daten einer aus einer externen Quelle abgerufenen Liste zu
ermöglichen, kann die Eigenschaft Ext.Lists.JSON verwendet werden. Nach dem Abrufen der externen
Liste mittels dieser Eigenschaft ist der Listeninhalt in einem JSON-Element enthalten, das den Wert
der Eigenschaft bildet.
Genau wie alle anderen Eigenschaften für externe Listen verfügt auch Ext.Lists.JSON über drei
Parameter im Zeichenfolgenformat, die Angaben zur externen Quelle enthalten.
Produkthandbuch
105
4
Listen
106
Produkthandbuch
5
Einstellungen
Mit Einstellungen werden in Web Gateway die Module, Regelaktionen und Systemfunktionen
konfiguriert.
Die Namen der Einstellungen werden an verschiedenen Stellen auf der Benutzeroberfläche angezeigt,
z. B. in den Regelkriterien, -aktionen und -ereignissen oder auf den Registerkarten Settings
(Einstellungen) und Appliances.
Nachdem Sie auf den Namen einer Einstellung geklickt haben, können Sie die Parameter und
Einstellungswerte aufrufen und konfigurieren.
Bei der Ersteinrichtung der Appliance werden neben dem Regelsatzsystem Modul- und
Aktionseinstellungen sowie Einstellungen für das Appliance-System implementiert. Weitere Modul- und
Aktionseinstellungen werden implementiert, wenn Sie einen Regelsatz aus der Regelsatz-Bibliothek
importieren.
Die ursprünglich implementierten oder importierten Einstellungen können Sie überprüfen und ändern.
Sie können die Modul- und Aktionseinstellungen auch vollständig löschen und eigene Modul- und
Aktionseinstellungen erstellen.
Inhalt
Einstellungstypen
Registerkarte „Settings“ (Einstellungen)
Zugreifen auf Einstellungen
Erstellen von Aktions- und Moduleinstellungen
Einstellungstypen
In der Regelverarbeitung und für andere Funktionen auf der Appliance werden verschiedene Arten von
Einstellungen verwendet.
•
Moduleinstellungen: Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen
•
Aktionseinstellungen: Einstellungen für die von Regeln ausgeführten Aktionen
•
Systemeinstellungen: Einstellungen des Appliance-Systems
Produkthandbuch
107
5
Einstellungen
Einstellungstypen
Moduleinstellungen
Moduleinstellungen sind Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen.
Beispielsweise ruft das Modul „URL Filter“ Informationen zu URL-Kategorien ab, um Werte für die
Eigenschaft „URL.Categories“ in einer Filterregel bereitzustellen.
In einer Regel wird der Einstellungsname für ein durch die Regel aufgerufenes Modul neben einer
Regeleigenschaft angezeigt. Beispielsweise kann in einer Regel zur Viren- und Malware-Filterung
Gateway Antimalware als Einstellungsname neben der Eigenschaft Antimalware.Infected angezeigt
werden.
Wenn also das Modul „Anti-Malware“ aufgerufen wird, um den Wert True oder False für die Eigenschaft
bereitzustellen, wird das Modul mit den Gateway Antimalware-Einstellungen ausgeführt. Diese
Einstellungen geben beispielsweise an, welche Methoden zum Scannen von Web-Objekten auf
Infektionen verwendet werden.
Auf Moduleinstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
unteren Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Aktionseinstellungen
Aktionseinstellungen sind Einstellungen für die von Regeln ausgeführten Aktionen.
Sie werden hauptsächlich konfiguriert, um die Meldungen anzugeben, die an durch Regelaktionen wie
„Block“ (Blockieren) oder „Authenticate“ (Authentifizieren) betroffene Benutzer gesendet werden.
Aktionen, die Benutzer nicht betreffen, verfügen über keine Einstellungen, z. B. „Continue“ (Weiter)
oder „Stop Rule Set“ (Regelsatz anhalten).
Auf diese Einstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
oberen Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Systemeinstellungen
Systemeinstellungen sind Einstellungen des Appliance-Systems, z. B. Einstellungen der
Netzwerkschnittstelle oder des Domain Name Systems
Sie können auf diese Einstellungen auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) zugreifen.
Sie können diese Einstellungen bearbeiten, jedoch keine neuen Systemeinstellungen erstellen.
108
Produkthandbuch
Einstellungen
5
Auf der Registerkarte Settings (Einstellungen) können Sie mit Einstellungen für Aktionen und Module
arbeiten.
Hauptelemente der Registerkarte „Settings“ (Einstellungen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Settings (Einstellungen) erläutert.
Tabelle 5-1 Hauptelemente der Registerkarte „Settings“ (Einstellungen)
Element
Beschreibung
Einstellungs-Symbolleiste Steuerelemente zum Arbeiten mit Einstellungen für Aktionen und Module
Einstellungs-Baumstruktur Verzeichnisstruktur mit Aktionen und Modulen
Einstellungen
Parameter und Werte der aktuell ausgewählten Aktion oder des aktuell
ausgewählten Moduls
Einstellungssymbolleiste
Die Einstellungssymbolleiste bietet die folgenden Optionen.
Produkthandbuch
109
5
Einstellungen
Tabelle 5-2 Einstellungssymbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Settings (Einstellungen hinzufügen) zum Erstellen neuer
Einstellungen.
Edit (Bearbeiten)
Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
vorhandener Einstellungen.
Delete (Löschen)
Löscht die ausgewählten Einstellungen.
müssen.
Expand all (Alle einblenden)
Blendet alle ausgeblendeten Elemente der Verzeichnisstruktur ein.
Collapse all (Alle ausblenden) Blendet alle eingeblendeten Elemente der Verzeichnisstruktur aus.
Sie können auf Einstellungen über die Registerkarte Settings (Einstellungen) zugreifen oder indem Sie in
einer Regel auf den entsprechenden Einstellungsnamen klicken. Der Zugriff auf Systemeinstellungen
erfolgt hingegen über die Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration).
Aufgaben
•
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
auf Seite 110
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen
und Module zugreifen.
•
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel auf Seite 111
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden,
zugreifen zu können, klicken Sie auf die Namen der entsprechenden Einstellungen.
•
Zugreifen auf Systemeinstellungen auf Seite 111
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die
Systemeinstellungen zugreifen.
Zugreifen auf Einstellungen für Aktionen und Module auf der
Registerkarte „Einstellungen“
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen und
Module zugreifen.
Vorgehensweise
1
2
Navigieren Sie in der Einstellungs-Baumstruktur zu einem der Zweige Actions (Aktionen) oder Engines
(Module), um auf die gewünschten Einstellungen zugreifen zu können.
3
Führen Sie zur Auswahl der Einstellungen einen der folgenden Schritte durch:
•
Klicken Sie im Zweig Actions (Aktionen) auf eine Aktion, damit diese vollständig angezeigt wird,
und wählen Sie dann die gewünschte Einstellung aus.
•
Klicken Sie im Zweig Engine (Modul) auf ein Modul (auch als Engine bezeichnet), damit dieses
vollständig angezeigt wird, und wählen Sie dann die gewünschte Moduleinstellung aus.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Nun können Sie mit den Einstellungen arbeiten.
110
Produkthandbuch
Einstellungen
5
Zugreifen auf Einstellungen für Aktionen und Module in einer
Regel
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden, zugreifen zu
können, klicken Sie auf die Namen der entsprechenden Einstellungen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit den gewünschten
Einstellungen enthält.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Klicken Sie in der Regel mit den Einstellungen, auf die Sie zugreifen möchten, auf den Namen der
entsprechenden Einstellungen:
•
In den Regelkriterien für Zugriff auf die Moduleinstellungen
•
In der Regelaktion für Zugriff auf die Aktionseinstellungen
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten) mit den ausgewählten
Einstellungen.
Zugreifen auf Systemeinstellungen
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die Systemeinstellungen
zugreifen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, deren Systemeinstellungen Sie
konfigurieren möchten, und klicken Sie dort auf den entsprechenden Einstellungsnamen.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Sie können für Module und Aktionen neue Einstellungen erstellen.
Beim Erstellen solcher Einstellungen werden diese nicht komplett neu angelegt. Vielmehr verwenden
Sie vorhandene Einstellungen, denen Sie einen neuen Namen geben und an denen Sie je nach Bedarf
alle erforderlichen Änderungen vornehmen.
Produkthandbuch
111
5
Einstellungen
Vorgehensweise
1
2
Für die Auswahl der Einstellungen, die als Ausgangsbasis für das Erstellen neuer Eigenschaften
dienen, stehen die beiden folgenden Möglichkeiten zur Verfügung:
•
Wählen Sie die entsprechenden Einstellungen in der Einstellungs-Baumstruktur aus, und klicken
Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen) mit den Parametern und
Werten der ausgewählten Einstellungen.
•
Klicken Sie nun wieder auf Add (Hinzufügen).
Wählen Sie im Bereich Settings for (Einstellungen für) des Fensters die gewünschten Einstellungen
aus.
Die Parameter und Werte dieser Einstellungen werden nun im Fenster angezeigt.
3
Geben Sie im Fenster im Feld Name einen Namen für die neuen Einstellungen ein.
4
Einstellungen ein.
5
Ändern Sie die bestehenden Werte der Einstellungen nach Bedarf.
6
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der
8
112
Produkthandbuch
6
Proxys
Mithilfe der Proxy-Funktionen fängt die Appliance den Web-Datenverkehr ab und überträgt ihn weiter,
wenn dies durch die Filterregeln zugelassen wird. Diese Funktionen können Sie so konfigurieren, dass
sie den Anforderungen in Ihrem Netzwerk entsprechen.
Hier die wichtigsten Einstellungen für Proxys:
•
Netzwerkmodus: Expliziter Proxy-Modus oder ein transparenter Modus
Für jeden Modus können spezifische Einstellungen konfiguriert werden.
•
Netzwerkprotokoll: HTTP, HTTPS, FTP, ICAP sowie Instant Messaging-Protokolle
Die Protokolleinstellungen gehören zu den allgemeinen Proxy-Einstellungen, die für jeden
Netzwerkmodus konfiguriert werden können.
Sie können auch andere allgemeine Proxy-Einstellungen konfigurieren und spezielle Proxy-Lösungen
implementieren, zum Beispiel eine Reverse-HTTPS-Proxy-Konfiguration oder eine automatische
Proxy-Konfiguration.
Inhalt
Konfigurieren von Proxys
Modus „Expliziter Proxy“
Transparenter Router-Modus
Transparenter Bridge-Modus
Secure ICAP
SOCKS-Proxy
Instant Messaging
XMPP-Proxy
Konfigurieren von allgemeinen Proxy-Einstellungen
Proxy-Einstellungen
Steuern ausgehender Quell-IP-Adressen
Verwenden von WCCP zum Umleiten von FTP-Datenverkehr
Verwenden der Raptor-Syntax für die FTP-Anmeldung
Protokolle für die Kommunikation zwischen Knoten
Verwendung von DNS-Servern in Abhängigkeit von Domänen
Reverse-HTTPS-Proxy
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Verwenden des Helix-Proxys
Produkthandbuch
113
6
Proxys
Sie können die Proxy-Funktionen der Appliance passend für Ihr Netzwerk konfigurieren.
Führen Sie die folgenden allgemeinen Schritte aus.
Vorgehensweise
1
Überprüfen Sie die Proxy-Einstellungen.
Die folgenden Schlüsseleinstellungen sind standardmäßig konfiguriert:
2
•
Netzwerkmodus: Expliziter Proxy
•
Netzwerkprotokoll: HTTP
Ändern Sie diese Einstellungen gegebenenfalls.
Sie können beispielsweise Folgendes ausführen:
•
Konfigurieren Sie einen anderen Netzwerkmodus.
•
•
Expliziter Proxy-Modus mit Hochverfügbarkeitsfunktionen
•
•
Konfigurieren Sie ein anderes Netzwerkprotokoll.
Sie können HTTP ein oder mehrere der folgenden Protokolle hinzufügen (oder die Protokolle
hinzufügen und HTTP deaktivieren):
•
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
Instant Messaging-Protokolle: Yahoo, ICQ, Windows Live Messenger, XMPP (für Jabber und
andere Dienste)
Ändern Sie weitere Proxy-Einstellungen, z. B. Zeitlimits und die höchstzulässige Anzahl von
Client-Verbindungen.
3
Konfigurieren Sie bei Bedarf eine spezielle Proxy-Lösung, z. B. einen HTTPS-Reverse-Proxy oder die
automatische Konfiguration von Proxys.
4
Speichern Sie die Änderungen.
Im Modus „Expliziter Proxy“ ist den Clients, deren Web-Datenverkehr auf der Appliance gefiltert wird,
bekannt, dass eine entsprechende Verbindung besteht. Sie müssen explizit so konfiguriert sein, dass
ihr Web-Datenverkehr an die betreffende Appliance weitergeleitet wird.
Wenn dies sichergestellt ist, kommt dem Umstand, an welcher Stelle die Appliance im Netzwerk
bereitgestellt ist, geringere Bedeutung zu. Normalerweise wird sie hinter einer Firewall platziert und
über einen Router mit ihren Clients und der Firewall verbunden.
114
Produkthandbuch
6
Proxys
Die folgende Abbildung veranschaulicht eine Konfiguration im Modus „Expliziter Proxy“.
Abbildung 6-1 Modus „Expliziter Proxy“
Konfigurieren des expliziten Proxy-Modus
Sie können die Proxy-Funktionen einer Appliance im expliziten Proxy-Modus konfigurieren, der den
Standardmodus für diese Funktionen darstellt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der explizite Proxy-Modus
konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) eine der beiden Optionen für den expliziten
Proxy-Modus aus.
•
Proxy: Für den expliziten Proxy-Modus
Dies ist der Proxy-Standardmodus.
Wenn dieser ausgewählt ist, werden spezifische Einstellungen zum Konfigurieren transparenter
Funktionen des expliziten Proxy-Modus unter den Einstellungen für Network Setup
(Netzwerkeinrichtung) angezeigt.
•
Proxy HA (Proxy-Hochverfügbarkeit): Für einen expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen
Wenn Sie diese Option ausgewählt haben, werden spezifische Einstellungen für Proxy HA
(Proxy-Hochverfügbarkeit) unter den Einstellungen für Network Setup (Netzwerkeinrichtung)
angezeigt.
4
Konfigurieren Sie für die ausgewählte Option spezifische und allgemeine Einstellungen nach Bedarf.
5
Produkthandbuch
115
6
Proxys
Siehe auch
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite
116
Einstellungen für „Transparenter Proxy“ auf Seite 121
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 129
Proxy-Einstellungen auf Seite 149
Empfohlene Vorgehensweisen – Konfigurieren des ProxyHochverfügbarkeitsmodus
Der in Web Gateway konfigurierbare Proxy-Hochverfügbarkeits-Netzwerkmodus ist ein expliziter
Proxy-Modus mit Hochverfügbarkeitsfunktionen. Er ermöglicht die Durchführung von Failover und
Lastausgleich ohne externe Lastausgleichsgeräte.
Es wird empfohlen, dieses Setup nur für Netzwerke mit bis zu 1000 Web Gateway-Benutzern zu
verwenden. Bei größeren Netzwerken empfiehlt sich die Verwendung externer Lastausgleichsgeräte.
Master-Knoten und Scan-Knoten
Eine der Appliances in einer Proxy-Hochverfügbarkeitskonfiguration wird als Master-Knoten
konfiguriert. Die anderen Appliances werden dann als Scan-Knoten konfiguriert. Die Rolle wird jeder
Appliance durch Konfigurieren eines Prioritätswerts zugewiesen.
Der Master-Knoten führt den Lastausgleich im Hochverfügbarkeits-Cluster durch, indem er die Last an
die Scan-Knoten verteilt. Normalerweise übernimmt der Master-Knoten auch die Funktion eines
Scan-Knotens. Die Scan-Knoten können als Sicherungsknoten eingesetzt werden, um einen
ausgefallenen Master-Knoten zu ersetzen. Sie können einen Knoten auch als einfachen Scan-Knoten
konfigurieren, der keine Sicherungsfunktionen übernimmt.
Der Knoten, der zu einem bestimmten Zeitpunkt die Rolle des Master-Knoten innehat, wird als aktiver
Master bezeichnet. Der aktive Master-Knoten verwendet eine virtuelle IP-Adresse (VIP) als
Alias-IP-Adresse für die Schnittstelle zur Kommunikation mit den Clients.
Es wird empfohlen, die Appliances, die in die Proxy-Hochverfügbarkeitskonfiguration aufgenommen
werden sollen, auch als Mitglieder einer Konfiguration mit zentraler Verwaltung einzurichten.
Diese Konfigurationen können auch unabhängig voneinander ordnungsgemäß ausgeführt werden.
Wenn die Appliances jedoch nicht durch eine zentrale Verwaltung gesteuert und synchronisiert werden,
ist es möglich, dass jede Appliance nach einer Weile anderen Web-Sicherheitsregeln folgt.
Lastausgleich
Beim Lastausgleich in einer Proxy-Hochgeschwindigkeitskonfiguration werden die
Ressourcenauslastung und die Anzahl aktiver Verbindungen berücksichtigt. Wenn also ein Scan-Knoten
überlastet ist, wird dies durch Verteilung des Datenverkehrs auf die anderen Knoten kompensiert.
Beim Lastausgleich werden Anfragen von einem bestimmten Client normalerweise immer an
denselben Scan-Knoten weitergeleitet.
Failover
Wenn der Master-Knoten ausfällt, übernimmt der Sicherungsknoten mit der höchsten Priorität die
Master-Rolle. Kehrt der ursprüngliche Master-Knoten dann wieder in den aktiven Status zurück,
übernimmt er wieder die Master-Rolle.
Zur Überprüfung der Verfügbarkeit von Knoten wird VRRP (Virtual Router Redundancy Protocol) für
Integritätsprüfungen verwendet. Sie müssen für VRRP auf jeder Appliance Folgendes konfigurieren,
um die Integritätsprüfungen zu aktivieren: eine VRRP-Schnittstelle und eine virtuelle Router-ID, die für
alle Mitglieder des Hochverfügbarkeits-Clusters gleich ist.
116
Produkthandbuch
Proxys
6
Jeder Knoten sendet ein Multicast-Paket pro Sekunde an die IP-Adresse 224.0.0.18. Wenn 3–
4 Sekunden lang kein Multicast-Paket vom aktiven Master empfangen wird, erfolgt ein Failover. Beim
Failover wird der Sicherungsknoten mit der höchsten Priorität zum Master-Knoten. Dieser Knoten wird
zum Inhaber der virtuellen IP-Adresse des Hochverfügbarkeits-Clusters und meldet den anderen
Knoten seine neue Master-Rolle.
Die ARP-Tabellen der teilnehmenden Clients und Router werden mithilfe von Gratuitous ARP (Address
Resolution Protocol) aktualisiert. („Gratuitous ARP“ bedeutet „unaufgefordertes ARP“, eine spezielle
Nutzung von ARP.) Jedes Mal, wenn die gemeinsame virtuelle IP-Adresse den Besitzer wechselt (d. h.
ein Failover erfolgt), sendet der neue Master-Knoten eine Gratuitous ARP-Nachricht. Alle
nachfolgenden TCP/IP-Pakete gelangen dann zu diesem Knoten.
Siehe auch
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration
auf Seite 119
Konfigurieren des Proxy-Hochverfügbarkeitsmodus
Sie können den Proxy-Hochverfügbarkeitsmodus konfigurieren, damit Lastausgleich und Failover ohne
externe Lastausgleichsgeräte durchgeführt werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie in die
Proxy-Hochverfügbarkeitskonfiguration einbeziehen möchten, und klicken Sie dann auf Proxies (HTTP,
HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP, HTTP(S), FTP, SOCKS, ICAP ...)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) die Option Proxy HA (Proxy-Hochverfügbarkeit)
aus.
Nun werden sofort die Einstellungen für Proxy HA (Proxy-Hochverfügbarkeit) unter den Einstellungen
für Network Setup (Netzwerkeinrichtung) angezeigt.
4
Konfigurieren Sie in Web Gateway Folgendes für jede Appliance in der
Proxy-Hochverfügbarkeitskonfiguration:
a
Port redirects (Port-Umleitungen): Fügen Sie einen Eintrag mit den folgenden Parametern zur Liste
der Port-Umleitungen hinzu.
•
Protocol name (Protokollname): HTTP
•
Original destination ports (Ursprüngliche Ziel-Ports): Proxy-Port, den die Benutzer in Ihrem
Netzwerk in ihren Browsern auswählen
•
Destination proxy port (Ziel-Proxy-Port): Von Web Gateway verwendeter Proxy-Port
Der vom Benutzer im Browser ausgewählte und der von Web Gateway verwendete
Proxy-Port können identisch sein, beispielsweise Port 9090.
Geben Sie in diesem Fall eine Port-Umleitung in die Liste ein, die beispielsweise Port 9090 zu
Port 9090 umleitet.
Produkthandbuch
117
6
Proxys
b
Director priority (Master-Priorität): Stellen Sie die Priorität bei der Übernahme der Master-Rolle
anhand einer Zahl ein.
•
Die höchste Priorität lautet beispielsweise 99: für den Master-Knoten
•
Geringere Prioritäten müssen über 0 liegen, z. B. 89: für einen Sicherungsknoten
Ein Sicherungsknoten kann einen Failover durchführen, um den Master-Knoten bei einem
Ausfall zu ersetzen, wenn kein anderer Knoten mit einer höheren Priorität verfügbar ist.
Ansonsten übernimmt der Sicherungsknoten die Funktion eines Scan-Knotens.
•
c
0: Für einen Knoten, der nur als Scan-Knoten fungiert
Management IP (Verwaltungs-IP-Adresse): Geben Sie die lokale IP-Adresse der Appliance an.
Anhand dieser IP-Adresse können Scan-Knoten automatisch erkannt werden. Für die
automatische Erkennung müssen sich alle Knoten in demselben Subnetz befinden.
d
Virtual IPs (Virtuelle IP-Adressen): Geben Sie die gemeinsame IP-Adresse für das
Hochverfügbarkeits-Cluster an.
Der aktive Master ist der Inhaber dieser Adresse, die auf allen Knoten identisch sein muss. Ihre
Benutzer müssen diese Adresse in ihrem Browser auswählen.
e
Konfigurieren Sie die Einstellungen für die VRRP-Integritätsprüfungen.
•
Virtual router ID (ID des virtuellen Routers): Dies ist die für VRRP-Integritätsprüfungen
verwendete ID.
Diese ID muss auf allen Knoten identisch sein. Der Standardwert lautet 51.
Sie können die Standard-ID beibehalten, sofern VRRP nicht bereits mit ID 51 in Ihrem
Netzwerk verwendet wird. In diesem Fall müssen Sie die ID hier ändern, da sie für die
Proxy-Hochverfügbarkeitskonfiguration eindeutig sein muss.
•
VRRP interface (VRRP-Schnittstelle): Dies ist die von VRRP für die Integritätsprüfungen
verwendete Schnittstelle.
Diese Schnittstelle lautet standardmäßig eth0.
Sie können die Standardschnittstelle beibehalten, es sei denn, Sie verwenden die
Schnittstelle "eth0" gar nicht auf Ihren Appliances oder Sie möchten mehrere Schnittstellen
verwenden.
5
Siehe auch
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 129
Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration
Zum Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration können mehrere
Maßnahmen ergriffen werden.
Überprüfen der VRRP-Zustandsprüfungsmeldungen
Meldungen zu den VRRP-Zustandsprüfungen werden auf dem Appliance-System im folgenden
Verzeichnis gespeichert:
/var/log/messages
In diesen Meldungen wird auch angegeben, ob sich eine Appliance im Master-Knoten- oder
Sicherungsknotenstatus befindet.
118
Produkthandbuch
6
Proxys
Ermitteln des Knotens, durch den eine Anfrage blockiert wurde
Sie können ermitteln, durch welchen der Knoten in einem Hochverfügbarkeits-Cluster eine Anfrage
blockiert wurde, indem Sie die Benutzermeldungsvorlage für Blockierungsaktionen bearbeiten. Fügen
Sie die Eigenschaft System.HostName ein.
Testen eines bestimmten Knotens
Sie können das Verhalten eines bestimmten Knotens testen, indem Sie in der Liste der
Port-Umleitungen einen neuen Proxy-Port nur für diesen Knoten eingeben, z. B. 9091.
Geben Sie dann im Browser auf dem zum Testen des Knotens verwendeten Client-System <IP-Adresse
von Web Gateway>:9091 ein.
Identifizieren des aktiven Master-Knotens
Sie können den aktiven Master-Knoten identifizieren, zu dem die virtuelle IP-Adresse des
Hochverfügbarkeits-Clusters gehört, indem Sie eine SSH-Sitzung mit den einzelnen Knoten einrichten.
Führen Sie dann auf jedem Knoten den Befehl ip addr show aus.
Untersuchen von Fehlern bei der Verteilung von Web-Datenverkehr
Wenn der gesamte Web-Datenverkehr auf dem Master-Knoten oder einem anderen einzelnen Knoten
verarbeitet wird, anstatt an andere Knoten verteilt zu werden, kann dies folgende Gründe haben:
•
Auf dem Master-Knoten sind keine Port-Umleitungen konfiguriert. Wenn keine Port-Umleitungen
vorhanden sind, leitet der Master-Knoten den Datenverkehr nicht an andere Knoten um, sondern
verarbeitet diesen lokal.
•
Der Master-Knoten erkennt die anderen Knoten nicht, da diese mit IP-Adressen konfiguriert sind,
die nicht zu demselben Subnetz gehören.
•
Der gesamte Datenverkehr stammt von derselben Quell-IP-Adresse, da ein Downstream-Proxy oder
ein NAT-Gerät verwendet wird. In diesem Fall ist das übliche Verhalten für den Lastausgleich,
diesen Datenverkehr immer an denselben Knoten weiterzuleiten.
Empfohlene Vorgehensweisen – Größenbeschränkungen für
Hochverfügbarkeitskonfiguration
Beim Konfigurieren des Proxy HA-Netzwerkmodus (High Availability, Hochverfügbarkeit) müssen Sie
die Anzahl der in die Konfiguration einzubindenden Web Gateway-Appliances berücksichtigen.
In den meisten Fällen werden mehrere Appliances in einem Netzwerk ausgeführt und sind als Knoten
konfiguriert, die über die Funktionen zur zentralen Verwaltung verwaltet werden.
Üblicherweise ist einer dieser Knoten als der Master-Knoten konfiguriert, der eingehenden
Datenverkehr an die anderen Knoten weiterleitet, die als Scan-Knoten bezeichnet werden, da sie für
das Scannen dieses Datenverkehrs zuständig sind.
Auf einer bestimmten Appliance werden Netzwerkschnittstellen üblicherweise in einer zweigleisigen
Lösung konfiguriert, die separate Schnittstellen für eingehenden und ausgehenden Datenverkehr
verwendet, oder in einer dreigleisigen Lösung, die eine zusätzliche Schnittstelle zur Kommunikation
der zentralen Verwaltung verwendet.
Produkthandbuch
119
6
Proxys
Ausgehend von einem auf diese Weise konfigurierten Netzwerk muss Folgendes berücksichtigt
werden:
•
Die Anzahl der Scan-Knoten muss so ausgewählt werden, dass der hinzugefügte maximale
Durchsatz nicht den maximalen Durchsatz verbraucht oder übersteigt, der vom Master-Knoten
erreicht werden kann, der standardmäßig 1 Gigabit pro Sekunde beträgt.
Dieser Wert ergibt sich aus den folgenden internen Beschränkungen: Die vom Master-Knoten
standardmäßig verwendete Netzwerkschnittstelle ist auf die Verarbeitung eines Datenvolumens von
1 Gigabit pro Sekunde eingeschränkt.
Zudem lässt der Kernel-Modustreiber des MLOS-Betriebssystems, das auf einer
Web Gateway-Appliance ausgeführt wird, nur eine Skalierung von bis zu 1 Gigabit pro Sekunde zu.
•
Es wird empfohlen, einen deutlichen Sicherheitsabschlag beim Konfigurieren der Anzahl der
Scan-Knoten zu lassen, die unter diesen Bedingungen theoretisch möglich wäre.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen
Scan-Knoten zehn Knoten möglich, empfohlen werden jedoch fünf.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde wären drei Knoten möglich, empfohlen
werden jedoch zwei.
Der maximale Durchsatz auf einem Scan-Knoten variiert mit dem Appliance-Modell, das als Knoten
verwendet wird, und mit der Art und Weise der Knotenkonfiguration, ob beispielsweise die
Malware-Schutz-Filterung oder der Web-Cache aktiviert ist. Diesen Wert für einen Knoten können Sie
mithilfe eines Größenrechners ermitteln.
Die Berechnungen sehen anders aus, wenn eine 10G-Netzwerkschnittstelle von einem Master-Knoten
anstelle der standardmäßigen 1G-Netzwerkschnittstelle verwendet wird oder wenn IP-Spoofing in
einer Konfiguration aktiviert ist. Dies wird nachfolgend erläutert.
10G-Netzwerkschnittstellen
Wenn eine 10G-Netzwerkschnittstelle auf einer als Master-Knoten konfigurierten Appliance installiert
ist, erhöht sich der maximale Durchsatz für diesen Knoten. Jedoch darf die maximale Skalierung des
MLOS-Kernel-Modustreibers weiterhin nicht ausgelastet oder überschritten werden.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
mehr als fünf Knoten möglich, es wird jedoch weiterhin empfohlen, die Anzahl nicht auf zehn zu
erhöhen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde sind drei Knoten möglich, es wird empfohlen,
nicht mehr zu verwenden.
IP-Spoofing
Wenn IP-Spoofing konfiguriert ist, durchlaufen Datenpakete den Master-Knoten zweimal. Einmal, wenn
der Master-Knoten die Pakete an die Scan-Knoten weiterleitet, und ein weiteres Mal, wenn die Pakete
von den Scan-Knoten an den Master-Knoten zurückgegeben werden, da dieser Knoten die
Datenpakete an ihre ursprünglichen IP-Adressen weiterleitet.
Das bedeutet, dass der maximale Durchsatz auf dem Master-Knoten lediglich 500 Megabits pro
Sekunde beträgt, wenn eine 1G-Netzwerkschnittstelle verwendet wird, während die maximale
Skalierung des MLOS-Kernel-Modustreibers unverändert bleibt.
120
Produkthandbuch
6
Proxys
Die Anzahl der Scan-Knoten muss entsprechend angepasst werden.
•
Beispielsweise müsste bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
und einen Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, die Anzahl der
Scan-Knoten weniger als fünf sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle kann die Anzahl der Scan-Module höher sein, es
werden jedoch trotzdem fünf empfohlen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde für einen Scan-Knoten und einen
Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, darf nur ein Scan-Knoten vorhanden
sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle wird empfohlen, nicht mehr als drei San-Knoten
zu konfigurieren.
Siehe auch
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite
116
Einstellungen für „Transparenter Proxy“
Die Einstellungen für „Transparenter Proxy“ werden zur Konfiguration der transparenten Funktionen
des expliziten Proxy-Modus verwendet.
Transparenter Proxy
Einstellungen zur Konfiguration des expliziten Proxy-Modus mit transparenten Funktionen
Produkthandbuch
121
6
Proxys
Tabelle 6-1 Transparenter Proxy
Option
Definition
Supported client
redirection methods
(Unterstützte Methoden
zur Client-Umleitung)
Bietet Methoden, um den Web-Datenverkehr abzufangen und an eine Appliance
umzuleiten.
• WCCP: Wenn diese Option ausgewählt ist, werden unter dem IPv4-Protokoll an
Web-Server gesendete HTTP-Client-Anfragen von einem zusätzlichen
Netzwerkgerät abgefangen und über das WCCP-Protokoll an die Appliance
weitergeleitet.
Die Clients sind sich der Umleitung nicht bewusst, diese bleibt für sie
transparent, also unsichtbar.
Auf die gleiche Weise wie für Client-Anfragen werden Antworten der
Web-Server zurück an die Appliance geleitet.
Wenn Sie die WCCP-Umleitungsmethode verwenden, müssen Sie auf der
Appliance einen oder mehrere WCCP-Dienste konfigurieren, die die Umleitung
durchführen.
Zudem müssen Sie das Netzwerkgerät konfigurieren, das die Client-Anfragen
und Server-Antworten abfängt. Das Gerät kann als Router oder Switch mit
Router-Funktion konfiguriert werden.
Nach Auswahl dieser Option wird die Inline-Liste WCCP Services (WCCP-Dienste)
zum Konfigurieren und Hinzufügen von WCCP-Diensten angezeigt.
• L2 transparent: Wenn diese Option ausgewählt ist, werden unter den IPv4- und
IPv6-Protokollen an Web-Server gesendete Client-Anfragen von einem
zusätzlichen Netzwerkgerät abgefangen und über die
Layer 2-Umleitungsmethode an die Appliance weitergeleitet.
Bei dieser Methode werden Client-Anfragen auch dann auf der Appliance
akzeptiert, wenn ihre Ziel-IP-Adressen keine Adressen der Appliance sind. Die
Umleitung ist für die Geräte transparent, also unsichtbar.
Sie müssen die ursprünglichen Ports für die abzufangenden und umzuleitenden
Client-Anfragen in einer Liste auf der Appliance eingeben, zusammen mit den
Ports, an die diese Anfragen umgeleitet werden.
Das zusätzliche Netzwerkgerät muss entsprechend konfiguriert werden.
Wenn diese Option ausgewählt ist, können Anfragen nicht über eine
Verbindung im aktiven FTP-Modus übertragen werden. Es steht dann nur der
passive FTP-Modus zur Verfügung.
Nach Auswahl dieser Option wird die Inline-Liste Port Redirects
(Port-Umleitungen) zur Eingabe der Ports angezeigt.
Die folgenden beiden Tabellen beschreiben Listeneinträge in den Listen der WCCP-Dienste und
Port-Umleitungen.
Tabelle 6-2 WCCP-Dienste – Listeneintrag
Option
Definition
Service ID (Dienst-ID)
Gibt einen Dienst an, der Web-Datenverkehr unter dem
WCCP-Protokoll an eine Appliance weiterleitet.
WCCP router definition
(WCCP-Router-Definition)
Gibt die Multicast-IP-Adresse und den DNS-Namen eines Routers
(oder Switch mit Router-Funktion) an, der Web-Datenverkehr über
einen WCCP-Dienst an eine Appliance weiterleitet.
Sie können hier mehrere Router konfigurieren und die Einträge
durch Kommas voneinander trennen.
122
Produkthandbuch
6
Proxys
Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung)
Option
Definition
Ports to be redirected (Umzuleitende
Ports)
Führt die Ports beispielsweise der Web-Server auf, die in den
Adressinformationen der Pakete enthalten sein müssen, damit diese
umgeleitet werden.
Sie könne hier bis zu acht Port-Nummern angeben, durch Kommas
getrennt.
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
Gibt an, ob die umzuleitenden Ports Quell-Ports sind.
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
Gibt die IP-Adresse einer Appliance beim Ausgeben von
Client-Anfragen an.
Proxy listener port (Proxy-Listener-Port)
Gibt einen Port zum Reagieren auf Client-Anfragen an.
Beim Konfigurieren eines WCCP-Dienstes müssen Sie diese Option
auswählen, wenn der Dienst dazu verwendet wird, Antworten der
Web-Server zurück zur Appliance umzuleiten.
Die Standard-Port-Nummer lautet 9090.
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
Legt ein Kennwort fest, das unter dem MD5-Algorithmus zum
Signieren und Verifizieren der Kontrolldatenpakete verwendet wird.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des
Kennworts zu öffnen.
Das Kennwort kann aus bis zu acht Zeichen bestehen.
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Liste nicht enthalten, wird in den
Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die
folgenden beiden Elemente beziehen sich auf das Element und
geben die Zuweisungsmethode an.
• Assignment by mask (Zuweisung nach Maske): Wenn diese Option
ausgewählt ist, wird die Maskierung der Quell- oder
Ziel-IP-Adressen zur Lastenverteilung verwendet.
• Assignment by hash (Zuweisung nach Hash): Wenn diese Option
ausgewählt ist, wird ein Hash-Algorithmus zur Lastenverteilung
verwendet.
Produkthandbuch
123
6
Proxys
Option
Definition
Input for load distribution
(Eingabe für Lastenverteilung)
folgenden Elemente beziehen sich auf dieses Element und geben
an, was in einem Datenpaket als Kriterien zur Lastenverteilung
verwendet wird.
Abhängig davon, ob Sie die Zuweisung nach Maske oder nach Hash
ausgewählt haben, stehen verschiedene Elemente zur Verfügung.
Beim Ausführen mehrere Appliances, kann die Lastenverteilung für
die Proxys auf diesen konfiguriert werden. Datenpakete können
basierend auf ihren Quell- oder Ziel-IP-Adressen und
Port-Nummern an diese Proxys verteilt werden.
Wenn Quell- oder Ziel-IP-Adressen für die Lastenverteilung
verwendet werden, können diese maskiert werden, oder es kann
ein Hash-Algorithmus für diese angewendet werden. Siehe
Optionen unter Assignment method (Zuweisungsmethode).
Wenn Quell- oder Ziel-Ports verwendet werden, kann nur die
Hash-Algorithmusmethode ausgewählt werden.
Lastenverteilungsoptionen für die Zuweisung nach Maske:
• Source IP mask (Quell-IP-Maske): Gibt die Maske für eine
Quell-IP-Adresse an.
Der Standardmaskenwert ist 0x15.
• Destination IP mask (Ziel-IP-Maske): Gibt die Maske für eine
Ziel-IP-Adresse an.
124
Produkthandbuch
6
Proxys
Option
Definition
Der Standardmaskenwert ist 0x15.
Die Maske darf maximal 4 Ziffern lang sein, z. B. 0xa000.
Für beide Masken zusammen können 6 Bit als Maximum festgelegt
werden.
Wenn eine Maske auf 0x0 gesetzt ist, hat diese keinen Einfluss auf
die Lastenverteilung.
Wenn Sie also beispielsweise nur die Quell-IP-Adressen zur
Lastenverteilung verwenden möchten, müssen Sie die Maske für
Ziel-IP-Adressen auf diesen Wert setzen.
Lastenverteilungsoptionen für Zuweisung nach Hash:
• Source IP (Quell-IP): Wenn diese Option ausgewählt ist, basiert die
Lastenverteilung auf Quell-IP-Adressen.
• Destination IP (Ziel-IP): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Ziel-IP-Adressen.
• Source port (Quell-Port): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Quell-Port-Nummern.
• Destination port (Ziel-Port): Wenn diese Option ausgewählt ist,
basiert die Lastenverteilung auf Ziel-Port-Nummern.
Wenn Sie einen WCCP-Dienst für die Verarbeitung von
Client-Anfragen und einen anderen für die Verarbeitung von
Web-Server-Antworten konfigurieren, müssen Sie Source IP
(Quell-IP) und Destination IP (Ziel-IP) entsprechend „über Kreuz“
auswählen.
Das heißt also, wenn Sie Source IP (Quell-IP) für den
Client-Anfragendienst auswählen, müssen Sie Destination IP (Ziel-IP)
für den Web-Server-Antwortendienst auswählen. Wenn Sie Source IP
(Quell-IP) für den Web-Server-Antwortendienst auswählen, müssen
Sie Destination IP (Ziel-IP) für den Client-Anfragendienst auswählen
usw.
Das Gleiche gilt für die Auswahl von Source port (Quell-Port) und
Destination port (Ziel-Port).
Assignment weight
(Zuweisungsgewichtung)
Legt einen Wert fest, um zu bestimmen, wie viel Last einem Proxy
zugewiesen ist.
Verwenden Sie diesen Wert, um einem Proxy auf einer Appliance
mit größerer CPU-Kapazität mehr Last zuzuweisen. 0 bedeutet,
dass keine Last an einen Proxy verteilt wird.
Forwarding method
(Weiterleitungsmethode)
folgenden beiden Elemente beziehen sich auf das Element und
geben die Weiterleitungsmethode an.
• GRE-encapsulated (GRE-gekapselt): Wenn diese Option ausgewählt
ist, werden Datenpakete vor der Umleitung durch den Router
gekapselt.
• L2-rewrite to local NIC (L2-Neuschreibung in lokalen NIC): Wenn diese
Option ausgewählt ist, werden Datenpakete an die Appliance
umgeleitet, indem die MAC-Adresse auf dem nächsten Gerät (auf
dem Weg zum Web-Server) durch die Adresse der Appliance
ersetzt wird.
Produkthandbuch
125
6
Proxys
Option
Definition
L2-redirect target (L2-Umleitung Ziel)
Gibt eine Netzwerkschnittstelle auf einer Appliance an, an die
Pakete umgeleitet werden
Magic (Mask assignment) (Magic
(Maskenzuweisung))
Ermöglicht das Festlegen eines unbekannten Felds in der Maske, die
eine Appliance an den Router sendet.
Diese Einstellung ist erforderlich, um die Kompatibilität mit
verschiedenen Versionen des Betriebssystems des Anbieters zu
gewährleisten, das für den Router verwendet wird.
Comment (Kommentar)
Bietet einen Kommentar im Nur-Text-Format zu einem
WCCP-Dienst.
Tabelle 6-3 Port-Umleitungen – Listeneintrag
Option
Definition
Original destination port (Ursprünglicher
Ziel-Port)
Gibt den Port an, an den die Datenpakete einer Client-Anfrage
ursprünglich gerichtet waren.
Destination proxy port (Ziel-Proxy-Port)
Gibt einen Port an, an den Pakete umgeleitet werden.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Erweiterte Einstellungen der ausgehenden Verbindung
Einstellungen zur Angabe von Methoden für den Umgang mit Informationen aus an Web-Server
gesendeten Client-Anfragen, die Voraussetzungen für die Netzwerkumgebung der Appliance sind
126
Produkthandbuch
6
Proxys
Tabelle 6-4 Erweiterte Einstellungen der ausgehenden Verbindung
Option
Definition
IP-Spoofing (HTTP,
HTTPS, FTP)
Wenn diese Option ausgewählt ist, behält die Appliance die Client-IP-Adresse aus
einer Client-Anfrage als Quell-Adresse bei und verwendet diese zur
Kommunikation mit dem angefragten Web-Server unter verschiedenen
Protokollen.
Wenn zum Abfangen des Web-Datenverkehrs und zur Umleitung an die Appliance
WCCP-Dienste verwendet werden, müssen Sie für jeden Port der Appliance, die
auf Client-Anfragen reagiert, zwei Dienste konfigurieren: einen für die Anfragen
des Clients und einen für die Antworten auf diese Anfragen, die von den
Web-Servern gesendet werden.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen Quell-Port und
verwendet diesen in dieser Kommunikation.
• IP spoofing for explicit proxy connections (IP-Spoofing für explizite Proxy-Verbindungen):
Wenn diese Option ausgewählt ist, verbleiben die Client-Adressen im expliziten
Proxy-Modus, in dem Web-Datenverkehr nicht durch ein zusätzliches Gerät
abgefangen wird.
• Use same source port as client for IP spoofing (Gleichen Quell-Port als Client für
IP-Spoofing verwenden): Wenn diese Option ausgewählt ist, werden
Client-Quell-Ports beibehalten und zusätzlich zu Client-Quell-Adressen für die
Kommunikation mit Web-Servers verwendet.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen zufälligen
Quell-Port und verwendet diesen in dieser Kommunikation.
HTTP: Host header
has priority over
original destination
address (transparent
proxy) (HTTP:
Host-Header hat
Priorität gegenüber
ursprünglicher
Zieladresse
(transparenter Proxy))
Wenn diese Option ausgewählt ist, wird die Zieladresse, die im HOST-Header-Teil
einer Client-Anfrage unter dem HTTP-Protokoll bereitgestellt wird, für die
Kommunikation mit dem angefragten Web-Server verwendet.
In einer transparenten Proxy-Konfiguration könnte für die Kommunikation mit
einem Web-Server auch die Zieladresse verwendet werden, die unter dem
TCP-Protokoll für die zur Übertragung einer Client-Anfrage dienenden Verbindung
angegeben wurde. Diese Adresse ist auch als die ursprüngliche Zieladresse
bekannt.
Beide Kommunikationsmethoden stehen einem transparenten Proxy auf einer
Appliance, die Client-Anfragen abfängt, oder einem WCCP-Dienst, der Anfragen
abfängt und an eine Appliance umleitet, zur Verfügung.
Die Verwendung der HOST-Header-Zieladresse ist die bevorzugte Methode, bei
einigen Konfigurationen kann es jedoch erforderlich sein, die Auswahl dieser
Option aufzuheben und die ursprüngliche Zieladresse für die Kommunikation mit
einem Web-Server zu verwenden.
• Wenn der Web-Datenverkehr auf mehreren Appliances verarbeitet wird, auf
denen transparente Proxys ausgeführt werden und an die Client-Anfragen
entsprechend den Zieladressen geleitet werden, muss sichergestellt werden,
dass die Proxys für die Verbindung mit den Web-Servern die ursprünglichen
Zieladressen verwenden.
• Dies gilt auch, wenn ein WCCP-Dienst unter Verwendung der Zieladressen zur
Lastenverteilung Client-Anfragen abfängt und an mehrere Appliances umleitet.
Beispiel-WCCP-Diensteinstellungen für IP-Spoofing
Beispieleinstellungen zur Konfiguration der WCCP-Dienste mit IP-Spoofing
Konfigurieren Sie diese Einstellungen nur, wenn Sie IP-Spoofing ausführen möchten. Normalerweise ist
es nicht erforderlich, zwei Dienste für die Umleitung des Web-Datenverkehrs an die Appliance unter
dem WCCP-Protokoll zu definieren.
Produkthandbuch
127
6
Proxys
Sie können IP-Spoofing in einer Konfiguration mit WCCP-Diensten verwenden, die Web-Datenverkehr
abfangen und an die Appliance umleiten. In diesem Fall müssen Sie zwei Dienste für alle Ports auf der
Appliance konfigurieren, die auf Anfragen reagieren.
Einer dieser Dienste gilt für die von Clients eingehenden Anfragen und der andere für die von den
Web-Servern gesendeten Antworten auf diese Anfragen.
Die folgende Tabelle zeigt Beispielparameterwerte für diese Dienste.
Tabelle 6-5 Beispielparameterwerte für zwei mit IP-Spoofing konfigurierte WCCP-Dienste
Option
Dienst für
Client-Anfragen
Dienst für
Web-Server-Antworten
Service ID (Dienst-ID)
51
52
WCCP router definition
(WCCP-Router-Definition)
10.150.107.254
10.150.107.254
Ports to be redirected (Umzuleitende Ports)
80, 443
80, 443
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
false
true
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
10.150.107.251
10.150.107.251
Proxy listener port (Proxy-Listener-Port)
9090
9090
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
*****
*****
Input for load distribution (Eingabe Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
für Lastenverteilung)
wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Source IP (Quell-IP)
true
false
Destination IP (Ziel-IP)
false
true
Source port (Quell-Port)
true
false
Destination port (Ziel-Port)
false
true
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Assignment by mask (Zuweisung nach
Maske)
true
true
Assignment by hash (Zuweisung nach Hash)
false
false
Assignment weight (Zuweisungsgewichtung)
100
100
Forwarding method
(Weiterleitungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die Elemente „GRE-encapsulated“ (GRE-gekapselt)
und „L2-rewrite to local NIC“ (L2-Neuschreibung in lokalen NIC)
beziehen sich auf dieses Element
GRE-encapsulated (GRE-gekapselt)
false
false
L2-rewrite to local NIC (L2-Neuschreibung in
lokalen NIC)
true
true
L2-redirect target (L2-Umleitung Ziel)
eth1
eth1
Magic (Mask assignment) (Magic
(Maskenzuweisung))
-1
-1
Comment (Kommentar)
128
Produkthandbuch
6
Proxys
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit)
Mit den Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) werden die Proxy-Funktionen der
Appliance im expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen konfiguriert.
Proxy HA (Proxy-Hochverfügbarkeit)
Einstellungen für den expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen
Tabelle 6-6 Proxy HA (Proxy-Hochverfügbarkeit)
Option
Definition
Port redirects
(Port-Umleitungen)
Stellt eine Liste zum Eingeben der Ports bereit, an die von Benutzern
gesendete Anfragen umgeleitet werden.
Director priority
(Weiterleitungspriorität)
Legt die Priorität (im Bereich von 0 bis 99) fest, die eine Appliance bei der
Weiterleitung von Datenpaketen befolgt.
Der größte Wert gibt die höchste Priorität an. 0 (null) bedeutet, dass die
Appliance Datenpakete nie weiterleitet, sondern diese nur filtert.
In einer Hochverfügbarkeitskonfiguration sind normalerweise zwei
Appliances als Master-Knoten mit einer höheren Priorität als 0 (null)
festgelegt, die Datenpakete weiterleiten und Failover-Funktionen für den
jeweils anderen Knoten bereitstellen.
Die übrigen Knoten sind mit einer Priorität von 0 (null) konfiguriert; sie
werden auch als Scan-Knoten bezeichnet.
Der Prioritätswert wird auf einem Schieberegler eingestellt.
Management IP
(Verwaltungs-IP-Adresse)
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden
von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle
IP-Adressen)
Stellt eine Liste von virtuellen IP-Adressen bereit.
Es wird dringend empfohlen, wenn Sie den expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen („Proxy HA“) in Web Gateway konfiguriert
haben, keine virtuelle IP-Adresse beim Anmelden bei der
Benutzeroberfläche zu verwenden.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
Tabelle 6-7
Port redirects (Port-Umleitungen) – Listeneintrag
Option
Definition
Protocol name (Protokollname)
Gibt den Namen des Protokolls an, das beim Senden einer
Anfrage durch einen Benutzer für eingehende Datenpakete
verwendet wird.
Original destination ports (Ursprüngliche
Ziel-Ports)
Gibt die Ports an, an die umgeleitete Datenpakete ursprünglich
gesendet wurden.
Destination proxy port (Ziel-Proxy-Port)
Gibt den Port an, an den die an die obigen Ports gesendeten
Datenpakete ursprünglich umgeleitet wurden.
Optional 802.1Q VLANs (Optionale
802.1Q-VLANs)
Listet die IDs der konfigurierten Netzwerkschnittstellen für
VLAN-Datenverkehr auf.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Produkthandbuch
129
6
Proxys
Tabelle 6-8
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, die für
Heartbeats unter dem VRRP-Protokoll (Virtual Router Redundancy
Protocol) verwendet wird.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Der transparente Router-Modus ist einer der beiden transparenten Modi, die Sie für die
Proxy-Funktionen der Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden
möchten.
Im transparenten Router-Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur
Weiterleitung ihres Web-Datenverkehrs an die Appliance konfiguriert werden müssen.
Die Appliance wird als Router direkt hinter der Firewall platziert. Die Appliance kann über einen Switch
mit ihren Clients verbunden werden. Zum Weiterleiten des Datenverkehrs wird eine Routing-Tabelle
verwendet.
Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Router-Modus.
Abbildung 6-2 Transparenter Router-Modus
Konfigurieren des transparenten Router-Modus
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im
transparenten Router-Modus zu konfigurieren.
Vorgehensweise
130
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente
Router-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
(HTTP(S), FTP, ICAP und IM)).
Produkthandbuch
6
Proxys
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter
Router) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Router
(Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie für jeden dieser Knoten den transparenten Router-Modus konfigurieren.
Konfigurieren von Knoten im transparenten Router-Modus
Sie können den transparenten Router-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen konfiguriert werden.
Aufgaben
•
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 131
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 132
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Router-Modus auf Seite 133
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie
mindestens eine Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren.
Konfigurieren Sie die Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in
diesem Modus, mit Ausnahme der Scan-Rolle.
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten
im transparenten Router-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für eingehenden und eine Schnittstelle für
ausgehenden Web-Datenverkehr.
4
Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet.
Produkthandbuch
131
6
Proxys
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, aktivieren Sie den Regelsatz
„SSL Scanner“, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt wird,
jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
132
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) eine IP-Adresse für jeden Scan-Knoten
ein, mit denen der Master Verbindungen herstellen können soll.
7
Konfigurieren Sie unter Virtual IPs (Virtuelle IP-Adressen) virtuelle IP-Adressen für die eingehende
und die ausgehende Netzwerkschnittstelle; geben Sie hierbei freie IP-Adressen an.
8
Behalten Sie die Zahl unter Virtual router ID (ID für virtuellen Router) unverändert bei.
Produkthandbuch
6
Proxys
9
Wählen Sie in der Liste VRRP interface (VRRP-Schnittstelle) die Schnittstellen für Heartbeats unter
diesem Protokoll aus.
10 Konfigurieren Sie ggf. das IP-Spoofing.
11 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
Konfigurieren eines Scan-Knotens im transparenten Router-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie mindestens eine
Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren. Konfigurieren Sie die
Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in diesem Modus, mit Ausnahme
der Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Scan-Knoten
konfigurieren möchten, und klicken Sie auf Network Interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für ausgehenden Web-Datenverkehr.
4
5
6
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren
möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP,
SOCKS, ICAP ...)).
7
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
8
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
9
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
10 Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
11 Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
Produkthandbuch
133
6
Proxys
Wenn mehrere Scan-Knoten im Modus „Transparenter Router“ ausgeführt werden sollen, konfigurieren
Sie weitere Appliances auf die gleiche Weise.
Einstellungen für „Transparenter Router“
Die Einstellungen für „Transparenter Router“ sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im Modus „Transparenter Router“.
Transparenter Router
Einstellungen zum Konfigurieren des Modus „Transparenter Router“
Tabelle 6-9 Transparenter Router
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim
Weiterleiten der in einer Anfrage gesendeten Datenpakete hat.
Die Weiterleitungspriorität wird relevant, wenn es sich bei der
Appliance um einen von mehreren Knoten innerhalb einer
Konfiguration mit zentraler Verwaltung handelt. Der Knoten mit dem
höchsten Wert ist dann der Weiterleitungsknoten für die Pakete,
während die anderen Knoten diese lediglich filtern.
Wenn Sie für einen Knoten 0 angeben, kann dieser niemals ein
Weiterleitungsknoten sein.
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle IP-Adressen)
Stellt eine Liste zur Eingabe virtueller IP-Adressen bereit.
Virtual router ID (ID des virtuellen
Routers)
Gibt einen virtuellen Router an.
VRRP interface (VRRP-Schnittstelle)
Gibt die Netzwerkschnittstelle auf einer Appliance zum Senden und
Empfangen von Heartbeat-Meldungen an.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese
zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen
der Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing (FTP)) Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie
unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen.
Diese Option muss für ein aktives FTP aktiviert sein.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
134
Produkthandbuch
6
Proxys
Tabelle 6-10
Port-Umleitungen – Listeneintrag
Option
Definition
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die Anfragen ursprünglich gesendet werden
müssen, wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
• Für jede IP-Adresse muss auch eine Netzmaske angegeben werden.
• Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese
von keiner der implementierten Filterregeln verarbeitet.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um
von vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Verarbeitung auf Web Gateway überspringen zu lassen, oder zur
Fehlerbehebung bei Verbindungsproblemen.
Destination IP based exceptions
(Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
an vertrauenswürdige Ziele gesendeten Anfragen die weitere
Optional 802.1Q VLANs
(Optionale 802.1Q-VLANs) VLAN-Datenverkehr auf.
Comment (Kommentar)
Tabelle 6-11
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, der die hier
konfigurierte virtuelle IP-Adresse zugewiesen wird.
Diese virtuelle IP-Adresse wird nur dann der Schnittstelle
zugewiesen, wenn der aktuelle Knoten die Rolle des aktiven
Weiterleitungsknotens annimmt.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Produkthandbuch
135
6
Proxys
Der transparente Bridge-Modus ist einer der transparenten Modi, die Sie für die Proxy-Funktionen der
Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden möchten.
In diesem Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur Weiterleitung ihres
Web-Datenverkehrs an die Appliance konfiguriert werden müssen. Die Appliance befindet sich
üblicherweise zwischen einer Firewall und einem Router, wo sie als unsichtbare Bridge dient.
Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Bridge-Modus.
Abbildung 6-3 Transparenter Bridge-Modus
Konfigurieren des transparenten Bridge-Modus
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im
transparenten Bridge-Modus zu konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente
Bridge-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente
Bridge) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Bridge
(Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie für jeden dieser Knoten den transparenten Bridge-Modus konfigurieren.
136
Produkthandbuch
6
Proxys
Konfigurieren von Knoten im transparenten Bridge-Modus
Sie können den transparenten Bridge-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen sowie Einstellungen für die
zentrale Verwaltung konfiguriert werden.
Aufgaben
•
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die zentrale Verwaltung für
einen Weiterleitungsknoten im transparenten Bridge-Modus auf Seite 137
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren
IP-Adresse für die Verwendung bei der Kommunikation mit der zentralen Verwaltung
freigeben.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus auf Seite 138
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus auf Seite 139
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie
dieselben Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit
Ausnahme der Scan-Rolle.
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die
zentrale Verwaltung für einen Weiterleitungsknoten im transparenten
Bridge-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren IP-Adresse
für die Verwendung bei der Kommunikation mit der zentralen Verwaltung freigeben.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Bereiten Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge vor.
a
Wählen Sie eine bisher nicht verwendete Netzwerkschnittstelle auf der Appliance aus, aktivieren
Sie diese jedoch noch nicht.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
e
Produkthandbuch
137
6
Proxys
4
Konfigurieren Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. Wählen Sie anschließend
erneut die Appliance aus, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
Daraufhin wird eine weitere Netzwerkschnittstelle mit dem Namen ibr0 verfügbar.
5
b
Wählen Sie die Schnittstelle ibr0 aus.
c
Konfigurieren Sie auf der Registerkarte IPv4 eine IP-Adresse, eine Subnetz-Maske und eine
Standardroute für diese Schnittstelle.
d
Aktivieren Sie das Kontrollkästchen neben der Schnittstelle, um diese zu aktivieren.
Konfigurieren Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle als
Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle aus.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
6
Aktivieren Sie die Netzwerkschnittstelle ibr0, die Sie in Schritt 3 aus den bisher nicht verwendeten
Netzwerkschnittstellen ausgewählt haben.
7
Konfigurieren Sie die Einstellungen für die zentrale Verwaltung.
8
a
Wählen Sie Central Management (Zentrale Verwaltung) aus.
b
Fügen Sie unter Central Management Settings (Einstellungen für zentrale Verwaltung) der
bereitgestellten Liste die IP-Adresse hinzu, die Sie für die Netzwerkschnittstelle ibr0 festgelegt
haben.
Wenn mehrere Netzwerkschnittstellen für den transparenten Bridge-Modus verwendet werden sollen,
konfigurieren Sie weitere nicht verwendete Netzwerkschnittstellen einer Appliance auf dieselbe Weise.
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
Vorgehensweise
1
2
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
138
Produkthandbuch
6
Proxys
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, müssen Sie den Regelsatz „SSL
Scanner“ aktivieren, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt
wird, jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) die IP-Adresse ein, die Sie beim
Konfigurieren der Netzwerkeinstellungen für ibr0 angegeben haben.
7
Konfigurieren Sie ggf. das IP-Spoofing.
8
Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
9
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie dieselben
Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit Ausnahme der
Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Produkthandbuch
139
6
Proxys
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren
möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP,
SOCKS, ICAP ...)).
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
4
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
5
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
6
Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
7
Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
8
Wenn mehrere Scan-Knoten im Modus „Transparente Bridge“ ausgeführt werden sollen, konfigurieren
Sie weitere Appliances auf die gleiche Weise.
Einstellungen für die transparente Bridge
Die Einstellungen für die transparente Bridge sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im transparenten Bridge-Modus.
Transparente Bridge
Einstellungen zum Konfigurieren des transparenten Bridge-Modus
Tabelle 6-12 Transparente Bridge
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von den Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim Weiterleiten
der in einer Anfrage gesendeten Datenpakete hat.
Der größte Wert gibt die höchste Priorität an. 0 bedeutet, dass es sich bei
einer Appliance um einen so genannten Scan-Knoten handelt, der
Datenpakete nur filtert und nie weiterleitet.
Sie können diese Option nur zum Konfigurieren eines Knotens
als Scan-Knoten (Priorität = 0) oder als Master-Knoten
(Priorität > 0) verwenden.
Unterschiede in der Knotenprioritäten größer als 0 werden nicht
ausgewertet.
Nach dem Konfigurieren von Knotenprioritäten größer als 0 für
mehrere Appliances im transparenten Bridge-Modus müssen Sie
deren Verhalten beobachten, um herauszufinden, welche
tatsächlich zum Master-Knoten wurde und die Datenpakete
weiterleitet.
140
Produkthandbuch
6
Proxys
Tabelle 6-12 Transparente Bridge (Fortsetzung)
Option
Definition
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese
zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen der
Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing
(FTP))
Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie
unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen
Diese Option muss für ein aktives FTP aktiviert sein.
In der folgenden Tabelle wird ein Eintrag in der Liste der Port-Umleitungen erläutert.
Tabelle 6-13
Port-Umleitungen – Listeneintrag
Option
Definition
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die umgeleitete Anfragen ursprünglich gesendet
werden müssen, wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
von vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Destination IP based exceptions
(Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
an vertrauenswürdige Ziele gesendete Anfragen die weitere
Verarbeitung überspringen zu lassen
Optional 802.1Q VLANs
(Optionale 802.1Q-VLANs)
VLAN-Datenverkehr auf.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Produkthandbuch
141
6
Proxys
Secure ICAP
Secure ICAP
Wenn eine Appliance unter dem ICAP-Protokoll die Server- und Client-Rolle übernimmt, kann die
Kommunikation im SSL-gesicherten Modus erfolgen.
Um diesen Modus verwenden zu können, müssen Sie ein Server-Zertifikat für jeden ICAP-Port der
Appliance importieren, bei der SSL-gesicherte Anfragen der Clients eingehen. Die Clients sind zum
Übermitteln der Zertifikate nicht erforderlich.
Anfragen, die von der Appliance in ihrer Rolle als ICAP-Client an den ICAP-Server weitergeleitet
werden, müssen ICAPS als Spezifikation in der Server-Adresse enthalten, um die SSL-gesicherte
Kommunikation mit dem Server zu ermöglichen.
Die Appliance sendet kein Client-Zertifikat an den ICAP-Server.
SOCKS-Proxy
Sie können Web Gateway als Proxy konfigurieren, der den Web-Datenverkehr über das
SOCKS-Protokoll (Sockets-Protokoll) weiterleitet.
Web-Datenverkehr über das SOCKS-Protokoll folgt außerdem auch einem eingebetteten Protokoll, bei
dem es sich z. B. um HTTP oder HTTPS handeln kann.
Das eingebettete Protokoll kann in Web Gateway erkannt werden, und wenn die Filterung für den
Web-Datenverkehr unter diesem Protokoll unterstützt wird, können die konfigurierten Filterregeln für
diesen Datenverkehr verarbeitet werden. Wenn die Filterung nicht unterstützt wird, kann der
Datenverkehr durch eine passende Regel blockiert werden.
Bezüglich der Verwendung des SOCKS-Protokolls für die Proxy-Funktionen in Web Gateway gelten
einige Einschränkungen:
•
Die SOCKS-Protokollversion muss 5, 4 oder 4a sein. Außerdem muss diese TCP-basiert sein.
•
Die BIND-Methode wird zum Einrichten von Verbindungen unter dem SOCKS-Protokoll nicht
unterstützt.
Web-Datenverkehr, der von einem Proxy am nächsten Hop unter dem SOCKS-Protokoll weitergeleitet
wird, kann mit Stufe 1 oder 2 der Kerberos-Authentifizierungsmethode geschützt werden.
In diesem Fall kann jedoch keine SSL-Verschlüsselung auf den Datenverkehr angewendet werden,
sodass auch kein SSL-Scan erforderlich ist. Der Standardregelsatz „SSL Scanner“ enthält daher einen
Kriterienabschnitt, der dafür sorgt, dass dieser Datenverkehr beim SSL-Scan übersprungen wird.
Konfigurieren eines SOCKS-Proxys
Zum Konfigurieren von Web Gateway als SOCKS-Proxy müssen Sie verschiedene Aktionen
durchführen.
•
Den SOCKS-Proxy aktivieren.
•
Einen oder mehrere Proxy-Ports angeben, die auf SOCKS-Proxy-Clients überwachen, die Anfragen
an Web Gateway senden.
Diese Ports werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway angegeben.
•
Regeln erstellen, die das Verhalten des SOCKS-Proxys steuern.
Diese Einstellungen werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway
konfiguriert.
142
Produkthandbuch
6
Proxys
SOCKS-Proxy
Verwenden von Eigenschaften und eines Ereignisses in Regeln
für einen SOCKS-Proxy
Es stehen zwei Eigenschaften und ein Ereignis zum Erstellen von Regeln zur Verfügung, mit denen das
Verhalten von Web Gateway bei Ausführung als SOCKS-Proxy gesteuert werden kann.
Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter
SOCKS-Proxy-Regelsatz verfügbar. Wenn Sie solche Regeln verwenden möchten, müssen Sie diese
erstellen und in einen bestehenden Regelsatz einfügen oder einen Regelsatz für die Regeln erstellen.
•
ProtocolDetector.DetectedProtocol: Mit dieser Eigenschaft kann das eingebettete Protokoll erkannt
werden, das bei Web-Datenverkehr unter dem SOCKS-Protokoll befolgt wird, z. B. HTTP oder
HTTPS.
Der Wert ist der Protokollname im Zeichenfolgeformat. Wenn das eingebettete Protokoll nicht
erkannt werden kann, ist die Zeichenfolge leer.
•
ProtocolDetector.ProtocolFilterable: Mit dieser Eigenschaft kann ermittelt werden, ob die Filterung
für Web-Datenverkehr, der das erkannte eingebettete Protokoll befolgt, unterstützt wird.
Der Wert ist true, wenn dieser Datenverkehr gefiltert wird, andernfalls ist er false.
Wenn diese Eigenschaft in einer Regel verarbeitet wird, wird der Eigenschaft
ProtocolDetector.DetectedProtocol ebenfalls ein Wert zugewiesen. Wenn dieser Wert eine leere
Zeichenfolge für letztere Eigenschaft ist, das eingebettete Protokoll also nicht erkannt wurde, wird
der Wert der Eigenschaft ProtocolDetector.ProtocolFilterable entsprechend auf false gesetzt.
•
ProtocolDetector.ApplyFiltering: Mit diesem Ereignis kann die Verarbeitung weiterer Regeln aktiviert
werden, die in Web Gateway zum Filtern von Web-Datenverkehr unter dem erkannten Protokoll
konfiguriert wurden.
Entsprechend aktiviert die folgende Regel die Verarbeitung anderer Regeln zum Filtern des
Web-Datenverkehrs unter dem SOCKS-Protokoll, wenn ein eingebettetes Protokoll erkannt wurde, das
sich filtern lässt.
Name
Enable filtering for SOCKS traffic following an embedded protocol that is filterable
ProtocolDetector.ProtocolFilterable is true
Action (Aktion)
–> StopCycle
Event (Ereignis)
ProtocolDetector.ApplyFiltering
Die folgende Regel blockiert SOCKS-Datenverkehr, wenn kein eingebettetes Protokoll erkannt wird.
Name
Block SOCKS traffic if no embedded protocol can be detected
ProtocolDetector.DetectedProtocol equals " "
Action (Aktion)
–>
Block
Wenn keine Regel konfiguriert ist, die das Filtern des SOCKS-Datenverkehrs aktivieren oder diesen
blockieren würde, wenn kein eingebettetes Protokoll erkannt wird, ist dieser Datenverkehr zulässig.
Wenn also eine Web-Zugriffsanfrage von einem SOCKS-Client auf Web Gateway eingeht, wird diese
ohne weitere Verarbeitung an den angefragten Web-Server weitergeleitet.
Produkthandbuch
143
6
Proxys
SOCKS-Proxy
Konfigurieren von SOCKS-Proxy-Einstellungen
Sie können Einstellungen für einen SOCKS-Proxy im Rahmen der allgemeinen Proxy-Einstellungen in
Web Gateway konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als SOCKS-Proxy
Nun werden die Einstellungen zum Konfigurieren von Proxy-Funktionen im Konfigurationsbereich
angezeigt.
3
Führen Sie einen Bildlauf nach unten zu den Einstellungen für SOCKS Proxy (SOCKS-Proxy) aus.
4
5
Siehe auch
Proxy-Einstellungen auf Seite 149
SOCKS Proxy (Regelsatz)
Der Regelsatz „SOCKS Proxy“ ist ein Bibliotheks-Regelsatz für die Filterung von Datenverkehr, der
unter dem SOCKS-Protokoll ausgeführt wird.
Bibliotheks-Regelsatz – SOCKS Proxy
Criteria – Always
Cycles – Requests (and IM) and responses
Der Regelsatz enthält die folgenden Regeln.
Filter traffic under the SOCKS protocol with filterable embedded protocol
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle —
ProtocolDetector.ApplyFiltering
Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.ProtocolFilterable, ob das in den
SOCKS-Datenverkehr eingebettete Protokoll in Web Gateway gefiltert werden kann. HTTP- und
HTTPS-Protokolle können gefiltert werden.
Wenn eines dieser beiden Protokolle erkannt wird, wird die Filterung durch das Regelereignis
aktiviert. Wenn kein eingebettetes Protokoll erkannt wird, wird die Regel nicht angewendet, und die
Verarbeitung wird mit der zweiten Regel fortgesetzt.
Block traffic under the SOCKS protocol if no embedded protocol is detected
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block <Default>
Die Regel blockiert Anfragen, wenn kein eingebettetes Protokoll erkannt wird.
Block traffic under the SOCKS protocol if detected protocol is not on whitelist
ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol Whitelist –>
Block <Default>
Die Regel blockiert Anfragen, wenn ein eingebettetes Protokoll erkannt wird, das sich jedoch nicht in
einer bestimmten Whitelist befindet.
Die Regel ist standardmäßig nicht aktiviert.
144
Produkthandbuch
6
Proxys
Instant Messaging
Instant Messaging
Instant Messaging-Proxys können auf einer Appliance zum Filtern von Instant Messaging-Chats
und -Dateiübertragungen eingesetzt werden.
Wenn Benutzer Ihres Netzwerks an einer Instant Messaging-Kommunikation teilnehmen, senden diese
beispielsweise Chat-Nachrichten an einen Instant Messaging-Server, erhalten Antworten auf ihre
Nachrichten oder senden und empfangen Dateien. Ein Instant Messaging-Proxy auf einer Appliance
kann diesen Datenverkehr entsprechend den implementierten Filterregeln abfangen und filtern. Zu
diesem Zweck wird der Instant Messaging-Datenverkehr an die Appliance umgeleitet.
Folgende Netzwerkkomponenten sind am Filterprozess beteiligt:
•
Instant Messaging-Proxys: Proxys können auf Appliances zum Filtern des Instant Messagings
unter verschiedenen Protokollen eingesetzt werden, z. B. ein Yahoo-Proxy, ein Windows Live
Messenger-Proxy usw.
•
Instant Messaging-Clients: Diese Clients werden auf den Systemen der Benutzer in Ihrem
Netzwerk ausgeführt, um die Kommunikation mit Instant Messaging-Servern zu ermöglichen.
•
Instant Messaging-Server: Dies sind die Ziele, an die sich der Client aus dem Netzwerk heraus
richtet.
•
Weitere Komponenten Ihres Netzwerks: Weitere am Filtern des Instant Messagings beteiligte
Komponenten können beispielsweise eine Firewall oder ein lokaler DNS-Server sein, der den
Instant Messaging-Datenverkehr an eine Appliance umleitet.
Beim Konfigurieren der Instant Messaging-Filterung müssen Sie Konfigurationsaktivitäten für den
Proxy oder die Proxys des Instant Messagings ausführen, um sicherzustellen, dass diese den Instant
Messaging-Datenverkehr abfangen und filtern.
Zudem müssen Sie sicherstellen, dass der Instant Messaging-Datenverkehr an die Instant
Messaging-Proxys umgeleitet wird. Diese Konfigurationsaktivitäten erfolgen jedoch nicht auf den
Clients, sondern auf anderen Komponenten Ihres Netzwerks. Beispielsweise werden DNS-Umleitungen
oder Firewall-Regel auf entsprechende Weise konfiguriert.
Ein Instant Messaging-Proxy auf einer Appliance ist hauptsächlich für den Einsatz zusammen mit der
verfügbaren IM-Client-Software des Anbieter vorgesehen, z. B. Yahoo, Microsoft, ICQ oder Google.
Diese Client-Software kann dennoch ihre Verhaltensweise ändern und beispielsweise einen neuen
Anmelde-Server ohne Vorwarnung nach einer versteckten Aktualisierung verwenden.
Bei der Verwendung von Client-Software eines Drittanbieters sollten Sie sich generell bewusst sein,
dass Anmelde-Server, Protokollversionen oder Authentifizierungsmethoden im Vergleich zur
ursprünglichen Client-Software möglicherweise verändert wurden, was einen Instant Messaging-Proxy
auf einer Appliance daran hindern kann, den Instant-Messaging-Datenverkehr abzufangen und zu
filtern.
Konfigurieren eines Instant Messaging-Proxys
Zum Konfigurieren eines Instant Messaging-Proxys auf einer Appliance müssen Sie die relevanten Teile
der Einstellungen für Proxies (Proxys) im übergeordneten Menü Configuration (Konfiguration)
konfigurieren.
Diese Einstellungen gelten hauptsächlich für:
•
Aktivierung eines Instant Messaging-Proxys
•
IP-Adressen und Ports, die auf von Instant Messaging-Clients gesendete Anfragen reagieren
•
Einstellungen für Instant Messaging-Server
•
Zeitlimits für die Instant Messaging-Kommunikation
Produkthandbuch
145
6
Proxys
Instant Messaging
Die Standardwerte für alle diese Einstellungen werden nach der Ersteinrichtung einer Appliance
vorkonfiguriert.
Instant Messaging unter den folgenden Protokollen kann gefiltert werden:
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP, ein Protokoll, das für Google Talk, Facebook Chat, Jabber und andere Instant
Messaging-Dienste verwendet wird
Die Regeln, die auf einer Appliance zum Filtern des Instant Messaging-Datenverkehrs verarbeitet
werden, sind die, bei denen in den Einstellungen der Regelsätze Requests (and IM) als
Verarbeitungszyklus definiert ist.
Der Responses-Zyklus kann jedoch auch beteiligt sein, wenn Instant Messaging unter dem
Yahoo-Protokoll gefiltert wird. Unter diesem Protokoll wird eine angefragte Datei in einer Antwort an
einen Client übertragen, die der Antwort entspricht, die bei der Übertragung von Dateien in normalem
Web-Datenverkehr verwendet wird. Die Datei wird auf einem Server gespeichert und vom Client unter
HTTP abgerufen, z. B. anhand einer geeigneten URL.
Wenn bei der Kommunikation zwischen dem Instant Messaging-Client und Proxy unter einem
bestimmten Protokoll Probleme auftreten, kann der Client auch zu einem anderen Protokoll wechseln
und somit den Proxy umgehen. Der Client kann sogar ein Protokoll für normalen Web-Datenverkehr
verwenden. Im Dashboard einer Appliance würde dies bei der Anzeige zu einer Abnahme des
IM-Datenverkehrs und einem Anstieg des Web-Datenverkehrs führen.
Sitzungsinitialisierung
Während der Initialisierung einer Instant Messaging-Sitzung zwischen Client und Server können
Client-Anfragen auf einer Appliance nur empfangen werden. Das Senden einer Antwort ist nicht
möglich. Solange dies der Fall ist, hat die IM.Message.CanSendBack-Eigenschaft den Wert false, wenn
diese in einer Regel verwendet wird.
Wir empfehlen, Blockierungsregeln hinsichtlich der Sitzungsinitialisierung nur dann zu implementieren,
wenn Sie Instant Messaging-Datenverkehr vollständig blockieren möchten. Sie sollten auch benötigte
Hilfsverbindungen zulassen. Dabei handelt es sich üblicherweise um DNS-Anfragen oder
HTTP-Übertragungen.
Von Ihnen implementierte Beschränkungen, die beispielsweise nur authentifizierte Benutzer zulassen,
sollten eher für Datenverkehr gelten, der während der Sitzung selber auftritt, z. B. Chat-Nachrichten
und Dateiübertragungen.
Konfigurieren anderer Netzwerkkomponenten für die Instant Messaging-Filterung
Der Zweck der Konfiguration weiterer Netzwerkkomponenten für die Instant Messaging-Filterung ist
es, den zwischen Clients und Servern auftretenden Instant Messaging-Datenverkehr an eine Appliance
umzuleiten, auf der ein oder mehrere Instant Messaging-Proxys ausgeführt werden.
Beispielsweise senden Clients unter dem ICQ-Protokoll ihre Anfragen an einen Server mit dem
Host-Namen api.icq.net. Für die Instant Messaging-Filterung müssen Sie eine DNS-Umleitungsregel
erstellen, sodass dieser Host-Name nicht für die IP-Adresse des ICQ-Servers, sondern für die der
Appliance aufgelöst wird.
Auf ähnliche Weise können Firewall-Regeln erstellt werden, um Instant Messaging-Datenverkehr an
eine Appliance und nicht an einen Instant Messaging-Server weiterzuleiten.
146
Produkthandbuch
6
Proxys
Instant Messaging
Filtern des Instant Messaging-Datenverkehrs unter Windows Live Messenger
Beim Konfigurieren der Filterung des unter dem Windows Live Messenger-Protokolls laufenden Instant
Messaging-Datenverkehrs sollte Folgendes beachtet werden.
Der Host-Name des Instant Messaging-Servers ist messenger.hotmail.com. Dies ist der Host-Name,
der in einer Umleitungsregel von der IP-Adresse einer Appliance mit einem Instant Messaging-Proxy
aufgelöst werden muss.
Manchmal stellt ein Client eine Verbindung mit einem Server her, ohne den in einer DNS-Suche
aufzulösenden Host-Namen anzufragen. In diesem Fall kann es helfen, in den Client-Einstellungen den
folgenden Registrierungseintrag zu suchen und zu entfernen:
geohostingserver_messenger.hotmail.com:1863, REG_SZ
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgende URL zugreifen können:
http://login.live.com
Aus diesem Grund müssen Sie diese URL in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
Filterung des Instant Messaging-Datenverkehrs unter ICQ
Beim Konfigurieren der Filterung des unter dem ICQ-Protokoll laufenden Instant
Die Host-Namen der Instant Messaging-Server lauten wie folgt:
•
api.icq.net (Service-Anfrage-Server: neu seit Trennung von AOL)
•
ars.icq.com (Dateiübertragungs-Proxy: neu seit Trennung von AOL)
•
api.oscar.aol.com (alter Service-Anfrage-Server)
•
ars.oscar.aol.com (alter Dateiübertragungs-Proxy)
•
login.icq.com (Für neues Anmeldeverfahren)
•
login.oscar.aol.com (für altes Anmeldeverfahren)
Die Anmeldung der ICQ-Clients an einem Server erfolgt mit einem verschlüsselten Prozess, der vom
Instant Messaging-Proxy auf einer Appliance nicht abgefangen werden kann.
Anschließend fragt der ICQ-Client jedoch unter Verwendung des nach der Anmeldung erhaltenen
Magic-Tokens beim Service-Anfrage-Server nach Informationen zum Sitzungs-Server. Hier fängt der
Instant Messaging-Proxy den Datenverkehr ab. Der Filterungsprozess verwendet dann ein anderes
Anmeldeverfahren, nachdem der Client-Name in der Kommunikation mit dem Sitzungs-Server bekannt
gegeben wurde.
Im Gegensatz zum Yahoo-Client ignoriert der ICQ-Client jegliche Verbindungseinstellungen von
Internet Explorer.
Filterung des Instant Messaging-Datenverkehrs unter Yahoo
Beim Konfigurieren der Filterung des unter dem Yahoo-Protokoll laufenden Instant
Produkthandbuch
147
6
Proxys
Instant Messaging
Die Liste der Instant Messaging-Server, an die Anfragen gesendet werden, kann sehr lang sein. Die
nachfolgende Liste zeigt die Host-Namen der Server, die verwendet werden oder wurden.
Möglicherweise sind in der Zwischenzeit neue Server dazugekommen, die der Liste hinzugefügt
werden müssen.
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
•
scsd.msg.yahoo.com
•
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgenden URLs zugreifen können:
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
Aus diesem Grund müssen Sie diese URLs in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
Auch wenn die Option Connect directly to the Internet (Direktverbindung mit dem Internet) in den
Einstellungen eines Yahoo-Clients aktiviert wurde, werden möglicherweise weiterhin die
Verbindungseinstellungen des Internet Explorers verwendet. Dies kann dazu führen, dass die
Anmeldung zu einem späteren Zeitpunkt des Prozesses fehlschlägt. Wir empfehlen daher, auch die
URL *login.yahoo.com* in einer Whitelist einzufügen.
Probleme bei der Instant Messaging-Filterung
Probleme mit der Instant Messaging-Filterung können beispielsweise bei der Verbindung zwischen
Client und Server oder bei der Anwendung der implementierten Filterregeln auftreten.
Keep-Alive-Datenpakete werden in regelmäßigen Abständen als Bestandteil des Instant
Messaging-Datenverkehrs gesendet, um anzuzeigen, dass die Kommunikationspartner weiterhin
verbunden sind und antworten. Die Abstände variieren je nach IM-Protokoll und Client-Software
zwischen 20 und 80 Sekunden. Diese Datenpakete werden von den auf einer Appliance
implementierten Filterregeln nicht verarbeitet.
Wenn Sie solche Datenpakete in einer Fehlerbehebungssituation erkennen, können Sie mithilfe der
Regelmodulverfolgung die Regeln sehen, die weiterhin aktiv sind.
148
Produkthandbuch
6
Proxys
XMPP-Proxy
Wenn ein Client eine Anfrage zur Anmeldung an den Server sendet, erfolgt eine Umleitung an die
Appliance, sofern Sie die entsprechenden Einstellungen konfiguriert haben. Ein Client kann jedoch
gleichzeitig versuchen, sich bei einem anderen Server anzumelden, der eine SSL-verschlüsselte
Authentifizierung erfordert. Wenn dies fehl schlägt, kann auch die Verbindung dieses Clients mit der
Appliance getrennt werden.
Einige Clients bieten Optionen zur Durchführung grundlegender Fehlerbehebungstests nach einer
fehlgeschlagenen Anmeldung am Server.
XMPP-Proxy
Beim Filtern der Instant Messaging-Kommunikation auf einer Appliance ist eine der möglichen
Methoden das Einrichten eines Proxys unter XMPP (Extensible Messaging and Presence Protocol).
Dieses Protokoll ist auch unter dem Namen Jabber bekannt. Es wird beispielsweise zur Teilnahme an
Facebook-oder Google Talk-Chats zwischen einem XMPP-Client und dem Server verwendet.
Sie können Einstellungen für den XMPP-Proxy auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) konfigurieren.
Wenn der SSL-Scanner-Regelsatz auf einer Appliance nicht aktiviert ist, wird der Datenverkehr
zwischen einem XMPP-Client und dieser Appliance nicht verschlüsselt, jedoch mit allen Regeln gefiltert,
die auf der Appliance aktiviert sind. Wenn der Client unverschlüsselten Datenverkehr nicht annimmt,
wird die Verbindung geschlossen.
Wenn der SSL-Scanner-Regelsatz aktiviert ist, wird der Datenverkehr verschlüsselt und durch
SSL-Scanning untersucht, um diesen zur Filterung durch andere Regeln auf der Appliance zur
Verfügung zu stellen.
Konfigurieren von allgemeinen Proxy-Einstellungen
Sie können neben den speziellen Einstellungen für einen Netzwerkmodus allgemeine
Proxy-Einstellungen konfigurieren. Zu den allgemeinen Proxy-Einstellungen zählen Einstellungen für
die verschiedenen Typen von Proxys, die in Web Gateway konfiguriert werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie allgemeine
Proxy-Einstellungen konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM)
(Proxys (HTTP(S), FTP, ICAP und IM)).
3
4
Proxy-Einstellungen
Mit den Proxy-Einstellungen werden spezifische Parameter für die verschiedenen Netzwerkmodi
konfiguriert, die in Web Gateway implementiert werden können, sowie die gemeinsamen Parameter,
Produkthandbuch
149
6
Proxys
Proxy-Einstellungen
die für jeden dieser Modi gelten. Die regelmäßige Auslösung des Regelmoduls kann ebenfalls
konfiguriert werden.
Network Setup (Netzwerkeinrichtung)
Einstellungen für das Implementieren eines Netzwerkmodus
Bei Auswahl eines Netzwerkmodus werden spezifische Einstellungen für den betreffenden
Netzwerkmodus unter diesen Einstellungen angezeigt.
Tabelle 6-14 Network Setup (Netzwerkeinrichtung)
Option
Definition
Proxy (optional WCCP) (Proxy (optionale
WCCP-Dienste))
Bei Auswahl dieser Option wird der explizite Proxy-Modus
verwendet, und WCCP-Dienste können Web-Datenverkehr an eine
Appliance umleiten.
Proxy HA (Proxy – Hochverfügbarkeit)
Bei Auswahl dieser Option wird der explizite Proxy-Modus mit
Hochverfügbarkeitsfunktionen verwendet.
Transparent router (Transparenter Router)
Bei Auswahl dieser Option wird der transparente Router-Modus
verwendet.
Transparent bridge (Transparente Bridge)
Bei Auswahl dieser Option wird der transparente Bridge-Modus
verwendet.
HTTP-Proxy
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem HTTP-Protokoll
Dieses Protokoll wird zum Übertragen von Webseiten und anderen Daten verwendet und stellt zudem
SSL-Verschlüsselung für verstärkte Sicherheit bereit.
Tabelle 6-15 HTTP-Proxy
Option
Definition
Enable HTTP proxy (HTTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der
Appliance unter dem HTTP-Protokoll ausgeführt.
HTTP Port Definition list (Liste von
HTTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die Anfragen von Clients
empfangen.
Anonymous login for FTP over HTTP (Anonyme
Anmeldung für FTP über HTTP)
Diese Option gibt den Benutzernamen für die
Anmeldung als anonymer Benutzer an, wenn Anfragen
über einen HTTP-Proxy auf einer Appliance an einen
FTP-Server übertragen werden.
Password for anonymous login for FTP over HTTP
(Kennwort für anonyme Anmeldung für FTP über HTTP)
Diese Option legt ein Kennwort für einen
Benutzernamen fest.
FTP-Proxy
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem FTP-Protokoll
150
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Dieses Protokoll wird zum Übertragen von Dateien verwendet, wobei separate Verbindungen für
Steuerungsfunktionen und Datenübertragung genutzt werden.
Wenn eine Datei von einem FTP-Client in das Web hochgeladen und in Web Gateway
verarbeitet wird, können Sie Fortschrittsanzeigen an den Client senden, indem Sie das
Ereignis FTP Upload Progress Indication in eine geeignete Regel einfügen.
Dadurch wird eine Zeitüberschreitung auf dem Client vermieden, wenn die Verarbeitung
länger dauert, z. B. wegen des Scannens der Datei auf Infektion mit Viren oder sonstiger
Malware.
Tabelle 6-16 FTP-Proxy
Option
Definition
Enable FTP proxy (FTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der
Appliance unter dem FTP-Protokoll ausgeführt.
FTP port definition list (Liste von FTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die Anfragen von Clients
empfangen.
Allow character @ in FTP server user name
(Authentication using USER ftpserveruser@ftpserver)
(Zeichen @ in FTP-Server-Benutzername zulassen
(Authentifizierung mit USER ftpserveruser@ftpserver)
Bei Auswahl dieser Option ist das genannte Zeichen in
Benutzernamen zulässig.
Enable authentication using USER
proxyuser@ftpserveruser@ftpserver (Authentifizierung
mit USER proxyuser@ftpserveruser@ftpserver
aktivieren)
Bei Auswahl dieser Option ist die genannte Syntax für
einen Benutzernamen zulässig.
Enable authentication using USER
ftpserveruser@proxyuser@ftpserver (Authentifizierung
mit USER ftpserveruser@proxyuser@ftpserver
aktivieren)
Bei Auswahl dieser Option ist die genannte Syntax für
einen Benutzernamen zulässig.
Enable customized Welcome Message
(Benutzerdefinierte Begrüßungsnachricht
aktivieren)
Bei Auswahl dieser Option können Sie die
Begrüßungsnachricht bearbeiten, die für einen Benutzer
angezeigt wird, der eine Anfrage in Bezug auf den
Web-Zugriff unter dem FTP-Protokoll sendet.
Geben Sie die Begrüßungsnachricht im Textfeld
Customized Welcome Message (Benutzerdefinierte
Begrüßungsnachricht) ein, und verwenden Sie dabei die
entsprechenden Werte für die in der Nachricht
enthaltenen Variablen.
Willkommen bei §MWG-ProductName$ $MWG-Version$ –
Build
$MWG.BuildNumber$
Ausgeführt auf $System.HostName$ – $System.UUID$
$Proxy.IP$:$Proxy.Port$
Select the command to be used for next-hop proxy login
(Befehl für Anmeldung bei Proxy am
nächsten Hop auswählen)
Hier können Sie den Befehl auswählen, den Web
Gateway zur Anmeldung sendet, wenn eine Verbindung
mit einem Proxy am nächsten Hop über das
FTP-Protokoll hergestellt wird.
Die folgenden Befehle stehen zur Auswahl:
• SITE
• OPEN
• USER@Host
Produkthandbuch
151
6
Proxys
Proxy-Einstellungen
In der folgenden Tabelle wird ein Eintrag in der Liste der FTP-Port-Definitionen beschrieben.
Tabelle 6-17 FTP port definition list (Liste von FTP-Port-Definitionen)
Option
Definition
Listener address (Listener-Adresse)
Gibt die IP-Adresse und Port-Nummer für einen Port an,
der auf FTP-Anfragen überwacht.
Data port (Daten-Port)
Gibt die Port-Nummer für einen Port an, der für das
Verarbeiten der Datenübertragung unter dem FTP-Protokoll
verwendet wird.
Port range for client listener (Port-Bereich für
Client-Listener)
Konfiguriert einen Bereich von Nummern für Ports, die auf
von Clients empfangene FTP-Anfragen überwachen.
Der Bereich wird durch Angabe der ersten und der letzten
Port-Nummer konfiguriert.
Port range for server listener (Port-Bereich für
Server-Listener)
Konfiguriert einen Bereich von Nummern für Ports, die auf
FTP-Antworten überwachen, die von Web-Servern
empfangen werden, an die Anfragen weitergeleitet wurden.
Allow clients to use passive FTP connections
(Clients das Verwenden von passiven
FTP-Verbindungen gestatten)
Bei Auswahl dieser Option können Anfragen von Clients
über passive Verbindungen unter dem FTP-Protokoll
gesendet werden.
McAfee Web Gateway uses same connections
(active/passive) as clients does (McAfee Web
Gateway verwendet die gleichen
Verbindungen (aktiv/passiv) wie Clients)
Bei Auswahl dieser Option verwendet Web Gateway zum
Weiterleiten des Web-Datenverkehrs denselben
Verbindungstyp wie ein Client, der eine Anfrage an Web
Gateway gesendet hat.
McAfee Web Gateway uses passive FTP
connections (McAfee Web Gateway
verwendet passive FTP-Verbindungen)
Bei Auswahl dieser Option kann Web Gateway
Web-Datenverkehr über passive Verbindungen unter dem
FTP-Protokoll weiterleiten.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port
an, der auf FTP-Anfragen überwacht.
ICAP Server (ICAP-Server)
Einstellungen zum Ausführen eines ICAP-Servers auf einer Appliance, die Anfrage und Antworten bei
der Kommunikation mit ICAP-Clients modifiziert
Tabelle 6-18 ICAP Server (ICAP-Server)
Option
Definition
Enable ICAP server (ICAP-Server aktivieren)
Bei Auswahl dieser Option wird ein ICAP-Server auf einer
Appliance ausgeführt.
ICAP Port Definition list (Liste der
ICAP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports auf
einer Appliance bereit, die Anfragen von ICAP-Clients
empfangen.
Wenn mehrere ICAP-Server auf mehreren Appliances in Ihrem
Netzwerk konfiguriert sind, werden Anfragen von ICAP-Clients
im Round-Robin-Modus (Rundlaufmodus) an diese Server
verteilt.
IFP Proxy (IFP-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem IFP-Protokoll
Dieses Protokoll wird zum Übertragen von Webseiten genutzt.
152
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-19 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der Appliance
unter dem IFP-Protokoll ausgeführt.
IFP port definition list (Liste von
IFP-Port-Definitionen)
einer Appliance bereit, die Client-Anfragen für den
IFP-Proxy empfangen.
Maximum number of concurrent IFP requests
allowed (Maximal zulässige Anzahl gleichzeitiger
IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Sie können mithilfe dieser Eigenschaft eine Überlastung des
IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben.
Tabelle 6-20 IFP port definition list (Liste von IFP-Port-Definitionen)
Option
Definition
Gibt die IP-Adresse und Port-Nummer für einen Port an, der auf
IFP-Anfragen überwacht.
Send error message as redirect (Bei
Umleitung Fehlermeldung senden)
Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat,
durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht unter dem IFP-Protokoll gesendet.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf
IFP-Anfragen überwacht.
SOCKS Proxy (SOCKS-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem SOCKS-Protokoll
(Sockets)
Tabelle 6-21 SOCKS Proxy (SOCKS-Proxy)
Option
Definition
Enable SOCKS proxy (SOCKS-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der Appliance
unter dem SOCKS-Protokoll ausgeführt.
SOCKS port definition list (Liste von
SOCKS-Port-Definitionen)
einer Appliance bereit, die auf Client-Anfragen für den
SOCKS-Proxy überwachen.
In der folgenden Tabelle wird ein Eintrag in der Liste der SOCKS-Port-Definitionen beschrieben.
Tabelle 6-22 SOCKS port definition list (Liste von SOCKS-Port-Definitionen)
Option
Definition
Listener address (Listener-Adresse) Gibt die IP-Adresse und Port-Nummer eines Ports an, der auf
SOCKS-Anfragen überwacht.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der
auf SOCKS-Anfragen überwacht.
Web Cache (Web-Cache)
Einstellung zum Aktivieren des Web-Cache auf einer Appliance
Neben dem Aktivieren des Web-Cache müssen Sie einen Regelsatz für das Steuern von Lese- und
Schreibvorgängen im Cache implementieren.
Produkthandbuch
153
6
Proxys
Proxy-Einstellungen
Tabelle 6-23 Web Cache (Web-Cache)
Option
Definition
Enable cache (Cache aktivieren) Bei Auswahl dieser Option wird der Web-Cache auf einer Appliance
aktiviert.
Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP)
Einstellungen für Zeitlimits bei Kommunikationsverbindungen unter den Protokollen HTTP, HTTPS, FTP
und ICAP
Tabelle 6-24 Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP)
Option
Definition
Initial connection timeout (Anfängliches
Verbindungszeitlimit)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine neu
geöffnete Verbindung geschlossen wird, wenn keine Anfrage
empfangen wird, auf den angegebenen Wert.
Connection timeout (Verbindungszeitlimit)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine
Verbindung geschlossen wird, wenn ein Client oder Server
während einer nicht abgeschlossenen Kommunikation mit
einer Anfrage inaktiv bleibt, auf den angegebenen Wert.
Client connection timeout (Zeitlimit für
Client-Verbindungen)
Verbindung vom Proxy auf einer Appliance mit einem Client
zwischen einer und der nächsten Anfrage geschlossen wird,
auf den angegebenen Wert.
Maximum idle time for unused HTTP server
connections (Maximale Leerlaufzeit für nicht
verwendete HTTP-Server-Verbindungen)
Verbindung vom Proxy auf einer Appliance mit einem Server
zwischen einer und der nächsten Anfrage geschlossen wird,
DNS Settings (DNS-Einstellungen)
Einstellungen für die Kommunikation mit einem DNS-Server (Domain Name System)
154
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-25 DNS Settings (DNS-Einstellungen)
Option
Definition
IP protocol version preference
(Voreinstellung für
IP-Protokollversion)
Hiermit können Sie die Version des IP-Protokolls auswählen, das für die
Kommunikation verwendet wird.
• (Versionsoptionen)
• Same as incoming connection (Gleiche Version wie eingehende
Verbindung): Bei Auswahl dieser Option wird die Protokollversion
verwendet, die bereits für die eingehende Verbindung verwendet
wird.
• IP4: Bei Auswahl dieser Version wird Version 4 des IP-Protokolls
verwendet.
• IP6: Bei Auswahl dieser Version wird Version 6 des IP-Protokolls
verwendet.
• Use other protocol version as fallback (Andere Protokollversion als Alternative
verwenden): Bei Auswahl dieser Version wird die jeweils andere
Protokollversion verwendet, wenn eine von zwei Versionen nicht
verfügbar ist.
Minimal TTL for DNS cache (Min.
TTL für DNS-Cache)
Legt eine Mindestzeit (in Sekunden) fest, die abgelaufen sein muss, ehe
Daten im Cache gelöscht werden.
Maximal TTL for DNS cache (Max.
TTL für DNS-Cache)
Beschränkt die Zeit (in Sekunden), die abläuft, ehe im Cache
gespeicherte Daten gelöscht werden, auf den angegebenen Wert.
Yahoo
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Yahoo-Protokoll auf einer
Appliance
Tabelle 6-26 Yahoo
Option
Definition
Enable Yahoo proxy (Yahoo-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem Yahoo-Protokoll ausgeführt.
Gibt die IP-Adresse eines Proxy und die Nummer des Ports an,
der auf Client-Anfragen überwacht.
Support file transfer over 0.0.0.0:80
(Dateiübertragung über 0.0.0.0:80
unterstützen)
Bei Auswahl dieser Option können diese IP-Adresse und dieser
Port für Dateiübertragungsanfragen verwendet werden.
Login server (Anmelde-Server)
Gibt den Host-Namen und die Port-Nummer des Servers an, bei
dem sich Benutzer anmelden, bevor sie Anfragen senden.
Relay server (Japan) (Relais-Server (Japan)
Gibt den Host-Namen und die Port-Nummer des Servers an, der
als Relais-Station für die Dateiübertragung verwendet wird.
Yahoo client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
Yahoo-Client-Verbindungen)
Verbindung von einem Instant Messaging-Proxy mit einem Client
geschlossen wird, auf den angegebenen Wert.
Yahoo server connection timeout (Zeitlimit
für Yahoo-Server-Verbindungen)
Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
Verbindung von einem Instant Messaging-Proxy mit einem
Server geschlossen wird, auf den angegebenen Wert.
ICQ
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem OSCAR-Protokoll (Open
System for Communication in Real Time) auf einer Appliance
Produkthandbuch
155
6
Proxys
Proxy-Einstellungen
Tabelle 6-27 ICQ
Option
Definition
Enable ICQ proxy (ICQ-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem OSCAR-Protokoll ausgeführt.
Login and file transfer proxy port
(Proxy-Port für Anmeldung und
Dateiübertragung)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports für
die Verarbeitung von Anmeldung und Dateiübertragung.
• Enable additional file transfer proxy port (Zusätzlichen Proxy-Port für
Dateiübertragung aktivieren): Bei Auswahl dieser Option kann
für das Verarbeiten von Dateiübertragungen ein zusätzlicher Port
verwendet werden.
• Additional file transfer proxy port (Zusätzlicher Proxy-Port für
Dateiübertragung): Gibt eine zusätzliche IP-Adresse und eine
zusätzliche IP-Adresse für das Verarbeiten von
Dateiübertragungen an.
BOS listener port (BOS-Listener-Port)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports,
der auf BOS-Anfragen (Basic OSCAR Service) überwacht.
Bei diesen Anfragen handelt es sich um Anfragen zum Senden von
Chat-Nachrichten und nicht beispielsweise um Anfragen für
Dateiübertragungen.
ICQ login server (ICQ-Anmeldeserver)
Gibt den Host-Namen und die Port-Nummer des Servers an, bei
dem sich Benutzer anmelden, bevor sie Anfragen senden.
ICQ service request server
(ICQ-Service-Anfrageserver)
Anfragen verarbeitet.
ICQ file transfer proxy (ICQ-Proxy für
Dateiübertragungen)
Dateiübertragungen verarbeitet.
ICQ client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive
ICQ-Client-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Client
ICQ server connection timeout (Zeitlimit
für ICQ-Server-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Server
Windows Live Messenger
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Windows Live
Messenger-Protokoll auf einer Appliance
Tabelle 6-28 Windows Live Messenger
156
Option
Definition
Enable Windows Live Messenger proxy (Windows Live
Messenger-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance
ein Proxy für Instant Messaging unter dem Windows
Live Messenger-Protokoll ausgeführt.
Windows Live Messenger NS proxy listener 1 (Windows
Live Messenger-NS-Proxy-Listener 1)
Gibt die IP-Adresse einer Appliance an, auf der ein
Instant Messaging-Proxy ausgeführt wird, sowie die
Nummer des ersten Ports, der auf Client-Anfragen
im NS-Modus (Notification Server) überwacht.
Windows Live Messenger NS proxy listener 2 (Windows
Live Messenger-NS-Proxy-Listener 2)
Nummer des zweiten Ports, der auf Client-Anfragen
im NS-Modus (Notification Server) überwacht.
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Tabelle 6-28 Windows Live Messenger (Fortsetzung)
Option
Definition
Windows Live Messenger SB proxy port (Windows Live
Messenger-SB-Proxy-Port)
Nummer des Ports, der auf im SB-Modus
(Telefonzentrale) gesendete Client-Anfragen
überwacht.
Windows Live Messenger client connection timeout
Beschränkt die Zeit (in Sekunden), die abläuft, bis
(Zeitlimit für Windows Live Messenger-Client-Verbindungen) eine inaktive Verbindung vom Instant
Messaging-Proxy mit einem Client geschlossen wird,
Windows Live Messenger server connection timeout
(Zeitlimit für Windows Live
Messenger-Server-Verbindungen)
Beschränkt die Zeit (in Sekunden), die abläuft, bis
eine inaktive Verbindung vom Instant
Messaging-Proxy mit einem Server geschlossen wird,
XMPP
Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem XMPP-Protokoll auf einer
Appliance
Dies ist das Protokoll, das für eine Reihe von Instant Messaging-Diensten verwendet wird, u. a. für
Jabber, Google Talk und Facebook-Chat.
Tabelle 6-29 XMPP
Option
Definition
Enable XMPP proxy (XMPP-Proxy
aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für
Instant Messaging unter dem XMPP-Protokoll ausgeführt.
Proxy port (Proxy-Port)
IP-Adresse einer Appliance, auf der ein Instant Messaging-Proxy
ausgeführt wird, sowie die Nummer des Ports, der auf unter dem
XMPP-Protokoll gesendete Anfragen überwacht.
Client connection timeout (Zeitlimit für
Verbindung vom Instant Messaging-Proxy mit einem Client
Server connection timeout (Zeitlimit für
Server-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Server
Advanced Settings (Erweiterte Einstellungen)
Einstellungen für erweiterte Proxy-Funktionen
Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen)
Option
Definition
Maximal number of client connections
(Maximale Anzahl von
Beschränkt die Anzahl der Verbindungen zwischen einem
Proxy auf der Appliance und dessen Clients.
Number of working threads (Anzahl der
Arbeits-Threads)
Gibt die Anzahl der Threads an, die bei Ausführung eines
Proxys auf einer Appliance zum Filtern und Übertragen von
Web-Objekten verwendet werden.
Number of threads for AV scanning (Anzahl der
Threads für das Antiviren-Scannen)
Gibt die Anzahl der Threads an, die bei Ausführung eines
Proxy auf einer Appliance zum Scannen von Web-Objekten
auf Infektionen durch Viren und sonstige Malware verwendet
werden.
Wenn der Wert 0 angegeben wird, ist keine Beschränkung
festgelegt.
Produkthandbuch
157
6
Proxys
Proxy-Einstellungen
Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung)
Option
Definition
Use TCP no delay (TCP ohne Verzögerung) Bei Auswahl dieser Option werden Verzögerungen in einer
Proxy-Verbindung vermieden, indem der Nagle-Algorithmus
zum Zusammenstellen von Datenpaketen nicht verwendet
wird.
Dieser Algorithmus erzwingt, dass Pakete erst dann gesendet
werden, wenn eine bestimmte Datenmenge gesammelt
wurde.
Maximal TTL for DNS cache in seconds (Maximale Beschränkt die Zeit (in Sekunden), für die
TTL für DNS-Cache in Sekunden)
Host-Nameninformationen im DNS-Cache gespeichert
werden.
Timeout for errors for long running connections
(Zeitlimit für Fehler bei lange
andauernden Verbindungen)
Legt die Dauer (in Stunden) fest, für die eine lange
andauernde Verbindung mit einer anderen
Netzwerkkomponente inaktiv bleiben darf, bevor Web
Gateway die Verbindung schließt.
Die Standardeinstellung beträgt 24 Stunden.
Diese Einstellung verhindert, dass die Leistung einer Web
Gateway-Appliance durch extrem lange andauernde
Verbindungen beeinträchtigt wird.
Die Dauer wird für die verschiedenen Verbindungsprotokolle
wie folgt gemessen, um zu ermitteln, wann die
Zeitüberschreitung erreicht ist.
• HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche
Protokolle: Die Dauer wird für jede Anfrage gemessen, die
in einer Verbindung gesendet wird.
• SOCKS (wenn das eingebettete Protokoll nicht beachtet
wird), getunneltes HTTP, HTTPS (ohne Inhaltsprüfung) und
ähnliche Protokolle: Die Dauer wird für die Verbindung als
Ganzes gemessen.
• FTP: Die Dauer wird für die Steuerungsverbindung
gemessen.
Wenn die Verbindung geschlossen wird, erzeugt das einen
Fehler, der von den Regeln in einem
Fehler-Handler-Regelsatz verarbeitet werden kann.
Check interval for long running connections
(Intervall für lange andauernde
Verbindungen überprüfen)
158
Legt die Zeit (in Minuten) fest, die zwischen
Überprüfungsmeldungen abläuft, die über lange andauernde
Verbindungen gesendet werden.
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Option
Definition
Maximal amount of data per connection or
request (Maximale Datenmenge pro
Verbindung oder Anfrage)
Legt die Datenmenge (in MB) fest, die über eine lange
andauernde Verbindung an eine andere
Netzwerkkomponente gesendet werden kann, bevor Web
Gateway die Verbindung schließt.
Der Standardeinstellung beträgt 10240 MB.
Diese Einstellung verhindert, dass die Leistung einer Web
Gateway-Appliance durch lange andauernde Verbindungen
mit sehr hoher Datenlast beeinträchtigt wird.
Die Datenlast wird für die verschiedenen
Verbindungsprotokolle wie folgt gemessen, um zu ermitteln,
wann die Höchstmenge erreicht ist.
• HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche
Protokolle: Die Datenlast wird für jede Anfrage gemessen,
die in einer Verbindung gesendet wird.
• SOCKS (wenn das zugrundeliegende Protokoll nicht
beachtet wird), getunneltes HTTP, HTTPS (ohne
Inhaltsprüfung) und ähnliche Protokolle: Die Datenlast wird
für die Verbindung als Ganzes gemessen.
• FTP: Die Datenlast wird für die Datenverbindung
gemessen.
Wenn die Verbindung geschlossen wird, erzeugt das einen
Fehler, der von den Regeln in einem
Fehler-Handler-Regelsatz verarbeitet werden kann.
Die folgenden Eigenschaften werden dann für den Wert der
gemessenen Daten festgelegt, um für die
Fehlerbehandlungsregeln zur Verfügung zu stehen:
Bytes.ToClient, Bytes.ToServer, Bytes.FromClient,
Bytes.FromServer.
Volume interval for connections
(Volumenintervall für Verbindungen)
Legt das Volumenintervall für lange andauernde
Verbindungen fest.
Internal path ID (Interne Pfad-ID)
Gibt den Pfad an, dem eine Appliance beim Weiterleiten von
internen Anfragen (Anfragen, die nicht von Clients
empfangen wurden) folgt, z. B. Anfragen für Stylesheets
zum Anzeigen von Fehlermeldungen.
Bypass RESPmod for responses that must not
contain a body (RESPmod bei Antworten
umgehen, die keinen Textteil enthalten dürfen)
Bei Auswahl dieser Option werden in einer Kommunikation
unter dem ICAP-Protokoll gesendete Antworten nicht
entsprechend dem RESPMOD-Mode geändert, wenn sie
keinen Textteil enthalten.
Call log handler for progress page updates and
objects embedded in error templates
(Protokoll-Handler für Aktualisierungen von
Fortschrittsseiten und in Fehlermeldungsvorlagen
eingebettete Objekte aufrufen)
Bei Auswahl dieser Option werden die Regeln im auf der
Appliance implementierten Protokoll-Handler-Regelsatz
verarbeitet, um die angegebenen Aktualisierungen und
Objekte zu behandeln.
Allow connections to use local ports using proxy
(Verbindungen das Verwenden lokaler Ports über
Proxy gestatten)
Bei Auswahl dieser Option können lokale Ports für Anfragen
auf einer Appliance verwendet werden, auf der der Proxy
ausgeführt wird.
Produkthandbuch
159
6
Proxys
Proxy-Einstellungen
Option
Definition
Use virtual IP as the Proxy.IP property value
(Virtuelle IP-Adresse als
Proxy.IP-Eigenschaftenwert
verwenden)
Bei Auswahl dieser Option ist der Wert für die
Proxy.IP-Eigenschaft im Hochverfügbarkeitsmodus eine
virtuelle IP-Adresse für alle Knoten in einer Konfiguration.
Dabei handelt es sich um die virtuelle Adresse, mit der
Clients Verbindungen mit dem Proxy herstellen.
Wenn der Master-Knoten eine Anfrage eines Clients an einen
Scan-Knoten umleitet, ist diese Adresse auch auf dem
Scan-Knoten der Wert der Proxy.IP-Eigenschaft (und nicht
die physische Adresse des Scan-Knotens).
HTTP(S): Remove all hop-by-hop headers
(HTTP(S): Alle Hop-by-Hop-Header entfernen)
Bei Auswahl dieser Option werden Hop-by-Hop-Header aus
Anfragen entfernt, die auf einer Appliance empfangen
werden, auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt
wird.
HTTP(S): Inspect via headers to detect proxy
loops (HTTP(S): VIA-Header untersuchen, um
Proxy-Schleifen zu erkennen)
Bei Auswahl dieser Option werden VIA-Header in Anfragen,
die auf einer Appliance, auf der ein HTTP- bzw. HTTPS-Proxy
ausgeführt wird, auf Schleifen untersucht.
HTTP(S): Host from absolute URL has priority
over host header (Host von absoluter URL hat
Priorität gegenüber Host-Header)
Bei Auswahl dieser Option haben die Host-Namen, die
absoluten URLs in Anfragen entsprechen, die auf einer
Appliance empfangen werden, auf der ein HTTP- bzw.
HTTPS-Proxy ausgeführt wird, Vorrang gegenüber den
Host-Namen in den Anfrage-Headern.
Encode own IP address in progress page ID to
enable non-sticky load balancers (Eigene
IP-Adresse zur Ermöglichung von
temporärem Lastausgleich in
Fortschrittsseiten-ID codieren)
Bei Auswahl dieser Option wird die IP-Adresse in der
Fortschrittsseiten-ID codiert.
HTTP(S): Maximum size of a header (HTTP(S): Beschränkt die Header-Größe (in MB) für Anfragen oder
Maximale Header-Größe)
Antworten, die als HTTP(S)-Datenverkehr gesendet werden.
Die Standardgröße beträgt 10 MB.
Listen backlog (Überwachungs-Backlog)
Gibt einen Wert für das Überwachungs-Backlog an, d. h. die
Anzahl gleichzeitiger Verbindungen, die sich in der
Warteschlange befinden dürfen.
Der Standardwert beträgt 128.
Limit for working threads doing IO in web cache
(Limit für E/A-Arbeits-Threads im
Web-Cache)
Beschränkt die Anzahl von Arbeits-Threads für den
Web-Cache.
Progress page limit (Größenlimit für die
Fortschrittsseite)
Beschränkt die Größe (in KB) der Fortschrittsseite.
Die Standardanzahl beträgt 25.
Die Standardgröße beträgt 40.000 KB.
Status code of healthy next hop proxy (CONNECT Listet die Statuscodes auf, die fehlerfreie CONNECT-Anfragen
requests) (Statuscode von fehlerfreien
an Proxys am nächsten Hop bezeichnen.
Proxys am nächsten Hop
Die folgenden Statuscodes bezeichnen standardmäßig
(CONNECT-Anfragen))
fehlerfreie Anfragen:
200, 400, 403, 404, 502, 503, 504
160
Produkthandbuch
6
Proxys
Proxy-Einstellungen
Option
Definition
Enable TCP window scaling (Skalierung des
TCP-Fensters aktivieren)
Bei Auswahl dieser Option wird das Fenster zum Empfangen
von Datenpaketen auf TCP-Kommunikationsebene um den
Skalierungsfaktor vergrößert, den Sie unter TCP window scale
(Skalierung des TCP-Fensters) angeben.
Diese Option ist standardmäßig aktiviert.
Wenn Sie diese Option deaktivieren, kann das
Fenster nicht skaliert werden. Sie sollten diese
Option nur deaktivieren, wenn Sie das
Empfangsfenster wirklich auf diese Weise
konfigurieren möchten.
TCP window scale (format: 0–14) (Skalierung
des TCP-Fensters (Format: 0–14))
Legt die Größe des Fensters für den Empfang von
Datenpaketen auf TCP-Kommunikationsebene fest.
Die ursprüngliche Größe des Empfangsfensters kann mithilfe
eines Skalierungsfaktors skaliert werden, der durch
Potenzieren der Basis 2 mit der hier von Ihnen angegebenen
Zahl berechnet wird.
Wenn Sie beispielsweise 1 angeben, beträgt der
Skalierungsfaktor 2^1 = 2. Dies bedeutet, dass die
Fenstergröße verdoppelt wird.
Sie können einen Wert im Bereich von 0–14 angeben.
Wenn Sie 0 angeben, ergibt dies den Skalierungsfaktor 1.
Dies bedeutet, dass Sie die ursprüngliche Größe des
Empfangsfensters beibehalten möchten.
Die Skalierungsfunktion kann jedoch trotzdem für das
Empfangsfenster des Kommunikationspartners verwendet
werden.
Der Standardwert beträgt 2.
Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser)
Einstellungen für das Herstellen von Verbindungen mit Web-Servern, das Aufrufen des Regelmoduls
und das Herunterladen von Daten
Produkthandbuch
161
6
Proxys
Tabelle 6-31 Periodic Rule Engine Trigger List (Liste der regelmäßigen
Regelmodul-Auslöser)
Option
Definition
Enable Periodic Rule Engine
Trigger List (Liste der
regelmäßigen
Regelmodul-Auslöser aktivieren)
Bei Auswahl dieser Option werden Verbindungen mit den Web-Servern,
die in der URL definition list (Liste der URL-Definitionen) angegeben sind, in
regelmäßigen Intervallen eingerichtet.
Außerdem werden in der Liste auch die Intervalle für die einzelnen
Web-Serververbindungen angegeben.
Nach Ablauf des Intervalls wird das Modul für die Regelverarbeitung
(Regelmodul) auf einer Appliance aufgerufen, eine Verbindung mit dem
Web-Server wird eingerichtet, und Daten werden vom Web-Server
heruntergeladen und zur Verarbeitung an das Regelmodul übergeben.
Daten werden nur unter dem HTTP-Protokoll und dem HTTPS-Protokoll
heruntergeladen.
Zu den Web-Servern, für die auf diese Weise Verbindungen eingerichtet
werden, zählen Nächster-Hop-Proxy-Server und sonstige Server, über
die im Web spezielle Dienste bereitgestellt werden.
URL definition list (Liste der
URL-Definitionen)
Stellt eine Liste von Web-Servern bereit, mit denen eine Verbindung
eingerichtet werden kann.
In der folgenden Tabelle wird ein Eintrag in der Liste der URL-Definitionen beschrieben.
Tabelle 6-32 URL definition list (Liste der URL-Definitionen) – Listeneintrag
Option
Definition
Host
Gibt die IP-Adresse und die Port-Nummer oder die URL eines
Web-Servers an, mit dem eine Verbindung eingerichtet werden kann.
Trigger interval (Auslöserintervall) Gibt das Intervall (in Sekunden) an, nach dessen Ablauf erneut versucht
wird, eine Verbindung mit einem Web-Server einzurichten.
Comment (Kommentar)
Gibt einen Kommentar im Nur-Text-Format zu einer Verbindung mit
einem Web-Server an.
Die Verwendung verschiedener Quell-IP-Adressen für ausgehende Verbindungen von Web Gateway an
Web-Server oder Proxys am nächsten Hop kann Verbindungsprobleme verursachen. Um diese
Probleme zu vermeiden, können Sie diese Adressen durch eine einheitliche Adresse ersetzen.
Die Verwendung verschiedener Quell-IP-Adressen ist beispielsweise bei der Konfiguration von
Lastausgleich für mehrere Web Gateway-Appliances erforderlich. Lastausgleich kann zu
Verbindungsproblemen auf der Seite der beteiligten Web-Server oder Proxys am nächsten Hop führen.
Beispielsweise können Probleme entstehen, wenn sich Quell-IP-Adressen während eines
Sitzungszeitraums ändern.
Um diese Probleme zu vermeiden, können Sie eine Regel konfigurieren, die sich ändernde
Quell-IP-Adressen durch eine einheitliche Adresse ersetzt.
Dies muss keine feste Adresse sein. Sie können eine Liste von IP-Adressen anlegen und anhand einer
Regel eine Adresse an einer bestimmten Position auf der Liste auswählen. Die Adresse, die die
anderen Adressen ersetzt, entspricht dann dem jeweiligen Eintrag an dieser Position.
162
Produkthandbuch
6
Proxys
Netzwerkeinrichtung zur Steuerung der ausgehenden Quell-IP-Adressen
Die Steuerung der ausgehenden Quell-IP-Adressen wird unterstützt für Netzwerkeinrichtungen mit:
•
IPv4 oder IPv6
•
HTTP-, HTTPS-, FTP- oder SOCKS-Proxy
Instant Messaging wird nicht unterstützt.
•
Proxy-Modus (mit optionalem WCCP)
Der Modus „Transparenter Router“ wird unterstützt, wenn die Quell-IP-Adressen, die zum Ersetzen
anderer Adressen verwendet werden, als Aliasse konfiguriert sind.
Die Modi „Proxy-Hochverfügbarkeit“ und „Transparente Bridge“ werden nicht unterstützt.
Die Steuerung der ausgehenden Quell-IP-Adressen kann auch über die regelmäßige Auslösung eines
Regelmoduls erfolgen.
Beispielregel zur Steuerung der ausgehenden Quell-IP-Adressen
Eine Regel, die ausgehende Quell-IP-Adressen durch eine einheitliche Adresse ersetzt, wenn
beispielsweise Verbindungen mit Proxys am nächsten Hop eingerichtet wurden, könnte wie folgt
aussehen:
Name
Use proxy depending on the destination
Action (Aktion) Events (Ereignisse)
URL.Destination.IP is in range list Next –> Continue
Hop Proxy IP Range List
ODER
Enable Next Hop Proxy<Internal Proxy>
Enable Outbound Source IP
Override(Proxy.OutboundIP(2))
URL.Destination.IP is in list Next Hop
Proxy IP List
Das Regelkriterium gibt an, wann ein Proxy am nächsten Hop verwendet wird. Das erste der beiden
Ereignisse stellt eine Verbindung mit einem Proxy am nächsten Hop her.
Das zweite Ereignis, Enable Outbound Source IP Override, steuert die ausgehenden Quell-IP-Adressen.
Es ersetzt („überschreibt“) alle durch eine Anfrage übermittelten Quell-IP-Adressen durch eine
einheitliche IP-Adresse, die aus einer Liste übernommen wird.
Diese Liste wird durch einen Ereignisparameter angegeben, der selbst eine Eigenschaft ist. Der Name
der Eigenschaft lautet Proxy.OutboundIP. Der Wert ist eine Liste von IP-Adressen im
Zeichenfolgenformat. Ein Parameter der Eigenschaft bestimmt die Position einer IP-Adresse in der
Liste.
Liste von IP-Adressen zur Steuerung der ausgehenden Quell-IP-Adressen
Die Liste der IP-Adressen, die Sie zum Ersetzen der ausgehenden Quell-IP-Adressen verwenden
können, gehört zu den Einstellungen für Proxies (Proxys). Sie finden sie dort unter Advanced Outgoing
Connection Settings (Erweiterte Einstellungen für ausgehende Verbindung).
Produkthandbuch
163
6
Proxys
Bezüglich der Position einer IP-Adresse in der Liste gilt Folgendes:
•
Der Listenindex beginnt bei 0. Wenn Sie beispielsweise „2“ als Parameter für die Eigenschaft
ProxyOutboundIP angeben, um eine Position zu bestimmen, wird die dritte IP-Adresse in der Liste
ausgewählt.
•
Wenn Sie einen Parameterwert angeben, der die Anzahl der Listeneinträge übersteigt, wird die
Position wie folgt berechnet: <Parameterwert> Modulo <Anzahl der Listeneinträge>.
Wenn Sie zum Beispiel „5“ für eine Liste angeben, die nur drei Einträge besitzt, lautet das Ergebnis
der Modulo-Berechnung „2“. Demzufolge wird die dritte IP-Adresse auf der Liste ausgewählt.
Netzwerk-Routing und IP-Adress-Spoofing
Die IP-Adressen, die vom Ereignis Enable Outbound Source IP Override in Datenpakete eingefügt
werden, sind nicht lokale Quell-IP-Adressen. Daher müssen Sie das Netzwerk-Routing entsprechend
konfigurieren.
Datenpakete, die von einem Web-Server an einen Client zurückgesendet werden, müssen zum Proxy
in Web Gateway weitergeleitet werden. Für das Weiterleiten der Datenpakete können Sie statische
Routen verwenden.
Wenn das Ereignis Enable Outbound Source IP Override ausgelöst wird und IP-Adress-Spoofing
aktiviert ist, überschreibt das Ereignis auch diese Einstellung.
Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen
Sie können verschiedene ausgehende Quell-IP-Adressen durch eine bestimmte Adresse ersetzen, um
Verbindungsprobleme zu vermeiden.
Vorgehensweise
1
2
Wählen Sie eine Appliance zum Konfigurieren der IP-Adress-Ersetzung aus, wählen Sie Proxies
(HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)) aus, und scrollen Sie nach unten
bis zu Advanced Outgoing Connection Settings (Erweiterte Einstellungen der ausgehenden Verbindung).
3
Fügen Sie unter Outbound source IP list (Liste ausgehender Quell-IP-Adressen) eine oder mehrere
IP-Adressen zur Liste der Quell-IP-Adressen für ausgehende Anfragen hinzu.
4
Fügen Sie das folgende Ereignis zu einer bestehenden Regel für Verbindungen mit Web-Servern
oder Proxys am nächsten Hop hinzu: Enable Outbound Source IP Override mit der Eigenschaft
Proxy.OutboundIP als Parameter.
Die Regel verwendet nun die Liste, die Sie zum Auswählen einer IP-Adresse, die verschiedene
ausgehende Quell-IP-Adressen ersetzen soll, konfiguriert haben.
Anfragen, die von Web Gateway-Clients über das FTP-Protokoll an Server gesendet werden, können
mithilfe der WCCP-Umleitungsmethode (Web Cache Control Protocol) an Web Gateway umgeleitet
werden.
Web Gateway-Clients öffnen zum Senden einer Anfrage an einen Server über das FTP-Protokoll
zunächst die anfängliche FTP-Verbindung. Hierfür wird die IP-Adresse des Servers verwendet. Damit
Web Gateway als Proxy fungieren kann, wird die Anfrage an die IP-Adresse der Appliance umgeleitet,
auf der Web Gateway ausgeführt wird.
164
Produkthandbuch
6
Proxys
Unter den Standardeinstellungen stuft der Client diese Umleitung als Sicherheitsrisiko ein und bricht
das Öffnen der FTP-Datenverbindung daher ab. Bei der Umleitung über das WCCP-Protokoll können
Sie dieses Problem jedoch umgehen, indem Sie an den Einstellungen folgende Änderungen
vornehmen:
•
Verwenden des aktiven FTP-Modus für die Verbindung vom Client zum Proxy
Clients sind standardmäßig zur Nutzung des passiven FTP-Modus berechtigt. Durch Deaktivieren
einer Option der Proxy-Einstellungen auf der Web Gateway-Benutzeroberfläche können Sie jedoch
den aktiven FTP-Modus erzwingen.
•
Konfigurieren eines Ports für die Umleitung zum Proxy
Dieser Port muss in die Liste der Ports eingetragen werden, bei denen Umleitungen über WCCP
erfolgen.
•
Einstellen der IP-Adresse des FTP-Servers für den Proxy (anstelle der eigenen IP-Adresse)
Sie können durch Setzen eines bestimmten Parameters sicherstellen, dass der Proxy genau diese
Adresse verwendet.
Wenn die Einstellungen auf die genannte Weise geändert wurden, verwendet der entsprechende Client
nun den aktiven FTP-Modus. Er sendet dem Proxy eine IP-Adresse sowie eine Port-Nummer zum
Aufbau einer Verbindung. Daraufhin antwortet der Proxy mit einer Synchronisierungsnachricht. In
dieser Nachricht wird die IP-Adresse des FTP-Servers als Quell-IP-Adresse des Proxys verwendet. Die
Port-Nummer lautet 21 bzw. 2020.
Die Antwort des Clients enthält die IP-Adresse des FTP-Servers als Ziel-IP-Adresse sowie die gleiche
Port-Nummer. Anfragen vom Client an den FTP-Server werden dann über das WCCP-Protokoll an den
Proxy umgeleitet.
Im Modus „Transparente Bridge“ oder „Transparenter Router“ kann die WCCP-Umleitungsmethode für
FTP-Datenverkehr allerdings nicht verwendet werden.
Konfigurieren der Verwendung von WCCP zum Umleiten des
FTP-Datenverkehrs
Konfigurieren Sie die Proxy-Einstellungen wie folgt, um die WCCP-Umleitungsmethode für Anfragen zu
aktivieren, die Clients über das FTP-Protokoll an Server senden.
Vorgehensweise
1
Erzwingen Sie die Verwendung des aktiven FTP-Modus durch die Clients.
a
b
Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie die Verwendung der
WCCP-Umleitungsmethode aktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, SOCKS,
ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)).
c
Scrollen Sie zu FTP Proxy (FTP-Proxy), und vergewissern Sie sich, dass Enable FTP proxy (FTP-Proxy
aktivieren) ausgewählt ist.
d
Wählen Sie einen Eintrag in der FTP port definition list (Liste von FTP-Port-Definitionen) aus, klicken
Sie auf Edit (Bearbeiten), und deaktivieren Sie unter FTP Proxy Port (FTP-Proxy-Port) die Option
Allow clients to use passive connections (Clients das Verwenden von passiven Verbindungen gestatten).
Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste.
Produkthandbuch
165
6
Proxys
2
Fügen Sie die Ports 21 und 2020 zur Liste der Ports hinzu, die für die Umleitung über WCCP
verwendet werden.
a
Scrollen Sie in den Einstellungen für Proxies (Proxys) zu Transparent Proxy (Transparenter Proxy),
und vergewissern Sie sich, dass unter Supported redirection methods (Unterstützte
Umleitungsmethoden) die Option WCCP ausgewählt ist.
b
Wählen Sie einen Eintrag in der Liste WCCP services (WCCP-Dienste) aus, klicken Sie auf Edit
(Bearbeiten), und geben Sie unter Ports to be redirected (Umzuleitende Ports) die
Nummern 21,2020 ein.
Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste.
3
4
Setzen Sie in den relevanten Einstellungen den Parameter ftp.match.client.data auf yes.
Dadurch wird sichergestellt, dass Web Gateway bei Antworten an den Client die IP-Adresse
verwendet, die vom Client als Quell-IP-Adresse empfangen wurde.
Diese Adresse ist die IP-Adresse des fraglichen FTP-Servers, nicht die IP-Adresse der Web
Gateway-Appliance. Der Client vermutet daher kein Sicherheitsrisiko.
Anfragen, die von einem Client über das FTP-Protokoll an einen Server gesendet werden, werden nun
mithilfe der WCCP-Umleitungsmethode an Web Gateway umgeleitet und problemlos verarbeitet.
Wenn Web Gateway so konfiguriert ist, dass es als FTP-Proxy ausgeführt wird, kann die Raptor-Syntax
zur Anmeldung am FTP-Server mit Web Gateway als Proxy verwendet werden.
Um diese Anmeldung durchzuführen, kann der Benutzer, der auf den FTP-Server zugreifen möchte, die
Befehle USER, PASS und ACCEPT über einen passenden FTP-Client ausführen. Unter Verwendung
dieser Befehle wird der FTP-Server zusammen mit Benutzernamen und Kennwörtern für den
FTP-Server und den Web Gateway-Proxy angegeben.
Die Befehlssyntax lautet wie folgt:
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
In der folgenden Tabelle werden die Bedeutungen der Befehlsparameter beschrieben.
Tabelle 6-33 Befehlsparameter für die FTP-Anmeldung
166
Option
Definition
ftpserver
FTP-Server, für den Zugriff angefragt wird
ftpuser
Benutzername für den FTP-Server
ftpuserpass
Kennwort für den FTP-Server
proxyuser
Benutzername für den Web Gateway-Proxy
proxyuserpass
Kennwort für den Web Gateway-Proxy
Produkthandbuch
6
Proxys
Wenn Web Gateway-Appliances in einer Konfiguration mit zentraler Verwaltung als Master- und
Scan-Knoten ausgeführt werden, erfolgt die Kommunikation zwischen den Knoten über das Virtual
Router Redundancy Protocol (VRRP) und das MWG-Verwaltungsprotokoll.
Die Verwendung der Protokolle hängt von den Proxy-Einstellungen ab, die Sie auf den als Knoten
ausgeführten Appliances konfiguriert haben. Die Protokolle decken unterschiedliche Aktivitäten von
Master- und Scan-Knoten ab.
Virtual Router Redundancy Protocol
Das Virtual Router Redundancy Protocol wird verwendet, wenn Sie Web Gateway als Proxy im Modus
„Transparenter Router“ oder im Proxy-Modus „Hohe Verfügbarkeit“ konfiguriert haben.
Unter diesem Protokoll werden aktiven Master-Knoten und Backup-Master-Knoten virtuelle
IP-Adressen zugewiesen. Das Protokoll bestimmt auch, welcher Master-Knoten die aktive Master-Rolle
übernimmt.
MWG-Verwaltungsprotokoll
Das MWG-Verwaltungsprotokoll wird im Proxy-Modus „Transparenter Router“, „Transparente Bridge“
und „Hohe Verfügbarkeit“ verwendet. Unter diesem Protokoll werden Scan-Knoten erkannt, die für die
Verarbeitung des Web-Verkehrs zur Verfügung stehen.
Der Knoten, der die aktive Master-Rolle übernimmt, sendet über die IP-Adressen, die Sie unter
Management IP (Verwaltungs-IP) der jeweiligen Proxy-Einstellungen als IP-Quelladresse konfiguriert
haben, Broadcast-Nachrichten an die Scan-Knoten.
Das Protokoll sorgt dafür, dass die innerhalb eines Netzwerksegments verfügbaren Scan-Knoten in
regelmäßigen Abständen auf die Erkennungsnachrichten des Master-Knotens antworten.
Sicherheitsüberlegungen
Die Sicherheitsmerkmale des Virtual Router Redundancy Protocol und des MWG-Verwaltungsprotokolls
sind denen des Address Resolution Protocol (ARP) sehr ähnlich.
Das Virtual Router Redundancy Protocol verwendet Multicast mit einer IP-Adresse, die nicht über die
lokale Broadcast-Domäne hinaus geroutet wird. Das MWG-Verwaltungsprotokoll verwendet
Broadcast-Nachrichten.
Wenn ein bösartiger Knoten im gleichen Netzwerksegment VRRP-Nachrichten sendet, gibt er sich als
aktiven Master-Knoten und Inhaber der jeweiligen virtuellen IP-Adresse zu erkennen. Wenn dieser
Knoten plötzlich alle Datenpakete für die virtuelle IP-Adresse verweigert, wird die Netzwerkverbindung
für die mit dem Web Gateway-Proxy verbundenen Clients beendet.
Damit bösartige Knoten den Betrieb des Web Gateway-Proxys nicht stören, wird bei der Konfiguration
der Proxy-Einstellungen gemäß Virtual Router Redundancy Protocol und MWG-Verwaltungsprotokoll die
Verwendung von IP-Adressen aus einem geschützten Netzwerksegment empfohlen.
Die Verwendung von DNS-Servern (Domain Name Service) zur Auflösung von über URLs
bereitgestellten Domäneninformationen in IP-Adressen, wenn Web-Zugriffsanfragen auf Web Gateway
verarbeitet werden, kann gemäß den Domänen der angeforderten Ziele konfiguriert werden.
Diese Verwendung von DNS-Servern wird auch als bedingte DNS-Weiterleitung bezeichnet.
Produkthandbuch
167
6
Proxys
Domänen, z. B. testnet.webwasher.com, werden in eine Liste eingegeben, zusammen mit der
IP-Adresse des DNS-Servers, der zum Auflösen der URL-Informationen verwendet wird. Auf diese
Weise kann für eine Domäne mehr als ein DNS-Server angegeben werden.
Wenn eine Anfrage an ein bestimmtes Ziel im Web an Web Gateway gesendet wird, wird diese gemäß
dieser Liste an einen DNS-Server weitergeleitet.
Die Verwendung eines bestimmten DNS-Servers kann dynamisch über DHCP (Dynamic Host
Configuration Protocol) konfiguriert werden. Dies ist auch die Standardeinstellung nach der
Erstkonfiguration einer Web Gateway-Appliance.
Wenn beide Konfigurationen mit DHCP sowie bedingter DNS-Weiterleitung konfiguriert sind, hat DHCP
Vorrang, und die bedingte DNS-Weiterleitung wird umgangen.
Wenn ein BIND-Server als DNS-Server konfiguriert ist, werden die in einer Konfigurationsdatei auf
Web Gateway gespeicherten DNS-Server-Einstellungen überschrieben. Um die Einstellungen für die
Auflösung des Domänennamens beizubehalten, müssen Sie diese manuell erneut eingeben.
Konfigurieren Sie die Verwendung von DNS-Servern
entsprechend Domänen
Konfigurieren Sie die Domain Name Service-Einstellungen in geeigneter Weise, um die Verwendung
von DNS-Servern entsprechend den Ziel-Domänen im Web zu ermöglichen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Verwendung von
DNS-Servern konfigurieren möchten, und klicken Sie auf Domain Name Service.
3
Konfigurieren Sie die Einstellungen im Abschnitt Conditional DNS Forwarder Configuration (Konfiguration
von bedingten DNS-Weiterleitungen) nach Bedarf.
4
Einstellungen für den Domain Name Service
Die Einstellungen für den Domain Name Service werden zum Konfigurieren der DNS-Server
verwendet. Dies gilt auch für die Nutzung von DNS-Servern in Abhängigkeit von bestimmten
Domänen, was auch als bedingte DNS-Weiterleitung bezeichnet wird.
Domain Name Service Settings (Einstellungen des Domain Name Service)
Einstellungen für DNS-Server
Tabelle 6-34 Domain Name Service Settings (Einstellungen des Domain Name Service)
Option
Definition
Primary domain name server (Primärer Domänennamen-Server)
Gibt die IP-Adresse des ersten Servers an.
Secondary domain name server (Sekundärer Domänennamen-Server)
Gibt die IP-Adresse des zweiten Servers an.
Tertiary domain name server (Tertiärer Domänennamen-Server)
Gibt die IP-Adresse des dritten Servers an.
Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Einstellungen für die Verwendung von DNS-Servern in Abhängigkeit von Domänen
168
Produkthandbuch
6
Proxys
Tabelle 6-35 Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Option
Definition
Enable conditional forwarding
(Bedingte Weiterleitung aktivieren)
Bei Auswahl dieser Option löst ein DNS-Server aus der Liste Conditional
Forwarder List (Liste für bedingte Weiterleitung) die in einer Anfrage an
Web Gateway gesendete Domäneninformation in eine IP-Adresse auf.
• In Abhängigkeit von der Domäne des angefragten Ziels wird ein
DNS-Server aus der Liste ausgewählt.
• Die DNS-Server sind in der Liste mit ihren IP-Adressen aufgeführt.
• Für eine Domäne können bis zu fünf DNS-Server angegeben
werden.
Wenn diese Option ausgewählt ist, kann auch auf die folgenden fünf
Optionen zugegriffen werden.
Default resolver(s)
(Standard-DNS-Server)
Gibt die IP-Adressen des bzw. der Server an, die standardmäßig zur
Auflösung der Domäneninformationen verwendet werden.
Hier können IP-Adressen für bis zu fünf DNS-Server angegeben
werden.
TTL for positive answer
(Speicherdauer für positive
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den positive Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 604800 Sekunden.
TTL for negative answer
(Speicherdauer für negative
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den negative Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 10800 Sekunden.
Conditional Forwarder List (Liste für
bedingte Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
für die bedingte Weiterleitung genutzt werden.
Conditional Forwarder Reverse
Lookup List (Liste für umgekehrte
Suche in bedingter Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
verwendet werden, wenn bei der bedingten Weiterleitung eine
umgekehrte Suche durchgeführt wird.
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder List“ (Liste für bedingte
Weiterleitung) erläutert.
Tabelle 6-36 Liste für bedingte Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt einen Domänennamen an.
Beim Senden einer Anfrage für ein Ziel auf einer bestimmten Domäne
an Web Gateway wird für die Suche der DNS-Server (bzw. die
DNS-Server) verwendet, der für diese Domäne angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Produkthandbuch
169
6
Proxys
Reverse-HTTPS-Proxy
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder Reverse Lookup List“
(Liste für umgekehrte Suche in bedingter Weiterleitung) erläutert.
Tabelle 6-37 Liste für umgekehrte Suche in bedingter Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt die IP-Adresse einer Domäne an.
• Die Angabe der IP-Adresse erfolgt in der CIDR-Notation.
• Bei der Durchführung einer umgekehrten Suche nach einer
IP-Adresse wird der DNS-Server (bzw. die DNS-Server) verwendet,
der für diese Adresse angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Reverse-HTTPS-Proxy
Mit einer Reverse-HTTPS-Proxy-Konfiguration kann verhindert werden, dass Clients unerwünschte
Daten wie Malware oder bestimmte Medientypen auf Web-Server unter dem HTTPS-Protokoll
hochladen.
In einer solchen Konfiguration wird HTTPS-Datenverkehr an eine Appliance umgeleitet, auf der ein
Proxy ausgeführt wird. Er wird untersucht und schließlich je nach den auf der Appliance
implementierten Regeln weitergeleitet oder blockiert.
Es gibt die folgenden Konfigurationsmöglichkeiten:
•
Einrichten einer transparenten Bridge oder eines transparenten Routers
•
Einrichten einer DNS-Konfiguration, die direkt auf die Appliance zeigt, wenn der Zugriff auf einen
bestimmten Web-Server angefordert wird
Die Umleitung an eine Appliance kann auch erzielt werden, indem Verbindungen mit Proxy-Erkennung
konfiguriert werden, die auf der Verwendung von CONNECT-Headern basieren.
Diese Methode erfordert jedoch ein zusätzliches Netzwerkgerät, um diese Header für eingehende
Anfragen zusammenzustellen. Daher wird sie nicht empfohlen.
Neben dem Konfigurieren Ihres Netzwerks müssen Sie die Verarbeitung von SSL-Zertifikaten
konfigurieren.
Optional können Sie zusätzliche Einstellungen festlegen, die sich nicht auf SSL beziehen, um einen
reibungslosen Betrieb des Reverse-HTTPS-Proxys sicherzustellen.
Umleiten von HTTPS-Datenverkehr im Modus „Transparente
Bridge“ oder „Transparenter Router“
Im Modus „Transparente Bridge“ oder „Transparenter Router“ können Sie eine Port-Umleitungsregel
(die auch als Port-Weiterleitungsregel bezeichnet wird) verwenden, um HTTPS-Datenverkehr an den
Proxy-Port einer Appliance weiterzuleiten.
Sie müssen zudem sicherstellen, dass die umgeleiteten Anfragen als SSL-gesicherte Kommunikation
behandelt werden.
170
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, an die Datenverkehr umgeleitet
werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
Wählen Sie im Abschnitt Network Setup (Netzwerkeinrichtung) Transparent bridge (Transparente Bridge)
oder Transparent router (Transparenter Router) aus.
Der Abschnitt mit den spezifischen Einstellungen für die transparente Bridge bzw. den
transparenten Router wird angezeigt.
4
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
5
Konfigurieren Sie die folgenden Einstellungen für einen neue Port-Umleitungsregel:
•
Protocol name (Protokollname): HTTP
Diese Einstellung deckt Verbindungen unter den Protokollen HTTP und HTTPS ab.
•
Original destination ports (Ursprüngliche Ziel-Ports): 443
Wenn die Web-Server, die die Anfrageziele darstellen, auch unter dem HTTP-Protokoll erreicht
werden können, können Sie hier Port 80 hinzufügen (getrennt durch ein Komma). Dieser Typ
von Datenverkehr wird dann ebenfalls an die Appliance weitergeleitet.
•
Destination proxy port (Ziel-Proxy-Port): 9090
Dies ist der standardmäßige Proxy-Port auf einer Appliance.
6
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Regel wird in der Liste angezeigt.
7
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen).
8
9
Vergewissern Sie sich, dass Folgendes konfiguriert ist:
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): 443
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue HTTP-Proxy-Port wird in der Liste angezeigt.
Festlegen der Überwachung von über DNS-Einträge
umgeleiteten Anfragen durch die Appliance
Wenn unter dem HTTPS-Protokoll gesendete Anfragen entsprechend DNS-Einträgen an eine Appliance
umgeleitet werden, können Sie den Proxy auf der Appliance so konfigurieren, dass er den
Produkthandbuch
171
6
Proxys
Reverse-HTTPS-Proxy
entsprechenden Port direkt überwacht. Sie müssen zudem sicherstellen, dass die Verarbeitung nur für
SSL-gesicherte Verbindungen erfolgt.
Bevor Sie beginnen
Wenn Sie den Proxy auf diese Weise konfigurieren möchten, stellen Sie Folgendes sicher:
•
Es erfolgt keine Auflösung der Host-Namen der angeforderten Web-Server auf der
Appliance, wenn von der Appliance eine DNS-Suche ausgeführt wird.
Sie können dies erreichen, indem Sie die IP-Adressen der Web-Server in der Datei „/etc/
hosts“ auf der Appliance eingeben, oder indem Sie einen entsprechend konfigurierten
internen DNS-Server verwenden.
•
Ein Regelsatz zur Verarbeitung der Inhaltsüberprüfung ist auf der Appliance
implementiert und aktiviert.
Ein geeigneter Regelsatz wird als untergeordneter Regelsatz des Regelsatzes
„SSL Scanner“ im Standard-Regelsatzsystem bereitgestellt.
Bei der Verwendung von DNS-Einträgen kann keine Port-Umleitungsregel angewendet werden, da der
Zweck einer solchen Regel im Weiterleiten von Anfragen für andere Ziele an die Appliance besteht.
Aufgrund der DNS-Einträge stellt die Appliance jedoch bereits das Ziel dar.
Sie müssen zudem sicherstellen, dass die Verarbeitung nur für SSL-gesicherte Verbindungen erfolgt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur eine Appliance aus, die auf Anfragen überwachen soll,
und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
4
Konfigurieren Sie die folgenden Einstellungen für einen neuen HTTP-Proxy-Port:
•
Listener address (Listener-Adresse): 0.0.0.0:443
Mit dieser Einstellung überwacht die Appliance Anfragen für beliebige Web-Server, ungeachtet
ihrer jeweiligen IP-Adresse. Sie können an dieser Stelle auch eine bestimmte IP-Adresse
angeben und die Überwachung von Anfragen durch die Appliance auf den betreffenden Server
beschränken.
Wenn Sie über mehrere Netzwerkschnittstellenkarten auf der Appliance verfügen, können Sie
IP-Adressen (durch Kommas getrennt) für eine Anzahl von Web-Servern angeben, die der
Anzahl von Netzwerkschnittstellenkarten gleichkommt.
172
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): *
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
5
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue Proxy-Port wird in der Liste angezeigt.
Wenn ein Web-Server auch unter dem HTTPS-Protokoll zugänglich sein soll, müssen Sie einen
weiteren HTTP-Proxy mit der Listener-Adresse 0.0.0.0:80 oder der Adresse eines bestimmten
Web-Servers hinzufügen.
6
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration
Eine Reverse-HTTPS-Proxy-Konfiguration wird üblicherweise eingerichtet, um eine begrenzte Anzahl an
Web-Servern vor dem Hochladen unerwünschter Daten durch Clients zu schützen. Sie müssen für
diese Server SSL-Zertifikate importieren und diese der Appliance-Konfiguration hinzufügen.
In einer Reverse-HTTPS-Proxy-Konfiguration kommuniziert die Appliance im SSL-gesicherten Modus
mit ihren Clients. Die SSL-Zertifikate, die die Appliance während des SSL-Handshakes an die Clients
sendet, können jedoch nicht durch das Modul „SSL Scanner“ ausgestellt werden. Die Appliance
verwendet daher die Originalzertifikate der Web-Server, für die die Clients Zugriff anfragen.
Sie können diese Zertifikate beim Konfigurieren der Einstellungen für den SSL-Client-Kontext ohne
CA-Modul konfigurieren.
Die Appliance verwendet mehrere Methoden, um die passenden Zertifikate zum Senden an die Clients
zu finden.
Auswählen der an die Clients zu sendenden Zertifikate
Um herauszufinden, welche Zertifikate in einer bestimmten Situation an einen Client zu senden sind,
scannt die Appliance die Liste der importierten Zertifikate. In dieser Liste sind die Zertifikate den
Host-Namen der Web-Server zugeordnet, zu denen sie gehören. Die Appliance sendet dann das
Zertifikat, das dem Namen des Hosts zugeordnet ist, auf den ein Client Zugriff anfragt.
In einer expliziten Proxy-Einrichtung würde der Host-Name übertragen und der Appliance im Header
der CONNECT-Anfrage angegeben werden.
In einer transparenten Einrichtung verwendet die Appliance die folgenden Methoden zur Erkennung
des Host-Namens:
•
Wenn ein Client eine SNI-Erweiterung sendet, kann der Host-Name auf eine Weise ermittelt
werden, die der Erkennung des Host-Namens in einer expliziten Proxy-Konfiguration ähnelt.
•
Wenn Client-Anfragen entsprechend den DNS-Einträgen an die Appliance umgeleitet werden, wird
der Host-Name anhand der IP-Adresse erkannt, die Sie beim Konfigurieren der Umleitung
angegeben haben.
In diesem Fall müssen Sie auch einen Regelsatz mit Regeln erstellen, die die Eigenschaft
„URL.Host“ auf den entsprechenden Wert für jede IP-Adresse setzen, auf die die Appliance
reagieren soll. Damit wird der Appliance angegeben, wohin Anfragen weitergeleitet werden sollen,
nachdem sie gefiltert und zugelassen wurden.
•
Wenn die transparente Einrichtung keine Umleitung durch DNS-Einträge verwendet, sendet die
Appliance eine Handshake-Meldung an den von einem Client angefragten Web-Server, extrahiert
den allgemeinen Namen aus dem vom Web-Server erhaltenen Zertifikat, und ermittelt anhand
dieses allgemeinen Namens den Host-Namen.
Bei dieser Methode müssen auch die Appliance und der Web-Server im SSL-gesicherten Modus
kommunizieren. Sie können eine Einstellung auf der Appliance konfigurieren, um sicherzustellen,
dass dieser Modus verwendet wird.
Produkthandbuch
173
6
Proxys
Reverse-HTTPS-Proxy
Erstellen von Eigenschaften für SSL-Zertifikate in einer Reverse-HTTPSProxy-Konfiguration
Für die SSL-Zertifikate, die für Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration verwendet
werden, können Sie Einstellungen erstellen und die Zertifikate beim Konfigurieren dieser Einstellungen
importieren.
Vorgehensweise
1
Wählen Sie Policies | Settings (Richtlinien | Einstellungen) aus.
2
Wählen Sie in der Einstellungs-Baumstruktur Enable SSL Client Context without CA (SSL-Client-Kontext
ohne CA aktivieren) aus.
3
Klicken Sie über der Einstellungs-Baumstruktur auf Add (Hinzufügen).
4
Geben Sie im Feld Name einen Namen für die hinzuzufügenden Einstellungen ein, z. B. Imported
web server certificates.
5
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
6
[Optional] Wählen Sie die Registerkarte Permissions (Berechtigungen) aus, und geben Sie an,
7
Konfigurieren Sie im Abschnitt Define SSL Client Context (Without Certificate Authority) (SSL-Client-Kontext
definieren, ohne Zertifizierungsstelle) die dort befindlichen Einstellungsparameter.
a
Klicken Sie auf der Symbolleiste der Inline-Liste Select server certificate by host or IP (Server-Zertifikat
nach Host oder IP auswählen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Klicken Sie auf Import (Importieren), und importieren Sie mithilfe der Optionen des nun
geöffneten Fensters Import Server Certificate (Server-Zertifikat importieren) ein SSL-Zertifikat für
einen Web-Server.
c
Konfigurieren Sie die weiteren Parameter im Fenster Add Host to Certificate Mapping (Host zur
Zertifikatzuordnung hinzufügen) nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster wird geschlossen, und in der Inline-Liste wird ein neuer Eintrag für die Zuordnung
eines SSL-Zertifikats zum Host-Namen eines Web-Servers angezeigt.
e
Wenn Sie zur Inline-Liste weitere Zuordnungseinträge hinzufügen möchten, dann wiederholen
Sie die untergeordneten Schritte a bis d.
f
Aktivieren bzw. deaktivieren Sie die Option SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion nur auf Client-Verbindung anwenden), je nachdem, ob die Verbindung
zum Web-Server SSL-gesichert sein soll oder nicht.
Wenn Sie sich für eine ungesicherte Verbindung entscheiden, müssen Sie eine Regel zum
Ändern des Netzwerkprotokolls von HTTPS in HTTP erstellen.
174
Produkthandbuch
Proxys
Reverse-HTTPS-Proxy
g
Konfigurieren Sie die anderen Parameter der Einstellungen für den SSL-Client-Kontext nach
Bedarf.
h
Klicken Sie auf OK.
6
Das Fenster Add Settings (Einstellungen hinzufügen) wird nun geschlossen, und die neuen
Einstellungen werden in der Einstellungs-Baumstruktur angezeigt.
8
Klicken Sie auf OK.
9
Sie können diese Einstellungen auch in der Regel zum Festlegen des Client-Kontexts verwenden. Diese
Regel befindet sich im SSL-Scanner-Regelsatz des Standard-Regelsatzsystems.
Festlegen der Eigenschaft „URL.Host“ in einer Reverse-HTTPS-ProxyKonfiguration
Wenn Client-Anfragen durch DNS-Einträge in einer Reverse-HTTPS-Proxy-Konfiguration an die
Appliance umgeleitet werden, müssen Sie die IP-Adresse eines Web-Servers als Werte der Eigenschaft
„URL.Host“ festlegen, um der Appliance das Weiterleitungsziel für die Anfragen anzugeben.
Nachdem das Filtern einer Anfrage ergeben hat, dass diese zulässig ist, verwendet die Appliance die
mit der Anfrage übermittelte Eigenschaft „URL.Host“, um die Anfrage an den angefragten Web-Server
weiterzuleiten.
Bei der Umleitung von Anfragen entsprechend den DNS-Einträgen sind die Web-Server der Appliance
durch ihre IP-Adressen bekannt. Wenn die Eigenschaft „URL.Host“ über die IP-Adresse eines
Web-Servers als Wert verfügt, leitet die Appliance die Anfrage an das entsprechende Ziel weiter.
Der Wert der Eigenschaft „URL.Host“ kann mithilfe einer Regel auf eine IP-Adresse gesetzt werden. Sie
müssen eine solche Regel für jeden Web-Server erstellen, an den die Appliance Anfragen weiterleiten
soll.
Diese Regeln können in einem eigenen Regelsatz enthalten sein.
Aufgaben
•
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“ auf Seite 175
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die
IP-Adresse eines Web-Servers als Wert zuweisen.
•
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“ auf Seite 176
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
Produkthandbuch
175
6
Proxys
Reverse-HTTPS-Proxy
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Set value of URL.Host
to IP address.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the Always (Immer) aus.
8
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum Regelsatz im
Nur-Text-Format ein.
9
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und konfigurieren Sie, wer
zum Zugriff auf den Regelsatz berechtigt ist.
10 Klicken Sie auf OK.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als
Wert zuweisen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die neuen Regeln erstellt
haben, z. B. Set value of URL.Host to IP address.
3
Klicken Sie auf Add Rule (Regel hinzufügen).
ist.
4
Geben Sie im Feld Name einen Namen für die neue Regel ein, z. B. Set value of URL.Host to
10.141.101.51.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen).
6
176
Konfigurieren Sie die Regelkriterien folgendermaßen:
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Destination.IP
aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte den Operator equals (ist gleich)
aus.
c
Geben Sie in der rechten Spalte in das Operandenfeld unter Compare with (Vergleichen mit) eine
IP-Adresse ein.
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Continue (Weiter) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im
angezeigten Dropdown-Menü die Option Set Property Value (Eigenschaftenwert festlegen).
Daraufhin öffnet sich das Fenster Add Set Property (Festgelegte Eigenschaft hinzufügen).
10 So legen Sie eine Eigenschaft fest:
a
Wählen Sie unter Set this property (Diese Eigenschaft festlegen) die Eigenschaft URL.Host aus.
b
Klicken Sie unter To concatenation of these strings (Für Verkettung dieser Zeichenfolgen) auf Add
(Hinzufügen).
Daraufhin öffnet sich das Fenster Please Enter a String (Zeichenfolge eingeben).
c
Geben Sie im Feld Parameter value (Parameterwert) den Host-Namen des Web-Servers ein, zu dem
die in dieser Regel verwendete IP-Adresse gehört.
d
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Host-Name wird im Fenster Add Set Property
(Festgelegte Eigenschaft hinzufügen) angezeigt.
Das Fenster wird geschlossen, und das Ereignis zum Festlegen der EigenschaftURL.Host wird unter
Events (Ereignisse) angezeigt.
12 Klicken Sie auf Finish (Fertig stellen).
Regelsatz angezeigt, den Sie für die Regeln zur Festlegung von Werten erstellt haben.
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPSProxy-Konfiguration
Zusätzlich zur Konfiguration der Netzwerkeinrichtung und der SSL-Zertifikatsverarbeitung können Sie
mehrere weitere optionale Aktivitäten ausführen, um einen reibungslosen Betrieb des
Reverse-HTTPS-Proxys zu gewährleisten.
•
Erkennung von Proxy-Schleifen deaktivieren
•
Beschränken des Zugriffs auf die Appliance-Ports
•
Beschränken des Zugriffs auf Web-Server
•
Senden von Daten an mehrere Web-Server
Produkthandbuch
177
6
Proxys
Reverse-HTTPS-Proxy
Aufgaben
•
Erkennung von Proxy-Schleifen deaktivieren auf Seite 178
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage
Proxy-Schleifen erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen,
diese Erkennung zu deaktivieren.
•
Beschränken des Zugriffs auf die Appliance-Ports auf Seite 178
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer
Appliance beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
•
Beschränken des Zugriffs auf Web-Server auf Seite 179
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte
Anzahl von Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In
dieser Konfiguration sollten Sie den Zugriff ausschließlich auf diese Server gestatten und
den Zugriff auf andere blockieren.
•
Senden von Daten an mehrere Web-Server auf Seite 182
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche
Web-Server weiterleiten und so für Lastausgleich und Redundanz sorgen.
Erkennung von Proxy-Schleifen deaktivieren
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage Proxy-Schleifen
erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen, diese Erkennung zu
deaktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Erkennung von
Proxy-Schleifen deaktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Deaktivieren Sie im Abschnitt Advanced Settings (Erweiterte Einstellungen) die Option HTTP(S): Inspect Via
header to detect proxy loops (HTTP(S): VIA-Header untersuchen, um Proxy-Schleifen zu erkennen).
4
Beschränken des Zugriffs auf die Appliance-Ports
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer Appliance
beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
Vorgehensweise
178
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der Port-Zugriff beschränkt
werden soll, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
4
Wählen Sie File Server (Datei-Server) aus.
5
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
6
Produkthandbuch
Proxys
Reverse-HTTPS-Proxy
6
Beschränken des Zugriffs auf Web-Server
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte Anzahl von
Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In dieser Konfiguration
sollten Sie den Zugriff ausschließlich auf diese Server gestatten und den Zugriff auf andere blockieren.
Wenn der Zugriff auf andere Server angefordert und blockiert wurde, empfiehlt es sich zudem, die
Verbindungen durch die Appliance schließen zu lassen.
So beschränken Sie den Zugriff:
•
Erstellen Sie eine Liste der Web-Server, die geschützt werden sollen.
•
Erstellen Sie einen Regelsatz für eine Blockierungsregel.
•
Erstellen Sie einen Regelsatz, der den Zugriff auf andere Web-Server blockiert und die
Verbindungen mit Clients schließt, nachdem ihre Anfragen blockiert wurden.
Aufgaben
•
Erstellen einer Liste mit geschützten Web-Servern auf Seite 179
Sie können eine Liste mit Web-Servern erstellen, die in einer
Reverse-HTTPS-Proxy-Konfiguration geschützt werden sollen.
•
Erstellen eines Regelsatzes für eine Blockierungsregel auf Seite 180
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
•
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server auf Seite 181
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht
in der Liste geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Erstellen einer Liste mit geschützten Web-Servern
Sie können eine Liste mit Web-Servern erstellen, die in einer Reverse-HTTPS-Proxy-Konfiguration
geschützt werden sollen.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
3
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): WildcardExpression
4
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort
fest, wer zum Zugriff auf die Liste berechtigt ist.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | WildcardExpression (Benutzerdefinierte Listen | Platzhalterausdruck) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
Produkthandbuch
179
6
Proxys
Reverse-HTTPS-Proxy
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der zu schützenden
Web-Server entsprechen. Verwenden Sie bei mehreren Einträgen Kommas als Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen eines Regelsatzes für eine Blockierungsregel
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Block web
servers in a reverse HTTPS proxy configuration.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (Wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus. Klicken Sie anschließend auf Add (Hinzufügen).
8
9
Konfigurieren Sie die Regelsatzkriterien folgendermaßen:
a
Wählen Sie in der Liste Property (Eigenschaft) die Eigenschaft URL.Protocol aus.
b
Wählen Sie in der Liste Operator den Operator equals (ist gleich) aus.
c
Geben Sie unter Operand die Zeichenfolge https ein.
d
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum neuen Regelsatz im
Nur-Text-Format ein.
wer zum Zugriff auf den Regelsatz berechtigt ist.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
180
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht in der Liste
geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die Blockierungsregel
erstellt haben, z. B. Block web servers in a reverse HTTPS proxy configuration.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Allow access only to
protected web servers.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (wenn
6
7
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte matches in list (entspricht in Liste)
aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die von Ihnen konfigurierte
Web-Server-Liste, z. B. Protected web servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Block (Blockieren) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
angezeigten Dropdown-Menü die Option Event (Ereignis) aus.
10 Konfigurieren Sie das Ereignis folgendermaßen:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Proxy Control aus.
b
Wählen Sie in der Liste Settings (Einstellungen) die Option Do not keep connection to client persistent
(Verbindung mit Client nicht dauerhaft aufrechterhalten) aus.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
Produkthandbuch
181
6
Proxys
Reverse-HTTPS-Proxy
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die Regel wird in dem von Ihnen
neu erstellten Regelsatz angezeigt.
Senden von Daten an mehrere Web-Server
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche Web-Server
weiterleiten und so für Lastausgleich und Redundanz sorgen.
Hierfür müssen Sie folgende Schritte durchführen:
•
Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Regelsatz-Bibliothek.
•
Erstellen Sie eine Liste mit Nächster-Hop-Proxys.
•
Erstellen Sie Einstellungen für die Nächster-Hop-Proxys.
•
Erstellen Sie eine Regel, die mithilfe der Liste und den Einstellungen das Ereignis „Enable Next Hop
proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird.
Die Liste arbeitet zudem mit einer Liste geschützter Server. Hierfür können Sie die Liste nutzen, die
Sie beim Erstellen der Zugriffseinschränkung für diese Server angelegt haben.
Aufgaben
•
Erstellen einer Liste mit Nächster-Hop-Proxys auf Seite 182
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt
werden sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“
auslöst.
•
Erstellen von Einstellungen für den Nächster-Hop-Proxy auf Seite 183
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus
der Liste der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen
für den Nächster-Hop-Proxy erstellen.
•
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“ auf Seite 184
Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn
ein Web-Server aus der Liste der geschützten Server angefragt wird.
Erstellen einer Liste mit Nächster-Hop-Proxys
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt werden
sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“ auslöst.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
3
4
182
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers as next-hop proxies
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): NextHopProxy
Produkthandbuch
6
Proxys
Reverse-HTTPS-Proxy
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | NextHopProxy (Benutzerdefinierte Listen | Nächster-Hop-Proxy) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der Web-Server
entsprechen, die angewählt werden sollen. Verwenden Sie bei mehreren Einträgen Kommas als
Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen von Einstellungen für den Nächster-Hop-Proxy
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste
der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen für den
Nächster-Hop-Proxy erstellen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Enable Next Hop Proxy (Nächster-Hop-Proxy aktivieren)
aus, und klicken Sie dann auf Add (Hinzufügen).
3
4
5
Konfigurieren Sie die folgenden Einstellungsparameter:
•
Name: Name der Einstellung, z. B. Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Einstellung im Nur-Text-Format
Konfigurieren Sie unter Next Hop Proxy Servers (Proxy-Server des nächsten Hops) die folgenden
Optionen:
a
Wählen Sie aus der Liste List of next hop proxy servers (Liste der Proxy-Server des nächsten Hops) die
von Ihnen erstellte Liste der Proxys des nächsten Hops, z. B. Protected web servers as next
hop proxies.
b
Vergewissern Sie sich, dass die Option Round Robin (Round-Robin-Verfahren) ausgewählt ist.
c
Deaktivieren Sie die Option Proxy style requests (Proxy-ähnliche Anfragen).
Klicken Sie auf OK.
6
Produkthandbuch
183
6
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“
Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein
Web-Server aus der Liste der geschützten Server angefragt wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Next Hop Proxy aus.
Die Regeln dieses Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Address protected web
servers as next-hop proxies.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
6
7
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte does not match in list (entspricht
nicht in Liste) aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die Web-Server-Liste, die Sie zur
Einschränkung des Zugriffs auf diese Server erstellt haben, also beispielsweise Protected web
servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), und belassen Sie die Standardoption Continue (Fortfahren).
9
angezeigten Dropdown-Menü die Option Event (Ereignis) aus.
10 Konfigurieren Sie das Ereignis folgendermaßen:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Next Hop Proxy.
b
Wählen Sie in der Liste Settings (Einstellungen) die Einstellungen, die Sie für diese Regel
konfiguriert haben, beispielsweise Protected web servers.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
184
Produkthandbuch
6
Proxys
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Das Fenster Add Rule (Regel hinzufügen) wird geschlossen, und die neue Regel wird im Regelsatz
„Next Hop Proxy“ angezeigt.
Automatische Proxy-Konfiguration (Proxy Auto-Configuration,
PAC)
Für Web-Browser auf Clients können eine oder mehrere PAC-Dateien (Proxy Auto-Configuration)
verfügbar gemacht werden. Mithilfe dieser Dateien können Web-Browser Proxys für den Zugriff auf
bestimmte Webseiten suchen.
Eine Proxy Auto-Configuration-Datei weist i. d. R. die Dateinamenerweiterung .pac auf. Es können
mehrere Dateien auf einer Appliance vorhanden sein, z B. die Dateien proxy.pac und webgateway.pac.
Unter dem WPAD-Protokoll (Web Proxy Auto-Discovery) muss eine Proxy Auto-Configuration-Datei den
Dateinamen wpad.dat aufweisen. Daher kann sie auf einer Appliance jeweils nur einmal vorhanden
sein.
Bereitstellen einer PAC-Datei
Sie können eine PAC-Datei für einen Web-Browser auf einem Client zur automatischen
Proxy-Konfiguration bereitstellen.
Vorgehensweise
1
Speichern Sie die PAC-Datei im Ordner /opt/mwg/files auf der Appliance.
2
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
3
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
4
Wählen Sie Automatic proxy configuration URL (Automatische Proxy-Konfiguration URL), und geben Sie
den Pfad und den Namen der PAC-Datei ein.
Geben Sie beispielsweise Folgendes ein:
http://mwgappl.webwasher.com:4711/files/proxy.pac
Wenn die Clients einen dedizierten Port zum Herunterladen der Datei verwenden sollen, müssen Sie
diesen Port zuerst konfigurieren.
Wenn kein dedizierter Port verwendet wird, werden Clients an den HTTP-Port für die
Benutzeroberfläche geleitet (die Port-Standardnummer ist 4711).
5
Klicken Sie auf OK.
Produkthandbuch
185
6
Proxys
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“
Damit der Web-Browser eines Clients die Datei „wpad.dat“ herunterladen kann, müssen Sie eine Regel
konfigurieren, die eine entsprechende Download-Anfrage an den passenden Port einer Appliance
weiterleitet.
Vorgehensweise
1
Wählen Sie auf der Benutzeroberfläche der Appliance Configuration | Appliances (Konfiguration |
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die Datei „wpad.dat“
verfügbar machen wollen, und klicken Sie auf Port Forwarding (Port-Weiterleitung).
3
Klicken Sie unter Port Forwarding Rules (Regeln für die Port-Weiterleitung) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add AppliancePortForwarding (Appliance-Port-Weiterleitung
hinzufügen).
4
Konfigurieren Sie die Einstellungen für die Regel zur Port-Weiterleitung folgendermaßen:
•
Source Host (Ursprungs-Host): 0.0.0.0
•
Target Port (Bestimmungs-Port): 80
•
Destination Host (Ziel-Host): 127.0.0.1
•
Destination Port (Ziel-Port): <Port für Datei-Download>
Geben Sie als <Port für Datei-Download> den HTTP-Port für die Benutzeroberfläche der
Appliance (standardmäßig: 4711) oder einen von Ihnen konfigurierten dedizierten Port ein.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Regel wird nun in der Liste angezeigt.
Konfigurieren der automatischen Erkennung eines WPAD-Hosts
Sie können für einen Web-Browser die automatische Erkennung einrichten, um die Appliance
aufzufinden, die als Host zum Speichern einer Datei „wpad.dat“ fungiert.
Vorgehensweise
1
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
2
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
3
Wählen Sie Auto-detect proxy settings for this network (Proxy-Einstellungen für dieses Netzwerk automatisch
erkennen) aus.
4
Klicken Sie auf OK.
Der Helix-Proxy ist ein Proxy eines Drittanbieters für die Verarbeitung von Echtzeit-Streaming-Daten.
Auf diesen wird ursprünglich nicht über die Benutzeroberfläche der Appliance zugegriffen, sondern
über eine Befehlszeilenoberfläche, die beispielsweise in Ihrem Verwaltungssystem bereitgestellt wird.
Nach dem Zugriff auf den Helix-Proxy können Sie diesen auf seiner eigenen Benutzeroberfläche
verwalten.
186
Produkthandbuch
6
Proxys
Konfigurieren der Verwendung des Helix-Proxys
Sie können die Verwendung des Helix-Proxys von der Befehlszeilen-Schnittstelle aus konfigurieren.
Vorgehensweise
1
Geben Sie an der Befehlszeilen-Schnittstelle einen Aktivierungsbefehl für den Helix-Proxy ein.
Dieser Befehl kann beispielsweise wie folgt aussehen:
service helix-proxy activate
Sie werden aufgefordert, einen Benutzernamen und ein Kennwort für das ursprüngliche
Administratorkonto einzugeben.
2
Geben Sie beides ein.
Nun wird der Helix-Proxy gestartet.
Nach dem Starten finden Sie die Konfigurationsdateien für den Proxy im Ordner /opt/helix-proxy
auf der Appliance; Sie können diese ggf. manuell bearbeiten.
3
Stellen Sie mit dem folgenden Befehl eine Verbindung mit der Benutzeroberfläche des Helix-Proxys
her:
http://<IP-Adresse des Helix-Proxys>:21774/admin/index.html
Nun öffnet sich die Benutzeroberfläche, und ein Anmeldefenster wird angezeigt.
4
Geben Sie den Benutzernamen und das Kennwort aus Schritt 2 ein.
Nach der erfolgreichen Anmeldung wird die Benutzeroberfläche des Helix-Proxys zugänglich.
5
Nutzen Sie diese Benutzeroberfläche für die ggf. erforderliche weitere Konfiguration des
Helix-Proxys nach Bedarf.
6
Konfigurieren Sie Ihre Real Player-Anwendung so, dass sie die Appliance als Proxy verwendet.
Dabei können Sie z. B. wie folgt vorgehen:
a
Starten Sie den Real Player.
b
Navigieren Sie in seiner Benutzeroberfläche zu den Proxy-Einstellungen.
c
Geben Sie im entsprechenden Eingabefeld, z. B. im Feld RTSP (Real Time Streaming Protocol)
die IP-Adresse der Appliance ein, und geben Sie dabei als Port-Nummer 554 an.
Produkthandbuch
187
6
Proxys
188
Produkthandbuch
7
Authentifizierung
Benutzer können auf einer Appliance „gefiltert“ werden, d. h., Sie können den Web-Zugriff nur für die
Benutzer zulassen, die sich authentifizieren können.
Die Authentifizierung wird nicht standardmäßig implementiert, es gibt jedoch vorkonfigurierte
Authentifizierungsregelsätze, die Sie verwenden können.
Die folgenden Authentifizierungstypen können implementiert werden:
•
Standardauthentifizierung: Sie können die Authentifizierung für Benutzer konfigurieren, die
Anfragen auf Web-Zugriff unter einem Standardprotokoll, wie z. B. HTTP, HTTPS oder FTP, senden.
Wenn der Authentifizierungsregelsatz des Standard-Regelsatzsystems aktiviert ist, werden die
Benutzerinformationen standardmäßig aus einer internen Benutzerdatenbank abgerufen.
Sie können diese Einstellung ändern und eine andere Methode konfigurieren, z. B. NTLM, LDAP
oder Kerberos.
•
Instant Messaging-Authentifizierung: Sie können die Authentifizierung für Benutzer
konfigurieren, die Anfragen auf Web-Zugriff unter einem Instant Messaging-Protokoll, wie z. B.
Yahoo, Windows Live Messenger oder ICQ, senden.
Außerdem können Sie Administratorkonten und -rollen einrichten und pflegen und so den
Administratorzugriff auf eine Appliance steuern.
Inhalt
LDAP-Digest-Authentifizierung
Konfigurieren der Authentifizierung
Konfigurieren des Moduls „Authentication“
Authentifizierungseinstellungen
Implementieren einer anderen Authentifizierungsmethode
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen
Instant Messaging-Authentifizierung
Einmalkennwörter
Authentifizierung der Client-Zertifikate
Administratorkonten
Produkthandbuch
189
7
Authentifizierung
Das Authentifizieren der Benutzer des Netzwerks gewährleistet, dass diese nur dann auf das Internet
zugreifen können, wenn sie sich ordnungsgemäß angemeldet haben. Beim Authentifizierungsvorgang
werden Benutzerinformationen abgerufen, z. B. aus einer internen Datenbank oder von einem
Web-Server, und der Zugriff dementsprechend zugelassen oder blockiert.
Dieser Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Authentifizierungsregeln steuern den gesamten Vorgang.
•
Das Modul „Authentication“ wird von den Regeln aufgerufen und ruft aus einer Datenbank
Informationen über Benutzer ab.
Nach der standardmäßigen Ersteinrichtung ist in Web Gateway noch kein Authentifizierungsvorgang
implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus der
Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Für das Konfigurieren des Authentifizierungsvorgangs können Sie folgende Elemente
verwenden:
•
Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Authentifizierung
aus der Bibliothek importiert und in der Baumstruktur auf einen Regelsatz geklickt
haben, können Sie die wichtigsten Elemente dieser Regeln für den
Authentifizierungsvorgang konfigurieren.
•
Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige
entsperren) klicken, werden die Regeln für den Authentifizierungsvorgang vollständig
angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren
sowie neue Regeln erstellen oder Regeln löschen.
Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie
alle Änderungen verwerfen oder den Regelsatz erneut importieren.
Authentifizierungsregeln
Für gewöhnlich enthalten Authentifizierungsregeln eine Regel, die nicht authentifizierte Benutzer zur
Authentifizierung auffordert und die Anfragen aller Benutzer blockiert, deren Authentifizierung
fehlschlägt.
Außerdem sind auch Whitelist-Regeln möglich, die anfragenden Benutzern je nach
Absender-IP-Adresse bzw. angefragter URL das Überspringen des Authentifizierungsvorgangs
erlauben.
In der Regelsatz-Bibliothek stehen Regelsätze für unterschiedliche Authentifizierungsarten bereit,
beispielsweise für die IM- oder Cookie-Authentifizierung.
Modul „Authentication“
Ein Modul wird auch als Engine bezeichnet. Das Modul „Authentication“ ruft aus einer Datenbank
Informationen über die Benutzer ab. Das Modul wird durch Regeln aufgerufen, die die Information
benötigen, ob ein Benutzer, der den Zugriff auf ein Web-Objekt anfragt, ordnungsgemäß authentifiziert
ist.
Diese Informationen kann mit unterschiedlichen Methoden abgerufen werden:
190
Produkthandbuch
7
Authentifizierung
•
NTLM: Nutzt eine Datenbank auf dem Server einer Windows-Domäne.
•
NTLM Agent (NTLM-Agent): Nutzt zur Anwendung der NTLM-Authentifizierungsmethode einen
externen Agenten auf einem Windows-System.
•
User Database (Benutzerdatenbank): Nutzt eine auf der Appliance vorhandene interne Datenbank.
Wenn der Regelsatz des Standard-Regelsatzsystems aktiviert ist, wird diese Methode standardmäßig
verwendet.
•
LDAP: Nutzt eine auf einem LDAP-Server befindliche Datenbank.
•
Novell eDirectory: Nutzt die Daten eines Verzeichnisses auf einem Server, der die Funktion eines
LDAP-Servers übernimmt.
•
RADIUS: Nutzt eine auf einem RADIUS-Server befindliche Datenbank.
•
Kerberos: Nutzt eine auf einem Kerberos-Server befindliche Datenbank.
•
Authentication Server (Authentifizierungs-Server): Nutzt eine auf einem anderen externen Server
befindliche Datenbank.
Sie können die Einstellungen für das Modul „Authentication“ konfigurieren und somit die
Authentifizierungsmethode und weitere Parameter des Authentifizierungsvorgangs festlegen.
Bei der LDAP-Digest-Authentifizierungsmethode, die auf der LDAP-Authentifizierung basiert, wird ein
gemeinsamer geheimer Schlüssel verwendet, der beiden Seiten des Authentifizierungsprozesses
bekannt ist: einem Benutzer, der mit einem Browser auf einem Web Gateway-Client Web-Zugriff
anfragt, und Web Gateway.
Web Gateway nutzt seine Proxy-Funktionen zum Abfangen der Anfrage, um die Authentifizierung zu
ermöglichen und weitere Filtervorgänge gemäß der konfigurierten Web-Sicherheitsrichtlinie
auszuführen.
Im Gegensatz zu einfacheren Authentifizierungsmethoden, z. B. zur Standardauthentifizierung, sendet
der Browser kein Kennwort direkt an Web Gateway. Stattdessen ist das Kennwort Bestandteil des
gemeinsamen geheimen Schlüssels, der beiden Seiten des Authentifizierungsprozesses bekannt ist.
Für den gemeinsamen geheimen Schlüssel und eine Reihe zusätzlicher Parameter auf dem Client wird
ein Hash-Wert berechnet und an Web Gateway übermittelt. Web Gateway berechnet den Hash-Wert
dann anhand des dort vorhandenen gemeinsamen geheimen Schlüssels erneut, um zu überprüfen, ob
die Ergebnisse identisch sind. Wenn dies der Fall ist, wird der Benutzer authentifiziert.
Der vom Client an Web Gateway übermittelte Hash-Wert wird auch als Digest bezeichnet. Web
Gateway ruft den gemeinsamen geheimen Schlüssel von einem LDAP-Server ab, der zum
Neuberechnen des Hash-Werts benötigt wird.
Berechnen eines Hash-Wertes für die LDAP-Digest-Authentifizierung
Die MD5-Methode zum Berechnen eines Hash-Werts wird verwendet, wenn die
LDAP-Digest-Authentifizierung in einem Authentifizierungsprozess mit Web Gateway durchgeführt
wird.
Produkthandbuch
191
7
Authentifizierung
Bevor der Client den Hash-Wert sendet, sendet Web Gateway eine Authentifizierungsanfrage an den
Client, die eine so genannte Nonce (Number only once, Einmalnummer) enthält. Dabei handelt es sich
um eine Zahl, die von Web Gateway nach dem Zufallsprinzip erzeugt wird und einen der Parameter
darstellt, der zusätzlich zum gemeinsamen geheimen Schlüssel verwendet werden muss, um den
Hash-Wert zu berechnen.
Im Folgenden finden Sie die vollständige Liste der Parameter zum Berechnen des Hash-Wertes:
•
Benutzername (Teil des gemeinsamen geheimen Schlüssels)
•
Bereichsname (Teil des gemeinsamen geheimen Schlüssels)
•
Kennwort (Teil des gemeinsamen geheimen Schlüssels)
•
Nonce (Einmalnummer)
•
Vom Client gesendete HTTP-Anfrage
•
URL des angefragten Ziels im Web
Konfigurieren der LDAP-Digest-Authentifizierung in Web Gateway
Für die LDAP-Digest-Authentifizierung in Web Gateway ist Folgendes erforderlich:
•
Die LDAP-Authentifizierung muss als allgemeine Authentifizierungsmethode in Web Gateway
konfiguriert sein.
•
Der Bereichsname muss als Teil der allgemeinen Authentifizierungseinstellungen in Web Gateway
konfiguriert sein. Dieser Name muss auch für den gemeinsamen geheimen Schlüssel verwendet
werden.
•
Sie müssen die folgenden Parameter für die LDAP-Digest-Authentifizierung konfigurieren:
•
Aktivierung der LDAP-Digest-Authentifizierung
•
Name des Attributs auf dem LDAP-Server, das den Authentifizierungs-Hash speichert
•
Maximale Verwendungshäufigkeit der Nonce (Einmalnummer)
•
Maximaler Zeitraum für die Verwendung einer Nonce (Einmalnummer)
Optional sind folgende Aktionen möglich.
•
Nur die LDAP-Digest-Authentifizierung als Authentifizierungsmethode unter den aktuellen
Einstellungen zulassen
Beim Konfigurieren weiterer Authentifizierungseinstellungen könnten Sie jedoch weiterhin andere
Authentifizierungsmethoden zulassen, z. B. die Benutzerdatenbank-Methode mit
Standardauthentifizierung.
•
Eine Überprüfung der URL durchführen lassen, die ein Client als Parameter zur Berechnung des
Hash-Werts sendet
Diese URL sollte der URL entsprechen, die dieser Client in seiner Zugriffsanfrage für ein bestimmtes
Ziel im Web sendet. Andernfalls kann ein erfolgreiches Bestehen der Digest-Authentifizierung,
basierend auf identischen Hash-Werten, dazu führen, dass ein Benutzer auf ein nicht angefragtes
Ziel zugreifen darf. Wenn die Überprüfung ergibt, dass beide URLs nicht identisch sind, wird die
Anfrage blockiert.
Da die Browser, die auf Clients zum Senden dieser Informationen verwendet werden, verschiedene
URL-Formate verwenden, kann diese Überprüfung jedoch aufgrund des Formatierungsproblems
möglicherweise fehlschlagen, auch wenn zwei URLs tatsächlich übereinstimmen. Aus diesem Grund
ist die URL-Überprüfung optional.
192
Produkthandbuch
Authentifizierung
7
Der für den gemeinsamen geheimen Schlüssel verwendete Bereichsname wird im Abschnitt Common
Authentication Parameters (Allgemeine Authentifizierungsparameter) festgelegt. Dies ist der Abschnitt,
der unter jeder Authentifizierungsmethode am Anfang der Authentifizierungseinstellungen verfügbar
ist.
Die Parameter für die LDAP-Digest-Authentifizierung werden in Web Gateway im Rahmen der
Einstellungen für das Modul (oder auch Engine) „Authentication“ (Authentifizierung) konfiguriert.
Wenn am Anfang dieser Einstellungen LDAP als allgemeine Authentifizierungsmethode ausgewählt ist,
wird nach dem Abschnitt für andere LDAP-spezifische Parameter der Abschnitt Digest Authentication
(Digest-Authentifizierung) verfügbar.
Siehe auch
Authentifizierungseinstellungen auf Seite 194
Sie können die Authentifizierung implementieren und an die Anforderungen Ihres Netzwerks
anpassen.
Vorgehensweise
1
Aktivieren Sie den Regelsatz „Authenticate and Authorize“ im Standard-Regelsatzsystem.
2
Überprüfen Sie den untergeordneten Regelsatz „Authenticate with User Database“.
Dieser Regelsatz enthält eine einzige Regel, durch die nicht authentifizierte Benutzer zum
Authentifizieren aufgefordert werden.
Das Regelkriterium enthält Einstellungen für das Authentifizierungsmodul, die die Verwendung der
Authentifizierungsmethode mittels Benutzerdatenbank angeben. Das heißt, Informationen zum
Authentifizieren von Benutzern werden aus einer internen Datenbank auf der Appliance abgerufen.
3
Ändern Sie den Standardregelsatz nach Bedarf.
•
Ändern der allgemeinen Parameter des Authentifizierungsmoduls
•
Ändern der spezifischen Parameter für die Benutzerdatenbank-Methode
•
Implementieren einer anderen Authentifizierungsmethode, z. B. NTLM oder LDAP
•
Ändern der spezifischen Parameter für die neue Authentifizierungsmethode
4
Sie können auch einen Regelsatz aus der Bibliothek importieren, um die Authentifizierung für eine
andere Art von Kommunikation zu implementieren, z. B. die Instant Messaging-Authentifizierung.
5
Produkthandbuch
193
7
Authentifizierung
Sie können das Modul „Authentication“ konfigurieren, um zu ändern, auf welche Weise
Benutzerinformationen für das Authentifizieren von Benutzern abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Authentifizierung aus.
Im Standard-Regelsatzsystem ist dies der Regelsatz Authenticate and Authorize.
3
Wählen Sie eine Regel zum Steuern der Benutzerauthentifizierung aus, und klicken Sie auf die
Einstellungen, die in den Regelkriterien angegeben sind.
Im Regelsatz des Regelsatz-Systems ist dies z. B. die Regel Authenticate with User Database im
untergeordneten Regelsatz Authenticate with User Database, und der Einstellungsname lautet User Database
(Benutzerdatenbank).
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen
für das Modul „Authentication“.
4
5
6
Siehe auch
Die Authentifizierungseinstellungen werden für das Konfigurieren der Methode genutzt, die vom
Authentifizierungsmodul während des Authentifizierungsvorgangs für den Abgleich von Informationen
über Benutzer angewendet wird.
Authentication Method (Authentifizierungsmethode)
Einstellungen für die Auswahl einer Authentifizierungsmethode
194
Produkthandbuch
7
Authentifizierung
Tabelle 7-1 Authentication Method (Authentifizierungsmethode)
Option
Definition
Authentication method
(Authentifizierungsmethode)
Zeigt eine Auswahlliste für die Authentifizierungsmethode an.
• NTLM
• NTLM-Agent
• User Database (Benutzerdatenbank)
• LDAP
Wenn Sie sicheres LDAP (auch LDAPS genannt)
konfigurieren möchten, müssen Sie die LDAP-Version 3
verwenden.
Diese Version können Sie unter LDAP Specific Parameters
(LDAP-spezifische Parameter) auswählen. Diese Version
ist standardmäßig ausgewählt.
• RADIUS
• Kerberos
• SSL Client Certificate (SSL-Client-Zertifikat)
• Authentication Server (Authentifizierungs-Server)
• One-Time Password (Einmalkennwort)
• SWPS (McAfee Client Proxy)
®
Nach der Auswahl einer Methode werden unter den allgemeinen
Einstellungen die speziellen Einstellungen für diese Methode
angezeigt.
Authentication Test (Authentifizierungsprüfung)
Einstellungen für die Überprüfung, ob ein Benutzer sich mit seinen Anmeldeinformationen tatsächlich
authentifizieren könnte.
Tabelle 7-2 Authentication Test (Authentifizierungsprüfung)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort)
Gibt das zu überprüfende Kennwort an.
Authenticate User (Benutzer authentifizieren)
Mit dieser Option wird die Prüfung durchgeführt.
Test result (Prüfergebnis)
Zeigt das Ergebnis der Prüfung an.
Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
Einstellungen, die für alle Authentifizierungsmethoden gelten
Außerdem sind erweiterte Einstellungen vorhanden, die für alle Authentifizierungsmethoden identisch
sind. Diese Einstellungen sind am Ende dieses Hauptabschnitts im Anschluss an die Unterabschnitte zu
den spezifischen Parametern aufgeführt.
Produkthandbuch
195
7
Authentifizierung
Tabelle 7-3 Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
Option
Definition
Proxy Realm (Proxy-Bereich)
Gibt den Standort des Proxys an, der Anfragen von Benutzern
erhält, die zur Authentifizierung aufgefordert werden.
Authentication attempt timeout (Zeitlimit
für Authentifizierungsversuch)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf der
Authentifizierungsvorgang abbricht, wenn er bis dahin nicht
erfolgreich abgeschlossen wurde.
Use authentication cache
(Authentifizierungs-Cache verwenden)
Bei Auswahl dieser Option werden die
Authentifizierungsinformationen in einem Cache gespeichert.
Die Authentifizierung erfolgt dann auf Grundlage dieser
gespeicherten Informationen und nicht auf Daten, die von einem
anderen Authentifizierungs-Server oder aus der internen
Benutzerdatenbank abgerufen werden.
Authentication cache TTL (Speicherdauer Gibt den Zeitraum (in Minuten) vor, für den
Authentifizierungs-Cache)
Authentifizierungsinformationen im Cache gespeichert werden.
NTLM Specific Parameters (NTLM-spezifische Parameter)
Einstellungen für die NTLM-Authentifizierungsmethode
Tabelle 7-4 NTLM Specific Parameters (NTLM-spezifische Parameter)
Option
Definition
Default NTLM domain (Standardmäßige Gibt den Namen der standardmäßigen Windows-Domäne an, der für
NTLM-Domäne)
die Suche nach Authentifizierungsinformationen verwendet wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über globale Benutzergruppen gesucht.
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über lokale Benutzergruppen gesucht.
Prefix group name with domain name Beim Senden von Authentifizierungsinformationen über eine Gruppe
(domain\group) (Domänennamen dem vom Server der Domäne wird bei Auswahl dieser Option dem Namen
Gruppennamen voranstellen, "Domäne der Benutzergruppe der Name der Windows-Domäne vorangestellt.
\Gruppe")
Enable basic authentication
(Standardauthentifizierung aktivieren)
Bei Auswahl dieser Option wird bei der Authentifizierung von
Benutzern die standardmäßige NTLM-Authentifizierungsmethode
angewendet.
Die vom Benutzer eingegebenen Authentifizierungsinformationen
werden dann im Nur-Text-Format (unsicherer) an den Server der
Windows-Domäne gesendet.
Enable integrated authentication
(Integrierte Authentifizierung
aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
werden vor dem Senden an den Server der Windows-Domäne
verschlüsselt.
196
Produkthandbuch
7
Authentifizierung
Tabelle 7-4 NTLM Specific Parameters (NTLM-spezifische Parameter) (Fortsetzung)
Option
Definition
Enable NTLM cache (NTLM-Cache
aktivieren)
Bei Auswahl dieser Option werden in diesem Cache die
NTLM-Authentifizierungsinformationen gespeichert.
gespeicherten Informationen und nicht auf Daten, die vom Server
der Windows-Domäne abgerufen werden.
NTLM cache TTL (Speicherdauer
NTLM-Cache)
Gibt den Zeitraum (in Sekunden) vor, für den
Authentifizierungsinformationen in diesem Cache gespeichert
werden.
International text support
(Unterstützung internationaler
Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus
gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Einstellungen für die Authentifizierungsmethode mit NTLM-Agent
Tabelle 7-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Option
Definition
Use secure agent connection (Sichere
Agentenverbindung verwenden)
Bei Auswahl dieser Option wird die für die Kommunikation mit dem
NTLM-Agenten genutzte Verbindung SSL-verschlüsselt.
Authentication connection timeout in
seconds (Zeitlimit für
Authentifizierungsverbindung in
Sekunden)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die
Verbindung mit dem NTLM-Agenten abgebrochen wird, wenn in
dieser Zeit keinerlei Aktivitäten verzeichnet werden.
Agent Definition (Agenten-Definition)
Enthält eine Liste, in die an der Durchführung der
NTLM-Authentifizierung beteiligte Agenten eingegeben werden.
Default NTLM domain (Standardmäßige
NTLM-Domäne)
Gibt den Namen der standardmäßigen Windows-Domäne an, der
für die Suche nach Authentifizierungsinformationen verwendet
wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über globale
Benutzergruppen gesucht.
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über lokale
Benutzergruppen gesucht.
Prefix group name with domain name
(domain\group) (Domänennamen dem
Gruppennamen voranstellen, "Domäne
\Gruppe")
Beim Senden von Authentifizierungsinformationen über eine
Gruppe vom Server der Domäne wird bei Auswahl dieser Option
dem Namen der Benutzergruppe der Name der Windows-Domäne
vorangestellt.
angewendet.
Produkthandbuch
197
7
Authentifizierung
Tabelle 7-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
(Fortsetzung)
Option
Definition
(Integrierte Authentifizierung aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
NTLM-Cache)
werden.
International text support (Unterstützung
internationaler Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client
aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Einstellungen für die Authentifizierungsmethode mittels Benutzerdatenbank
Tabelle 7-6 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Option
Definition
Send domain and machine name to the
client (Domänen- und Computernamen
an den Client senden)
Bei Auswahl dieser Option werden der Name der Appliance sowie der
Domäne, der die Appliance zugeordnet ist, an den Client gesendet,
von dem aus der zu authentifizierende Benutzer eine Anfrage stellt.
angewendet.
(Integrierte Authentifizierung aktivieren) Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
198
Produkthandbuch
7
Authentifizierung
Tabelle 7-6 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank) (Fortsetzung)
Option
Definition
NTLM-Cache)
werden.
International text support
(Unterstützung internationaler
Textformate)
LDAP Specific Parameters (LDAP-spezifische Parameter)
Einstellungen für die LDAP-Authentifizierungsmethode
Tabelle 7-7 LDAP Specific Parameters (LDAP-spezifische Parameter)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste, in die LDAP-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP) verwendet
wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung bei
einem LDAP-Server an.
Password (Kennwort)
Legt das Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
Enable LDAP version 3
(LDAP-Version 3 aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Wenn Sie die sichere LDAP-Authentifizierung (auch LDAPS
genannt) konfigurieren möchten, müssen Sie diese LDAP-Version
verwenden.
Diese Version ist standardmäßig ausgewählt.
Allow LDAP library to follow referrals
(Verfolgen von Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option kann die Suche nach
Benutzerinformationen vom LDAP-Server auf andere Server
umgeleitet werden.
Connection live check (Aktivitätsprüfung
der Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf überprüft
wird, ob die Verbindung zum LDAP-Server noch aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit dem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
Base distinguished name to user objects
(Eindeutiger Basisname für
Benutzerobjekte)
Gibt den eindeutigen Namen (DN) im Verzeichnis eines
LDAP-Servers an, in dem mit der Suche nach Benutzerattributen
begonnen werden soll.
Map user name to DN (Benutzername Bei Auswahl dieser Option muss der Name des Benutzers, der die
zu DN zuordnen)
Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können.
Dieser Name dient zur Identifizierung des Benutzers im Verzeichnis
auf dem LDAP-Server.
Produkthandbuch
199
7
Authentifizierung
Tabelle 7-7 LDAP Specific Parameters (LDAP-spezifische Parameter) (Fortsetzung)
Option
Definition
Filter expression to locate a user object
(Filterausdruck zur Suche nach
Benutzerobjekten)
Gibt eine Filterphrase zur Einschränkung der Suche nach
Benutzerattributen an.
Get user attributes (Benutzerattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
LDAP-Server abgerufen werden sollen.
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden, z. B.
„/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
In der Filterphrase kann „u%“ als Ersatz für den Benutzernamen
verwendet werden.
Base distinguished name to group objects Gibt den eindeutigen Namen (DN) im Verzeichnis eines
(Eindeutiger Basisname für
LDAP-Servers an, in dem mit der Suche nach Gruppenattributen
Gruppenobjekte)
begonnen werden soll.
Filter expression to locate a group object
(Filterausdruck zur Suche nach
Gruppenobjekten)
Gruppenattributen an.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste zur Eingabe der Gruppenattribute, die vom
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Digest Authentication (Digest-Authentifizierung)
Einstellungen für die LDAP-Digest-Authentifizierung
Tabelle 7-8 Digest Authentication (Digest-Authentifizierung)
Option
Definition
Enable digest authentication
(Digest-Authentifizierung
aktivieren)
Bei Auswahl dieser Option erfolgt die Authentifizierung von
Benutzern im Rahmen der LDAP-Authentifizierungsmethode
mittels Digest-Authentifizierung.
User attribute with password hash
(Benutzerattribut mit
Kennwort-Hash)
Gibt das Attribut eines Benutzereintrags auf dem LDAP-Server an,
das den Wert für den Authentifizierungs-Hash speichert.
Nonce maximal use count (Maximale
Verwendungshäufigkeit der
Nonce)
Begrenzt die mehrmalige Verwendung der Nonce (Number only
once, Einmalnummer), die beim Authentifizierungsvorgang
übertragen wird und als Parameter bei der Berechnung des
Authentifizierungs-Hashes erforderlich ist.
Die maximale Anzahl an Verwendungen einer Nonce ist
standardmäßig auf 100 gesetzt.
Nonce maximal TTL (Maximale
Gültigkeitsdauer der Nonce)
Gibt einen maximalen Zeitraum (in Minuten) vor, für den eine
Nonce gültig bleibt.
Die maximale Gültigkeitsdauer einer Nonce ist standardmäßig auf
30 Minuten gesetzt.
200
Produkthandbuch
7
Authentifizierung
Tabelle 7-8 Digest Authentication (Digest-Authentifizierung) (Fortsetzung)
Option
Definition
Enable digest URI check
(Digest-URI-Prüfung aktivieren)
Bei Auswahl dieser Option wird geprüft, ob die URL, die von einem
Client als Parameter zur Berechnung des Authentifizierungs-Hashs
gesendet wird, mit der URL übereinstimmt, die derselbe Client in
seiner Zugriffsanfrage für ein bestimmtes Web-Ziel sendet.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert.
Da der Erfolg der Prüfung auch davon abhängt, ob Probleme
aufgrund unterschiedlicher Sendeformate auftreten, die von den
Client-Browsern für URLs genutzt werden, ist diese Prüfung
optional.
Standardmäßig ist die Prüfung jedoch aktiviert.
Allow digest authentication only (Nur
Digest-Authentifizierung
zulassen)
Bei Auswahl dieser Option muss bei der Benutzerauthentifizierung
anhand der LDAP-Authentifizierungsmethode immer eine
Digest-Authentifizierung erfolgen.
Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Einstellungen für die Authentifizierungsmethode mittels Novell eDirectory
Tabelle 7-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste zum Eintragen der eDirectory-Server, die
beim Bereitstellen der Authentifizierungsinformationen die
Rolle von LDAP-Servern übernehmen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP)
verwendet wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung
bei einem LDAP-Server an.
Password (Kennwort)
Legt ein Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
Gibt an, welcher Zeichensatz standardmäßig für von einem
Client aus gesendete Anfragen verwendet werden soll, z. B.
ISO-8859-1.
Enable LDAP version 3 (LDAP-Version 3
aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Allow LDAP library to follow referrals (Verfolgen Bei Auswahl dieser Option kann die Suche nach
von Weiterleitungen für LDAP-Bibliothek
Benutzerinformationen von einem LDAP-Server auf andere
zulassen)
Server umgeleitet werden.
Connection live check (Aktivitätsprüfung der
Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf
überprüft wird, ob die Verbindung zu einem LDAP-Server noch
aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit einem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
eDirectory network address attribute (Attribut
für eDirectory-Netzwerkadressen)
Gibt den Namen des Attributs an, das die für einen
eDirectory-Server verwendeten Netzwerkadressen enthält.
Produkthandbuch
201
7
Authentifizierung
Tabelle 7-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory) (Fortsetzung)
Option
Definition
eDirectory network login time attribute (Attribut Gibt den Namen des Attributs an, das die für einen
für Anmeldezeit bei eDirectory-Netzwerk)
eDirectory-Server verwendete Anmeldezeit enthält.
eDirectory network minimal update interval
(Aktualisierungsintervall für
eDirectory-Netzwerk)
Gibt das Intervall (in Sekunden) an, in dem von einem
eDirectory-Server stammenden Informationen aktualisiert
werden.
Base distinguished name to user objects
(Eindeutiger Basisname für Benutzerobjekte)
LDAP-Servers an, in dem mit der Suche nach
Benutzerattributen begonnen werden soll.
Map user name to DN (Benutzername zu DN
zuordnen)
Bei Auswahl dieser Option muss der Name des Benutzers, der
die Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können. Dieser Name dient zur
Identifizierung des Benutzers im Verzeichnis auf dem
LDAP-Server.
Filter expression to locate a user object
(Filterphrase zur Suche nach Benutzerobjekten) Benutzerattributen an.
In der Filterphrase kann „u%“ als Ersatz für den
Benutzernamen verwendet werden.
Get user attributes (Benutzerattribute abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers
gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden,
z. B. „/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
Base distinguished name to group objects
(Eindeutiger Basisname für Gruppenobjekte)
LDAP-Servers an, in dem mit der Suche nach
Gruppenattributen begonnen werden soll.
Filter expression to locate a group object
(Filterphrase zur Suche nach Gruppenobjekten) Gruppenattributen an.
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste der Gruppenattribute, die von einem
RADIUS Specific Parameters (RADIUS-spezifische Parameter)
Einstellungen für die RADIUS-Authentifizierungsmethode
Tabelle 7-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter)
202
Option
Definition
RADIUS server definition
(RADIUS-Server-Definition)
Enthält eine Liste, in die RADIUS-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Default domain name (Name der
Standarddomäne)
Gibt den Namen der Domäne an, von der Informationen abgerufen
werden sollen, wenn keine andere Domäne angegeben wurde.
Produkthandbuch
7
Authentifizierung
Tabelle 7-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter) (Fortsetzung)
Option
Definition
Shared secret (Gemeinsamer geheimer
Schlüssel)
Legt das von einer Appliance für den Zugriff auf einen
RADIUS-Server verwendete Kennwort fest.
Radius connection timeout in seconds
(Zeitlimit für RADIUS-Verbindung in
Sekunden)
Verbindung mit dem RADIUS-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Datenverkehr verzeichnet wird.
Value of attribute with code (Attributwert
mit Code)
Legt den Codewert nach RFC 2865 für das im Rahmen der
Benutzergruppeninformationen abgerufene Attribut fest.
Beispielsweise ist „25“ der Code für das Attribut „Klasse“.
Vendor specific attribute with vendor ID
(Anbieterspezifisches Attribut mit
Anbieter-ID)
Legt die Anbieter-ID fest, die bei der Suche nach
Benutzergruppeninformationen für das Abrufen von
anbieterbezogenen Daten erforderlich ist.
Gemäß RFC 2865 ist die Anbieter-ID Teil des Anbieterattributs,
gefolgt von mehreren untergeordneten Attributen. Der
entsprechende Codewert lautet 26.
Vendor subattribute type (Typ der
untergeordneten Anbieterattribute)
Legt den Codewert nach RFC 2865 für den Typ der in einem
Anbieterattribut enthaltenen untergeordneten Attribute fest.
Da diese Strukturvorgabe nicht von allen Anbietern berücksichtigt
wird, ist es empfehlenswert, hier den Wert „0“ festzulegen. Dies
ermöglicht es dem Authentifizierungsmodul, alle verfügbaren
Anbieterinformationen abzurufen.
Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Einstellungen für die Kerberos-Authentifizierungsmethode
In den Systemeinstellungen unter Kerberos Administration (Kerberos-Verwaltung) können für diese
Authentifizierungsmethode weitere Einstellungen konfiguriert werden. Dieses Einstellmenü ist im
übergeordneten Menü Configuration (Konfiguration) zu finden.
Tabelle 7-11 Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Option
Definition
Extract group membership IDs from the
ticket (Gruppenmitgliedschafts-ID aus
Ticket abrufen)
Bei Auswahl dieser Option werden Informationen zur
Identifizierung der Gruppen abgerufen, in denen ein Benutzer
Mitglied ist. Abgerufen werden diese Informationen aus dem
Ticket, das bei der Kerberos-Authentifizierungsmethode während
der Authentifizierung von Benutzern verwendet wird.
Wenn diese Option ausgewählt ist, kann auch auf die nächste
Option zugegriffen werden.
Look up group names via NTLM
(Gruppennamen über NTLM suchen)
Bei Auswahl dieser Option werden mithilfe der
NTLM-Authentifizierungsmethode die Namen der Gruppen
abgerufen, in denen der Benutzer Mitglied ist.
Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische
Parameter)
Einstellungen für die Authentifizierungs-Server-Methode
Produkthandbuch
203
7
Authentifizierung
Tabelle 7-12 Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter)
Option
Definition
Authentication server URL (URL des
Authentifizierungs-Servers)
Gibt die URL des Servers an, der bei dieser Methode für die
Suche nach Authentifizierungsinformationen verwendet wird.
Require client ID (Client-ID erforderlich)
Bei Auswahl dieser Option fordert der Authentifizierungs-Server
die ID des Clients von dem aus der Benutzer eine Anfrage
sendet.
Store authentication result in a cookie
(Ergebnis der Authentifizierung in Cookie
speichern)
Bei Auswahl dieser Option werden die vom
Authentifizierungs-Server abgerufenen Informationen in einem
Cookie gespeichert.
Wenn die Möglichkeit zur Authentifizierung per Cookie gegeben
ist, wird der Cookie bei der nächsten Anfrage des
entsprechenden Benutzers mitgesendet, sodass dieser sich
nicht erneut authentifizieren muss.
Allow persistent cookie for the server
(Dauerhaften Cookie für Server zulassen)
Bei Auswahl dieser Option kann ein Cookie dauerhaft für das
Senden von Anfragen an den Authentifizierungs-Server
verwendet werden.
Cookie TTL for the authentication server in
seconds (Speicherdauer des Cookies für
Authentifizierungs-Server in Sekunden)
Gibt den Zeitraum (in Sekunden) vor, für den ein mit einer
Anfrage an den Server gesendeter Cookie gespeichert wird.
Cookie prefix (Cookie-Präfix)
Gibt einen Präfix an, der einem Cookie auf der Appliance
vorangestellt wird, beispielsweise MWG_Auth.
One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Einstellungen für die Authentifizierungsmethode mittels Einmalkennwort
204
Produkthandbuch
7
Authentifizierung
Tabelle 7-13 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Option
Definition
OTP server (OTP-Server)
Gibt die IP-Adresse und Port-Nummer des OTP-Servers an, mit dem sich Web
Gateway bei der Authentifizierung eines Benutzers im Rahmen der
Einmalkennwort-Authentifizierungsmethode verbindet.
Communicate with SSL and
trust certificate below
(Kommunikation per SSL
und mit untenstehendem
vertrauenswürdigen
Zertifikat)
Bei Auswahl dieser Option erfolgt die Kommunikation mit dem OTP-Server
über eine SSL-verschlüsselte Verbindung.
Wenn die Option ausgewählt wurde, sind die vier folgenden (ansonsten
abgeblendeten) Felder und auch die darunter befindliche Schaltfläche Import
(Importieren) verfügbar.
Die Felder enthalten detaillierte Informationen zum derzeit bei der
SSL-verschlüsselten Kommunikation mit dem OTP-Server verwendeten
Zertifikat.
• Subject (Inhaber): Enthält allgemeine Informationen über das Zertifikat.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Zertifikats an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation an, um deren
Zertifikat es sich handelt.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Issuer (Aussteller): Enthält Informationen über den Aussteller des
Zertifikats.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Ausstellers an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation des Ausstellers an.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Server-Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Validity (Gültigkeit): Gibt an, wie lange das Zertifikat gültig ist.
• Not before (Gültig ab): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Zertifikats beginnt.
• Not after (Gültig bis): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Server-Zertifikats endet.
• Extensions (Weitere Informationen) Enthält weitere Informationen über das
Zertifikat.
• Comment (Kommentar): Enthält Kommentare zum Zertifikat im
Nur-Text-Format.
Standardmäßig ist kein Kommentar angegeben.
• Import (Importieren): Öffnet ein Fenster zum Importieren eines Zertifikats.
WS client name (Name des
WS-Clients)
Legt den Benutzernamen für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
Produkthandbuch
205
7
Authentifizierung
Tabelle 7-13 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort) (Fortsetzung)
Option
Definition
WS client password
(Kennwort des WS-Clients)
Legt das Kennwort für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
OTP message
(OTP-Nachricht)
Legt das Präfix für Nachrichten fest, die vom OTP-Server an Web Gateway
gesendet werden, sowie die Trennzeichen, die eine Nachricht einschließen.
Standardmäßig haben Nachrichten das folgende Format:
OTP for MWG: $$<OTP-Nachricht>$$
McAfee Client Proxy
Einstellungen für die SWPS-Authentifizierungsmethode (McAfee Client Proxy)
Tabelle 7-14 McAfee Client Proxy
Option
Definition
Customer ID (Kunden-ID)
Gibt die ID eines Kunden an.
Shared password (Freigegebenes
Kennwort)
Legt ein Kennwort für einen Kunden fest.
Keep domain in group name (Domäne aus
Gruppenname beibehalten)
Bei Auswahl dieser Option werden im Namen einer
Benutzergruppe vorhandene Informationen zur Domäne
beibehalten.
Nach dem Klicken auf Set (Festlegen) öffnet sich ein Fenster
zum Festlegen des Kennworts.
Diese Option ist standardmäßig ausgewählt.
Remove custom headers used for authentication
(Benutzerdefinierte Header für
Authentifizierung entfernen)
Bei Auswahl dieser Option werden alle in den zur
Authentifizierung gesendeten Informationen befindlichen
Header entfernt.
Export MCP credentials to XML file
(MCP-Anmeldeinformationen in
XML-Datei exportieren)
Mit dieser Option können Sie die bei Durchführung der
SWPS-Authentifizierungsmethode (McAfee Client Proxy)
gesendeten Anmeldeinformationen exportieren.
Standardmäßig haben Nachrichten das folgende Format:
OTP for MWG: $$<OTP-Nachricht>$$
Advanced Parameters (Erweiterte Parameter)
Einstellungen für die Konfiguration der erweiterten Authentifizierungsfunktionen
Da diese Einstellung für alle Authentifizierungsmethoden gleich ist, wird die entsprechende
Beschreibung auch zu Beginn der Erläuterung der Authentifizierungseinstellungen (im
Anschluss an die Beschreibung der allgemeinen Einstellungen) aufgeführt.
206
Produkthandbuch
7
Authentifizierung
Tabelle 7-15 Advanced Parameters (Erweiterte Parameter)
Option
Definition
Always evaluate property
value (Eigenschaftswert
immer bewerten)
Bei Auswahl dieser Option wird bei jeder Verarbeitung einer Regel, die diese
Eigenschaft enthält, eine neue Bewertung durchgeführt, mit der dieser
Eigenschaft ein Wert zugeordnet wird.
Auch wenn für diese Eigenschaft ein im Cache gespeicherter Wert vorhanden
ist, wird dieser nicht genutzt.
Es ist zwar normalerweise zum Erreichen einer besseren Leistung
empfehlenswert, Werte aus dem Cache zu verwenden, jedoch ist es in
manchen Situationen erforderlich, eine Neubewertung von Eigenschaften
vorzunehmen.
Dies sind Situationen, in denen dieselbe Eigenschaft innerhalb der
Authentifizierungsregeln mehrmals und mit denselben Einstellungen des
Authentifizierungsmoduls verwendet wird. Durch eine Neubewertung wird
gewährleistet, dass der Eigenschaft bei jedem einzelnen Durchlauf der jeweils
aktuelle Wert zugeordnet wird.
Wenn Sie nicht die Benutzerdatenbank-Authentifizierungsmethode des Standard-Regelsatzes
verwenden möchten, können Sie stattdessen eine Methode wie NTLM, LDAP oder andere
implementieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu dem Regelsatz mit den Regeln für die
Benutzerauthentifizierung, z. B. zum Standard-Regelsatz Authentication and Authorize, und wählen Sie
den untergeordneten Regelsatz Authenticate with User Database aus.
Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
Wählen Sie die Regel Authenticate with User Database aus, und klicken Sie in den Regelkriterien auf User
Database.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten).
4
Wählen Sie in der Liste unter Authentication Method (Authentifizierungsmethode) eine
Authentifizierungsmethode aus, z. B. NTLM.
5
Konfigurieren Sie für die ausgewählte Methode allgemeine und spezifische Parameter nach Bedarf.
6
7
Es wird empfohlen, nach dem Ändern der Authentifizierungsmethode die Einstellungen des
Authentifizierungsmoduls sowie die Authentifizierungsregel und den untergeordneten Regelsatz
entsprechend umzubenennen.
Nach der Auswahl von NTLM können Sie beispielsweise die Einstellungen in NTLM und sowohl die Regel
als auch den untergeordneten Regelsatz in Authenticate with NTLM umbenennen.
Anstatt die Standardeinstellungen umzubenennen, können Sie auch verschiedene Einstellungen mit
unterschiedlichen Namen und Parameterwerten für das Authentifizierungsmodul verwalten.
Produkthandbuch
207
7
Authentifizierung
Verwenden von Systemeinstellungen zum Konfigurieren der
Authentifizierung
Für einige Authentifizierungsmethoden müssen Sie Einstellungen konfigurieren, die Einstellungen des
Appliance-Systems und nicht des Authentifizierungsmoduls sind.
Dies gilt, wenn Sie NTLM als Authentifizierungsmethode implementieren. In diesem Fall müssen Sie
die Appliance einer Windows-Domäne hinzufügen und die Systemeinstellungen für Windows Domain
Membership (Mitgliedschaft in Windows-Domäne) konfigurieren.
Dies gilt auch für die Kerberos-Authentifizierungsmethode, die über die Systemeinstellungen für
Kerberos Administration (Kerberos-Verwaltung) implementiert wird.
Einstellungen für „Kerberos Administration“
Die Einstellungen für „Kerberos Administration“ sind spezifische Einstellungen für die
Kerberos-Authentifizierungsmethode.
Kerberos Administration
Einstellungen für die Kerberos-Authentifizierungsmethode
Tabelle 7-16 Kerberos Administration
Option
Definition
Key tab file (Keytab-Datei) Gibt die Datei an, die den erforderlichen Master-Schlüssel für den Zugriff auf
den Kerberos-Server enthält.
Sie können einen Dateinamen eingeben oder auf die Schaltfläche Browse
(Durchsuchen) klicken, um nach der Datei zu suchen und ihren Namen im Feld
zu übernehmen.
Wenn für die Authentifizierung gemäß der Kerberos-Methode ein Ticket
ausgestellt wird, wird der Master-Schlüssel auf der Appliance gelesen, und
mithilfe des Schlüssels wird das Ticket überprüft.
Wenn Sie einen Load-Balancer einsetzen, der Web-Anfragen an die Appliance
weiterleitet, werden für den Load-Balancer Tickets ausgestellt und auf der
Appliance überprüft. In diesem Fall wird nicht überprüft, ob eine Anfrage an die
Appliance weitergeleitet wurde.
Kerberos realm
(Kerberos-Bereich)
Gibt eine für Authentifizierungszwecke konfigurierte Verwaltungsdomäne an.
Innerhalb der Grenzen dieser Domäne hat der Kerberos-Server die Befugnis,
einen Benutzer zu authentifizieren, der eine Anfrage von einem Host sendet
oder einen Dienst nutzt.
Beim Bereichsnamen wird die Groß-/Kleinschreibung berücksichtigt. Im
Allgemeinen werden jedoch nur Großbuchstaben verwendet, und es empfiehlt
sich, den Bereichsnamen auf den Namen der relevanten DNS-Domäne
festzulegen.
208
Produkthandbuch
7
Authentifizierung
Tabelle 7-16 Kerberos Administration (Fortsetzung)
Option
Definition
Maximal time difference
between appliance and
client (Maximale
Zeitdifferenz zwischen
Appliance und Client)
Beschränkt die zeitliche Differenz (in Sekunden) zwischen den Systemuhren der
Appliance und ihrer Clients auf den angegebenen Wert.
Wenn Sie Kerberos als Authentifizierungsmethode konfigurieren, kann dies
Probleme nach sich ziehen, wenn Anfragen mit bestimmten Browsern gesendet
werden:
• Wenn eine frühere Version von Microsoft Internet Explorer als 7.0 verwendet
wird, ist die Kerberos-Authentifizierung u. U. nicht möglich.
• Wenn dieser Explorer unter Windows XP ausgeführt wird, funktioniert die
Kerberos-Authentifizierung möglicherweise nicht wie erwartet.
• Bei Verwendung von Mozilla Firefox muss die Kerberos-Authentifizierung in
den Browser-Einstellungen als Authentifizierungsmethode aktiviert werden.
Enable replay cache
Bei Auswahl dieser Option kann ein für die Authentifizierung ausgestelltes
(Replay-Cache aktivieren) Ticket nicht mehrmals verwendet werden.
Durch Auswahl dieser Option wird die Authentifizierungsleistung vermindert.
Beitreten einer Appliance zu einer Windows-Domäne
Beim Verwenden der NTLM-Authentifizierung müssen Sie eine Appliance als Mitglied einer
Windows-Domäne festlegen, damit das Authentifizierungsmodul auf dem Domänenserver gespeicherte
Benutzerinformationen abrufen kann.
Eine Appliance kann gleichzeitig mehreren Domänen angehören.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die der Domäne betreten soll, und
klicken Sie auf Windows Domain Membership (Mitgliedschaft in Windows-Domäne).
Im Einstellungsbereich wird eine Liste von Domänen angezeigt. Diese ist anfänglich leer.
3
Klicken Sie auf Join (Beitreten), um eine Domäne in die Liste einzugeben.
Daraufhin öffnet sich das Fenster Join Domain (Domäne beitreten).
4
Konfigurieren Sie in diesem Fenster einen Domänennamen, einen Domänen-Controller und weitere
Einstellungen.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Domäne wird nun in der Liste angezeigt. Die Appliance
ist jetzt ein Mitglied der betreffenden Domäne.
Wiederholen Sie die Schritte 3 bis 5, um weitere Domänen hinzuzufügen.
Verwenden Sie die übrigen Symbole auf der Symbolleiste, um die Liste zu bearbeiten, z. B. um einen
Listeneintrag zu ändern oder um die Mitgliedschaft einer Appliance in einer Domäne aufzuheben.
Siehe auch
Einstellungen für die Windows-Domänenmitgliedschaft auf Seite 210
Produkthandbuch
209
7
Authentifizierung
Einstellungen für die Windows-Domänenmitgliedschaft
Mit den Einstellungen für die Windows-Domänenmitgliedschaft wird eine Appliance einer
Windows-Domäne hinzugefügt.
Join Domain (Beitreten zur Domäne)
Einstellungen zum Beitreten einer Appliance zu einer Windows-Domäne
Tabelle 7-17 Join Domain (Beitreten zur Domäne)
Option
Definition
Windows domain name (Name der
Windows-Domäne)
Gibt den Namen der Domäne an.
McAfee Web Gateway account name
(Name des McAfee Web Gateway-Kontos)
Gibt den Namen eines Kontos für eine Appliance an.
Overwrite existing account (Bestehendes
Konto überschreiben)
Bei Auswahl dieser Option wird ein bestehendes Konto
überschrieben.
Use NTLM version 2 (NTLM-Version 2
verwenden)
Bei Auswahl dieser Option wird NTLM-Version 2 verwendet.
Timeout for requests to this NTLM domain
(Zeitlimit für Anfragen an diese
NTLM-Domäne)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf die Verarbeitung
für eine von einer Appliance an einen Domänen-Controller
gesendete Anfrage angehalten wird, wenn keine Antwort eingeht.
Wait time for reconnect to domain
controller (Wartezeit für erneute
Verbindung mit dem Domänen-Controller)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf erneut versucht
wird, eine Verbindung mit dem Domänen-Controller herzustellen,
nachdem ein vorheriger Versuch fehlgeschlagen ist.
Der zulässige Bereich ist 5 bis 300 Sekunden.
Configured domain controllers
(Konfigurierte Domänen-Controller)
Bietet eine Liste zur Eingabe der Domänen-Controller, mit denen
eine Appliance eine Verbindung zum Abrufen von
Authentifizierungsinformationen herstellen kann.
Einträge müssen durch Kommas getrennt werden.
Number of active domain controllers
(Anzahl aktiver Domänen-Controller)
Die Höchstanzahl konfigurierter Domänen-Controller, die
gleichzeitig aktiv sein können
Zulässige Werte sind 1 bis 10.
Administrator name (Name des
Administrators)
Gibt den Benutzernamen für das Konto an, das beim Beitreten
einer Appliance zu einer Domäne erstellt wird.
Benutzername und Kennwort werden nur zu diesem Zweck
verwendet und nicht gespeichert.
Password (Kennwort)
Legt ein Kennwort für den Administratornamen fest.
Empfohlene Vorgehensweisen – Konfigurieren der
Authentifizierung für Bereitstellungstypen
Beim Konfigurieren der Authentifizierung müssen Sie die Art der Bereitstellung berücksichtigen, die zur
Verarbeitung des Datenverkehrs zwischen Web Gateway und dessen Clients konfiguriert wurde, z. B.
210
Produkthandbuch
7
Authentifizierung
der Modus „Expliziter Proxy“ oder ein transparenter Modus. Für jeden Typ gibt es einen Regelsatz in
der Regelsatz-Bibliothek, der am besten für die Handhabung der Authentifizierung geeignet ist.
Die folgenden beiden Fragen sind hinsichtlich des Authentifizierungsprozesses von Bedeutung:
•
Wie werden die während des Prozesses ausgewerteten Anmeldeinformationen des Benutzers durch
Web Gateway abgerufen?
Dieser Teil der Authentifizierung wird manchmal auch als Authentifizierungs-Front-End bezeichnet.
Die Methode zum Abrufen der Anmeldeinformationen des Benutzers hängt davon ab, ob der Modus
„Expliziter Proxy“ (auch als direkter Proxy-Modus bezeichnet) oder ein transparenter Modus
(transparenter Router oder Bridge-Modus) für die Verarbeitung des Datenverkehrs zwischen
Web Gateway und dessen Clients konfiguriert wurde.
Für den Modus „Expliziter Proxy“ können Sie konfigurieren, dass Clients einen Dienst unter dem
WCCP-Protokoll als zusätzliche Option zum Senden von Anfragen verwenden.
Die Regelsatz-Bibliothek bietet für jeden dieser Modi passende Regelsätze.
•
Wie sollten Anmeldeinformationen nach dem Abrufen ausgewertet werden?
Dies wird manchmal auch als Authentifizierungs-Back-End bezeichnet.
Die Auswertung der Anmeldeinformationen hängt von der konfigurierten Authentifizierungsmethode
ab, z. B. LDAP oder NTLM.
Bibliotheks-Regelsätze für die Authentifizierung
Die Regelsätze zur Konfiguration der Authentifizierung befinden sich in der Regelsatzgruppe
Authentication der Regelsatz-Bibliothek.
Die nachfolgende Tabelle zeigt, welche dieser Regelsätze für bestimmte Bereitstellungstypen
empfohlen werden.
Tabelle 7-18 Bibliotheks-Regelsätze für die Authentifizierung
Bereitstellungstyp
Empfohlener Bibliotheks-Regelsatz
Direct Proxy Authentication and Authorization
Modus „Transparenter Router“ oder
„Transparente Bridge“
Authentication Server (Time/IP Based Session)
Modus „Expliziter Proxy“ mit WCCP
Bei Verarbeitung des Datenverkehrs in:
• Modus „Expliziter Proxy“: Direct Proxy Authentication and
Authorization
• WCCP-Modus: Authentication Server (Time/IP Based
Session)
Nach dem Import eines Regelsatzes aus der Bibliothek können Sie dessen Regeln modifizieren und
weiter an die Gegebenheiten Ihres Netzwerks anpassen.
Position in der Regelsatz-Baumstruktur
Ein Authentifizierungs-Regelsatz sollte sich hinter dem Regelsatz „Globale Whitelist“ befinden, jedoch
vor dem Regelsatz „Common Rules“ (wenn Sie diese Elemente aus der
Regelsatz-Standardbaumstruktur behalten).
Produkthandbuch
211
7
Authentifizierung
Durch diese Platzierung eines Authentifizierungs-Regelsatzes wird sichergestellt, dass ein Benutzer
nicht authentifiziert werden muss, wenn er eine Anfrage für den Zugriff auf ein Web-Objekt sendet,
das sich in der globalen Whitelist befindet.
Authentifizierung für den Modus „Expliziter Proxy“
Beim Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ muss in Web Gateway ein
geeigneter Regelsatz implementiert werden.
Bibliotheks-Regelsatz für den expliziten Proxy-Modus
Der empfohlene Bibliotheks-Regelsatz für den expliziten Proxy-Modus ist „Direct Proxy Authentication
and Authorization“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Authenticate with User Database
•
Authorize User Groups
Wenn dieser Regelsatz implementiert ist, wird der Authentifizierungsprozess für jede Anfrage
durchgeführt, die von einem Client aus Web Gateway empfangen wurde, sofern keine Ausnahmeregel
gilt.
Die Verwendung dieses Regelsatzes ist zudem das bevorzugte Verfahren zur Handhabung der
Authentifizierung, wenn Citrix installiert ist oder Workstations in einer Konfiguration gemeinsam
genutzt werden.
Regelsatz „Direct Proxy Authentication and Authorization“
Dieser Regelsatz enthält Regeln zur Erstellung von Ausnahmen. Diese ermöglichen es, eine Anfrage
auf Web Gateway zu verarbeiten, ohne den Benutzer zu authentifizieren, der die Anfrage gesendet
hat.
Ausnahmen können auf Folgendem basieren:
•
Auf der IP-Adresse des Clients, von dem die Anfrage gesendet wurde
•
Auf der URL des Web-Objekts, das das Ziel der Anfrage ist
Anhand dieser Regeln sorgen Sie dafür, dass für Anfragen, die von vertrauenswürdigen Clients
eingehen oder an vertrauenswürdige Ziele gesendet werden, keine Authentifizierung durchgeführt
werden muss, was zu einer Steigerung der Leistung führt.
Sie können auch eigene Listen erstellen und diesem Regelsatz hinzufügen, um weitere Ausnahmen zu
ermöglichen.
Untergeordneter Regelsatz „Authenticate with User Database“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, der eine Web-Zugriffsanfrage über einen Client von Web Gateway sendet. Der Benutzer
wird zur Eingabe der Anmeldeinformationen aufgefordert, die anhand der in der internen
Benutzerdatenbank gespeicherten Daten ausgewertet werden.
Der Regelsatz gilt, wenn der betreffende Benutzer noch nicht authentifiziert wurde und noch keinen
fehlgeschlagenen Authentifizierungsversuch unternommen hat. Dies wird mithilfe der Eigenschaften
Authentication.Is.Authenticated und Authentication.Failed überprüft.
Anstatt die Anmeldeinformationen anhand der Daten aus der internen Benutzerdatenbank überprüfen,
können Sie auch eine andere Authentifizierungsmethode konfigurieren, z. B. LDAP oder NTLM.
212
Produkthandbuch
7
Authentifizierung
Untergeordneter Regelsatz „Authorize User Groups“
Dieser Regelsatz enthält eine Regel, die nur Anfragen autorisierter Benutzer zulässt. Eine Anfrage wird
also blockiert, wenn der Benutzer, der diese gesendet hat, kein Mitglied einer der Benutzergruppen in
einer bestimmten Liste ist. Die Anfrage wird auch dann blockiert, wenn der Benutzer die zuvor
durchgeführte Auswertung erfolgreich bestanden hat.
Diese Regel ermöglicht die Implementierung einer zusätzlichen Sicherheitsprüfung. Wenn Sie diese
verwenden möchten, müssen Sie in die in diesem Regelsatz verwendete Liste Benutzergruppen
eintragen. Andernfalls können Sie den Regelsatz deaktivieren oder löschen.
Bearbeiten des Regelsatzes für den expliziten Proxy-Modus
Beim Konfigurieren der Authentifizierung für den expliziten Proxy-Modus können Sie den
Bibliotheks-Regelsatz so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Dazu gehört:
•
Ändern der Authentifizierungsmethode
•
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
•
Konfigurieren weiterer Ausnahmeregeln
Die Standardmethode für die Auswertung von Anmeldeinformationen ist der Vergleich dieser
Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich in der einzigen
Regel des Regelsatzes „Authenticate user against User Database“ befindet.
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
Der untergeordnete Regelsatz „Authorized User Groups“ lässt nur Anfragen von autorisierten
Benutzern zu. Sie können die Liste, die in der einzigen Regel dieses Regelsatzes bereitgestellt wird,
nach Bedarf mit Benutzergruppen füllen.
Wenn Sie diese Prüfung nicht als zusätzliche Sicherheitsprüfung verwenden möchten, können Sie den
Regelsatz deaktivieren oder löschen.
Konfigurieren weiterer Ausnahmeregeln
Sie können dem Regelsatz „Direct Proxy Authentication and Authorization“ Regeln hinzufügen, um
mehr Ausnahmen des Authentifizierungsprozesses abzudecken.
Wenn eine dieser Regeln angewendet wird, wird die Verarbeitung des Regelsatzes angehalten, d. h.,
der Regelsatz wird nicht für die untergeordneten Regelsätze ausgeführt, die für die Authentifizierung
zuständig sind.
Beispielsweise können Sie eine Regel hinzufügen, um Anfragen zuzulassen, wenn der Browser des
Clients, von dem diese gesendet wurden, mit einem bestimmten Benutzer-Agenten ausgeführt wird.
Die Informationen zum Benutzer-Agenten werden aus dem Anfrage-Header abgerufen.
Produkthandbuch
213
7
Authentifizierung
Die Regel könnte folgendermaßen aussehen:
Skip authorization for user agents that are in list Allowed User Agents
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
Eine weitere Regel könnte Anfragen für den Zugriff auf Objekte auf Web-Servern mit IP-Adressen aus
einer bestimmten Liste zulassen. Die IP-Adresse wird der URL entnommen, die mit einer Anfrage
übermittelt wurde.
Diese Regel könnte folgendermaßen aussehen:
Skip authorization for destination IPs that are in list Allowed Destination IPs
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
Authentifizierung für transparente Modi
Beim Konfigurieren der Authentifizierung für die transparenten Modi müssen die Einstellungen für die
Browser geändert werden, mit denen Anfragen an Web Gateway gesendet werden. Außerdem muss in
Web Gateway eine geeignete Regel implementiert werden.
Bearbeiten der Browser-Einstellungen
Um die Authentifizierung für den Modus „Transparenter Router“ oder „Transparente Bridge“ zu
aktivieren, müssen die Einstellungen der einzelnen zum Senden von Anfragen verwendeten
Web-Browser konfiguriert werden, damit Web Gateway als vertrauenswürdig eingestuft werden kann.
Wenn auch NTLM oder Kerberos als Authentifizierungsmethode auf Web Gateway konfiguriert ist,
erfolgt der Authentifizierungsprozess intern, ohne dass sich der Benutzer authentifizieren muss.
•
Wenn Sie Microsoft Internet Explorer verwenden, müssen Sie die Sicherheitseinstellungen wie folgt
ändern:
•
Konfigurieren Ihres lokalen Intranets als Sicherheitszone
•
Hinzufügen von Web Gateway als Website zu dieser Zone
Hierfür geben Sie eine URL mit einer IP-Adresse oder einen vollqualifizierten Domänennamen
an, z. B. http://10.10.69.73 oder http://*.mcafee.local.
•
Konfigurieren der automatischen Anmeldung für alle Websites in dieser Zone als
Sicherheitseinstellung für die Benutzerauthentifizierung
Sie können dies unter Internetoptionen in den Fenstern Lokales Intranet und Sicherheitseinstellungen – Lokale
Intranetzone konfigurieren.
Wenn für einen Browser Gruppenrichtlinien konfiguriert werden können, können Sie auch den
Gruppenrichtlinienverwaltungs-Editor zusammen mit der Liste der Site zu Zonenzuweisungen und dem Fenster
Anmeldungsoptionen verwenden.
•
Wenn Sie Mozilla Firefox verwenden, müssen Sie eine IP-Adresse oder einen vollqualifizierten
Domänennamen für Web Gateway unter about:config als Wert für den Parameter
network.automatic-ntlm-auth.trusted-uris angeben, z. B. 10.10.69.73 oder mwgappl.yourdomain.local.
Weitere Informationen hierzu finden Sie in der Dokumentation des jeweiligen Web-Browsers.
214
Produkthandbuch
7
Authentifizierung
Bibliotheks-Regelsatz für transparente Modi
Der empfohlene Bibliotheks-Regelsatz für den Modus „Transparenter Router“ oder „Transparente
Bridge“ ist „Authentifizierungs-Server (Zeit/IP-basierte Sitzung)“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Check for Valid Authentication Session
•
Authentication Server
Im Unterschied zum Authentifizierungsprozess, der für den expliziten Proxy-Modus durchgeführt wird,
verarbeitet dieser Regelsatz die Authentifizierung durch das Erstellen einer Authentifizierungssitzung,
wenn ein Benutzer, der eine Anfrage für Web-Zugriff gesendet hat, erfolgreich authentifiziert wurde.
Solange diese Sitzung weiterhin gültig ist, werden von diesem Benutzer gesendete nachfolgende
Anfragen verarbeitet, ohne dass eine erneute Authentifizierung erforderlich ist. Die standardmäßige
Sitzungslänge beträgt 600 Sekunden.
Die Verwendung dieses Regelsatzes in einer Konfiguration, in der Citrix installiert ist oder Workstations
gemeinsam genutzt werden, kann zu folgender Situation führen: Benutzer A sendet eine Anfrage, wird
authentifiziert, und eine Authentifizierungssitzung wird erstellt. Später sendet Benutzer B eine Anfrage
über dieselbe Workstation und darf die Sitzung von Benutzer A fortsetzen.
Regelsatz „Authentication Server (Time/IP Based Session)“
Dieser Regelsatz dient als Container für die beiden untergeordneten Regelsätze und enthält keine
eigenen Regelsätze.
Untergeordneter Regelsatz „Check for Valid Authentication Session“
Dieser Regelsatz enthält eine Regel, die überprüft, ob für einen Benutzer, der eine Anfrage über einen
Client sendet, eine gültige Sitzung vorhanden ist. Sitzungsinformationen werden in einer internen
Sitzungsdatenbank gespeichert. Die Informationen enthalten den Benutzernamen, die IP-Adresse des
Clients und die Sitzungslänge.
Wenn eine gültige Sitzung vorhanden ist, wird die Verarbeitung der Anfrage für die verbleibenden
konfigurierten Regeln und Regelsätze fortgesetzt. Wenn keine gültige Sitzung vorhanden ist, wird die
Anfrage an den Authentifizierungs-Server umgeleitet.
Untergeordneter Regelsatz „Authentication Server“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, dessen Anfrage an den Authentifizierungs-Server umgeleitet wurde. Bei erfolgreicher
Authentifizierung wird für diesen Benutzer in der Sitzungsdatenbank eine Sitzung erstellt.
Die Standardmethode für die Auswertung von Anmeldeinformationen des Benutzers ist der Vergleich
dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Sie können
diese Methode durch eine andere Methode ersetzen, z. B. LDAP oder NTLM.
Bearbeiten des Regelsatzes für transparente Modi
Beim Konfigurieren der Authentifizierung für transparente Modi können Sie den Bibliotheks-Regelsatz
so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Es sind folgende Bearbeitungsaktionen möglich:
•
Bearbeiten der URL des Authentifizierungs-Servers
•
Produkthandbuch
215
7
Authentifizierung
•
Aktivieren der Regel für ideale Bedingungen
•
Verlängern der Gültigkeitsdauer der Sitzung
Bearbeiten der URL des Authentifizierungs-Servers
Wenn Sie die Sicherheitseinstellungen der für das Senden von Anfragen an Web Gateway verwendeten
Browser durch Konfigurieren der lokalen Domäne als Sicherheitszone bearbeitet haben, können Sie
Web Gateway als Website in diese Zone einbinden, indem Sie eine URL entweder mittels IP-Adresse
oder vollqualifiziertem Domänennamen angeben.
In diesem Fall müssen Sie auch die URL des Authentifizierungs-Servers durch Einfügen des Namens
der lokalen Domäne bearbeiten, da die URL standardmäßig eine IP-Adresse für Web Gateway enthält.
Die Authentifizierungs-Server-URL wird für Appliances, auf denen Web Gateway ausgeführt wird,
dynamisch erzeugt. Da in einer Konfiguration mehrere Web Gateway-Appliances vorhanden sein
können, darf die IP-Adresse nicht statisch sondern muss dynamisch konfiguriert sein. Diese
Konfiguration erfolgt über interne Konfigurationseigenschaften.
Diese URL kann unter der Option IP Authentication Server (IP-Authentifizierungs-Server) bearbeitet werden,
die in der Regel Redirect clients that do not have a valid session to the authentication server des
Regelsatzes „Check for Valid Authentication Session“ neben der Eigenschaft
Authentication.Authenticate zu finden ist.
Standardmäßig hat diese URL das folgende Format:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
In allgemein lesbarem Format könnte die URL eines konkreten Authentifizierungs-Servers
folgendermaßen lauten:
http://10.10.69.71:9090
Nach der Anpassung der URL an die Browser-Einstellungen, durch die die lokale Domäne als
Sicherheitszone definiert ist, sieht die URL folgendermaßen aus:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
Hierbei wurde "com.scur.engine.system.proxy.ip"/>$ durch "com.scur.engine.system"/>
$.yourdomain.local ersetzt.
In allgemein lesbarem Format könnte dies z. B. folgendermaßen aussehen:
http://mwgappl.yourdomain.local:9090
Hierbei ist mwgappl der Host-Name einer Appliance, auf der Web Gateway ausgeführt wird.
Die standardmäßig für die Bewertung von Anmeldeinformationen genutzte Methode bei transparenten
Modi ist das Vergleichen dieser Informationen mit denen, die in der internen Benutzerdatenbank
gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich im Regelsatz
„Authentication Server“ in der Regel Authenticate user against user database rule befindet.
216
Produkthandbuch
7
Authentifizierung
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Aktivieren der Regel für ideale Bedingungen
Mit der Regel Revalidate session under ideal conditions aus dem Regelsatz „Check for Valid
Authentication Session“ kann sich der Benutzer unter „idealen“ Bedingungen erneut authentifizieren.
Dies bedeutet, dass bei bereits abgelaufener Sitzung keine Aufforderung zur Authentifizierung mehr
erfolgt.
Hier eine detaillierte Liste der standardmäßig festgelegten Bedingungen:
•
Die verbleibende Sitzungszeit beträgt weniger als 400 Sekunden.
•
Es wird das Netzwerkprotokoll HTTP verwendet.
•
Bei der vom Benutzer gesendeten Anfrage handelt es sich um eine GET-Anfrage.
Durch Aktivieren dieser Regel können Situationen wie z. B. die folgende vermieden werden:
1
Ein Benutzer sendet von einem Web Gateway-Client eine Anfrage und authentifiziert sich (es
werden 600 Sekunden Sitzungszeit zugeteilt).
2
Der Benutzer möchte ein Ticket an den Helpdesk senden und beginnt mit dem Ausfüllen des
Datenformulars (300 Sekunden Sitzungszeit verbraucht).
3
Beim Ausfüllen fehlen dem Benutzer bestimmte Informationen, nach denen er im Internet suchen
muss. Hierdurch werden auf Web Gateway mehrere GET-Anfragen empfangen (es vergehen weitere
200 Sekunden).
4
Der Benutzer füllt das Formular vollständig aus und sendet es ab, wodurch bei Web Gateway eine
POST-Anfrage eingeht (es vergehen weitere 200 Sekunden, wobei die Sitzung bereits nach den
ersten 100 Sekunden abgelaufen ist).
5
Da die Sitzungszeit abgelaufen ist, wird der Benutzer vor dem Verarbeiten der POST-Anfrage zum
erneuten Authentifizieren aufgefordert. Da die Sitzung jedoch nicht mehr gültig ist, gehen alle in
das Formular eingegebenen Daten verloren.
Wenn die Regel für ideale Bedingungen aktiviert ist, wird der Benutzer bereits während der
Informationssuche in Schritt 3 erneut zur Authentifizierung aufgefordert, sodass genügend Zeit für das
Ausfüllen und Absenden des Formulars zur Verfügung steht.
Verlängern der Gültigkeitsdauer der Sitzung
Die Zeitdauer einer Authentifizierungs-Sitzung kann z. B. auch von den standardmäßig eingestellten
600 Sekunden (10 Minuten) auf eine Stunde erhöht werden.
Außerdem ist es auch möglich, die Zeitbedingung in den Kriterien der Regel Revalidate session under
ideal conditions beispielsweise von 400 auf 600 Sekunden zu erhöhen.
Hierdurch fordert die Regel den Benutzer bereits beim Erhalt einer GET-Anfrage zur Authentifizierung
auf. Zu diesem Zeitpunkt ist die Sitzung noch 10 Minuten lang gültig.
Produkthandbuch
217
7
Authentifizierung
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP
Das Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP umfasst das
Importieren und Bearbeiten von zwei Regelsätzen sowie die Angabe der Ports für den eingehenden
Datenverkehr, damit die Anwendung des passenden Regelsatzes ausgelöst wird.
Wenn der Modus „Expliziter Proxy“ mit WCCP konfiguriert ist, senden Clients ihre Anfragen an Web
Gateway entweder in diesem Modus oder unter Verwendung eines Dienstes im WCCP-Protokoll.
Zur Durchführung der Authentifizierung im Modus „Expliziter Proxy“ wird der Regelsatz „Direct Proxy
Authentication and Authorization“ empfohlen, für den WCCP-Modus, der ein transparenter Modus ist,
hingegen der Regelsatz „Authentication Server (Time/IP Based Session)“.
Aus diesem Grund sollten Sie beide Regelsätze importieren und auch alle weiteren für beide Modi
erforderlichen Schritte durchführen, einschließlich der Bearbeitung der Browser-Einstellungen für den
WCCP-Modus.
Damit der Datenverkehr für den jeweiligen Modus vom richtigen Authentifizierungs-Regelsatz
verwaltet wird, können Sie für die beiden Datenverkehrsarten unterschiedliche Ports konfigurieren und
den zu verwendenden Port jeweils in den Kriterien des entsprechenden Regelsatzes festlegen.
Konfigurieren unterschiedlicher Ports für den Modus „Expliziter Proxy“ und den
WCCP-Modus.
Für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise die Ports 9090 und
9091 konfiguriert werden. Beim Konfigurieren eines WCCP-Dienstes müssen Sie angeben, welcher Port
für den WCCP-Modus verwendet wird. In die Liste der HTTP-Ports müssen hingegen beide Ports
eingetragen werden.
Ein WCCP-Dienst wird durch Eintragung in die Liste WCCP Services (WCCP-Dienste) konfiguriert. Diese
Liste wird unter der Option WCCP im Bereich Transparent Proxy (Transparenter Proxy) angezeigt, zu dem
Sie über die Systemeinstellung Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S), FTP, ICAP, und IM)
gelangen.
Der Abschnitt wird erst angezeigt, wenn Sie durch Auswählen von Proxy (optional WCCP) (Proxy, WCCP
optional) unter Network Setup (Netzwerkeinrichtung) mit dem Konfigurieren des Modus „Expliziter Proxy“
mit WCCP beginnen.
Der Eintrag für einen WCCP-Dienst, der für den auf Port 9091 eingehenden Datenverkehr verwendet
wird, könnte beispielsweise folgendermaßen aussehen:
No Service WCCP
ID
router ...
1
91
Ports ... Ports ... Proxy
listener ...
10.10.69.7 80, 443 false
Proxy
MD5 ... Assignment Comment
listener
port
10.10.69.73 9091
oooooo 1000
Die Liste HTTP Port Definition List (HTTP-Port-Definitionsliste) kann im Bereich HTTP Proxy (HTTP-Proxy)
konfiguriert werden, der nach dem Bereich Transparent Proxy (Transparenter Proxy) folgt.
Die Einträge für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise
folgendermaßen aussehen:
No Listener address Serve ... Ports ... Transparent ... McAfee ... Comment
218
1
0.0.0.0:9090
true
443
false
true
Explicit proxy traffic
2
0.0.0.0:9091
true
443
false
true
WCCP traffic
Produkthandbuch
7
Authentifizierung
Anpassen der Kriterien der Authentifizierungs-Regelsätze
Nach dem Konfigurieren unterschiedlicher Ports für eingehenden Datenverkehr im Modus „Expliziter
Proxy“ bzw. bei Nutzung eines WCCP-Dienstes, beispielsweise Ports 9090 und 9091, müssen Sie auch
die Kriterien der Regelsätze anpassen, die für diese beiden Datenverkehrsarten zuständig sind.
Die angepassten Regelkriterien des Regelsatzes „Direct Proxy Authentication and Authorization“ sähen
dann folgendermaßen aus:
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
Beim Regelsatz „Authentication Server (Time/IP Based Session)“ wären die angepassten Kriterien:
Proxy.Port equals 9091
Die Instant Messaging-Authentifizierung stellt sicher, dass Benutzer Ihres Netzwerks nicht über einen
Instant Messaging-Dienst auf das Web zugreifen können, wenn sie nicht authentifiziert sind. Im
Authentifizierungsprozess wird nach Benutzerinformationen gesucht, und nicht authentifizierte
Benutzer werden aufgefordert, sich zu authentifizieren.
An diesem Vorgang sind folgende Elemente beteiligt:
•
Authentifizierungsregeln, die den Prozess steuern
•
Das Modul „Authentication“, das aus verschiedenen Datenbanken Informationen über Benutzer
abruft
Eine Authentifizierungsregel kann mithilfe eines Ereignisses Informationen zur Authentifizierung von
Benutzern protokollieren, die Web-Zugriff angefordert haben.
In diesem Fall ist auch ein Protokollierungsmodul in den Prozess eingebunden.
Authentifizierungsregeln
Die Instant Messaging-Authentifizierung ist nicht standardmäßig auf der Appliance implementiert, Sie
können jedoch den Regelsatz IM Authentication aus der Bibliothek importieren.
Dieser Regelsatz enthält eine Regel, die anhand von Benutzerinformationen überprüft, ob der
Web-Zugriff anfordernde Benutzer bereits authentifiziert ist. Die Informationen werden mithilfe der
Methode „User Database“ gesucht.
Nicht authentifizierte Benutzer, für die in der Benutzerdatenbank keine Informationen gefunden
werden können, werden aufgefordert, ihre Anmeldeinformationen für die Authentifizierung zu senden.
Eine andere Regel sucht mithilfe der Methode „Authentication Server“ nach Informationen, um den
Authentifizierungsstatus von Benutzern zu ermitteln, und fordert nicht authentifizierte Benutzer auf,
ihre Anmeldeinformationen zu senden.
Das Modul „Authentication“ wird von diesen Regeln aufgerufen, um die Benutzerinformationen aus den
entsprechenden Datenbanken abzurufen.
Sie können die Regeln im Bibliotheks-Regelsatz überprüfen, ändern oder löschen sowie eigene Regeln
erstellen.
Produkthandbuch
219
7
Authentifizierung
Modul „Authentication“
Das Modul (auch als Engine bezeichnet) „Authentication“ ruft aus internen und externen Datenbanken
Informationen ab, die zum Authentifizieren von Benutzern benötigt werden. Das Modul wird von den
Authentifizierungsregeln aufgerufen.
Die verschiedenen Methoden zum Abrufen von Benutzerinformationen werden in den
Moduleinstellungen angegeben. Demzufolge werden in den Regeln des Bibliotheks-Regelsatzes für die
Instant Messaging-Kommunikation zwei verschiedene Einstellungen aufgeführt:
•
User Database at IM Authentication Server (Benutzerdatenbank auf IM-Authentifizierungs-Server)
•
Authentication Server IM (Authentifizierungs-Server für IM)
Diese Einstellungen werden mit dem Regelsatz implementiert, wenn dieser aus der Bibliothek
importiert wird.
Sie können diese Einstellungen konfigurieren und z. B. den Server angeben, von dem mit der
Authentifizierungs-Server-Methode Benutzerinformationen abgerufen werden.
Protokollierungsmodul
Der Bibliotheks-Regelsatz für die Instant Messaging-Authentifizierung enthält eine Regel, die
authentifizierungsbezogene Daten protokolliert, z. B. den Benutzernamen des Benutzers, der den
Web-Zugriff angefordert hat oder die URL des angeforderten Web-Objekts.
Die Protokollierung wird vom Modul „FileSystemLogging“ verarbeitet, dessen Einstellungen Sie
ebenfalls konfigurieren können.
Konfigurieren der Instant Messaging-Authentifizierung
Sie können die Instant Messaging-Authentifizierung implementieren und an die Anforderungen Ihres
Netzwerks anpassen.
Vorgehensweise
1
Importieren Sie den Regelsatz „IM Authentication“ aus der Bibliothek.
2
Prüfen Sie die Regeln im Regelsatz, und ändern Sie sie gegebenenfalls.
3
220
•
Ändern Sie die Einstellungen des Authentifizierungsmoduls für die Benutzerdatenbank oder die
Authentifizierungs-Server-Methode.
•
Ändern Sie die Einstellungen des Protokollierungsmoduls, das die Protokollierung von
Informationen über die Instant Messaging-Authentifizierung verarbeitet.
Produkthandbuch
7
Authentifizierung
Konfigurieren des Authentifizierungsmoduls für die Instant
Messaging-Authentifizierung
Sie können das Authentifizierungsmodul konfigurieren und angeben, auf welche Weise die
erforderlichen Informationen zum Authentifizieren von Benutzern eines Instant Messaging-Dienstes
abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Die Regeln des Regelsatzes werden nun im Einstellungsbereich angezeigt.
3
Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist.
4
Suchen Sie nach den Regeln, von denen das Authentifizierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz sind dies die Regeln Authenticate Clients against the User Database und
Redirect Not Authenticated Clients to the Authentication Server.
5
Klicken Sie in den Regelkriterien auf den Einstellungsnamen der Einstellungen, die konfiguriert
werden sollen.
Dieser Name wird neben der Eigenschaft Authentication. Authenticate angezeigt.
Im Bibliotheks-Regelsatz sind dies die Einstellungen für User Database at IM Authentication Server
bzw. Authentication Server IM.
für das Modul „Authentication“.
6
7
8
Siehe auch
Konfigurieren des Dateisystem-Protokollierungsmoduls für die
Sie können das Dateisystem-Protokollierungsmodul konfigurieren und angeben, wie dieses
Informationen protokolliert, die sich auf die Instant Messaging-Authentifizierung beziehen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
Produkthandbuch
221
7
Authentifizierung
3
4
Suchen Sie nach der Regel, von der das Dateisystem-Protokollierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz ist dies die Regel Show Authenticated page.
5
Klicken Sie im Regelereignis auf den Namen der Einstellungen für das Modul.
Im Bibliotheks-Regelsatz lautet dieser Name IM Logging.
für das Dateisystem-Protokollierungsmodul.
6
7
8
Siehe auch
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) auf Seite 584
IM Authentication (Regelsatz)
Der Bibliotheks-Regelsatz „IM Authentication“ wird für die Instant Messaging-Authentifizierung
verwendet.
Bibliotheks-Regelsatz – IM Authentication
Criteria – Always
Cycles – Requests (and IM), Responses, Embedded Objects
Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze:
•
IM Authentication Server
•
IM Proxy
IM Authentication Server
Dieser untergeordnete Regelsatz behandelt die Authentifizierung für Instant Messaging-Benutzer. Er
wendet die Methode „User Database“ zum Abrufen von Benutzerinformationen an.
Untergeordneter Bibliotheks-Regelsatz – IM Authentication Server
Criteria – Authentication.IsServerRequest equals true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn die Authentifizierung für
einen Benutzer eines Instant Messaging-Dienstes angefordert wurde.
Authenticate clients against user database
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM Authentication>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die Methode „User
Database“ für diese Authentifizierung an.
222
Produkthandbuch
Authentifizierung
7
Wenn ein Benutzer nicht mithilfe dieser Methode authentifiziert wurde, wird die Verarbeitung
beendet; zudem wird eine Meldung wird angezeigt, in der der Benutzer zur Authentifizierung
aufgefordert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Show Authenticated page
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
Die Regel leitet eine durch einen Instant Messaging-Benutzer von einem Client gesendete Anfrage an
einen Authentifizierungs-Server weiter und zeigt eine Meldung an, in der der Benutzer über die
Umleitung informiert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „Show IM Authenticated“ für die Meldung
verwendet wird.
Außerdem legt die Regel mithilfe eines Ereignisses Werte für einen Protokolleintrag zur
Authentifizierungsanfrage fest. Dieser Eintrag wird dann anhand eines zweiten Ereignisses in eine
Protokolldatei geschrieben. Ein Parameter dieses Ereignisses gibt den Protokolleintrag an.
In den Ereigniseinstellungen werden die Protokolldatei und deren Verwaltung angegeben.
IM Proxy
Dieser untergeordnete Regelsatz behandelt die Authentifizierung von Instant Messaging-Benutzern. Er
ruft mithilfe der Methode „Authentication Server“ Benutzerinformationen ab.
Untergeordneter Bibliotheks-Regelsatz – IM Proxy
Criteria – Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine
Chat-Nachricht oder eine Datei über eine Verbindung unter einem Instant Messaging-Protokoll sendet
und von der Appliance bereits eine Nachricht zurück an den Benutzer gesendet werden kann.
Der Regelsatz enthält die folgende Regel.
Redirect not authenticated users to the authentication server
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM
Authentication>
Produkthandbuch
223
7
Authentifizierung
Einmalkennwörter
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die
Authentifizierungs-Server-Methode für diese Authentifizierung an.
Wenn ein Benutzer nicht mit dieser Methode authentifiziert wurde, wird die Verarbeitung beendet;
zudem wird eine Meldung wird angezeigt, in der der Benutzer aufgefordert wird, sich zu
authentifizieren.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Einmalkennwörter
Einmalkennwörter können in Web Gateway verarbeitet werden, um Benutzer zu authentifizieren. Dies
beinhaltet die Verwendung von Kennwörtern für autorisiertes Außerkraftsetzen, nachdem eine
Web-Sitzung aufgrund eines abgelaufenen Kontingents beendet wurde.
Wenn ein Benutzer eine Web-Zugriffsanfrage sendet, wird die Authentifizierung zuerst über eine
andere in Web Gateway verfügbare Authentifizierungsmethode durchgeführt, beispielsweise die
Authentifizierung anhand von Informationen, die in der internen Benutzerdatenbank gespeichert sind.
Wenn die Verwendung von Einmalkennwörtern konfiguriert ist, wird diese Authentifizierungsmethode
als zweiter Schritt durchgeführt. Web Gateway meldet dem Benutzer, dass für den Web-Zugriff auch
ein Einmalkennwort erforderlich ist, und nach der Anfrage des Benutzers auf solch ein Kennwort wird
der Benutzername an einen McAfee OTP-Server weitergeleitet, auf dem das Kennwort angefordert
wird.
®
Wenn die Anfrage genehmigt wird, gibt der McAfee OTP-Server ein Einmalkennwort zurück, das jedoch
nicht an Web Gateway weitergegeben wird. Die Antwort des McAfee OTP-Servers enthält in einem
Header-Feld auch sogenannte „Kontextinformationen“.
Mit diesen Kontextinformationen werden das Kennwortfeld und die Sendeschaltfläche auf der Seite
aktiviert, die dem Benutzer angezeigt wird, sodass der Benutzer auf die Schaltfläche klicken kann,
woraufhin das Einmalkennwort übermittelt wird und der Benutzer Zugriff auf das gewünschte
Web-Objekt erhält.
Um die Verwendung von Einmalkennwörtern in Web Gateway zu implementieren, können Sie einen
Regelsatz aus der Regelsatz-Bibliothek importieren. Nach dem Importieren des Regelsatzes werden
Standardeinstellungen bereitgestellt, die Sie entsprechend den Anforderungen Ihres Netzwerks
konfigurieren können.
Zu den zu konfigurierenden Einstellungen gehören die IP-Adresse oder der Host-Name des McAfee
OTP-Servers und der Port auf diesem Server, der auf Anfragen von Web Gateway überwacht.
Außerdem sind ein Benutzername und ein Kennwort für die Authentifizierung von Web Gateway beim
McAfee OTP-Server erforderlich.
Wenn die Kommunikation zwischen Web Gateway und dem McAfee OTP-Server SSL-verschlüsselt sein
soll, müssen Sie ein entsprechendes Zertifikat importieren.
Der McAfee OTP-Server muss für die Verarbeitung des Authentifizierungsprozesses für Web Gateway
224
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Einmalkennwörter für autorisiertes Außerkraftsetzen
Wenn innerhalb Ihres Netzwerks Kontingentbeschränkungen für die Internet-Nutzung gelten, kann ein
Einmalkennwort als Kennwort für das Außerkraftsetzen der Beendigung einer Web-Sitzung aufgrund
abgelaufener Kontingente genutzt werden.
Um die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen zu implementieren,
können Sie einen weiteren Regelsatz aus der Bibliothek importieren, mit dem Sie auch die
Einstellungen für den Authentifizierungsprozess konfigurieren können.
Verwenden von Einmalkennwörtern von einem McAfee Pledge-Gerät
Einmalkennwörter für die Authentifizierung von Benutzern oder für ein autorisiertes Außerkraftsetzen
können von einem McAfee Pledge-Gerät bereitgestellt werden.
®
Um die Verwendung von Einmalkennwörtern für den Authentifizierungsprozess zu aktivieren, müssen
Sie geeignete Regelsätze implementieren, die Sie aus der Regelsatz-Bibliothek importieren können.
Die Einstellungen für den Authentifizierungsprozess werden mit dem Importvorgang implementiert.
Weitere Informationen zum Arbeiten mit einem McAfee Pledge-Gerät finden Sie in der Dokumentation
für dieses Produkt.
Konfigurieren von Einmalkennwörtern für das Authentifizieren
von Benutzern
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das Authentifizieren von Benutzern zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authentication Server (Time/IP Based Session with OTP) aus der
Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie den
Regelsatz Authentication Server (Time/IP Based Session with OTP and Pledge).
Die Regelsätze befinden sich in der Regelsatzgruppe Authentication.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einmalkennwörtern für das autorisierte
Außerkraftsetzen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das autorisierte Außerkraftsetzen zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authorized Override with OTP aus der Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie
Authorized Override with OTP and Pledge.
Die Regelsätze befinden sich in der Regelsatzgruppe Coaching/Quota.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Produkthandbuch
225
7
Authentifizierung
Einmalkennwörter
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einstellungen für Einmalkennwörter
Nach dem Importieren der Regelsätze zum Verarbeiten von Einmalkennwörtern werden Einstellungen
für derartige Kennwörter mit Standardwerten implementiert. Konfigurieren Sie diese Einstellungen, um
sie an die Anforderungen Ihres Netzwerks anzupassen.
Sie müssen unterschiedliche Einstellungen für die Authentifizierung und das autorisierte
Außerkraftsetzen mit Einmalkennwörtern konfigurieren.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Authentication
(Authentifizierung).
3
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim Authentifizieren von Benutzern zu konfigurieren. Fahren Sie andernfalls
mit Schritt 4 fort.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
c
Klicken Sie auf IP Authentication Server (IP-Authentifizierungs-Server).
Die Einstellungen für den IP-Authentifizierungs-Server werden im Abschnitt für Einstellungen
angezeigt.
d
Konfigurieren Sie die Einstellungen im Abschnitt IP Authentication Server Specific Parameters (Spezifische
Parameter für IP-Authentifizierungs-Server) und die Einstellungen in anderen Abschnitten (bei
denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
e
Klicken Sie auf User Database at Authentication Server (Benutzerdatenbank auf
Authentifizierungs-Server).
Die Einstellungen für die Benutzerdatenbank auf dem Authentifizierungs-Server werden im
Abschnitt für Einstellungen angezeigt.
f
Konfigurieren Sie die Einstellungen im Abschnitt User Database Specific Parameters (Spezifische
Parameter für Benutzerdatenbank) und die Einstellungen in anderen Abschnitten (bei denen es
Fahren Sie anschließend mit Schritt 5 fort.
4
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim autorisierten Außerkraftsetzen zu konfigurieren.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
5
226
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Authentication Server (Time/IP Based Session with OTP)
(Regelsatz)
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP Based Session with OTP)“ ermöglicht die
Verwendung von Einmalkennwörtern für die Authentifizierung von Benutzern.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP)
Criteria – Always
Cycles – Requests (and IM)
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Der Regelsatz enthält die folgenden Regeln:
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
Produkthandbuch
227
7
Authentifizierung
Einmalkennwörter
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Dieser untergeordnete Regelsatz leitet eine Anfrage für den Web-Zugriff weiter, sofern der Benutzer
ein gültiges Einmalkennwort eingegeben hat. Wenn dem Benutzer diese Eingabe nicht möglich ist, wird
er aufgefordert, sich zu authentifizieren.
Die Authentifizierung wird zuerst unter Nutzung der Informationen in der Benutzerdatenbank auf
einem Authentifizierungs-Server durchgeführt. Nach erfolgreicher Authentifizierung wird dieser
Benutzer darauf hingewiesen, dass für den Web-Zugriff auch ein Einmalkennwort erforderlich ist, das
von Web Gateway auf Anfrage des Benutzers versendet wird.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Cycle – Requests (and IM)
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Redirect if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
228
Produkthandbuch
Authentifizierung
Einmalkennwörter
7
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
Wenn keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, bedeutet dies, dass
ein Benutzer, der eine Anfrage für den Web-Zugriff gesendet hat, kein gültiges Einmalkennwort
übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Authentifizierungs-Server jedoch erfolgreich war.
Daraufhin wird diese Regel verarbeitet, die mittels der Eigenschaft Header.Exists überprüft, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, sendet die Regel mithilfe eines Ereignisses ein entsprechendes
Einmalkennwort an den Benutzer.
Return authentication data to client
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mithilfe der Eigenschaft Header.Exists, ob eine Anfrage über einen Header
verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der die Anfrage sendende Benutzer wird mit
einer Meldung darüber informiert, dass für den Zugriff ein Einmalkennwort erforderlich ist.
Außerdem wird ein Ereignis ausgelöst, das in die Blockierungsmeldung einen Header mit
Kontextinformationen zum Authentifizierungsvorgang mit Einmalkennwort einfügt.
Der erste der beiden Parameter des Ereignisses gibt an, welche Header-Informationen hinzugefügt
werden. Der zweite Parameter ist eine Eigenschaft, die als Wert Informationen über den
Authentifizierungsvorgang mit Einmalkennwort enthält und somit den Ursprung der hinzugefügten
Informationen darstellt.
Block request and offer sending OTP
Always –> Block<Authentication Server OTP>
Falls keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, wird immer die
Blockierungsaktion dieser Regel ausgeführt.
Die Aktion beendet die Regelverarbeitung, und die Anfrage wird nicht weitergeleitet.
Die Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber
informiert, dass für den Web-Zugriff ein Einmalkennwort erforderlich ist, das von Web Gateway
angefordert werden kann.
Produkthandbuch
229
7
Authentifizierung
Einmalkennwörter
Authorized Override with OTP (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP“ ermöglicht die Verwendung von
Einmalkennwörtern für das autorisierte Außerkraftsetzen.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
230
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com*
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL auf der unternehmenseigenen Domäne von McAfee befindet.
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Daraufhin wird diese Regel verarbeitet. Sie überprüft mittels der Eigenschaft Header.Exists, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, wird ein Ereignis ausgelöst, das ein entsprechendes Einmalkennwort an den
Benutzer versendet.
Return authentication data to client
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mittels der Eigenschaft Header.Exists, ob die Anfrage über einen Header verfügt,
aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Wenn dies der Fall ist, wird die Anfrage nicht weitergeleitet, und es wird ein Ereignis ausgelöst, mit
dem eine bestimmte Eigenschaft einen Wert erhält, der Aufschluss über die Authentifizierung des
Benutzers gibt.
Die Blockierungsaktion wird mit den festgelegten Einstellungen durchgeführt, die besagen, dass der
Benutzer mittels einer Meldung über den Grund der Blockierung informiert werden muss.
Die vom Ereignis versendeten Informationen werden durch den Ereignisparameter OTP.Context
festgelegt. Die Eigenschaft, deren Wert dann diese Informationen enthält, wird von einem zweiten
Parameter angegeben.
Always –> Block<Authentication Server OTP>
Falls bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, wird immer die Aktion dieser Regel ausgeführt.
Mit ihr wird die Regelverarbeitung beendet, und die Anfrage wird nicht weitergeleitet. Die
Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber informiert,
dass von Web Gateway ein Einmalkennwort angefordert werden kann.
Produkthandbuch
231
7
Authentifizierung
Einmalkennwörter
Authentication Server (Time/IP Based Session with OTP and
Pledge) (Regelsatz)
Der Regelsatz „Authentication Server (Time/IP Based Session with OTP and Pledge)“ ist ein
Bibliotheks-Regelsatz zum Authentifizieren von Benutzern mit Einmalkennwörtern, die von einem
McAfee Pledge-Gerät bereitgestellt werden.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP and
Pledge)
Criteria – Always
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
232
Produkthandbuch
Authentifizierung
Einmalkennwörter
7
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Dieser untergeordnete Regelsatz leitet eine Anfrage für Web-Zugriff weiter, nachdem der Benutzer ein
gültiges Einmalkennwort eingegeben hat, das von einem McAfee Pledge-Gerät abgerufen wurde.
Wenn der Benutzer ein gültiges Einmalkennwort eingegeben hat, wird er aufgefordert, sich zu
authentifizieren. Die Authentifizierung wird zunächst anhand der Informationen aus der
Benutzerdatenbank des Authentifizierungs-Servers ausgeführt.
Nach erfolgreicher Authentifizierung wird dieser Benutzer darauf hingewiesen, dass für den
Web-Zugriff auch ein Einmalkennwort von einem McAfee Pledge-Gerät erforderlich ist.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Show block template
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
Produkthandbuch
233
7
Authentifizierung
Einmalkennwörter
Die Regel überprüft mithilfe der URL.GetParameter-Eigenschaft, ob ein Einmalkennwort von einem
McAfee Pledge-Gerät als Parameter der URL in einer Anfrage gesendet wurde.
Wenn der Parameter leer ist, wird die Anfrage blockiert, und der Benutzer wird benachrichtigt, dass
auch bei einem McAfee Pledge-Gerät die Authentifizierung mit einem Einmalkennwort für den
Web-Zugriff erforderlich ist.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mit einem Ereignis Kontextinformationen im
Einmalkennwort-Authentifizierungsprozess an einen authentifizierten Benutzer.
Auf diese Weise werden die Informationen abgerufen, die zum Validieren eines Einmalkennworts auf
einem McAfee OTP-Server erforderlich sind.
Redirect back if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authorized Override with OTP and Pledge (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP and Pledge“ dient dem autorisierten
Außerkraftsetzen mithilfe von Einmalkennwörtern, die von einem McAfee Pledge-Gerät bereitgestellt
werden.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
234
Produkthandbuch
7
Authentifizierung
Einmalkennwörter
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL in der Unternehmensdomäne von McAfee befindet und das Zeitkontingent für
eine Sitzung überschritten wurde, die nach einem autorisierten Außerkraftsetzen fortgesetzt werden
kann.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mithilfe eines Ereignisses ein Einmalkennwort an einen authentifizierten Benutzer.
Auf diese Weise werden die Kontextinformationen abgerufen, die zum Authentifizieren eines
Benutzers über ein Einmalkennwort erforderlich sind, das auf einem McAfee OTP-Server validiert
wird.
Produkthandbuch
235
7
Authentifizierung
Always –> Block<OTP Required with Pledge>
Die Regel blockiert eine Anfrage für Web-Zugriff.
Die Einstellungen der Aktion geben an, dass eine Meldung gesendet wird. Diese informiert den
Benutzer, dass der Web-Zugriff nach Übermittlung eines Einmalkennworts, das von einem McAfee
Pledge-Gerät abgerufen wird, gestattet werden kann.
Das Senden eines Client-Zertifikats kann als Methode für den Zugriff auf die Benutzerschnittstelle der
Appliance konfiguriert werden. Diese Methode wird als Client-Zertifikatauthentifizierung oder X.
509-Authentifizierung bezeichnet.
Die Client-Zertifikatauthentifizierung ist eine der Methoden, die Sie beim Konfigurieren der
Proxy-Funktionen der Appliance für die Authentifizierung auswählen können.
Folgendes gilt, wenn die Methode in einer Proxy-Konfiguration verwendet wird.
•
Zur Authentifizierung eines Benutzers, der eine Anfrage sendet, ist kein Benutzername und kein
Kennwort erforderlich, so wie bei anderen Methoden wie NTLM oder LDAP auch.
•
Die Methode kann für Anfragen implementiert werden, die per SSL-verschlüsselter Kommunikation
von einem Web-Browser auf einem Client an eine Appliance gesendet werden, die im expliziten
Proxy-Modus konfiguriert ist.
•
Für diese Kommunikation wird das HTTPS-Protokoll verwendet.
Ein Client-Zertifikat wird gesendet, wenn der SSL-Handshake als einer der ersten Schritte in der
Kommunikation zwischen der Appliance und einem Client ausgeführt wird. Die Anfrage wird dann an
einen Authentifizierungs-Server zur Validierung des Zertifikats weitergeleitet.
Wenn das Zertifikat gültig ist, wird die Authentifizierung erfolgreich für den Client abgeschlossen, und
die Anfrage wird schließlich an den entsprechenden Web-Server weitergeleitet.
Beim Ausführen mehrerer Appliances als Knoten in einer Konfiguration muss sich der
Authentifizierungs-Server auf dem Knoten befinden, an den eine Anfrage ursprünglich geleitet wurde.
Zudem muss die Weiterleitung an das Internet nach erfolgreicher Authentifizierung über denselben
Knoten erfolgen.
Die Verwendung eines Authentifizierungs-Servers zur Client-Zertifikatauthentifizierung wird durch
Regeln gesteuert. Sie können einen Authentifizierungs-Server-Regelsatz importieren und die Regeln in
den untergeordneten Regelsätzen modifizieren, um die Verwendung geeigneter Zertifikate zu
aktivieren.
Sie müssen auch ein Verfahren implementieren, das die Anwendung der
Client-Zertifikatauthentifizierung ermöglicht. Es wird empfohlen, dafür die Cookie-Authentifizierung zu
verwenden.
Wenn diese Methode implementiert wurde, ist die Authentifizierung für einen Client erforderlich, von
dem eine Anfrage gesendet wurde, es wird jedoch einmal ein Cookie für diesen Client gesetzt,
nachdem ein Zertifikat gesendet und als gültig erkannt wurde. Für nachfolgende Anfragen von diesem
Client müssen dann keine Zertifikate gesendet werden.
Sie können einen Regelsatz importieren und modifizieren, damit die Client-Zertifikatauthentifizierung
auf diese Weise verarbeitet wird.
236
Produkthandbuch
7
Authentifizierung
Verwenden von Zertifikaten für die Client-ZertifikatAuthentifizierung
Unter der Client-Zertifikat-Authentifizierungsmethode, die zur SSL-gesicherten Kommunikation
implementiert werden kann, sind für die Durchführung der Authentifizierung verschiedene
Zertifikatstypen erforderlich.
Client-Zertifikate
Ein Client-Zertifikat wird zur Identifizierung der Identität eines Clients benötigt, der eine Anfrage an
die Appliance sendet.
Nur wenn der Client vertrauenswürdig ist, wird eine von ihm gesendete Anfrage akzeptiert. Ein Client
gilt als vertrauenswürdig, wenn das mit der Anfrage eingereichte Zertifikat durch eine
vertrauenswürdige Stamm-Zertifizierungsstelle signiert wurde.
Unter der Client-Zertifikat-Authentifizierungsmethode wird das Client-Zertifikat auch zur
Authentifizierung verwendet. Die Authentifizierung ist erfolgreich abgeschlossen, wenn das mit der
Anfrage eingereichte Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde.
Server-Zertifikat
Ein Server-Zertifikat wird zur Identifizierung der Identität eines Servers benötigt, der an der
SSL-gesicherten Kommunikation beteiligt ist.
Ein Server gilt für einen Client als vertrauenswürdig, wenn das vom Server während der ersten
Kommunikationsschritte gesendete Zertifikat durch eine Stamm-Zertifizierungsstelle signiert wurde,
die ebenfalls für den Client als vertrauenswürdig gilt.
Unter der Client-Zertifikat-Authentifizierungsmethode wird ein Server-Zertifikat für den
Authentifizierungs-Server benötigt.
Stamm-Zertifizierungsstelle
Eine Stamm-Zertifizierungsstelle ist eine Instanz, die andere Zertifikate signiert.
In einer SSL-gesicherten Kommunikation ist die Stamm-Zertifizierungsstelle selbst ein Zertifikat, das
im Kommunikationsprozess angezeigt werden kann.
Wenn eine Stamm-Zertifizierungsstelle für einen Client oder Server als vertrauenswürdig gilt, gelten
die von ihr signierten Zertifikate ebenfalls als vertrauenswürdig. Wenn also ein Client oder Server
solch ein signiertes Zertifikat einreicht, gilt dies als vertrauenswürdig.
Produkthandbuch
237
7
Authentifizierung
Regelsätze für die Client-Zertifikat-Authentifizierung
Regelsätze für das Implementieren der Authentifizierungsmethode „Client Certificate“ sind in der
Regelsatz-Bibliothek verfügbar.
Regelsatz „Authentication Server (for X509 Authentication)“
Der Regelsatz „Authentication Server (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung des Authentifizierungs-Servers mit der
Authentifizierungsmethode „Client Certificate“ zu ermöglichen.
•
•
SSL Endpoint Termination: Bereitet die Verarbeitung von Anfragen in der SSL-gesicherten
Kommunikation vor
•
Accept Incoming HTTPS Connections: Stellt die Zertifikate bereit, die für den
Authentifizierungs-Server gesendet werden können
•
Content Inspection: Aktiviert die Überprüfung des Inhalts, der mit einer Anfrage übertragen
wird
Authentication Server Requests: Leitet Anfragen zurück zum Proxy auf der Appliance um, wo
sie nach erfolgreicher Authentifizierung auf dem Authentifizierungs-Server weiterverarbeitet
werden
Anfragen werden auch umgeleitet, wenn ein Cookie für einen Client gesetzt wurde, von dem eine
Anfrage gesendet wurde.
Wenn die Authentifizierung auf dem Authentifizierungs-Server nicht erfolgreich abgeschlossen
wurde, wird der Benutzer aufgefordert, seine Anmeldeinformationen zum Authentifizieren für die
Benutzerdatenbank anzugeben.
•
Block All Others: Blockiert Anfragen, für die die Authentifizierung nicht erfolgreich abgeschlossen
wurde
Regelsatz „Cookie Authentication (for X509 Authentication)“
Der Regelsatz „Cookie Authentication (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung der Client-Zertifikat-Authentifizierungsmethode zu
initiieren und um Cookies zu setzen.
•
Cookie Authentication at HTTP(S) Proxy: Enthält untergeordnete Regelsätze, die die
Client-Zertifikat-Authentifizierung mit Cookies verarbeiten
•
Set Cookie for Authenticated Clients: Setzt nach dem erfolgreichen Abschluss der
Authentifizierung für einen Client ein Cookie und leitet die vom Client gesendete Anfrage zurück
an den Proxy auf der Appliance, wo sie weiter verarbeitet wird
•
Authenticate Clients with Authentication Server: Leitet von Clients gesendete Anfragen,
für die kein Cookie gesetzt wurde, an den Authentifizierungs-Server um
Umleiten von Anfragen an einen Authentifizierungs-Server
Gemäß der Client-Zertifikat-Authentifizierungsmethode wird eine Anfrage an einen
Authentifizierungs-Server umgeleitet, wo das mit der Anfrage gesendete Client-Zertifikat überprüft
238
Produkthandbuch
7
Authentifizierung
wird. Die Umleitung kann mit einem speziellen Listener-Port auf der Appliance oder mit einem
eindeutigen Host-Namen erfolgen.
Verwenden eines speziellen Listener-Ports
Anfragen können mit einem speziellen Listener-Port, z. B. Port 444, an einen Authentifizierungs-Server
umgeleitet werden. Angenommen, die IP-Adresse einer Appliance ist 192.168.122.119. Eine Anfrage
wird dann wie folgt an den Authentifizierungs-Server umgeleitet:
https://192.168.122.119:444/
Dabei muss jedoch unbedingt berücksichtigt werden, ob für den Web-Browser auf dem Client, der die
Anfrage sendet, Ausnahmen für die Verwendung eines Proxys konfiguriert wurden.
•
Keine Proxy-Ausnahmen konfiguriert: Wenn keine Proxy-Ausnahmen konfiguriert wurden,
werden alle Anfragen an den Proxy-Port gesendet, der auf der Appliance Anfragen empfängt;
standardmäßig ist dies Port 9090.
Auch eine Anfrage für https://192.168.122.119:444/ geht an Port 9090 ein, sofern dieser als
Proxy-Port konfiguriert ist.
Wenn Ihre Netzwerkkonfiguration eine Firewall enthält, sind keine Ausnahmen von den
Firewall-Regeln erforderlich, da keine Verbindung vom Client mit Port 444 vorhanden ist.
Um die Umleitung von Anfragen an den Authentifizierungs-Server sicherzustellen, müssen Sie in
den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die Eigenschaft
URL.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „URL.Port“ ist der Port, der in der URL enthalten ist, die in einer Anfrage
angegeben wird. Dabei kann es sich beispielsweise um 444 handeln, auch wenn die Anfrage
tatsächlich an Port 9090 empfangen wird.
•
Proxy-Ausnahmen konfiguriert: Proxy-Ausnahmen können aus verschiedenen Gründen
konfiguriert werden. So kann z. B. ein Web-Browser so konfiguriert werden, dass für den Zugriff
auf lokale Hosts keine Proxys verwendet werden.
Eine Anfrage für https://192.168.122.119:444/ wird dann nicht an Port 9090 empfangen.
Da der Browser für den direkten Zugriff auf sein Ziel konfiguriert ist, versucht er an Port 444 eine
Verbindung mit der Appliance herzustellen. Das heißt, Sie müssen einen Listener-Port mit der
Port-Nummer 444 einrichten.
Bei festgelegten Firewall-Regeln ist zudem eine Ausnahme nötig, mit der zugelassen wird, dass
Anfragen an Port 444 empfangen werden.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, müssen Sie
in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die
Eigenschaft Proxy.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „Proxy.Port“ ist der Port, an dem die Anfrage tatsächlich empfangen wird.
Dies ist z. B. 444, wenn Sie einen Port mit dieser Nummer für den Empfang von Anfragen
eingerichtet haben, die an einen Authentifizierungs-Server umgeleitet werden sollen.
Verwenden eines eindeutigen Host-Namens
Anfragen können mit einem eindeutigen Host-Namen an einen Authentifizierungs-Server umgeleitet
werden, z. B. mit „authserver.local.mcafee“. Mit diesem Namen werden Anfragen wie folgt an den
Authentifizierungs-Server umgeleitet:
https://authserver.mcafee.local
Produkthandbuch
239
7
Authentifizierung
Der Client, von dem die Anfrage gesendet wurde, darf den Host-Namen nicht mithilfe von DNS
suchen, da die URL mit hoher Wahrscheinlichkeit nicht aufgelöst wird und der Client keine Verbindung
herstellen kann.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, muss dieser
Host-Name in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ als Wert
für die Eigenschaft URL.Host festgelegt werden.
Implementieren der Authentifizierung von Client-Zertifikaten
Bei der Authentifizierung von Client-Zertifikaten werden Client-Zertifikate verwendet, die mit
Authentifizierungsanfragen gesendet werden. Führen Sie die folgenden allgemeinen Schritte aus, um
diese Methode auf einer Appliance zu implementieren.
Vorgehensweise
1
Importieren Sie den Regelsatz „Authentication Server (for X509 Authentication)“.
2
Ändern Sie die untergeordneten Regelsätze, um die Verwendung der entsprechenden Zertifikate zu
konfigurieren.
3
Konfigurieren Sie einen Listener-Port für Anfragen, die von Web-Browsern gesendet wurden, die
nicht den Proxy-Port der Appliance verwenden.
4
Konfigurieren Sie eine Möglichkeit, die Authentifizierung von Client-Zertifikaten anzuwenden.
Sie können den Regelsatz „Cookie Authentication (for X509 Authentication)“ importieren und so
ändern, dass ein Cookie für die Authentifizierung verwendet wird, nachdem die Authentifizierung
von Client-Zertifikaten angewendet und erfolgreich abgeschlossen wurde.
5
Vergewissern Sie sich, dass in einem Web-Browser ein geeignetes Client-Zertifikat zum Senden von
Anfragen an die Appliance verfügbar ist.
Importieren des Regelsatzes „Authentication Server (for
X509 Authentication)“
Zum Implementieren der Client-Zertifikat-Authentifizierungsmethode auf der Appliance muss ein
Regelsatz vorhanden sein, der eine derartige Authentifizierung verarbeitet. Sie können zu diesem
Zweck den Regelsatz „Authentication Server (for X509 Authentication)“ importieren.
Es wird empfohlen, den Regelsatz in der Regelsatz-Baumstruktur an oberster Stelle einzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen).
240
Produkthandbuch
7
Authentifizierung
4
Wählen Sie den Regelsatz Authentication Server (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
5
Überprüfen Sie die Regelsatzkriterien, und ändern Sie sie gegebenenfalls.
Nach abgeschlossenem Import lauten die Kriterien wie folgt:
URL.Port equals 444 or Proxy.Port equals 444.
Dadurch wird sichergestellt, dass der Regelsatz auf alle Anfragen angewendet wird, die an dem
betreffenden Port empfangen werden. Wenn Sie einen anderen Port verwenden möchten, geben Sie
hier die entsprechende Port-Nummer ein.
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Server-Zertifikaten
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, damit
die Übermittlung der passenden Server-Zertifikate für den Authentifizierungs-Server sichergestellt ist.
Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Da der Authentifizierungs-Server unter verschiedenen Host-Namen und IP-Adressen erreicht werden
kann, können Sie die Appliance jedes Mal ein anderes Server-Zertifikat übermitteln lassen, sodass der
Host-Name oder die IP-Adresse dem allgemeinen Namen im Zertifikat entspricht.
Hierfür müssen Sie für jeden Host-Namen bzw. jede IP-Adresse ein Server-Zertifikat importieren und
der Liste der Server-Zertifikate hinzufügen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Endpoint Termination, und wählen Sie im Regelsatz
den untergeordneten Regelsatz Accept Incoming HTTPS Connections aus.
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Define SSL Context (SSL-Kontext definieren) die Liste der
Server-Zertifikate.
5
So fügen Sie der Liste ein Server-Zertifikat hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
c
Klicken Sie auf Import (Importieren).
Daraufhin öffnet sich das Fenster Import Server Certificate (Server-Zertifikat importieren).
d
Klicken Sie auf Browse (Durchsuchen), und navigieren Sie zum Zertifikat, das Sie importieren
möchten.
Produkthandbuch
241
7
Authentifizierung
e
Wiederholen Sie diese Aktivität, um einen Schlüssel und eine Zertifikatskette mit dem Zertifikat
zu importieren.
f
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen) angezeigt.
6
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Server-Zertifikat ein.
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das Server-Zertifikat wird in der Liste angezeigt.
8
Achten Sie darauf, dass das Kontrollkästchen SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion gilt nur für Client-Verbindung) aktiviert ist.
Auf diese Weise kann die Appliance Anfragen ihrer Clients annehmen, ohne andere Server des
Netzwerks zu kontaktieren, was bei dieser Kommunikation nicht erforderlich ist.
9
Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen.
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Zertifizierungsstellen
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, um
geeignete Root-Zertifizierungsstellen zu konfigurieren. Die Bearbeitung erfolgt in einem
untergeordneten Regelsatz.
Ein Client-Zertifikat wird als vertrauenswürdig eingestuft, wenn es von einer Zertifizierungsstelle in der
Liste signiert wurde, die auf der Appliance verwaltet wird. Sie müssen alle Zertifizierungsstellen in die
Liste importieren, die Instanzen für als vertrauenswürdig eingestufte Client-Zertifikate signieren sollen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Authentication Server Request.
3
Klicken Sie in der Regel Ask user for client certificate auf die Moduleinstellungen X509 Auth
(X509-Authentifizierung).
4
Überprüfen Sie im Abschnitt Client Certificate Specific Parameters (Client-Zertifikat-spezifische Parameter)
die Liste der Zertifizierungsstellen.
5
So fügen Sie der Liste eine Zertifizierungsstelle hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen).
b
242
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
Produkthandbuch
Authentifizierung
c
7
Daraufhin öffnet sich ein Fenster, das Zugriff auf Ihr lokales Dateisystem bietet.
d
Navigieren Sie zur Zertifizierungsstellendatei, die Sie importieren möchten.
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen) angezeigt.
6
Achten Sie darauf, dass das Kontrollkästchen Trusted (Vertrauenswürdig) aktiviert ist.
7
Zertifizierungsstelle ein.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Zertifizierungsstelle wird in der Liste angezeigt.
9
Konfigurieren eines Listener-Ports für eingehende Anfragen auf
der Appliance
An die Appliance gesendete Anfragen können am Proxy-Port oder an einem speziellen Listener-Port
empfangen werden. Als Proxy-Port wird standardmäßig Port 9090 verwendet.
Sie müssen einen Listener-Port konfigurieren, wenn Proxy-Ausnahmen erstellt wurden, die verhindern,
dass Anfragen am Proxy-Port eingehen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie einen Listener-Port
konfigurieren möchten, und klicken Sie dann auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S),
FTP, ICAP, und IM).
Die Proxy-Einstellungen werden im Einstellungsbereich angezeigt.
3
Scrollen Sie nach unten zum Bereich HTTP Proxy (HTTP-Proxy).
4
Achten Sie darauf, dass Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist.
5
Klicken Sie auf der Symbolleiste der HTTP port definition list (HTTP-Port-Definitionsliste) auf das Symbol
Hinzufügen.
6
Konfigurieren Sie wie folgt einen Listener-Port:
a
Geben Sie im Feld Listener address (Listener-Adresse) 0.0.0.0:444 ein.
Wenn Sie zum Empfangen eingehender Anfragen einen anderen Port verwenden möchten,
geben Sie diesen hier ein.
7
b
Geben Sie im Feld Ports treated as SSL (Als SSL behandelte Ports) * ein.
c
Alle anderen Kontrollkästchen müssen aktiviert sein.
Produkthandbuch
243
7
Authentifizierung
8
9
Starten Sie die Appliance neu, damit die Konfiguration des Listener-Ports wirksam wird.
Importieren des Regelsatzes „Cookie Authentication (for
X509 Authentication)“
Wenn auf der Appliance die Client-Zertifikat-Authentifizierungsmethode verwendet werden soll, kann
deren Verwendung mit dem Regelsatz „Cookie Authentication (for X509 Authentication)“ initiiert
werden.
Es wird empfohlen, diesen Regelsatz hinter den Regelsätzen für Funktionen einzufügen, die keine
Authentifizierung erfordern, jedoch vor den Regelsätzen, die die Filterfunktionen verarbeiten.
Auf diese Weise wird sichergestellt, dass bei der Blockierung einer Anfrage wegen eines
Authentifizierungsfehlers die Filterfunktionen nicht ausgeführt werden, wodurch Ressourcen gespart
werden und die Leistung verbessert wird.
Wenn Ihr Regelsatzsystem dem Standardsystem ähnelt, können Sie den Regelsatz hinter den
Regelsätzen „SSL Scanner“ und „Global Whitelist“ einfügen, jedoch vor den Regelsätzen „Content
Filtering“ und „Gateway Antimalware“.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
4
Wählen Sie den Regelsatz Cookie Authentication (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports
für eingehende Anfragen
Sie können den Cookie-Authentifizierungsregelsatz (für X509-Authentifizierung) bearbeiten, um einen
Listener-Port für eingehende Anfragen zu konfigurieren, den Sie anstelle von Port 444 (Standard-Port)
verwenden möchten. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Ein spezieller Listener-Port muss zum Empfangen eingehender Anfragen verwendet werden, wenn
Proxy-Ausnahmen vorhanden sind, die verhindern, dass Anfragen am Proxy-Port der Appliance
eingehen. Anfragen, die an Port 444 oder einem anderen Port, den Sie zu diesem Zweck konfiguriert
haben, eingehen, werden an den Authentifizierungs-Server weitergeleitet.
Vorgehensweise
244
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Cookie
Authentication (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz Cookie Authentication at HTTP(S) Proxy, und wählen Sie im
Regelsatz den untergeordneten Regelsatz Authenticate Clients with Authentication Server aus.
Produkthandbuch
7
Authentifizierung
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter) die URL im Feld Authentication server URL (URL des
Authentifizierungs-Servers).
Standardmäßig lautet die URL wie folgt:
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
Bei der Verarbeitung der Regel wird der Ausdruck $...$ durch die IP-Adresse der Appliance ersetzt.
5
Geben Sie zum Konfigurieren eines anderen Listener-Ports die Nummer dieses Ports hier ein.
6
7
Importieren eines Client-Zertifikats in einen Browser
Ein geeignetes Client-Zertifikat muss in einem Web-Browser verfügbar sein, um es im Rahmen der
SSL-gesicherten Kommunikation zusammen mit einer Anfrage an eine Appliance zu senden.
Die Vorgehensweisen beim Importieren von Zertifikaten hängen vom Browser ab und können
Änderungen unterliegen. Je nach Betriebssystem können auch die Menüs der verschiedenen Browser
voneinander abweichen.
Im Folgenden werden zwei mögliche Vorgehensweisen beim Importieren eines Client-Zertifikats in
Microsoft Internet Explorer und Mozilla Firefox erläutert.
Aufgaben
•
Importieren eines Client-Zertifikats in Microsoft Internet Explorer auf Seite 245
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort
verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden
kann.
•
Importieren eines Client-Zertifikats in Mozilla Firefox auf Seite 246
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Importieren eines Client-Zertifikats in Microsoft Internet Explorer
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Extras und dann auf Internetoptionen.
Daraufhin öffnet sich das Fenster Internetoptionen.
2
Klicken Sie auf die Registerkarte Inhalte.
Produkthandbuch
245
7
Authentifizierung
3
Klicken Sie im Abschnitt Zertifikate auf Zertifikate.
Daraufhin öffnet sich das Fenster Zertifikate.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der Zertifikatimport-Assistent.
5
Führen Sie auf den Seiten des Assistenten Folgendes aus:
a
Klicken Sie im Bildschirm Willkommen auf Weiter.
b
Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und navigieren Sie zum Speicherort
der Zertifikatdatei.
c
Geben Sie im Feld Dateiname den Text *.pfx ein, und drücken Sie anschließend die EINGABETASTE.
d
Wählen Sie die Zertifikatdatei aus, und klicken Sie auf Öffnen. Klicken Sie anschließend auf Weiter.
e
Geben Sie auf der Seite Kennwort im Feld Kennwort ein Kennwort ein. Klicken Sie anschließend auf
Weiter.
f
Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern.
g
Wählen Sie im Abschnitt Zertifikatspeicher auf derselben Seite Persönlich aus, und klicken Sie auf
Weiter.
h
Klicken Sie auf der Seite Fertigstellen des Zertifikatimport-Assistenten auf Fertig stellen.
6
Bestätigen Sie die angezeigte Meldung, indem Sie auf OK klicken.
7
Klicken Sie auf Schließen und dann auf OK, um die Fenster Zertifikate und Internetoptionen zu schließen.
Importieren eines Client-Zertifikats in Mozilla Firefox
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen, sodass es in
der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Einstellungen und dann auf Optionen.
Daraufhin öffnet sich das Fenster Einstellungen.
2
Klicken Sie auf Erweitert und anschließend auf Verschlüsselung.
3
Klicken Sie auf der Registerkarte Verschlüsselung im Abschnitt Zertifikate auf Zertifikate anzeigen.
Daraufhin öffnet sich das Fenster Zertifikat-Manager.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der lokale Datei-Manager.
246
5
Navigieren Sie zur gespeicherten Zertifikatdatei, und klicken Sie auf Öffnen.
6
Geben Sie bei einer entsprechenden Aufforderung ein Kennwort an, und klicken Sie dann auf OK.
Produkthandbuch
7
Authentifizierung
Administratorkonten
Administratorkonten
Administratorkonten können sowohl auf der Appliance als auch auf einem externen Server eingerichtet
und verwaltet werden. Mithilfe der Erstellung entsprechender Rollen können für Administratoren
unterschiedliche Zugriffsberechtigungen festgelegt werden.
Hinzufügen eines Administratorkontos
Sie können dem Konto, das vom Appliance-System bei der Erstkonfiguration eingerichtet wurde,
Administratorkonten hinzufügen.
Vorgehensweise
1
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
3
Fügen Sie hier den Benutzernamen und ein Kennwort hinzu, und nehmen Sie weitere erforderliche
Einstellungen für das Konto vor. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das neue Konto wird nun in der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 248
Bearbeiten eines Administratorkontos
Sie können alle Administratorkonten bearbeiten, einschließlich des Kontos, das vom Appliance-System
bei der Ersteinrichtung angelegt wurde.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie dann auf Edit (Bearbeiten).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Daraufhin öffnet sich das Fenster Edit Administrator (Administratorkonto bearbeiten).
3
Bearbeiten Sie die Einstellungen des Kontos nach Bedarf. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das Konto wird nun mit den vorgenommenen Änderungen auf
der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 248
Produkthandbuch
247
7
Authentifizierung
Administratorkonten
Löschen eines Administratorkontos
Sie können beliebig viele Administratorkonten löschen, sofern danach noch mindestens ein weiteres
Administratorkonto vorhanden ist.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie auf Delete (Löschen).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen.
3
Einstellungen für Administratorkonten
Mithilfe der Administratorkontoeinstellungen können die Anmeldeinformationen und Rollen der
Administratoren konfiguriert werden.
Einstellungen für Administratorkonten
Dies sind Einstellungen für Administratorkonten.
Tabelle 7-19 Einstellungen für Administratorkonten
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Test with current settings (Test mit aktuellen Einstellungen)
Einstellungen für die Überprüfung, ob ein Administrator sich mit seinen Anmeldeinformationen
tatsächlich bei der Appliance anmelden könnte.
248
Produkthandbuch
7
Authentifizierung
Administratorkonten
Tabelle 7-20 Test with current settings (Test mit aktuellen Einstellungen)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort) Gibt das zu überprüfende Kennwort an.
Test (Testen)
Mit dieser Option wird die Prüfung durchgeführt.
Anschließend wird das Fenster Authentication Test Results (Ergebnis des
Authentifizierungstests) mit dem Ergebnis des Tests angezeigt.
Verwalten der Administratorrollen
Sie können Rollen erstellen und mit diesen Administratorkonten konfigurieren.
Eine Administratorrolle wird bereits bei der Erstkonfiguration vom Appliance-System erstellt.
Vorgehensweise
1
2
So fügen Sie eine Administratorrolle hinzu:
a
Klicken Sie unter Roles (Rollen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Role (Rolle hinzufügen).
b
Geben Sie im Feld Name einen Rollennamen ein.
c
Konfigurieren Sie Zugriffsrechte für das Dashboard, Regeln, Listen und andere Elemente.
d
Klicken Sie auf OK.
Daraufhin wird das Fenster geschlossen, und die neue Rolle wird in der Liste der
Administratorrollen angezeigt.
3
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) verwenden, um Rollen zu
bearbeiten bzw. zu löschen.
4
Die neu hinzugefügte bzw. bearbeitete Regel ist jetzt verfügbar und kann einem Administratorkonto
hinzugefügt werden.
Siehe auch
Einstellungen für Administratorrollen auf Seite 249
Einstellungen für Administratorrollen
Mithilfe der Einstellungen für Administratorrollen können Rollen konfiguriert und anschließend
bestimmten Administratoren zugeordnet werden.
Einstellungen für Administratorrollen
Einstellungen zum Konfigurieren von Administratorrollen
Tabelle 7-21 Einstellungen für Administratorrollen
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Produkthandbuch
249
7
Authentifizierung
Administratorkonten
Tabelle 7-21 Einstellungen für Administratorrollen (Fortsetzung)
Option
Definition
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Konfigurieren der externen Kontoverwaltung
Sie können Administratorkonten auf externen Authentifizierungs-Servern verwalten lassen und extern
gespeicherte Benutzergruppen und einzelne Benutzer Rollen auf der Appliance zuordnen.
Vorgehensweise
1
2
Klicken Sie auf Administrator accounts are managed in an external directory server (Administratorkonten werden
auf einem externen Verzeichnis-Server verwaltet).
Nun werden zusätzliche Einstellungen angezeigt.
3
Konfigurieren Sie unter Authentication Server Details (Details des Authentifizierungs-Servers)
Einstellungen für den externen Server.
Diese Einstellungen bestimmen, auf welche Weise das Modul „Authentication“ auf der Appliance
Informationen von diesem Server abruft.
4
Verwenden Sie die Einstellungen unter Authentication group = role mapping (Authentifizierungsgruppe =
Rollenzuordnung), um auf dem externen Server gespeicherte Benutzergruppen und einzelne
Benutzer Rollen auf der Appliance zuzuordnen:
a
Klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Group/User Role Name Mapping (Gruppen/
Benutzerrollen-Namenszuordnung hinzufügen).
250
b
Aktivieren Sie die Kontrollkästchen neben dem Feld für gewünschte Gruppen- oder
Benutzerübereinstimmungen, und geben Sie im jeweiligen Feld den Namen einer Gruppe oder
eines Benutzers ein.
c
Klicken Sie auf OK.
d
Wählen Sie unter Role to map to (Zuzuordnende Rolle) eine Rolle aus.
Produkthandbuch
7
Authentifizierung
Administratorkonten
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Zuordnung wird in der Zuordnungsliste
angezeigt.
f
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) nutzen, um Zuordnungen zu
bearbeiten bzw. zu löschen.
Produkthandbuch
251
7
Authentifizierung
Administratorkonten
252
Produkthandbuch
8
Mit der Kontingentverwaltung können Sie Einfluss auf die Internet-Nutzung der Benutzer Ihres
Netzwerks nehmen. So können Sie dafür sorgen, dass die Ressourcen und die Leistung Ihres
Netzwerks nicht übermäßig beeinträchtigt werden.
Kontingente und andere Beschränkungen können auf verschiedene Art und Weise durchgesetzt
werden:
•
Zeitkontingente: Beschränken die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung
steht
•
Volumenkontingente: Beschränken das Volumen, das Benutzern für die Internet-Nutzung zur
Verfügung steht
•
Coaching: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht, lässt
jedoch bei Bedarf eine Überschreitung der konfigurierten Zeit zu
•
Autorisiertes Außerkraftsetzen: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur
Verfügung steht, auf die gleiche Art wie beim Coaching
Das Zeitlimit kann jedoch nur durch eine Aktion eines autorisierten Benutzers überschritten
werden, beispielsweise durch einen Lehrer bei einer Weiterbildung.
•
Blockaden: Blockieren den Zugriff auf das Internet für eine konfigurierte Zeitspanne, nachdem ein
Benutzer versucht hat, auf ein gesperrtes Web-Objekt zuzugreifen
Kontingente und andere Beschränkungen können separat oder in Kombination miteinander
durchgesetzt werden.
Inhalt
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung
Zeitkontingent
Volumenkontingent
Coaching
Autorisiertes Außerkraftsetzen
Blockierungssitzungen
Kontingent-Systemeinstellungen
Produkthandbuch
253
8
Festlegen von Kontingenten und anderen Einschränkungen für
die Web-Nutzung
Durch das Festlegen von Kontingenten und anderen Einschränkungen in einem
Kontingentverwaltungsprozess für die Benutzer Ihres Netzwerks können Sie deren Web-Nutzung
steuern und die Auslastung der Netzwerkressourcen beschränken.
Die Kontingentverwaltung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen.
•
Kontingentverwaltungsregeln steuern den Prozess.
•
Kontingentverwaltungslisten werden von den Regeln zum Festlegen von Einschränkungen für
Benutzer und bestimmte Web-Objekte genutzt, z. B. URLs, IP-Adressen usw.
•
Kontingentverwaltungsmodule, die von den Regeln aufgerufen werden, verarbeiten Zeit- und
Volumenkontingente sowie sonstige Einschränkungen innerhalb des Prozesses.
Ein Kontingentverwaltungsprozess wird nach der Erstkonfiguration in Web Gateway nicht
standardmäßig implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus
der Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Beim Konfigurieren der Kontingentverwaltung können Sie mit Folgendem arbeiten:
•
Schlüsselelemente von Regeln: Nach dem Importieren der Bibliotheks-Regelsätze für
die Kontingentverwaltung und deren Auswahl in der Struktur der Regelsätze können Sie
die Schlüsselelemente der Regeln für den Kontingentverwaltungsprozess anzeigen und
konfigurieren.
•
Vollständige Regeln: Nachdem Sie in der Ansicht der Schlüsselelemente auf Unlock View
(Ansicht entsperren) geklickt haben, können Sie die Regeln für den
Kontingentverwaltungsprozess vollständig überprüfen, sämtliche Elemente der Regeln,
einschließlich der Schlüsselelemente, konfigurieren und zudem neue Regeln erstellen
oder Regeln löschen.
Kontingentverwaltungsregeln
Die Regeln, von denen die Verwaltung von Kontingenten und sonstige Einschränkungen gesteuert
wird, sind je nach Typ der Einschränkung in verschiedenen Regelsätzen enthalten, z. B. in einem
Zeitkontingent-Regelsatz oder einem Coaching-Regelsatz.
Mit den Regeln in diesen Regelsätzen wird überprüft, ob die Beschränkungen für Zeit und/oder
Volumen überschritten wurden, und ggf. werden Anfragen in Bezug auf weiteren Web-Zugriff blockiert.
Zudem leiten sie Anfragen um, wenn ein Benutzer sich zum Fortfahren mit einer neuen Sitzung
entscheidet.
Regelsätze für die Kontingentverwaltung sind im Standard-Regelsatz nicht implementiert, sie können
jedoch aus der Regelsatz-Bibliothek importiert werden. Die Namen der Bibliotheks-Regelsätze lauten
Time Quota, Volume Quota, Coaching, Authorized Override und Blocking Sessions.
Sie können die mit den Bibliotheks-Regelsätzen implementierten Regeln überprüfen, ändern oder
löschen. Außerdem können Sie auch eigene Regeln erstellen.
254
Produkthandbuch
8
Kontingentverwaltungslisten
Die Regelsätze für das Verwalten von Kontingenten und anderen Einschränkungen verwenden Listen
von Web-Objekten und Benutzern, um dementsprechend Einschränkungen festzulegen. Die Listen sind
in den Kriterien eines Regelsatzes enthalten.
Eine Liste enthält z. B. eine Anzahl von URLs, und diese Liste befindet sich in den Kriterien des
Regelsatzes „Time Quota“. Dieser Regelsatz und die darin enthaltenen Regeln werden nur angewendet,
wenn ein Benutzer eine der URLs in der Liste aufruft. Listen von IP-Adressen oder Medientypen
können auf dieselbe Weise verwendet werden.
Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene
Listen erstellen und festlegen, dass diese von den Regelsätzen für die Kontingentverwaltung
verwendet werden sollen.
Kontingentverwaltungsmodule
Die Kontingentverwaltungsmodule (auch als Engines bezeichnet) verarbeiten die Zeit- und
Volumenparameter des Kontingentverwaltungsprozesses; sie werden von den Regelsätzen des
Prozesses überprüft, um die verbrauchten sowie verbleibenden Zeiten bzw. Volumen, Sitzungszeiten
und sonstigen Werte zu bestimmen.
Es ist für jeden Typ von Einschränkung ein Modul vorhanden, z. B. das Modul Time Quota oder das
Modul Coaching.
Durch das Konfigurieren der Einstellungen für diese Module geben Sie die Zeiten und Volumen an, die
im Kontingentverwaltungsprozess gelten. Wenn Sie beispielsweise das Modul für Zeitkontingente
konfigurieren, geben Sie an, wie lange Benutzer pro Tag (in Stunden und Minuten) auf Web-Objekte
mit bestimmten URLs oder IP-Adressen zugreifen dürfen.
Sitzungsdauer
Zu den Einstellungen, die Sie für das Kontingentverwaltungsmodul konfigurieren können, zählt auch
die Sitzungsdauer. Dies ist die für eine Einzelsitzung zulässige Zeit, die von einem Benutzer für die
Web-Nutzung in Anspruch genommen wird.
Produkthandbuch
255
8
Die Sitzungsdauer wird für Zeitkontingente, Volumenkontingente und sonstige Parameter des
Kontingentverwaltungsprozesses gesondert konfiguriert und unterschiedlich behandelt.
•
Sitzungsdauer für Zeitkontingente: Beim Konfigurieren von Zeitkontingenten müssen Sie auch
eine Sitzungsdauer konfigurieren. Bei jedem Ablauf einer Sitzungsdauer für einen Benutzer wird die
als Sitzungsdauer konfigurierte Zeit vom Zeitkontingent des betreffenden Benutzers abgezogen.
Solange das Zeitkontingent nicht aufgebraucht ist, kann der Benutzer eine neue Sitzung starten.
Nach Ablauf des Zeitkontingents wird eine vom Benutzer gesendete Anfrage blockiert, und eine
Blockierungsmeldung wird angezeigt.
•
Sitzungsdauer für Volumenkontingente: Beim Konfigurieren von Volumenkontingenten hat die
Sitzungsdauer keinerlei Auswirkungen auf das Volumenkontingent für einen Benutzer.
Sie können dennoch eine Sitzungsdauer konfigurieren, um den Benutzer über die beim Web-Zugriff
abgelaufene Zeit zu informieren. Wenn die Zeit für eine Sitzung abgelaufen ist, kann der Benutzer
eine neue Sitzung starten, sofern das konfigurierte Volumen nicht aufgebraucht ist.
Wenn Sie die Sitzungsdauer auf null setzen, wird keine Sitzungsdauer konfiguriert, und der
Benutzer erhält keine entsprechende Benachrichtigung.
•
Sitzungsdauer für andere Funktionen der Kontingentverwaltung: Die Sitzungsdauer kann
auch für andere Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzungen konfiguriert
werden. Daher kann eine Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzung
stattfinden.
Nach Ablaufen der Sitzungsdauer für das Coaching und autorisierte Außerkraftsetzen wird eine vom
Benutzer gesendete Anfrage blockiert.
Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage
angegeben wird. Der Benutzer kann eine neue Sitzung starten, sofern kein Zeitlimit konfiguriert ist,
das aufgebraucht wurde.
Die für eine Blockierungssitzung konfigurierte Sitzungsdauer ist der Zeitraum, für den von einem
bestimmten Benutzer gesendete Anfragen blockiert werden. Nach Ablauf dieses Zeitraums werden
Anfragen des betreffenden Benutzers wieder akzeptiert, sofern kein Zeitlimit konfiguriert ist, das
aufgebraucht wurde.
Kombinieren von Funktionen für die Kontingentverwaltung
Die Verwendung einer bestimmten Funktion für die Kontingentverwaltung zum Einschränken der
Web-Nutzung hat keinerlei Einfluss auf die jeweils anderen Funktionen für die Kontingentverwaltung.
Zeitkontingente und Volumenkontingente werden auf der Appliance beispielsweise separat konfiguriert
und implementiert.
Sie können diese Funktionen jedoch auf sinnvolle Weise miteinander kombinieren.
Sie können beispielsweise Coaching für den Zugriff der Benutzer auf einige URL-Kategorien festlegen
und die Eingabe von Anmeldeinformationen für autorisiertes Außerkraftsetzen für andere fordern.
Für eine weitere Gruppe von Kategorien können Sie Benutzer blockieren, die versuchen, ihren Zugriff
über einen konfigurierten Zeitraum hinaus auszudehnen.
256
Produkthandbuch
8
Zeitkontingent
Zeitkontingent
Durch die Konfiguration von Zeitkontingenten können Sie die Zeit einschränken, die Benutzer Ihres
Netzwerks das Internet benutzen dürfen.
Zeitkontingente können sich auf verschiedene Parameter beziehen:
•
URL-Kategorien: Wenn sich Zeitkontingente auf URL-Kategorien beziehen, dürfen Benutzer nur
eine begrenzte Zeit auf URLs zugreifen, die in eine bestimmte Kategorie fallen, z. B.
Online-Shopping.
•
IP-Adressen: Wenn sich Zeitkontingente auf IP-Adressen beziehen, dürfen Benutzer, die Anfragen
über bestimmte IP-Adressen gesendet haben, das Internet nur eine begrenzte Zeit benutzen.
•
Benutzernamen: Wenn sich Zeitkontingente auf Benutzernamen beziehen, dürfen Benutzer das
Internet nur eine begrenzte Zeit benutzen. Benutzer werden anhand der Benutzernamen
identifiziert, die sie zur Authentifizierung an der Appliance angegeben haben.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Zeitkontingente verwendet. Sie
können eigene Regeln konfigurieren, die hinsichtlich der Zeitkontingente andere Parameter
verwenden.
Die Zeit, die Benutzer mit der Nutzung des Internets verbringen, wird auf der Appliance gespeichert.
Wenn das konfigurierte Zeitkontingent für einen Benutzer überschritten wurde, wird eine von diesem
Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der
Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-System, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Die Internet-Nutzung kann auf pro Tag, Woche oder Monat verbrachte Zeit beschränkt werden.
Konfigurieren von Zeitkontingenten
Sie können Zeitkontingente konfigurieren, um die Zeit der Web-Nutzung der Benutzer Ihres Netzwerks
zu beschränken.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Zeitkontingente enthält,
z. B. den Bibliotheks-Regelsatz Time Quota.
Daraufhin werden die untergeordneten Regelsätze angezeigt.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus.
Wenn Sie beispielsweise Zeitkontingente in Bezug auf URL-Kategorien konfigurieren möchten,
wählen Sie den untergeordneten Regelsatz Time Quota With URL Configuration aus.
Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Listennamen URL Category Block List for Time Quota
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie
Produkthandbuch
257
8
Zeitkontingent
5
Fügen Sie der Blockierungsliste URL-Kategorien hinzu. Klicken Sie anschließend auf OK, um das
Fenster zu schließen.
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der Einstellungen URL Category
Configuration (Konfiguration der URL-Kategorie).
7
Konfigurieren Sie die Sitzungsdauer und das Zeitkontingent pro Tag, Woche und Monat. Klicken Sie
anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Zeitkontingent
Mit den Einstellungen für das Zeitkontingent wird das Modul konfiguriert, das die Verwaltung des
Zeitkontingents verarbeitet.
Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Einstellungen für Zeitkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 8-1 Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Option
Definition
Time quota per day (week, month) (Zeitkontingent
pro Tag (Woche, Monat))
Bei Auswahl dieser Option gilt das im nächsten Abschnitt
konfigurierte Kontingent für die ausgewählte Zeiteinheit.
Session time (Sitzungsdauer)
konfigurierte Kontingent für die Sitzungsdauer.
Stunden und Minuten für . . .
Einstellungen für Zeitkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Time quota per week (Zeitkontingent pro Woche) auswählen, lautet die
Überschrift Hours and Minutes for Time Quota per Week (Stunden und Minuten für Zeitkontingent pro
Woche).
Tabelle 8-2 Stunden und Minuten für . . .
Option
Definition
Hours (Stunden)
Legt die zulässigen Stunden pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Minutes (Minuten) Legt die zulässigen Minuten pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Tatsächlich konfiguriertes Zeitkontingent
Zeigt die konfigurierten Zeitkontingente an.
Tabelle 8-3 Tatsächlich konfiguriertes Zeitkontingent
258
Option
Definition
Time quota per day (week, month) (Zeitkontingent pro Tag
(Woche, Monat))
Zeigt die zulässige Zeit pro Tag, Woche oder Monat
an.
Zeigt die zulässige Sitzungsdauer an.
Produkthandbuch
8
Zeitkontingent
Time Quota (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Time Quota“ können Zeitkontingente für die Web-Nutzung festgelegt
werden.
Bibliotheks-Regelsatz – Time Quota
Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT”
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche
sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet
wird.
•
Time Quota With URL Configuration
•
Time Quota With IP Configuration
Dieser Regelsatz ist anfänglich nicht aktiviert.
•
Time Quota With Authenticated User Configuration
Time Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Zeitkontingente in Bezug auf
URL-Kategorien fällt.
Redirecting after starting new time session
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session Activation>
Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut
Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer
gesendet wird.
Check if time session has been exceeded
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.SessionExceeded, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
des Benutzers blockiert.
Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Produkthandbuch
259
8
Zeitkontingent
Check if time quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.Exceeded, ob für einen Benutzer das
konfigurierte Zeitkontingent überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Time Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Time Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Zeitkontingente in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werde. Diese lauten
IP Configuration.
Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Zeitkontingente in Bezug auf
Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten
Authenticated User Configuration.
260
Produkthandbuch
8
Volumenkontingent
Volumenkontingent
Durch die Konfiguration von Volumenkontingenten können Sie das Volumen an Web-Objekten
einschränken, gemessen in GB und MB, das die Benutzer Ihres Netzwerks aus dem Internet
herunterladen dürfen.
Volumenkontingente können sich auf mehrere Parameter beziehen:
•
URL-Kategorien: Benutzer dürfen nur ein begrenztes Volumen an Web-Objekten über URLs
herunterladen, die in eine bestimmte Kategorie fallen, z. B. Streaming-Medien.
•
IP-Adressen: Benutzer, die Anfragen über bestimmte IP-Adressen senden, dürfen nur ein
begrenztes Volumen herunterladen.
•
Benutzernamen: Benutzer dürfen Web-Objekte nur bis zu einem begrenzten Volumen
herunterladen. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur
Authentifizierung an der Appliance angegeben haben.
•
Medientypen: Benutzer dürfen Web-Objekte, die zu bestimmten Medientypen gehören, nur bis zu
einem begrenzten Volumen herunterladen.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Volumenkontingente verwendet.
Sie können eigene Regeln konfigurieren, die hinsichtlich der Volumenkontingente andere Parameter
verwenden.
Informationen zum Volumen, das Benutzer aus dem Internet herunterladen, werden auf der Appliance
gespeichert. Wenn das konfigurierte Volumenkontingent für einen Benutzer überschritten wurde, wird
eine von diesem Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt,
in der der Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-Systems, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Web-Downloads können auf ein pro Tag, Woche oder Monat Download-Volumen beschränkt werden.
Konfigurieren von Volumenkontingenten
Sie können Volumenkontingente konfigurieren, um das Volumen zu beschränken, das von Benutzern
Ihres Netzwerks während ihrer Web-Nutzung verbraucht wird.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Volumenkontingente
enthält, z. B. den Bibliotheks-Regelsatz Volume Quota.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Volume Quota With IP Configuration.
angezeigt.
Produkthandbuch
261
8
Volumenkontingent
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Volume Quota.
5
Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen,
z. B. IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die gewünschten Parameter, z. B. Sitzungsdauer und Volumenkontingent pro Tag,
Woche und Monat. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Volumenkontingent
Mit den Einstellungen für das Volumenkontingent wird das Modul konfiguriert, das die Verwaltung des
Volumenkontingents verarbeitet.
Volumenkontingent pro Tag, Woche und Monat
Einstellungen für Volumenkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 8-4 Volumenkontingent pro Tag, Woche und Monat
Option
Definition
Volume quota per day (week, month)
(Volumenkontingent pro Tag (Woche, Monat))
konfigurierte Kontingent für die ausgewählte Zeiteinheit
konfigurierte Kontingent für die Sitzungsdauer
Volumen für . . .
Einstellungen für Volumenkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer
gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Volume quota per week (Volumenkontingent pro Woche) auswählen, lautet
die Überschrift Volume for Volume Quota per Week (Volumen für Volumenkontingent pro Woche).
Wenn Sie jedoch Session Time (Sitzungsdauer) ausgewählt haben, lautet die Überschrift Hours and
Minutes (Stunden und Minuten).
Tabelle 8-5 Volumen für . . .
262
Option
Definition
GiB (GB)
Gibt das zulässige Volumen in GB an.
MiB (MB)
Gibt das zulässige Volumen in MB an.
Produkthandbuch
8
Volumenkontingent
Tatsächlich konfiguriertes Volumenkontingent
Zeigt die konfigurierten Volumenkontingente an.
Tabelle 8-6 Tatsächlich konfiguriertes Volumenkontingent
Option
Definition
Volume quota per day (week, month) (Volumenkontingent pro
Tag (Woche, Monat))
Zeigt das zulässige Volumen pro Tag, Woche oder
Monat an.
Zeigt die zulässige Sitzungsdauer an.
Volume Quota (Regelsatz)
Mit dem Regelsatz „Volume Quota“ werden Volumenkontingente für die Internet-Nutzung festgelegt.
Bibliotheks-Regelsatz – Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und sonstige
Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird.
• Time Quota With URL Configuration
• Time Quota With IP Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
• Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
Bibliotheks-Regelsatz – Volume Quota
wird.
•
Volume Quota With URL Configuration
•
Volume Quota With IP Configuration
•
Volume Quota With Authenticated User Configuration
•
Volume Quota With Media Type Configuration
Volume Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf URL-Kategorien.
Produkthandbuch
263
8
Volumenkontingent
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Volumenkontingente in Bezug auf
Redirecting after starting new time session
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet.
Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird.
Check if volume session has been exceeded
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.SessionExceeded-Eigenschaft, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
Check if volume quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.Exceeded-Eigenschaft, ob für einen Benutzer das
konfigurierte Volumenkontingent überschritten wurde. Wenn dies der Fall ist, wird die
Web-Zugriffsanfrage des Benutzers blockiert.
Volume Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Volume Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Volumenkontingente in
Bezug auf IP-Adressen enthalten ist.
264
Produkthandbuch
8
Coaching
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL
Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden;
diese lauten IP Configuration.
Volume Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Volume Quota
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Volumenkontingente in Bezug auf
diese lauten Authenticated User Configuration.
Volume Quota With Media Type Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Medientypen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Media Type Configuration
Criteria – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage für den
Zugriff auf ein Web-Objekt eines Medientyps gesendet wird, der in der Blockierungsliste für
Volumenkontingente in Bezug auf Medientypen aufgeführt wird.
diese lauten Media Type Configuration.
Coaching
Durch die Konfiguration von Coaching-Kontingenten können Sie die Zeit einschränken, die Benutzer
Ihres Netzwerks das Internet nutzen dürfen. Sie können jedoch zulassen, dass diese die
Internet-Nutzung auf Wunsch fortsetzen dürfen.
Zum Coachen der Internet-Nutzung Ihrer Benutzer konfigurieren Sie eine Coaching-Sitzung mit einer
bestimmten Dauer. Nach Ablauf dieser Sitzungsdauer für einen Benutzer wird eine
Blockierungsmeldung angezeigt. Die Benutzer kann dann bei Bedarf eine neue Sitzung starten.
Sie können das Coaching in Bezug auf die im Coaching-Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus können Sie
eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
Produkthandbuch
265
8
Coaching
Konfigurieren des Coachings
Durch die Konfiguration von Coaching können Sie die Web-Nutzung der Benutzer Ihres Netzwerks
beschränken, ihnen jedoch ermöglichen, ihre Sitzung nach Ablauf des konfigurierten Zeitlimits bei
Bedarf fortzusetzen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das Coaching, z. B.
den Bibliotheks-Regelsatz Coaching.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Coaching With IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Coaching.
5
6
z. B. auf IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Coaching-Einstellungen
Mit den Coaching-Einstellungen wird das Modul konfiguriert, das das Coaching verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Coaching-Sitzung
Tabelle 8-7 Stunden und Minuten der Sitzungsdauer
266
Option
Definition
Days (Tage)
Legt die Tage für eine Coaching-Sitzung fest.
Hours (Stunden)
Legt die Stunden für eine Coaching-Sitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Coaching-Sitzung fest.
Produkthandbuch
8
Coaching
Coaching (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Coaching“ können für Benutzer Einschränkungen zur Internet-Nutzung
festgelegt werden, die die Benutzer bei Bedarf umgehen können.
Bibliotheks-Regelsatz – Coaching
wird.
•
Coaching With URL Configuration
•
Coaching With IP Configuration
•
Coaching With Authenticated User Configuration
Coaching With URL Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Coaching With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Coaching in Bezug auf
Redirecting after starting new coaching session
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching Session
Activation>
Check if coaching session has been exceeded
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
Die Regel überprüft mithilfe der Quota.Coaching.SessionExceeded-Eigenschaft, ob für einen Benutzer
die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Eigenschaften des Moduls, das das Coaching verarbeitet.
Produkthandbuch
267
8
Coaching Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Coaching With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Coaching
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das Coaching in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
IP Configuration.
Coaching With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Coaching With Authenticated User Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Coaching
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für das Coaching in Bezug auf
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
Sie können die Sitzungsdauer für eine Sitzung konfigurieren, die autorisiertes Außerkraftsetzen
zulässt.
Nach Ablauf dieser Sitzungsdauer wird eine Benutzeranfrage blockiert, und es wird eine
Blockierungsmeldung angezeigt. In der Meldung ist auch eine Aufforderung enthalten, einen
Benutzernamen und ein Kennwort zu übermitteln, um eine neue Sitzung zu starten.
Diese Anmeldeinformationen müssen zu einem autorisierten Benutzer gehören. Beispiel: In einem
Schulungsszenario könnte ein Benutzer, der nach Beendigung einer Sitzung mit autorisiertem
Außerkraftsetzen blockiert wird, ein Kursteilnehmer sein, während es sich beim Schulungsleiter um
den autorisierten Benutzer handelt.
Die Authentifizierung dieses Benutzers erfolgt gemäß der konfigurierten Authentifizierungsmethode.
Beim Konfigurieren dieser Methode müssen Sie darauf achten, dass diese keinen integrierten
Authentifizierungsmodus enthält.
Die Blockierungsmeldung bietet außerdem eine Option, die Dauer der Sitzung mit autorisiertem
Außerkraftsetzen für den blockierten Benutzer anzugeben.
Die für diesen Benutzer festgelegte Dauer sollte nicht die Dauer überschreiten, die im Rahmen der
Moduleinstellungen für das autorisierte Außerkraftsetzen für alle übrigen Benutzer konfiguriert ist.
268
Produkthandbuch
8
Sie können das autorisierte Außerkraftsetzen in Bezug auf die im Bibliotheks-Regelsatz verwendeten
Parameter konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus
können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
Konfigurieren des autorisierten Außerkraftsetzens
Durch die Konfiguration von autorisiertem Außerkraftsetzen können Sie die Web-Nutzung Ihrer
Benutzer beschränken, dabei jedoch zulassen wird, dass ein autorisierter Benutzer das konfigurierte
Zeitlimit durch eine Aktion überschreiten darf.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das autorisierte
Außerkraftsetzen, z. B. den Bibliotheks-Regelsatz Authorized Override.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Authorized Override With IP
Configuration.
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Authorized Override.
5
6
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Einstellungen für „Authorized Override“ (Autorisiertes
Außerkraftsetzen)
Mit den Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) wird das Modul
konfiguriert, das das autorisierte Außerkraftsetzen verarbeitet.
Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in Stunden
und Minuten)
Einstellungen zum Konfigurieren der maximalen Dauer einer Sitzung mit autorisiertem
Außerkraftsetzen.
Produkthandbuch
269
8
Tabelle 8-8 Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in
Stunden und Minuten)
Option
Definition
Days (Tage)
Legt die Tage für eine „Authorized Override“-Sitzung (Autorisiertes
Außerkraftsetzen) fest.
Hours (Stunden)
Legt die Stunden für eine „Authorized Override“-Sitzung (Autorisiertes
Minutes (Minuten)
Legt die Minuten für eine „Authorized Override“-Sitzung (Autorisiertes
Authorized Override (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Authorized Override“ kann ein Zeitlimit für die Web-Nutzung festgelegt
werden, das durch einen autorisierten Benutzer umgangen werden kann.
Bibliotheks-Regelsatz – Authorized Override
wird.
•
Authorized Override With URL Configuration
•
Authorized Override With IP Configuration
•
Authorized Override With Authenticated User Configuration
Authorized Override With URL Configuration
Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf
URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
für eine URL sendet, die in eine Kategorie der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf URL-Kategorien fällt.
Redirect after authenticating for authorized override
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true AND
Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After Authorized
Session Activation>
270
Produkthandbuch
8
Zugriff auf ein Web-Objekt erhält, wenn die vom Benutzer übermittelten Anmeldeinformationen zum
Fortfahren mit einer neuen Sitzung validiert wurden.
Check if authorized override session has been exceeded
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
Die Regel überprüft mithilfe der Quota.AuthorizedOverride.SessionExceeded-Eigenschaft, ob für
einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Einstellungen des Moduls, das das autorisierte Außerkraftsetzen verwaltet.
Authorized Override With IP Configuration
IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Authorized Override
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das autorisierte
Außerkraftsetzen in Bezug auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
IP Configuration.
Authorized Override With Authenticated User Configuration
Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Authorized Override With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Authorized Override
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
Produkthandbuch
271
8
Durch die Konfiguration von Blockierungssitzungen können Sie von einem Benutzer gesendete
Anfragen über einen konfigurierten Zeitraum blockieren.
Eine Blockierungssitzung wird festgelegt, nachdem ein Benutzer eine Anfrage gesendet hat, die
entsprechend einer konfigurierten Regel blockiert wurde, z. B. eine Anfrage nach einer URL, die in eine
nicht zulässige Kategorie fällt.
Dies ist ein Mittel zum Erzwingen einer Web-Sicherheitsrichtlinie für eine striktere Handhabung von
unerwünschtem Zugriff auf Web-Objekte.
Sie können Blockierungssitzungen hinsichtlich der im Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter
verwendet werden.
Konfigurieren von Blockierungssitzungen
Sie können Blockierungssitzungen zum Blockieren einer Sitzung über einen konfigurierten Zeitraum
nach dem versuchten Zugriff auf ein unzulässiges Web-Objekt konfigurieren.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für die Blockierungssitzung
enthält, z. B. den Bibliotheks-Regelsatz Blocking Sessions.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Blocking Sessions With
IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Blocking Sessions.
5
6
272
7
Konfigurieren Sie die entsprechenden Parameter, z. B. den Zeitraum, für den Sitzungen blockiert
werden. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Produkthandbuch
8
Einstellungen für die Blockierungssitzung
Mit den Einstellungen für die Blockierungssitzung wird das Modul konfiguriert, das die
Blockierungssitzungen verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Blockierungssitzung
Tabelle 8-9 Stunden und Minuten der Sitzungsdauer
Option
Definition
Days (Tage)
Legt die Tage für eine Blockierungssitzung fest.
Hours (Stunden)
Legt die Stunden für eine Blockierungssitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Blockierungssitzung fest.
Blocking Sessions (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Blocking Sessions“ können Web-Sitzungen nach dem versuchten
Zugriff auf ein nicht zulässiges Web-Objekt blockiert werden.
Bibliotheks-Regelsatz – Blocking Sessions
wird.
Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz: Blocking Sessions With URL
Configuration
Blocking Sessions With URL Configuration
Dieser untergeordnete Regelsatz behandelt Blockierungssitzungen in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Blocking Sessions With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking Sessions
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Blockieren von Sitzungen in
Bezug auf URL-Kategorien fällt.
Block user if blocking session is active
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking Session
Template>
Die Regel überprüft mithilfe der BlockingSession.IsBlocked-Eigenschaft, ob für einen Benutzer, der
eine Anfrage sendet, eine Blockierungssitzung aktiviert wurde. Wenn dies der Fall ist, wird die
Anfrage blockiert.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Produkthandbuch
273
8
Activate blocking session if category is in list Category List for Blocking Sessions
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue —
BlockingSession.Activate<Blocking Session Configuration>
Die Regel überprüft mithilfe der URL.Categories-Eigenschaft, ob eine URL, auf die eine
Benutzeranfrage zugreift, in eine Kategorie auf der Blockierungsliste fällt, die speziell für
Blockierungssitzungen geführt wird. Wenn die URL in eine der Kategorien in der Liste fällt, wird eine
Blockierungssitzung für den Benutzer aktiviert.
Das BlockingSession.Activate-Ereignis wird zum Aktivieren der Blockierungssitzung verwendet. Die
Ereigniseinstellungen werden zusammen mit dem Ereignis festgelegt.
Kontingent-Systemeinstellungen sind allgemeine Einstellungen für bei der Kontingentverwaltung
genutzte Zeitintervalle.
Wenn eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung verwendet wird,
können Sie Zeitintervalle für die Synchronisierung von Daten mit anderen Knoten konfigurieren.
Die entsprechenden Einstellungen werden auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) vorgenommen.
Die Einstellungen werden möglicherweise unter dem Namen Coaching (statt Quota) angezeigt, gelten
aber in beiden Fällen für alle Optionen, die für die Kontingentverwaltung zur Verfügung stehen:
autorisiertes Außerkraftsetzen, Blockieren von Sitzungen, Coaching, Zeitkontingente und
Volumenkontingente.
Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle
für Synchronisierung und Speicherung in Minuten)
Einstellungen für bei der Kontingentverwaltung genutzte Zeitintervalle.
Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten)
Option
Definition
Save interval
(Speicherintervall)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte auf einer Appliance gespeichert werden.
Zu speichernde Kontingentwerte sind beispielsweise die von Benutzern
verbrauchten Byte-Volumenmengen.
Interval for sending
updated quota data
(Sendeintervall für
aktualisierte
Kontingentdaten)
274
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte von einer Appliance aus auf alle Knoten innerhalb der
Konfiguration mit zentraler Verwaltung verteilt werden.
Die verteilten Daten beinhalten alle Änderungen an Kontingentwerten, die seit
der letzten Verteilung von Daten durch die Appliance erfolgt sind.
Produkthandbuch
8
Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten) (Fortsetzung)
Option
Definition
Interval for base
synchronisation (Intervall
für grundlegende
Synchronisierung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die Kontingentwerte
aller Knoten innerhalb einer Konfiguration mit zentraler Verwaltung
synchronisiert werden.
Der Synchronisierungsvorgang fertigt einen Snapshot der aktuellen
Kontingentwerte auf allen Appliances an. Die jeweils neuesten Werte der
einzelnen Benutzer werden an alle Appliances verteilt.
Die Verteilung der Werte erfolgt auch an Knoten, die zeitweise nicht aktiv
waren und somit auch keine Aktualisierungen erhielten, die in dieser Zeit
verteilt wurden. Außerdem werden die Werte auch an neu zur Konfiguration
hinzugefügte Knoten verteilt, die bislang noch keinerlei Aktualisierungen
erhalten haben.
Cleanup database after
(Datenbank säubern nach)
Gibt den Zeitraum (in Tagen) vor, nach dessen Ablauf die Daten in der
Kontingentdatenbank gelöscht werden.
Vor dem Löschvorgang wird überprüft, ob die Daten tatsächlich obsolet sind.
Daten sind dann obsolet, wenn das für eine Kontingentverwaltungsfunktion
konfigurierte Zeitintervall abgelaufen ist.
Wenn beispielsweise einem Benutzer für einen Monat eine festgelegte
Byte-Menge als Volumenkontingent zur Verfügung steht, wird die Angabe der
Menge, die der Benutzer während dieses Monats tatsächlich verbraucht hat,
mit dem Beginn eines neuen Monats obsolet. Beim Säuberungsvorgang
werden diese Daten dann gelöscht, sofern auch der in der Option Cleanup
database after (Datenbank säubern nach) festgelegte Zeitraum abgelaufen ist.
Gespeicherte Daten bezüglich Zeitkontingenten werden nach einem Monat
obsolet. Für andere Kontingentverwaltungsfunktionen sind andere
Zeitintervalle ausschlaggebend. Beim Coaching und autorisierten
Außerkraftsetzen kann der Säuberungsvorgang z. B. erst durchgeführt
werden, wenn der für die entsprechende Sitzung zur Verfügung gestellte
Zeitraum abgelaufen ist.
Produkthandbuch
275
8
276
Produkthandbuch
9
Web-Filterung
Wenn die Benutzer Ihres Netzwerks Web-Zugriffsanfragen senden, filtert Web Gateway diese Anfragen
sowie die Antworten, die aus dem Internet zurückgesendet werden. Eingebettete Objekte, die mit
Anfragen oder Antworten gesendet werden, werden ebenfalls gefiltert.
Die Web-Filterung wird auf verschiedene Art und Weise durchgeführt. Sie wird durch Regeln gesteuert,
die Sie überprüfen und ändern können, um sie an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anzupassen.
Die Standardfilterprozesse auf WebGateway umfassen Folgendes:
•
Viren- und Malware-Filterung: Blockiert den Zugriff auf Web-Objekte, die mit Viren und anderer
Malware infiziert sind
•
URL-Filterung: Blockiert den Zugriff auf Web-Objekte mit bestimmten URLs bzw. lässt ihn zu
•
Medientypfilterung: Blockiert den Zugriff auf Web-Objekte, die zu bestimmten Medientypen
gehören, bzw. lässt ihn zu
Mit globalen Whitelists können Sie den Zugriff auf Web-Objekte zulassen, bevor die Regeln der oben
genannten Filterungsmethoden angewendet werden. SSL-Scans ermöglichen die Filterung von
Anfragen, die über SSL-gesicherte Verbindungen gesendet werden.
Inhalt
Viren- und Malware-Filterung
URL-Filterung
Medientyp-Filterung
Anwendungsfilterung
Streaming-Medien-Filterung
Globale Whitelists
SSL-Scans
Hardware Security Module
Advanced Threat Defense
Data Loss Prevention
Produkthandbuch
277
9
Web-Filterung
Die Viren- und Malware-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf
Web-Objekte zugreifen können, die durch Viren und andere Malware infiziert sind. Der Filterprozess
erkennt Infektionen und blockiert den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Filterregeln steuern den Prozess.
•
Whitelists werden von Regeln verwendet, damit für einige Web-Objekte die Viren- und
Malware-Filterung übersprungen werden kann.
•
Das Modul „Anti-Malware“, das durch eine bestimmte Regel aufgerufen wird, scannt Web-Objekte
auf Viren- oder andere Malware-Infektionen.
Ein Standardprozess zur Viren- und Malware-Filterung wird nach der Ersteinrichtung auf Web Gateway
installiert. Sie können diesen Prozess verändern und an die Bedürfnisse Ihrer Web-Sicherheitsrichtlinie
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der Viren- und Malware-Filterung:
•
Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den
Regelsatz Gateway Anti-Malware geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterprozess anzeigen und konfigurieren.
•
entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und
Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln
erstellen oder Regeln löschen.
Filterregeln
Üblicherweise enthält ein Regelsatz alle zur Steuerung der Viren- und Malware-Filterung benötigten
Regeln. Die Schlüsselregel in diesem Regelsatz ist die Regel, die den Zugriff auf Web-Objekte
blockiert, wenn diese durch Viren und andere Malware infiziert sind.
Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das
Modul scannt und der Regel das Ergebnis meldet.
Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet
werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der
Whitelist werden nicht gescannt.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur Viren- und
Malware-Filterung enthalten. Dieser Regelsatz heißt Gateway Anti-Malware.
Whitelists
Whitelists werden von Whitelisting-Regeln verwendet, um einige Web-Objekte die Blockierungsregel
überspringen zu lassen, d. h., diese Objekte nicht zu scannen. Es können Whitelists für URLs,
Medientypen und andere Objekttypen vorhanden sein.
Listen erstellen und diese von den Whitelist-Regeln verwenden lassen.
278
Produkthandbuch
9
Web-Filterung
Blockierungslisten werden üblicherweise nicht für die Viren- und Malware-Filterung verwendet, da die
Blockierung hier nicht von Einträgen in Listen abhängig ist, sondern von den Ergebnissen des Moduls
„Anti-Malware“.
Modul „Anti-Malware“
Das Modul „Anti-Malware“ wird auch als Engine „Anti-Malware“ bezeichnet. Es scannt Objekte auf
Infektionen durch Viren und sonstige Malware. Entsprechend den Ergebnissen dieses Moduls blockiert
die Blockierungsregel den Zugriff auf Web-Objekte oder lässt diese passieren.
Wenn das Modul „Anti-Malware“ zum Ausführen und Scannen von Web-Objekten aufgerufen wird,
handelt es sich standardmäßig um eine Kombination aus zwei Modulen, die ausgeführt werden. Diese
Module können als Sub-Module des Moduls „Anti-Malware“ betrachtet werden. Jedes dieser
Sub-Module verwendet verschiedene Scan-Methoden.
Die beiden Standard-Sub-Module sind das McAfee Gateway Anti-Malware-Modul und das McAfee
Anti-Malware-Modul. Letzteres verwendet zum Erkennen von Infektionen in Web-Objekten
Virus-Signaturen.
Diese Methode kann jedoch nur Viren und sonstige Malware erkennen, die bereits bekannt und mit
Signaturen versehen sind. Für eine erhöhte Web-Sicherheit verwendet das McAfee Gateway
Anti-Malware-Modul auch proaktive Methoden zur Erkennung neuer Viren und Malware.
Beim Konfigurieren der Einstellungen für das Modul „Anti-Malware“ können Sie den Standardmodus
ändern, sodass ein Sub-Modul eines Drittanbieters zusätzlich oder alleine ausgeführt wird.
Das McAfee Gateway Anti-Malware-Modul fügt in einigen Fällen einer URL auf einer Webseite ein
Wasserzeichen hinzu, das entfernt werden muss, wenn die URL an den entsprechenden Web-Server
weitergeleitet werden soll. Ein Regelsatz mit einer passenden Regel zum Entfernen des
Wasserzeichens wird in der Regelsatz-Bibliothek bereitgestellt.
Um eine vorübergehende Überlastung der Sub-Module zu vermeiden, können Sie eine
Malware-Schutz-Warteschlange erstellen, in die Anfragen vor dem Scannen verschoben werden.
Konfigurieren von Schlüsselelementen für die Viren- und
Malware-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die Viren- und Malware-Filterung, um wichtige
Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Gateway Anti-Malware aus.
Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich
angezeigt.
3
Konfigurieren Sie die Schlüsselelemente nach Bedarf.
4
Siehe auch
Schlüsselelemente für die Viren- und Malware-Filterung auf Seite 280
Produkthandbuch
279
9
Web-Filterung
Schlüsselelemente für die Viren- und Malware-Filterung
Die Schlüsselelemente der Regeln für die Viren- und Malware-Filterung beziehen sich auf wichtige Teile
dieses Filterprozesses.
Bypass Scanning for These Agents and Hosts (Scannen für diese Agenten und
Hosts umgehen)
Schlüsselelemente für das Umgehen des Scannens durch das Anti-Malware-Modul
Tabelle 9-1 Bypass scanning for these agents and hosts (Scannen für diese Agenten und
Hosts umgehen)
Option
Definition
User agent whitelist (Whitelist für
Benutzer-Agenten)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete Whitelist für
Benutzer-Agenten bearbeiten können.
Sie können der Liste Einträge hinzufügen sowie Einträge der Liste
bearbeiten oder löschen.
URL host whitelist (URL-Host-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete URL-Host-Whitelist
bearbeiten können.
Scanning Options (Scan-Optionen)
Schlüsselelemente für Scan-Aktivitäten des Anti-Malware-Moduls
Tabelle 9-2 Scanning Options (Scan-Optionen)
Option
Definition
Remove partial content for
HTTP requests
(Unvollständige Inhalte für
HTTP-Anfragen entfernen)
Bei Auswahl dieser Option wird eine Regel aktiviert, die die Angabe in einer
HTTP- bzw. HTTPS-Anfrage entfernt, dass nur auf einen Teil der Inhalte
eines Web-Objekts zugegriffen wird, sodass sich die Anfrage auf den
vollständigen Inhalt bezieht.
Wenn ein Web-Objekt (z. B. eine Datei) vom betreffenden Web-Server
vollständig übermittelt wird, kann es auch vollständig von Web Gateway
gescannt werden. Beim einem kompletten Scan-Vorgang können Infektionen
festgestellt werden, die beim teilweisen Scannen des Web-Objekts
möglicherweise nicht erkannt werden.
Block partial content for FTP
requests (Teilinhalte für
FTP-Anfragen blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die FTP-Anfragen
blockiert, bei denen nur ein Teil der Inhalte eines Web-Objekts angefordert
wird.
Gemäß dem FTP-Protokoll ist es nicht möglich, die Angabe des Zugriffs auf
unvollständige Inhalte eines Web-Objekts aus Anfragen zu entfernen. Daher
empfiehlt es sich, derartige Anfragen zu blockieren.
Use the Media Stream
Scanner (Media Stream
Scanner verwenden)
Bei Auswahl dieser Option scannt und übermittelt der Media Stream Scanner
Web-Objekte, bei denen es sich um Streaming-Medien handelt, paketweise,
wodurch der Vorgang beschleunigt wird.
Die proaktiven Funktionen des McAfee Gateway Anti-Malware-Moduls
werden zum Scannen verwendet; die anderen für diesen Zweck in Web
Gateway verfügbaren Module hingegen sind an diesem Prozess nicht
beteiligt.
280
Produkthandbuch
9
Web-Filterung
Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Schlüsselelemente für das Konfigurieren von Einstellungen für das Anti-Malware-Modul
Tabelle 9-3 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Option
Definition
Enable Anti-Malware scanning
(Malware-Schutz-Scan aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die das
Anti-Malware-Modul aufruft, das Web-Objekte auf Infektionen mit
Viren und sonstiger Malware scannt.
Settings (Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in
dem Sie die Einstellungen für das Anti-Malware-Modul bearbeiten
können.
Konfigurieren der Viren- und Malware-Filterung mithilfe der
vollständigen Regelansicht
Sie können die Viren- und Malware-Filterung konfigurieren, um diesen Prozess an die Anforderungen
Ihres Netzwerks anzupassen.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die Viren- und Malware-Filterung.
Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware.
2
Ändern Sie diese Regeln nach Bedarf.
•
Aktivieren oder Deaktivieren von Whitelist-Regeln
•
Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und
Sie Einträge hinzufügen müssen.
•
Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln
•
Ändern der Kombination von Sub-Modulen, die beim Aufrufen des Anti-Malware-Moduls zum
Scannen von Web-Objekten ausgeführt werden
Standardmäßig umfasst die Kombination die folgenden Sub-Module:
•
•
McAfee Gateway Anti-Malware
•
McAfee Anti-Malware
Ändern anderer Einstellungen des Anti-Malware-Moduls
3
Konfigurieren Sie die Entfernung von Wasserzeichen aus URLs, wenn diese nach dem Scannen an
die entsprechenden Web-Server übergeben werden sollen.
4
Konfigurieren Sie die Malware-Schutz-Warteschlangen entsprechend den jeweiligen Anforderungen,
um eine Überlastung der Module zum Scannen von Web-Objekten zu verhindern.
5
Produkthandbuch
281
9
Web-Filterung
Konfigurieren von Einstellungen für das Modul „Anti-Malware“
Sie können das Modul „Anti-Malware“ konfigurieren, um zu ändern, auf welche Weise Web-Objekte auf
Infektionen mit Viren und sonstiger Malware gescannt werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung aus.
3
4
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
5
Klicken Sie in den Regelkriterien auf den Namen der Einstellungen.
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
für das Modul „Anti-Malware“.
6
Konfigurieren Sie diese Einstellungen nach Bedarf. Klicken Sie anschließend auf OK, um das Fenster
zu schließen.
7
Siehe auch
Einstellungen für „Anti-Malware“ auf Seite 284
Ändern der Modulkombination zum Scannen von Web-Objekten
Beim Konfigurieren der Einstellungen des Anti-Malware-Moduls können Sie die Kombination der
Submodule ändern, die zum Scannen von Web-Objekten ausgeführt werden.
Unter dem Namen des Moduls (Engine) Anti-Malware können verschiedene Submodule zum Scannen
ausgeführt werden. Welche dieser Submodule auf Ihrer Appliance verfügbar sind, hängt von Ihren
erworbenen Lizenzen ab.
Vorgehensweise
1
2
Rufen Sie die Einstellungen für „Anti-Malware“ auf.
a
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung
aus.
b
282
Produkthandbuch
9
Web-Filterung
c
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
d
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die
Einstellungen für das Modul „Anti-Malware“.
3
Wählen Sie im Abschnitt Select scanning engines and behavior (Auswählen der Scan-Module und des
Verhaltens) eine der folgenden Kombinationen aus Submodulen:
•
Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die
empfohlene Hochleistungskonfiguration): Bei Auswahl dieser Option sind das McAfee Gateway
Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen
Diese Modulkombination ist standardmäßig aktiviert.
•
Layered coverage: Full McAfee coverage plus specific Avira engine features – minor performance impact (Mehrstufiger
Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul,
das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul
(Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters für einige Web-Objekte
•
Duplicate coverage: Full McAfee coverage and Avira engine – less performance and more false positives (Doppelter
Schutz: Vollständiger McAfee-Schutz und Avira-Modul – weniger Leistung und mehr
False-Positives): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das
McAfee Anti-Malware-Modul und das Avira-Modul (Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters
•
Avira only: Only uses Avira engine – not recommended (Nur Avira: Nur das Avira-Modul wird verwendet –
nicht empfohlen): Bei Auswahl dieser Option ist nur das Avira-Modul aktiv.
Der Scan-Modus lautet dann: Modulfunktionen eines Drittanbieters
4
5
Wenn Sie beim Arbeiten mit dem Regelsatz für Gateway Anti-Malware die Option wählen, dass nur
Avira verwendet wird, sollten Sie die Einstellungen und den Regelsatz umbenennen, um zu
verdeutlichen, dass sich eine Schlüsseleinstellung geändert hat.
Die Umbenennung könnte beispielsweise von Gateway Anti-Malware (Einstellungen und Regelsatz) in
Avira Anti-Malware (Einstellungen und Regelsatz) erfolgen.
Anstatt den Regelsatz und die Einstellungen umzubenennen, können Sie auch einen zusätzlichen
Regelsatz und zusätzliche Einstellungen erstellen, damit diese bei Bedarf zum Konfigurieren von
Regeln verfügbar sind.
Produkthandbuch
283
9
Web-Filterung
Einstellungen für „Anti-Malware“
Mit den Einstellungen für „Anti-Malware“ können Sie konfigurieren, wie das „Anti-Malware“-Modul
Web-Objekte auf Viren- oder andere Malware-Infektionen scannt.
Auswahl der Scan-Module und des Verhaltens
Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall,
dass ein Modul eine Infektion erkennt
Die Scan-Module sind die Submodule, die zusammen als „Anti-Malware“-Modul Web-Objekte scannen
Tabelle 9-4 Auswahl von Scan-Modulen
Option
Definition
Full McAfee coverage: The recommended
high-performance configuration (Vollständiger
McAfee-Schutz: Die empfohlene
Hochleistungskonfiguration)
Bei Auswahl dieser Option sind das McAfee Gateway
Anti-Malware-Modul und das McAfee
Anti-Malware-Modul aktiv.
Zum Scannen der Web-Objekte werden folgende
Methoden verwendet:
Proaktive Methoden + Virussignaturen
Layered coverage: Full McAfee coverage plus specific
Avira engine features — minor performance impact
(Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus
bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen)
Anti-Malware-Modul, das McAfee Anti-Malware-Modul
und für einige Web-Objekte zusätzlich das Avira-Modul
Methoden verwendet:
Proaktive Methoden + Virussignaturen +
Modulfunktionen eines Drittanbieters für einige
Web-Objekte
Duplicate coverage: Full McAfee coverage and Avira
engine — less performance and more false positives
Anti-Malware-Modul, das McAfee Anti-Malware-Modul
(Doppelter Schutz: Vollständiger McAfee-Schutz und
und das Avira-Modul (Drittanbieter) aktiv.
Avira-Modul – weniger Leistung und mehr False-Positives)
Methoden verwendet:
Modulfunktionen eines Drittanbieters
Avira only: Only uses Avira engine — not recommended
(Nur Avira: Nur das Avira-Modul wird verwendet – nicht
empfohlen)
Bei Auswahl dieser Option ist nur das Avira-Modul
aktiv.
Methoden verwendet:
Stop virus scanning right after an engine detected a virus Bei Auswahl dieser Option wird das Scannen eines
(Viren-Scan gleich nach Entdeckung eines Virus anhalten) Web-Objekts sofort angehalten, sobald ein Modul eine
Virus- oder andere Malware-Infektion entdeckt hat.
Verhalten von mobilem Code
Einstellungen für das Konfigurieren einer Risikostufe bei der Klassifizierung von mobilem Code
Die Risikostufenwerte liegen im Bereich von 60 bis 100.
284
Produkthandbuch
9
Web-Filterung
Ein niedriger Wert bedeutet, das Risiko, das Verhalten von mobilem Code proaktiv zu scannen und
nicht zu erkennen, dass es sich um Malware handelt, ist gering, weil die Scan-Methoden konsequent
angewendet werden. Mobiler Code wird auch dann als Malware klassifiziert, wenn nur einige wenige
Kriterien für potenziell bösartiges Verhalten entdeckt wurden.
Dies kann dazu führen, dass mobiler Code als Malware klassifiziert wird, der eigentlich nicht bösartig
ist („False-Positives“).
Während durch strengere Einstellungen mehr proaktive Sicherheit erzielt wird, nimmt bei der
Bestimmung, welcher mobile Code wirklich bösartig ist, die Genauigkeit ab. Daher werden
möglicherweise Web-Objekte von der Appliance blockiert, die eigentlich an die Benutzer weitergeleitet
werden sollten.
Ein hoher Wert bedeutet, das Risiko, dass bösartiger mobiler Code nicht erkannt wird (mehr
„False-Negatives“) ist hoch, jedoch ist die korrekte Klassifizierung von mobilem Code als bösartig
genauer (weniger „False-Positives“).
Tabelle 9-5 Verhalten von mobilem Code
Option
Definition
Classification threshold
(Klassifizierungsschwellenwert)
Legt wie oben beschrieben eine Risikostufe auf einer
einstellbaren Skala fest.
• Mindestwert (maximale Proaktivität): 60
• Höchstwert (maximale Genauigkeit): 100
Erweiterte Einstellungen
Erweiterte Einstellungen für alle Scan-Submodule
Produkthandbuch
285
9
Web-Filterung
Tabelle 9-6 Erweiterte Einstellungen
Option
Definition
Enable Antivirus prescan (Antivirus-Prescan
aktivieren)
Bei Auswahl dieser Option wird die Leistungsfähigkeit der
Submodule durch eine Verringerung der an sie zum
Scannen gesendeten Daten verbessert.
Increase Web Gateway performance by making a
light-weight pass on (Web Gateway-Leistung erhöhen
durch einfaches Scannen von):
• Common web files (Allgemeine Web-Dateien)
• Common web files and other low-risk files
(Allgemeine Web-Dateien und sonstige Dateien mit
geringem Risiko)
Diese Option ist standardmäßig aktiviert. Es empfiehlt
sich, diese Einstellung beizubehalten.
Bei Auswahl dieser Option sind die drei Optionen darunter
ebenfalls zugänglich.
Sie können eine davon auswählen, um den
Dateitypbereich zu konfigurieren, auf den der einfache
Malware-Scan angewendet werden soll.
• Common web files, other low-risk files, and web
content on trustworthy sites (Allgemeine
Die dritte Option ist standardmäßig aktiviert.
Web-Dateien, sonstige Dateien mit geringem Risiko
und Web-Inhalt auf vertrauenswürdigen Websites) Die drei Optionen beziehen sich aufeinander: Wenn die
erste Option konfiguriert ist, können die anderen beiden
Files matching the selected option do not continue to Optionen nicht ausgewählt werden. Die zweite Option
the standard anti-malware scanning. (Dateien, auf die schließt die erste Option ein, und die dritte Option
die ausgewählte Option zutrifft, werden nicht mehr mit schließt die erste und die zweite Option ein.
dem Standard-Malware-Schutz-Scan gescannt.)
Das URL-Filtermodul ist ebenfalls aktiv, um zu
überprüfen, ob die Website, von der eine Datei
heruntergeladen wird, vertrauenswürdig ist.
Durch Aktualisierungen der Virus- und
Malware-Filterinformationen kann die Kategorisierung
der Dateitypen geändert werden, z. B. in sicher oder
selten ausgenutzt oder auf vertrauenswürdigen
Websites gehostet.
Enable GTI file reputation queries
(GTI-Datei-Reputationsanfragen aktivieren)
Bei Auswahl dieser Option enthält das Scan-Ergebnis
auch Informationen über die Reputation von Dateien aus
dem Global Threat Intelligence-System.
Enable heuristic scanning (Heuristik-Scan aktivieren)
Bei Auswahl dieser Option werden heuristische
Scan-Methoden auf Web-Objekte angewendet.
Erweiterte Einstellungen für McAfee Gateway Anti-Malware
Erweiterte Einstellungen für das McAfee Gateway Anti-Malware-Submodul
Die folgenden Optionen sind standardmäßig aktiviert. Es empfiehlt sich, diese Einstellungen
beizubehalten.
Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware
Option
Definition
Enable detection for potentially unwanted
programs (Entdeckung von potenziell
unerwünschten Programmen aktivieren)
Bei Auswahl dieser Option werden Web-Objekte auch auf
potenziell unerwünschte Programme gescannt.
Enable mobile code scanning
(Mobil-Code-Scan aktivieren)
Bei Auswahl dieser Option wird mobiler Code ganz allgemein
gescannt.
Individuelle Einstellungen können unter Scan the following mobile
code types (Folgende Arten von mobilem Code scannen)
286
Produkthandbuch
9
Web-Filterung
Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung)
Option
Definition
Enable removal of disinfectable content
detected in HTML documents by mobile
code filter (Entfernung von
desinfizierbarem Inhalt aktivieren, der von
Filter für mobilen Code in
HTML-Dokumenten gefunden wurde)
Bei Auswahl dieser Option kann der hier beschriebene Inhalt
entfernt werden.
Enable Payload Heuristics
(Inhaltsheuristiken aktivieren)
Bei Auswahl dieser Option verwendet das McAfee Gateway
Anti-Malware-Modul zum Scannen von Web-Objekten die
hocheffizienten Inhaltsheuristiken.
Wenn diese Option aktiviert ist, versieht das Scan-Modul URLs von
ausführbaren Dateien und ähnlichen Web-Objekten, z. B. den auf
Webseiten enthaltenen DLL-Dateien (Dynamic Link Libraries), mit
einem Wasserzeichen.
Wenn diese URLs von den Appliances an die entsprechenden
Web-Server weitergeleitet werden, müssen die Wasserzeichen
entfernt werden.
Ein Ereignis in einer Regel, die in einem Bibliotheks-Regelsatz
enthalten ist, entfernt die Wasserzeichen durch Überschreiben der
URLs. Der Name dieses Regelsatzes lautet Payload Heuristic –
Rewrite Watermarked URLs (Inhaltsheuristik – URLs mit
Wasserzeichen überschreiben).
Diesen Regelsatz müssen Sie importieren und an der obersten
Stelle der Regelsatz-Baumstruktur positionieren.
Wenn Sie die Option auswählen, wird eine Meldung über diese
zusätzliche Anforderung angezeigt.
Scan the following mobile code
types (Folgende Arten von
mobilem Code scannen)
Wenn die folgenden Arten von mobilem Code ausgewählt werden, werden sie gescannt.
Windows executables (Ausführbare
Windows-Dateien)
Wenn diese ausführbaren Dateien aus dem Internet
heruntergeladen oder per E-Mail empfangen und dann gestartet
werden, können sie zur Bedrohung werden, da sie mit allen
Berechtigungen des aktuellen Benutzers ausgeführt werden.
JavaScript
JavaScript-Code kann praktisch überall eingebettet werden, in
Webseiten, PDF-Dokumente, Video- und HTML-Dateien.
Flash ActionScript (Flash-ActionScript)
ActionScript-Code kann in Flash-Videos und Animationen
eingebettet werden und hat Zugriff auf den Flash-Player und den
Browser mit allen Funktionen.
Java applets (Java-Applets)
Java-Applets können in Webseiten eingebettet werden. Nach der
Aktivierung werden sie auf Grundlage eines digitalen Zertifikats
und der Benutzerauswahl auf verschiedenen Berechtigungsebenen
ausgeführt.
Java applications (Java-Anwendungen)
Java-Anwendungen werden eigenständig mit allen Berechtigungen
des aktuellen Benutzers ausgeführt.
ActiveX controls (ActiveX-Steuerelemente) ActiveX-Steuerelemente können in Webseiten und
Office-Dokumente eingebettet werden. Nach der Aktivierung
werden sie mit allen Berechtigungen des aktuellen Benutzers
ausgeführt.
Produkthandbuch
287
9
Web-Filterung
Option
Definition
Windows libraries (Windows-Bibliotheken)
Diese Bibliotheken sind normalerweise zusammen mit einer
ausführbaren Datei in einem Setup-Paket enthalten oder werden
von einer ausführbaren Datei oder von bösartigem Code aus dem
Internet heruntergeladen.
Visual Basic script (Visual Basic-Skript)
Visual Basic-Skript-Code kann in Webseiten und E-Mails
eingebettet werden.
Visual Basic for Applications
Visual Basic-Makros können in Office-Dokumente eingebettet
werden, die mit Word, Excel oder PowerPoint erstellt wurden.
Block the following behavior
(Folgendes Verhalten blockieren)
Wenn die folgenden Verhaltenstypen ausgewählt werden, werden Web-Objekte, die dieses Verhalten
zeigen, blockiert.
Data theft: Backdoor (Datendiebstahl:
Backdoor)
Bösartige Anwendungen gewähren einem Angreifer durch
vorhandene oder neu erschaffene Netzwerkkanäle vollständigen
Remote-Zugriff und Kontrolle über das System des Opfers.
Data theft: Keylogger (Datendiebstahl:
Keylogger)
Bösartige Anwendungen klinken sich ins Betriebssystem ein, um
die vorgenommenen Tastenanschläge aufzuzeichnen.
Die erfassten Informationen, z. B. Kennwörter, werden dem
Angreifer gemeldet.
Data theft: Password stealer
(Datendiebstahl:
Kennwortdiebstahlprogramm)
Bösartige Anwendungen erfassen und speichern sensible Daten,
um sie weiterzugeben, z. B. die Systemkonfiguration, vertrauliche
Daten, Anmeldeinformationen und sonstige Daten für die
Benutzerauthentifizierung.
System compromise: Code execution
exploit (Systemgefährdung:
Code-Ausführungs-Exploit)
Mithilfe von Exploits für Schwachstellen in Client-Anwendungen,
z. B. Browser, Office-Programme oder Multimedia-Player, können
Angreifer beliebigen Code in den angegriffenen Systemen
ausführen.
System compromise: Browser exploit
(Systemgefährdung: Browser-Exploit)
Mithilfe von Exploits für Schwachstellen in Browser-Anwendungen
und Plug-Ins können Angreifer beliebigen Code ausführen,
sensible Daten stehlen oder höhere Berechtigungen erlangen.
System compromise: Trojan
(Systemgefährdung: Trojaner)
Bösartige Anwendungen geben vor, harmlos oder nützlich zu sein,
fügen dem System aber in Wahrheit Schaden zu.
Stealth activity: Rootkit (Getarnte Aktivität: Bösartige Anwendungen oder Gerätetreiber manipulieren das
Rootkit)
Betriebssystem und verbergen die Anwesenheit von Malware auf
infizierten Systemen.
Nach dem erfolgreichen Angriff werden alle Dateien,
Registrierungsschlüssel und Netzwerkverbindungen, die zu den
Malware-Prozessen gehören, unsichtbar und können nur sehr
schwer wiederhergestellt werden.
Viral Replication: Network worm
(Virusreplikation: Netzwerkwurm)
Bösartige Anwendungen oder Gerätetreiber replizieren sich selbst
mithilfe von E-Mails, dem Internet,
Peer-zu-Peer-Netzwerkdiensten oder indem sie sich selbst auf
Wechseldatenträger, wie z. B. USB-Geräte, kopieren.
Viral Replication: File infector virus
(Virusreplikation: Dateiinfiziererungsvirus)
Selbstreplizierende Anwendungen infizieren vorhandene Dateien
auf der Festplatte und betten Virencode ein, damit er sich über die
frisch infizierte Host-Datei ausbreitet.
System compromise: Trojan downloader
Skript-Code oder bösartige Anwendungen laden zusätzlichen
(Systemgefährdung: Trojaner-Downloader) Inhalt aus dem Internet herunter und führen ihn aus.
288
Produkthandbuch
9
Web-Filterung
Option
Definition
System compromise: Trojan dropper
(Systemgefährdung: Trojaner-Dropper)
Bösartige Anwendungen schleusen versteckten Inhalt ein,
extrahieren ihn und starten ihn bei der Ausführung.
System compromise: Trojan proxy
(Systemgefährdung: Trojaner-Proxy)
Bösartige Anwendungen lassen potenziell bösartige versteckte
Netzwerkaktivitäten durch das angegriffene System zu.
Web threats: Infected website
(Internet-Bedrohungen: Infizierte Website)
Websites enthalten eingeschleusten bösartigen Skript-Code oder
fordern weiteren bösartigen Code an, sobald sie in einem Browser
geöffnet werden.
Die ursprüngliche Infektion kann beispielsweise durch
SQL-Injektion auf dem Web-Server erfolgt sein.
Stealth activity: Code injection
(Tarnungsaktivität: Code-Einschleusung)
Anwendungen kopieren ihren Code in andere, oft legitime
Prozesse, wodurch sie die entsprechenden Berechtigungen und die
Vertrauenswürdigkeit übernehmen.
Diese Technik wird hauptsächlich von Malware angewendet, die
ihre Anwesenheit auf angegriffenen Systemen verbergen und
Erkennung vermeiden will.
Detection evasion: Obfuscated code
(Erkennungsumgehung: verschleierter
Code)
Anwendungen enthalten stark verschlüsselten Code, sodass Teile
des bösartigen Codes nur schwer zu erkennen sind.
Detection evasion: Packed code
(Erkennungsumgehung: komprimierter
Code)
Anwendungen komprimieren ihren Inhalt mithilfe eines
Laufzeit-Komprimierungsprogramms oder eines Protectors.
Dadurch ändert sich das Aussehen des Inhalts und er ist
schwieriger zu klassifizieren.
Potentially unwanted: Ad-/Spyware
(Potenziell unerwünscht: Ad-/Spyware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Potentially unwanted: Adware (Potenziell
unerwünscht: Adware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Data theft: Spyware (Datendiebstahl:
Spyware)
Anwendungen verfolgen und analysieren das Verhalten und die
Aktivitäten des Benutzers, stehlen sensible Daten und geben diese
Informationen an die Server des Angreifers weiter.
Potentially unwanted: Dialer (Potenziell
unerwünscht: Dialer)
Anwendungen bieten Zugriff auf Inhalte, z. B. Pornografie, über
eine teurere Netzwerkverbindung.
Web threats: Vulnerable ActiveX controls
(Internet-Bedrohungen: Anfällige
ActiveX-Steuerelemente)
In Webseiten angezeigte ActiveX-Steuerelemente, die auf
anderweitige Nutzung im Browser beschränkt sind, stellen
potenzielle Schwachstellen dar.
Potentially unwanted: Suspicious activity
(Potenziell unerwünscht: Verdächtige
Aktivitäten)
Potenziell bösartiger Code zeigt entweder unübliches Verhalten
oder nicht vollständig vertrauenswürdiges Verhalten.
Web threats: Cross-site scripting
(Internet-Bedrohungen:
Cross-Site-Scripting)
Bösartige Skripts nutzen Zugangskontrollschwachstellen in
Browsern oder Web-Anwendungen aus, um Benutzerdaten, wie
z. B. Cookies, zu stehlen.
Potentially unwanted: Deceptive behavior
(Potenziell unerwünscht: Betrügerisches
Verhalten)
Irreführende Meldungen, Meldungen über fehlenden Code und
vorgetäuschte Warnmeldungen.
Diese Bedrohungen melden den Benutzern, dass das System mit
Spyware infiziert ist, und bieten falsche AV-Anwendungen zur
Säuberung an.
Produkthandbuch
289
9
Web-Filterung
Option
Definition
Potentially unwanted: Redirector
(Potenziell unerwünscht:
Umleitungsprogramm)
Umleitungs-Code leitet Benutzer von einer Website an andere
potenziell bösartige Websites weiter.
Potentially unwanted: Direct kernel
communication (Potenziell unerwünscht:
Direkte Kernel-Kommunikation)
Anwendungen kommunizieren direkt mit einem Windows-Kernel
oder im Kernel-Modus und versuchen dabei, beispielsweise ein
Rootkit zu installieren oder das System zu destabilisieren.
Potentially unwanted: Privacy violation
(Potenziell unerwünscht:
Datenschutzverletzung)
Potenziell bösartiger Code greift auf sensible oder private Daten
zu, sodass der Inhalt des Zwischenspeichers ausgelesen oder
Registrierungsschlüssel gelesen werden können.
Dieses Verhalten wird oft von einer Infektion einer zuvor seriösen
Website verursacht.
Gateway Anti-Malware (Regelsatz)
Der Regelsatz „Gateway Anti-Malware“ ist der Standard-Regelsatz für die Viren- und
Malware-Filterung.
Standard-Regelsatz – Gateway Anti-Malware
Criteria – Always
Allow if user agent matches User Agent Whitelist
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft Header.Request.Get die Benutzer-Agent-Informationen,
die mit dem Header einer Anfrage gesendet werden.
Wenn der betreffende Benutzer-Agent in der angegebenen Whitelist enthalten ist, wird die
Verarbeitung des Regelsatzes beendet, sodass die Blockierungsregel am Ende des Regelsatzes nicht
verarbeitet wird.
Ein Parameter der Eigenschaft gibt an, dass beim Verarbeiten der Regel die
Benutzer-Agent-Informationen überprüft werden müssen.
Diese Regel ist standardmäßig nicht aktiviert.
Wenn ausschließlich diese Regel für den Abgleich mit Whitelists verwendet wird, stellt dies ein
Sicherheitsproblem dar, da Clients normalerweise einen beliebigen bevorzugten Benutzer-Agent
festlegen können.
Allow URL host that matches in list Anti-Malware URL Whitelist
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob eine bestimmte URL mit einem der
Einträge in der angegebenen Whitelist übereinstimmt.
Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die Blockierungsregel am
Ende des Regelsatzes wird nicht verarbeitet.
Sie können mit dieser Regel Web-Datenverkehr von der Filterung ausschließen, wenn es sich bei den
Hosts der betreffenden URLs um bekannte Web-Server handelt, bei denen mit hinreichender
Sicherheit davon ausgegangen werden kann, dass diese keine Viren oder sonstige Malware
verbreiten.
Der Abgleich mit der Whitelist erhöht außerdem die Leistung, da die entsprechenden Web-Objekte
nicht gescannt werden müssen.
290
Produkthandbuch
9
Web-Filterung
Remove partial content for HTTP requests
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR Connection.Protocol
equals “https”) –> Continue – Header.RemoveAll (“Range”)
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName und Connection.Protocol, ob der
aktuelle Verarbeitungszyklus der Anfragezyklus ist und ob eine Anfrage im HTTP-Modus oder im
HTTPS-Modus gesendet wurde.
Wenn dies der Fall ist, ändert das Ereignis Header.RemoveAll die Anfrage, indem die Angabe entfernt
wird, dass nur unvollständige Inhalte angefordert werden. Eine Anfrage für vollständige Inhalte wird
an den relevanten Web-Server weitergeleitet und schließlich von dort empfangen, sodass die
vollständigen Inhalte eines Web-Objekts auf der Appliance verarbeitet werden können.
So kann z. B. ein vollständiges Archiv geöffnet und auf Viren und sonstige Malware gescannt werden.
Bösartige Inhalte, die auf verschiedene Teile einer Datei verteilt sind, können durch Scannen der
kompletten Datei erkannt werden, während sie möglicherweise nicht bemerkt werden, wenn nur Teile
der Datei gescannt werden.
Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird.
Block partial content for FTP requests
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND Command.Categories
contains “Partial” –> Block<Partial Content Not Allowed>
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName, Connection.Protocol und
Command.Categories, ob der aktuelle Verarbeitungszyklus der Anfragezyklus ist, ob die Anfrage im
FTP-Modus gesendet wurde und ob die für die FTP-Übertragung verwendete Befehlskategorie die
Zeichenfolge Partial enthält.
Dadurch kann Web Gateway eine FTP-Anfrage für unvollständige Inhalte erkennen und blockieren.
Im Gegensatz zu HTTP- oder HTTPS-Anfragen können FTP-Anfragen nicht so geändert werden, dass
sie eine Anfrage für vollständigen Inhalt darstellen. Wenn unvollständige Inhalte auf einer Appliance
zugelassen werden, bringt dies jedoch dieselben Sicherheitsprobleme mit sich, die bereits in den
Ausführungen zur Regel zum Blockieren von HTTP- und HTTPS-Anfragen erläutert wurden.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Start Media Stream Scanner on streaming media and skip anti-malware scanning
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection>
equals true –> Stop Rule Set – Enable Media Stream Scanner
Die Regel überprüft mithilfe der Eigenschaft Cycle.Name, ob der Verarbeitungszyklus der
Antwortzyklus ist, und sie überprüft mithilfe der Eigenschaft StreamDetector.IsMediaStream, ob es
sich bei dem als Antwort an Web Gateway gesendeten Web-Objekt um Streaming-Medien handelt.
Wenn beides zutrifft, wird die Verarbeitung des Regelsatzes beendet, sodass die verbleibende Regel
nicht verarbeitet wird, und der Media Stream Scanner wird mit einem Ereignis gestartet.
Block if virus was found
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein bestimmtes Web-Objekt
mit einem Virus oder sonstiger Malware infiziert ist.
Beim Aufruf des Moduls „Anti-Malware“ zum Scannen des Objekts wird es mit den Gateway
Anti-Malware-Einstellungen ausgeführt, wie von der Eigenschaft angegeben. In diesen Einstellungen
wird vorgeschrieben, dass Web-Objekte mit allen drei Sub-Modulen des Moduls und deren
zugehörigen Methoden gescannt werden.
Wenn das Modul erkennt, dass ein Web-Objekt infiziert ist, wird die Verarbeitung aller Regeln
beendet, und das Objekt wird nicht weiter übergeben. Auf diese Weise ist der Zugriff darauf
blockiert.
Produkthandbuch
291
9
Web-Filterung
In einem Anfragezyklus wird das infizierte Web-Objekt nicht an das Web übergeben. Im
Antwortzyklus und im Zyklus für eingebettete Objekte wird es nicht an den Benutzer übergeben, der
es angefragt hat.
Die Aktionseinstellungen geben an, dass eine Nachricht an den betreffenden Benutzer gesendet wird.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen.
Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte
an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Zählung durchführt.
Scannen des Mediendatenstroms
Medien-Datenströme können auf Web Gateway paketweise gescannt werden, sodass Benutzer
heruntergeladene Streaming-Medien schneller sehen und hören können, da sie nicht warten müssen,
bis der Stream vollständig gescannt wurde.
Diese Scan-Methode wird vom Media Stream Scanner durchgeführt, der vom McAfee Gateway
Anti-Malware-Modul bereitgestellt wird. Die Streaming-Medien werden gescannt und paketweise an
den Client übermittelt, der den Download angefragt hat. Wenn in einem Paket eine Infektion erkannt
wird, wird der Download angehalten, und dieses Paket und der Rest der Streaming-Medien werden
nicht übermittelt.
Der vom Media Stream Scanner durchgeführte Scan verwendet die proaktiven Funktionen des McAfee
Gateway Anti-Malware-Moduls. Das McAfee Anti-Malware-Modul und das Avira-Modul, die auch zum
Scannen der Web-Objekte auf Infektionen durch Viren und andere Malware konfiguriert werden
können, sind bei aktivem Media Stream Scanner nicht beteiligt.
Der Scanner wird durch ein Ereignis einer Regel im Gateway Anti-Malware-Regelsatz des
Standard-Regelsatzsystems gestartet. Die Regel wird angewendet, wenn das Stream Detector-Modul
feststellt, dass es sich bei einem als Reaktion auf eine Download-Anfrage auf Web Gateway
eingegangenes Web-Objekt um Streaming-Medien handelt.
Die Verarbeitung des Regelsatzes wird angehalten, und die verbleibende Regel im Regelsatz, die auch
Web-Objekte auf Infektionen durch Viren und andere Malware scannen lässt, wird nicht verarbeitet.
Wenn ein Web-Objekt vom Stream Detector nicht als Streaming-Medien erkannt wird, wird die Regel
nicht angewendet, die Verarbeitung wird mit der verbleibenden Regel fortgesetzt, und das Web-Objekt
wird entsprechend den für diese Regel konfigurierten Einstellungen gescannt.
Warteschlange für Malware-Schutz
Um die Überlastung der Module zu vermeiden, die Web-Objekte auf Viren und andere Malware
scannen, werden Zugriffsanfragen für Web-Objekte vor der Verarbeitung in eine Warteschlange
verschoben.
Diese Warteschlange wird als Warteschlange für Malware-Schutz bezeichnet. Wenn die Appliance eine
Anfrage erhält, wird sie von einem funktionierenden Thread des Proxy-Moduls in diese Warteschlange
verschoben. Die Anfrage verbleibt dort solange, bis ein anderer Thread sie an einen Thread eines der
Scan-Module weiterleitet.
Auf gleiche Weise wird auch mit Antworten verfahren, die von Web-Servern stammen, an die Anfragen
weitergeleitet wurden.
Sowohl die funktionierenden Threads, die Anfragen und Antworten an die Scan-Module übermitteln,
als auch die von den Modulen zur Ausführung von Scan-Aktivitäten verwendeten Threads werden als
funktionierende Threads für Malware-Schutz bezeichnet.
292
Produkthandbuch
9
Web-Filterung
Beim Konfigurieren der Warteschlange für Malware-Schutz können Sie folgende Eigenschaften
festlegen:
•
Anzahl der verfügbaren funktionierenden Threads für Malware-Schutz
•
Kapazität der Warteschlange für Malware-Schutz
•
Maximale Verweildauer für Anfragen und Antworten in der Warteschlange
Das Verschieben von Anfragen und Antworten in die Warteschlange für Malware-Schutz ist eine Lösung
für kurzzeitig auftretende Lastspitzen. Bei ständiger Überlastung müssen andere Gegenmaßnahmen
angewendet werden.
Konfigurieren der Malware-Schutz-Warteschlange
Sie können die Einstellungen der Malware-Schutz-Warteschlange so konfigurieren, dass eine
Überlastung der Scan-Module vermieden wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die
Malware-Schutz-Warteschlange konfigurieren möchten, und klicken Sie dann auf Anti-Malware
(Malware-Schutz).
Nun werden die Einstellungen für die Malware-Schutz-Warteschlange im Einstellungsbereich
angezeigt.
3
4
Systemeinstellungen für Malware-Schutz
Mithilfe der Systemeinstellungen für Malware-Schutz kann die Warteschlange für Malware-Schutz
Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz)
Einstellungen der Warteschlange für Malware-Schutz
Produkthandbuch
293
9
Web-Filterung
Tabelle 9-8 Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz)
Option
Definition
Number of threads for AV scanning (Anzahl der
Threads für das Antiviren-Scannen)
Legt die Anzahl der auf der Appliance verfügbaren
funktionierenden Threads für Malware-Schutz fest.
Die hier von Ihnen festgelegte Anzahl gilt sowohl für die
Threads, die Anfragen und Antworten an die Threads der
Scan-Module weiterleiten, sowie für die Threads der
Scan-Module selbst.
Wenn Sie z. B. die Zahl 25 eingeben, stehen 25 Threads zum
Weiterleiten und noch einmal 25 Threads zum Scannen zur
Verfügung.
Maximum number of jobs in the queue
(Höchstanzahl an Jobs in der Warteschlange)
Begrenzt die Anzahl der Anfragen und Antworten, die als
Jobs für die Scan-Module in die Warteschlange verschoben
werden dürfen.
Number of seconds a scanning job stays in the
queue before being removed (Anzahl der
Sekunden, die ein Scan-Job bis zum Entfernen in
der Warteschlange verbleiben darf)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf
eine Anfrage bzw. Antwort aus der Warteschlange für
Malware-Schutz entfernt wird, sofern sie nicht an ein
Scan-Modul weitergeleitet wurde.
Entfernen eines Malware-Schutz-Wasserzeichens
Beim Übergeben von Benutzeranfragen an die entsprechenden Web-Server müssen Wasserzeichen
entfernt werden, die URLs vom McAfee Gateway Anti-Malware-Modul (MGAM) hinzugefügt wurden.
Das Modul fügt diese Wasserzeichen in einigen Fällen hinzu, wenn beim Scannen von Web-Objekten
eine bestimmte Art von Heuristiken angewendet wird.
Damit das Modul diese (als Inhaltsheuristiken bezeichneten) Heuristiken nutzen kann, müssen Sie eine
bestimmte Option der Anti-Malware-Einstellungen aktivieren. Eine der Aktivitäten, die das Modul
anschließend ausführt, besteht darin, dass URLs mit Wasserzeichen versehen werden, die zu Links von
Webseiten gehören, wenn diese Links den Zugriff auf ausführbare Dateien oder ähnliche Web-Objekte
(z. B. DLLs) ermöglichen.
Bevor die Appliance jedoch eine Anfrage für den Zugriff auf ein Objekt an einen Web-Server
weiterleiten kann, muss ein hinzugefügtes Wasserzeichen aus der betreffenden URL entfernt werden.
Andernfalls kann der Web-Server die URL u. U. nicht verarbeiten.
Die Entfernung erfolgt, indem die URL neu geschrieben wird. Ein Ereignis in einer Regel erkennt das
Wasserzeichen und schreibt die URL neu. Wird kein Wasserzeichen gefunden, dann wird die URL
unverändert beibehalten. Die Regel ist in einem Regelsatz enthalten, der in der Regelsatz-Bibliothek
bereitgestellt wird.
Hinzufügen eines Wasserzeichens für die Unterstützung von Inhaltsheuristiken
Das McAfee Gateway Anti-Malware-Modul fügt der URL einer ausführbaren Datei oder eines ähnlichen
Objekts auf einer Webseite ein Wasserzeichen hinzu, wenn eine Anfrage für den Zugriff auf das
betreffende Objekt auf der Appliance empfangen und verarbeitet wird. Wenn das Objekt später von
einem Web-Server an die Appliance gesendet wird, wird es von demselben Modul auf Infektionen mit
Viren und sonstiger Malware gescannt.
Da die URL des Objekts beim Empfang der Anfrage für den Zugriff auf das Objekt mit einem
Wasserzeichen versehen wurde, erkennt das Scan-Modul, dass das Objekt als Antwort auf eine von
einem Benutzer gesendete Anfrage gesendet wurde, und nicht von einem automatisierten Programm
jeglicher Art. Diese Information ist wichtig für die Inhaltsheuristiken, die vom Modul beim Scannen des
Objekts und seiner Einstufung als bösartig oder unbedenklich verwendet wird.
294
Produkthandbuch
9
Web-Filterung
Aktivitäten zum Entfernen von Wasserzeichen
Um die Entfernung von Wasserzeichen zu implementieren, müssen Sie den bereitgestellten
Bibliotheks-Regelsatz importieren und an oberster Stelle in der Regelsatz-Baumstruktur platzieren.
Dadurch wird sichergestellt, dass Wasserzeichen in URLs zu Beginn des Prozesses entfernt werden und
dass diese Entfernung nicht durch nachfolgende Regeln übersprungen werden kann, deren Aktionen
auf „Stop Rule Set“ bzw. „Stop Cycle“ festgelegt sind.
Wenn Sie die Option zum Verwenden von Inhaltsheuristiken auf der Benutzeroberfläche auswählen,
wird eine Meldung angezeigt, in der Sie über den Regelsatz informiert werden.
Konfigurieren der Entfernung von Malware-Schutz-Wasserzeichen
Sie können die Entfernung von Malware-Schutz-Wasserzeichen konfigurieren, die URLs vom McAfee
Gateway Anti-Malware-Modul hinzugefügt wurden.
Wasserzeichen werden URLs nur dann hinzugefügt, wenn die Option Enable Payload Heuristics
(Inhaltsheuristiken aktivieren) aktiviert ist. Wenn Sie diese Option auswählen, wird eine Meldung
angezeigt, in der Sie über die Entfernung informiert werden.
Vorgehensweise
1
Importieren Sie den Bibliotheks-Regelsatz zum Entfernen von Wasserzeichen.
a
b
Klicken Sie auf Add (Hinzufügen), und wählen Sie Rule Set from Library (Regelsatz aus Bibliothek)
aus.
c
Erweitern Sie in der Baumstruktur der Regelsatz-Bibliothek Gateway Anti-Malware, wählen Sie den
Regelsatz Payload Heuristic – Rewrite Watermarked URLs aus, und klicken Sie anschließend auf OK.
Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird nun geschlossen,
und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
2
Verschieben Sie den Regelsatz in der Regelsatz-Baumstruktur an die oberste Position.
Ein Ereignis in der einzigen Regel des Regelsatzes überschreibt nun die mit Wasserzeichen versehenen
URLs, um die Wasserzeichen zu entfernen.
Payload Heuristic – Rewrite Watermarked URLs (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Payload Heuristic – Rewrite Watermarked URL“ kann ein vom McAfee
Gateway Anti-Malware-Modul hinzugefügtes Wasserzeichen aus einer URL entfernt werden.
Standard-Regelsatz – Payload Heuristic – Rewrite Watermarked URLs
Criteria – Always
Rewrite watermarked URLs
Always –> Continue – AntiMalware.MGAM.RewriteWatermarkedURL
Die Regel schreibt mithilfe des Ereignisses AntiMalware.MGAM.RewriteWatermarkedURL eine URL
neu, wenn erkannt wird, dass diese ein Malware-Schutz-Wasserzeichen enthält. Andernfalls wird die
URL unverändert beibehalten.
Produkthandbuch
295
9
Web-Filterung
URL-Filterung
Das Wasserzeichen wird der URL vom McAfee Gateway Anti-Malware-Modul hinzugefügt, wenn beim
Scannen erkannt wird, dass sie einen Link zu einer ausführbaren Datei oder einem vergleichbaren
Web-Objekt darstellt, z. B. eine DLL (Dynamic Link Library).
Das Wasserzeichen muss entfernt werden, bevor die URL an den entsprechenden Web-Server
übergeben wird.
URL-Filterung
Die URL-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Web-Objekte zugreifen
können, die als Risiko für die Web-Sicherheit angesehen werden oder aus anderen Gründen nicht
zulässig sind.
Der Filterungsprozess verwendet Blockierungslisten, Kategorieinformationen und Reputationsfaktoren
für die URLs der Web-Objekte und blockiert bzw. erlaubt den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
•
Eine Whitelist und mehrere Blockierungslisten werden von Regeln verwendet, um einige
Web-Objekte die URL-Filterung überspringen zu lassen und andere zu blockieren.
•
Das Modul „URL Filter“, das von bestimmten Regeln aufgerufen wird, ruft Informationen zu
URL-Kategorien und Web-Reputationsfaktoren aus dem Global Threat Intelligence-Dienst ab.
Ein Standardprozess zur URL-Filterung wird nach der Ersteinrichtung auf dem Web Gateway installiert.
Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der URL-Filterung:
•
Standard-Regelsatz URL filtering geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterungsvorgang anzeigen und konfigurieren.
•
Filterregeln
Die Regeln, die den URL-Filterungsprozess steuern, befinden sich üblicherweise in einem einzelnen
URL-Filterungsregelsatz. Eine dieser Regeln besagt beispielsweise, dass der Zugriff auf eine URL
blockiert wird, wenn diese mit einem Eintrag in einer Blockierungsliste übereinstimmt.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
296
Produkthandbuch
Web-Filterung
URL-Filterung
9
Eine Whitelisting-Regel stellt URLs von der Filterung frei, wenn diese mit Einträgen in der von der
Regel verwendeten Liste übereinstimmen. Diese Regel wird vor den Blockierungsregeln platziert und
verarbeitet. Wenn diese Regel gilt, werden die Blockierungsregeln übersprungen, und für die Objekte
der Whitelist erfolgt keine URL-Filterung.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur URL-Filterung enthalten.
Dieser heißt URL Filtering.
Whitelists und Blockierungslisten
Eine Whitelist wird von einer Whitelisting-Regel verwendet, um einige URLs die Blockierungsregel
überspringen zu lassen, es erfolgt also keine Filterung nach diesen URLs.
Da ein URL-Filterungsregelsatz nur die URL-Filterung steuert, sind im Gegensatz zur Virus- und
Malware-Filterung nicht mehrere Whitelists für mehrere Objekttypen erforderlich.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
Da ein URL-Filterungsregelsatz nur für die URL-Filterung zuständig ist, werden im Gegensatz zur Virusund Malware-Filterung keine Whitelists für verschiedene Objekttypen benötigt.
Blockierungslisten werden von Regeln verwendet, um URLs entsprechend ihren Kategorien oder
aufgrund einer Übereinstimmung mit einem Eintrag in einer Liste zu blockieren. Jede der
Blockierungsregeln verwendet eine eigene Liste.
Filtermodul
Das Modul „URL Filter“ wird auch als Engine „URL Filter“ bezeichnet. Es ruft Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem von McAfee bereitgestellten Global Threat
Intelligence™-Dienst ab. Auf Grundlage dieser Informationen blockieren Blockierungsregeln den Zugriff
auf URLs.
Verschiedene Technologien wie Link-Crawler, Sicherheitsforensik, Honeypot-Netzwerke, ausgereifte
Tools zur automatischen Bewertung und Kundenprotokolle werden zum Sammeln dieser Informationen
verwendet. Ein internationales mehrsprachiges Team aus McAfee-Web-Analysten wertet die
Informationen aus und gibt URLs unter bestimmten Kategorien in eine Datenbank ein.
Zum Sammeln von Informationen zur Reputation einer URL wird deren Verhalten auf einer weltweiten
Echtzeitgrundlage analysiert, z. B. wo eine URL im Internet sichtbar ist, ihr Domänenverhalten sowie
weitere Details.
Sie können Einstellungen für dieses Modul konfigurieren, damit es beispielsweise aus einer von Ihnen
bereitgestellten erweiterten Liste abgerufene Kategorieinformationen enthält oder eine DNS-Suche
nach URLs durchführt und die entsprechenden IP-Adresse in die Suche nach Kategorieinformationen
aufnimmt.
Produkthandbuch
297
9
Web-Filterung
URL-Filterung
Konfigurieren von Schlüsselelementen für die URL-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die URL-Filterung, um wichtige Teile des
Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
angezeigt.
3
4
Siehe auch
Schlüsselelemente für die URL-Filterung auf Seite 298
Schlüsselelemente für die URL-Filterung
Die Schlüsselelemente für die URL-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses.
Basic Filtering (Grundlegende Filterung)
Schlüsselelemente für das Durchführen der grundlegenden URL-Filterung
Tabelle 9-9 Basic Filtering (Grundlegende Filterung)
Option
Definition
URL whitelist (URL-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie
die von einer Regel verwendete URL-Whitelist bearbeiten können.
URL blocklist (URL-Sperrliste)
die von einer Regel verwendete URL-Sperrliste bearbeiten können.
URL category blocklist
(Sperrliste für URL-Kategorien) die von einer Regel verwendete Sperrliste von URL-Kategorien bearbeiten
können.
SafeSearch
Schlüsselelemente für das Integrieren von SafeSearch in den URL-Filterungsprozess
298
Produkthandbuch
9
Web-Filterung
URL-Filterung
Tabelle 9-10 SafeSearch
Option
Definition
Enable SafeSearch (SafeSearch
aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die den
SafeSearch-Teil des URL-Filterungsprozesses steuert.
SafeSearch settings
(SafeSearch-Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem
Sie die Einstellungen für das Modul (auch als Engine bezeichnet)
„SafeSearch Enforcer“ bearbeiten können.
Dieses Modul behandelt die Integration von SafeSearch Enforcer in
den URL-Filterungsprozess von Web Gateway. Hierbei handelt es sich
um ein zusätzliches Produkt für die Web-Sicherheit.
GTI reputation (GTI-Reputation)
Schlüsselelement für das Bewerten von Reputationsfaktoren, die im Rahmen des
URL-Filterungsprozesses vom Global Threat Intelligence-Dienst abgerufen wurden
Tabelle 9-11 GTI reputation (GTI-Reputation)
Option
Definition
Block URLs with a High Risk
reputation (URLs mit hochriskanter
Reputation blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die URLs mit einem
Reputationsfaktor blockiert, der als hohes oder mittleres Risiko für die
Web-Sicherheit eingestuft wird.
Der Reputationsfaktor einer URL wird vom Global Threat
Intelligence-Dienst festgelegt, der von McAfee bereitgestellt wird. Er
wird von diesem Dienst durch das URL Filter-Modul abgerufen.
Uncategorized URLs (Nicht kategorisierte URLs)
Schlüsselelement für das Behandeln von URLs, die während des URL-Filterungsprozesses keiner
Kategorie zugeordnet werden konnten
Tabelle 9-12 Uncategorized URLs (Nicht kategorisierte URLs)
Option
Definition
Uncategorized URLs (Nicht
kategorisierte URLs)
Wenn Sie Block (Blockieren) auswählen, wird eine Regel aktiviert, die
Anfragen für den Zugriff auf Web-Objekte mit URLs blockiert, die während
des URL-Filterungsprozesses nicht kategorisiert werden konnten.
Wenn Sie Allow (Zulassen) auswählen, wird von dieser Regel keine Aktion
ausgeführt. Bei der URL-Filterung wird mit der Verarbeitung der nächsten
Regel fortgefahren.
Konfigurieren der URL-Filterung mithilfe der vollständigen
Regelansicht
Sie können die URL-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks
anzupassen.
Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der
Regelansicht arbeiten.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die URL-Filterung.
Standardmäßig ist dies der Regelsatz URL Filtering.
2
Produkthandbuch
299
9
Web-Filterung
URL-Filterung
•
Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren
•
Die von diesen Regeln verwendeten Listen bearbeiten
•
3
Einstellungen des URL Filter-Moduls ändern
Konfigurieren von Einstellungen für das Modul „URL Filter“
Sie können das Modul „URL Filter“ konfigurieren und ändern, auf welche Weise Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem Global Threat Intelligence-System abgerufen
werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die URL-Filterung aus.
Im Standard-Regelsatzsystem sind Regelsätze für die URL-Filterung den Regelsätzen für die
Inhaltsfilterung untergeordnet.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Suchen Sie nach der Regel, die eine Blockierungsliste für Kategorien verwendet.
Hierbei handelt es sich standardmäßig um die Regel Block URLs whose category is in Category
BlockList.
5
Dieser Name wird neben der Eigenschaft URL.Categories angezeigt. Standardmäßig lautet er
Default.
für das Modul „URL Filter“.
6
7
8
Siehe auch
URL-Filtereinstellungen auf Seite 300
URL-Filtereinstellungen
Die URL-Filtereinstellungen werden für das Konfigurieren der Art und Weise verwendet, auf die das
URL-Filtermodul Informationen aus dem Global Threat Intelligence-System abruft.
Extended List (erweiterte Liste)
Einstellungen für erweiterte Listen
300
Produkthandbuch
9
Web-Filterung
URL-Filterung
Tabelle 9-13 Extended List (erweiterte Liste)
Option
Definition
Use the extended list (Erweiterte Liste
verwenden)
Zeigt eine Auswahlliste der erweiterten Listen an.
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen
einer erweiterten Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Extended List) (Liste bearbeiten,
erweiterte Liste) zur Bearbeitung der ausgewählten erweiterten
Liste.
Rating Settings (Bewertungseinstellungen)
Einstellungen für das Abrufen von auf Kategorien und Reputationsfaktoren basierenden
Bewertungsinformationen zu URLs
Tabelle 9-14 Rating Settings (Bewertungseinstellungen)
Option
Definition
Search the CGI parameters for rating
Bei Auswahl dieser Option werden CGI-Parameter nach
(CGI-Parameter nach Bewertungsinformationen Informationen durchsucht.
durchsuchen)
Durch CGI-Parameter (Common Gateway Interface) in einer
URL wird beim Zugriff auf diese URL der Start von Skripten
oder Programmen ausgelöst. Informationen über CGIs werden
bei der Kategorisierung von URLs einbezogen.
Search for and rate embedded URLs
(Eingebettete URLs suchen und bewerten)
Bei Auswahl dieser Option werden eingebettete URLs nach
Informationen durchsucht und bewertet.
Informationen über eingebettete URLs werden bei der
Kategorisierung der einbettenden URL einbezogen.
Die Suche nach eingebetteten URLs kann sich auf die
allgemeine Leistung auswirken.
Do a forward DNS lookup to rate URLs
(DNS-Suche zur Bewertung von URLs
durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, eine DNS-Suche
durchgeführt.
Die IP-Adresse, nach der gesucht wurde, wird für eine weitere
Suche verwendet.
Do a backward DNS lookup for unrated
IP-based URLs (Umgekehrte DNS-Suche für
unbewertete IP-basierte URLs durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, basierend auf der
IP-Adresse der URL eine umgekehrte DNS-Suche durchgeführt.
Der Host-Name, nach dem gesucht wurde, wird für eine
weitere Suche verwendet.
Use the built-in keyword list (Integrierte
Schlüsselwortliste verwenden)
Bei Auswahl dieser Option wird die integrierte
Schlüsselwortliste in die Suche einbezogen.
Only use online GTI web reputation and
categorization services (Nur Online-Dienste für
GTI-Web-Reputation und Kategorisierung
verwenden)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren ausschließlich aus
dem Global Threat Intelligence-System abgerufen.
Produkthandbuch
301
9
Web-Filterung
URL-Filterung
Tabelle 9-14 Rating Settings (Bewertungseinstellungen) (Fortsetzung)
Option
Definition
Use online GTI web reputation and
categorization services if local rating yields no
results (Online-Dienste für GTI-Web-Reputation
und Kategorisierung verwenden, wenn lokale
Bewertung keine Ergebnisse liefert)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren nur dann aus dem
Global Threat Intelligence-System abgerufen, wenn die Suche
in den internen Datenbanken keine Ergebnisse liefert.
Use default GTI server for web reputation and
categorization services (Standard-GTI-Server
für Web-Reputations- und
Kategorisierungsdienste verwenden)
Bei Auswahl dieser Option verbindet sich die Appliance mit
dem standardmäßigen Server, um vom Global Threat
Intelligence-System Informationen zu URL-Kategorien und
Reputationsfaktoren abzurufen.
• IP of the server (IP-Adresse des Servers): Gibt die IP-Adresse
des Servers an, über den die Verbindung mit dem Global
Threat Intelligence-System erfolgt, wenn nicht der
Standard-Server verwendet wird.
Format: <Domänenname> oder <IPv4-Adresse> oder
<einer IPv6-Adresse zugeordnete IPv4-Adresse>
Es können keine regulären IPv6-Adressen angegeben
werden.
• Port of the server (Port des Servers): Gibt die Nummer des Ports
auf diesem Server an, der den Eingang von Anfragen der
Appliance überwacht.
Zulässiger Bereich: 1–65535
Advanced Settings (Erweiterte Einstellungen)
Erweiterte Einstellungen für das URL-Filtermodul
Tabelle 9-15 Advanced Settings (Erweiterte Einstellungen)
Option
Definition
Treat connection problems to the cloud as Bei Auswahl dieser Option werden Probleme mit der Verbindung
errors (Verbindungsprobleme mit Cloud
zwischen Appliance und Global Threat Intelligence-Server als
als Fehler behandeln)
Fehler protokolliert.
Es werden Eigenschaften für den Umgang mit diesen Fehlern
festgelegt und gegebenenfalls entsprechende Regeln eines
Regelsatzes für den Umgang mit Fehlern ausgeführt.
Do a backward DNS lookup also for private Bei Auswahl dieser Option werden private IP-Adressen in die
addresses (Umgekehrte DNS-Suche auch umgekehrte DNS-Suche einbezogen.
für private Adressen durchführen)
Wenn diese Adressen nicht in die Suche einbezogen werden, wirkt
sich dies positiv auf die Leistung bei der URL-Filterung aus.
Standardmäßig ist diese Option deaktiviert.
Die Suche umfasst folgende Adresstypen:
• IPv4
• private Adressen
• Zeroconf-Adressen
• IPv6
• lokale Link-Adressen
• lokale Website-Adressen
• eindeutige lokale Adressen
302
Produkthandbuch
Web-Filterung
URL-Filterung
9
Konfigurationseinstellungen für einen Proxy, den die Appliance für die Verbindung mit dem Global
Threat Intelligence™-System verwenden kann
Tabelle 9-16 Proxy Settings (Proxy-Einstellungen)
Option
Definition
Use upstream proxy (Upstream-Proxy
verwenden)
Bei Auswahl dieser Option nutzt die Appliance einen Proxy für die
Verbindung mit dem Global Threat Intelligence-Server, auf dem
Suchen nach Informationen zu URL-Kategorien (auch als
Cloud-Suche bezeichnet) durch geführt werden können.
IP or name of the proxy (IP-Adresse oder
Name des Proxys)
Gibt die IP-Adresse oder den Host-Namen des Proxys an.
Port of the proxy (Port des Proxys)
Gibt die Nummer des Ports auf dem Proxy an, der den Eingang
von Suchanfragen der Appliance überwacht.
Gibt den Benutzernamen der Appliance für die Anmeldung am
Proxy an.
Password (Kennwort)
Legt ein Kennwort für die Appliance fest.
Set (Festlegen)
Öffnet ein Fenster zum Festlegen eines Kennworts.
Einstellungen für die Protokollierung der URL-Filteraktivitäten auf der Appliance
Produkthandbuch
303
9
Web-Filterung
URL-Filterung
Tabelle 9-17 Logging (Protokollierung)
Option
Definition
Enable logging
(Protokollierung
aktivieren)
Bei Auswahl dieser Option werden alle URL-Filteraktivitäten auf der Appliance
protokolliert.
Log level (Protokollebene)
Enthält eine Auswahlliste der verfügbaren Protokollebenen.
Wenn diese Option nicht ausgewählt ist, werden die folgenden
Protokollierungsoptionen abgeblendet.
Es sind folgende Ebenen vorhanden:
• 00 FATAL: Protokolliert nur schwere Fehler.
• 01 ERRORS: Protokolliert alle Fehler.
• 02 WARNING: Protokolliert Fehler und Warnungen.
• 03 INFO: Protokolliert Fehler, Warnungen und zusätzliche Informationen.
• 04 DEBUG1 ... 013 DEBUG9: Protokolliert Informationen, die für das
Debugging von URL-Filteraktivitäten erforderlich sind.
Die Menge der protokollierten Daten steigt von Ebene DEBUG1 bis Ebene
DEBUG9 kontinuierlich an.
• 14 TRACE: Protokolliert Informationen, die für die Verfolgung von
URL-Filteraktivitäten erforderlich sind.
• 15 ALL: Protokolliert alle URL-Filteraktivitäten
(Log area) (Zu
protokollierender
Bereich)
Enthält eine Reihe von Optionen zur Auswahl verschiedener Bereiche der
URL-Filteraktivitäten in die Protokollierung.
• LOG_AREA_ALL: Mit dieser Option werden alle URL-Filteraktivitäten
protokolliert.
• LOG_AREA_NETWORK: Mit dieser Option werden Aktivitäten hinsichtlich der für
die URL-Filterung verwendeten Netzwerkverbindungen protokolliert.
• LOG_AREA_DATABASE_SEARCH: Mit dieser Option werden Aktivitäten bezüglich
des für die URL-Filterung ausgeführten Datenabrufs aus der internen
Datenbank protokolliert.
• LOG_AREA_DNS: Mit dieser Option werden Aktivitäten bezüglich der für die
URL-Filterung durchgeführten DNS-Suche protokolliert.
• LOG_AREA_URL: Mit dieser Option werden Aktivitäten bezüglich des Umgangs
mit URLs protokolliert, z. B. das Analysieren von URLs,.
• LOG_AREA_CLOUD: Mit dieser Option werden Aktivitäten bezüglich des
Abrufens von Informationen aus dem Global Threat Intelligence-System
protokolliert.
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten
in die Whitelist mithilfe von URL-Eigenschaften
URL-Eigenschaften wie URL, URL.Host, URL.Host.BelongsToDomains usw. können für Regelkriterien
verwendet werden, um Web-Objekte in die Whitelist aufzunehmen.
Wenn ein Objekt in der Whitelist enthalten ist, dürfen Benutzer darauf zugreifen, beispielsweise um
eine Webseite anzuzeigen oder eine Datei herunterzuladen. Die Regeln zur Aufnahme in die Whitelist
werden in die entsprechenden Regelsätze innerhalb des Regelsatz-Systems von Web Gateway
eingetragen. Üblicherweise beenden sie die weitere Verarbeitung von Regeln bezüglich der aktuellen
Zugriffsanfrage für ein Web-Objekt, damit dieser Zugriff nicht durch andere Regeln blockiert wird.
304
Produkthandbuch
9
Web-Filterung
URL-Filterung
Die Aufnahme in die Whitelist kann auf unterschiedliche Weise mit unterschiedlichen
URL-Eigenschaften erfolgen. Wenn der Zugriff auf ein einzelnes Web-Objekt erlaubt werden soll,
beispielsweise, wenn gewährleistet werden soll, dass die Benutzer eine bestimmte Datei herunterladen
können, verwenden Sie am besten die Eigenschaft URL in Kombination mit einer Liste, in der die
vollständige URL dieser Datei enthalten ist.
Anhand der folgenden Beispiele wird gezeigt, welche URL-Eigenschaften sich am besten für welche
Arten der Whitelist-Aufnahme eignen, und welche Schritte dafür erforderlich sind.
Außerdem werden einige Tipps und Beispiele zu folgenden Aspekten vorgestellt:
•
Werte, auf die unterschiedliche URLs eingestellt werden, wenn eine Beispiel-URL verarbeitet wird,
die im Rahmen einer Anfrage für den Web-Zugriff an Web Gateway gesendet wurde
•
Verwendung der beiden Operatoren is in list und matches in list in den Kriterien einer Regel
•
Geeignete und ungeeignete Einträge in den Listen, die mit unterschiedlichen URL-Eigenschaften
verwendet werden
Aufnahme einzelner Web-Objekte in die Whitelist – URL
Ziel
Benutzern den Zugriff auf einzelne Web-Objekte gestatten.
Beispiel: Download der Datei Stinger.exe, auf die unter der URL http://
download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe zugegriffen
werden kann.
Erforderliche
Schritte
Setzen Sie in den Kriterien einer Regel die Zeichenfolgeneigenschaft URL mit
einer Liste vollständiger URLs ein.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL is in list URLWhiteList –> Stop Rule Set
Wenn Sie die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe in die Liste
URLWhiteList eintragen, wird die Datei Stinger.exe bei der Verarbeitung der Regel in die Whitelist
aufgenommen.
Auf ähnliche Weise können Sie den Zugriff auf die Datei auch blockieren, und zwar mit der
folgenden Regel aus dem standardmäßigen Regelsatz zur URL-Filterung:
URL matches in list URLBlockList –> Block
Wenn Sie die betreffende URL in die Liste URLBlockList eintragen, wird die Datei bei
Verarbeitung der Regel blockiert.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Web-Objekte in die Whitelist verwendet werden.
Sollen jedoch alle Web-Objekte eines bestimmten Hosts in die Whitelist aufgenommen werden, kann
dies mithilfe der Eigenschaft URL.Host auf unkompliziertere Weise erreicht werden.
Produkthandbuch
305
9
Web-Filterung
URL-Filterung
Aufnahme von Hosts in die Whitelist – URL.Host
Ziel
Benutzern den Zugriff auf die von bestimmten Hosts bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei,
die vom Host download.mcafee.com bereitgestellt wird.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die Zeichenfolgen-Eigenschaft
URL.Host mit einer Liste der Host-Namen.
Eine Regel, in der die Eigenschaft URL.Host verwendet wird, könnte z. B. so konfiguriert sein:
URL.Host is in list HostWhiteList –> Stop Rule Set
Wenn Sie den Host download.mcafee.com in die Liste HostWhiteList eintragen, werden alle von diesem
Host bereitgestellten Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Hosts in die Whitelist verwendet werden.
Sollen jedoch alle Hosts einer bestimmten Domäne in die Whitelist aufgenommen werden, kann dies
mithilfe der Eigenschaft URL.Host.BelongsToDomains auf unkompliziertere Weise erreicht werden.
Aufnahme von Domänen in die Whitelist – URL.Host.BelongsToDomains
Ziel
Benutzern den Zugriff auf die auf bestimmten Domänen bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei, die
vom Host download.mcafee.com bereitgestellt wird, bzw. jeder anderen
herunterladbaren Datei beliebiger anderer Hosts auf der Domäne mcafee.com.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die boolesche Eigenschaft
URL.Host:BelongsToDomains mit einer Liste der Domänennamen.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
Wenn Sie die Domäne mcafee.com in die Liste Domain List eintragen, werden alle auf dieser Domäne
verfügbaren Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Die Liste Domain List ist als Parameter der Eigenschaft URL.Host:BelongsToDomains konfiguriert.
Diese Eigenschaft ist vom Typ „Boolean“.
Wenn beispielsweise die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe
verarbeitet wird, richtet sich der Wert der Eigenschaft (true oder false) danach, ob sich die Domäne
mcafee.com in die Liste Domain List befindet.
Das folgende Beispiel zeigt, welche Einträge in der Liste Domain List zu einer Übereinstimmung
führen, wenn diese Eigenschaft für die Whitelist-Aufnahme verwendet wird:
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
306
Produkthandbuch
9
Web-Filterung
URL-Filterung
Das Kriterium:
URL.Host.BelongsToDomains("Domain List") equals true
ergibt dann Übereinstimmungen für folgende URLs:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
jedoch nicht für diese URLs:
https://www.mymcafee.com
http://www.treasury.ga.us
http://malicioustwitter.com
Durch Verwendung der Eigenschaft URL.Host.BelongsToDomains kann außerdem das Erstellen
komplizierterer Lösungen für eine im Endeffekt gleiche Zielsetzung vermieden werden, z. B.:
•
Verwenden von zwei Einträgen in einer Liste von Platzhalterausdrücken, wie z. B.:
twitter.com
*twitter.com
•
Nutzung eines einzelnen komplexen Eintrags in einer Liste mit Platzhalterausdrücken, wie z. B.:
regex((.*\.|.?)twitter\.com)
Eigenschaftswerte von Beispiel-URLs
Beim Verarbeiten der Beispiel-URL http://www.mcafee.com/us/products/web-gateway.aspx werden
für die aufgeführten URL-Eigenschaften die jeweils nebenstehenden Werte eingestellt.
Eigenschaft
Wert für die Beispiel-URL
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true oder false
In der als Parameter dieser Eigenschaft konfigurierten Liste müsste
für die Domäne folgendes eingetragen werden: mcafee.com.
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
Verwendung von Operatoren für unterschiedliche Übereinstimmungsarten
Es besteht ein grundlegender Unterschied zwischen der Verwendung des Operators is in list und des
Operators matches in list innerhalb der Kriterien einer Regel.
Produkthandbuch
307
9
Web-Filterung
URL-Filterung
Operator
Beschreibung
is in list
Erfordert eine exakte Übereinstimmung der Zeichenfolgen.
Wenn in einem Listeneintrag Platzhalterzeichen vorhanden sind, werden diese als
Literale interpretiert.
matches in list Lässt Platzhalter in Listeneinträgen zu und wertet diese aus.
Geeignete und ungeeignete Einträge in Listen für URL-Eigenschaften
Einträge in den von unterschiedlichen URL-Eigenschaften genutzten Listen können geeignet und
ungeeignet sein, je nachdem, wie sinnvoll sie für den Verwendungszweck einer Eigenschaft sind. Im
Folgenden sind Beispiele für geeignete und ungeeignete Listeneinträge aufgeführt.
URL-Eigenschaft
Geeignete und ungeeignete Listeneinträge
URL mit Operator is in list
Geeignet
http://www.mcafee.com/us/products/web-gateway.aspx
Es wird, wie für diese Eigenschaft erforderlich, die vollständige URL
eingegeben. Es sind keine Platzhalter angegeben, da diese bei
Verwendung des Operators is in list nicht ausgewertet werden.
Ungeeignet
www.mcafee.com/us/products/web-gateway.aspx
Im Eintrag ist nicht die vollständige URL angegeben, da die
Information bezüglich des Protokolls (http://) fehlt.
URL mit Operator matches in Geeignet
list
http://www.mcafee.com/*
Dieser Eintrag enthält einen Platzhalter, um den Zugriff auf alle
vom Host www.mcafee.com bereitgestellten Web-Objekte
zuzulassen. Bei Verwendung des Operators matches in list ist dies
eine passende Angabe.
Dieser Eintrag ergibt für http://mcafee.com/ keine
Übereinstimmung.
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
Dieser Eintrag ist komplexer, da hier reguläre Ausdrücke verwendet
werden. Bei der Übereinstimmungsprüfung erlaubt er sowohl unter
dem Protokoll HTTP- als auch unter HTTPS Zugriff auf alle
Web-Objekte unter der Domäne mcafee.com sowie unter deren
untergeordneten Domänen.
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?))
Dieser Eintrag ist grundsätzlich mit dem vorhergehenden identisch,
zeigt jedoch, wie auch andere Top-Level-Domänen wie .com
oder .co.us in die Whitelist aufgenommen werden können.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise zu einer Übereinstimmung mit der URL
http://malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com.
308
Produkthandbuch
9
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator is in
list
Geeignet
www.mcafee.com
Es wird ein Host-Name eingegeben, was für den
Verwendungszweck dieser Eigenschaft sinnvoll ist. Da der Operator
is in list verwendet wird, ist es ebenfalls sinnvoll, dass keine
Platzhalter angegeben sind.
Ungeeignet
mcafee.com
Der Eintrag selbst gibt einen Domänennamen an (mcafee.com),
während der Wert der Eigenschaft ein Host-Name ist
(www.mcafee.com, wenn z. B. die URL http://
www.mcafee.com/us/products/web-gateway.aspx verarbeitet
wird).
Auf diese Weise werden keinerlei Übereinstimmungen gefunden
werden.
*.mcafee.com
Der Eintrag enthält einen Platzhalter, der jedoch bei Verwendung
des Operators is in list nicht ausgewertet wird.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
Außerdem ist ein Platzhalter angegeben, der bei Verwendung des
Operators is in list überhaupt nicht ausgewertet wird.
Produkthandbuch
309
9
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator
matches in list
Geeignet
*.mcafee.com
Der Eintrag erbringt Übereinstimmungen für jeden beliebigen Host
unter der Domäne mcafee.com, jedoch nicht für mcafee.com
selbst.
regex((.*\.|\.?)mcafee.com)
Bei diesem Eintrag werden mithilfe regulärer Ausdrücke die
Domäne mcafee.com sowie alle darin enthaltenen Hosts in die
Whitelist aufgenommen.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise mit http://
www.mcafee.com .malicious-download-site.cc/.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
URL.HostBelongsToDomains
Geeignet
mcafee.com wurde in die Liste Domain List eingegeben, die als
Parameter der Eigenschaft konfiguriert ist.
Der Eintrag ergibt Übereinstimmungen mit der Domäne
mcafee.com sowie mit allen darin enthaltenen Hosts, z. B.
www.mcafee.com oder secure.mcafee.com.
www.mcafee.com
Der Eintrag gibt zwar keine konkrete Domäne an, ist jedoch gültig.
Hierbei wird ausschließlich der Host www.mcafee.com in die
Whitelist aufgenommen.
Dieses Ziel kann ebenfalls durch Hinzufügen des Eintrags
zu einer Liste für die Eigenschaft URL.Host erreicht
werden, wenn diese in Kombination mit dem Operator is in
list verwendet wird.
Ungeeignet
*.mcafee.com
Der Eintrag enthält einen Platzhalter, was nicht zum
Verwendungszweck der Eigenschaft passt.
Diese Eigenschaft ist dafür vorgesehen, um den aufwändigen
Einsatz von Platzhaltern in Listeneinträgen zu vermeiden. Hier ist
eine exakte Übereinstimmung mit einem Domänennamen
erforderlich, z. B. eine Übereinstimmung mit mcafee.com.
URL Filtering (Regelsatz)
Der Regelsatz „URL Filtering“ ist der Standard-Regelsatz für die URL-Filterung.
Standard-Regelsatz – URL Filtering
Criteria – Always
Cycles – Requests (and IM), responses, embedded objects
310
Produkthandbuch
9
Web-Filterung
URL-Filterung
Allow URLs that match in URL WhiteList
URL matches in list URLWhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Whitelist vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die
auf die Whitelist-Regel folgenden Blockierungsregeln werden nicht verarbeitet.
Mithilfe dieser Regel können Sie URLs von der Filterung ausnehmen und dadurch gewährleisten, dass
sie für die Benutzer des Netzwerks verfügbar sind und nicht von einer der nachfolgenden
Blockierungsregeln blockiert werden. Der Abgleich mit der Whitelist erhöht außerdem die Leistung,
da zu den jeweiligen URLs nicht erst Informationen abgerufen werden müssen.
Block URLs that match in URL BlockList
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<Default>
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Blockierungsliste vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung aller Regeln beendet, und
die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise
ist der Zugriff auf den Web-Server blockiert.
In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber
erhält.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen. Die Ereignisparameter geben den zu erhöhenden Zähler und die
entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls
„Statistics“ angegeben, das die Zählung durchführt.
Enable SafeSearchEnforcer
Always –> Continue — Enable SafeSearchEnforcer<Default>
Die Regel aktiviert SafeSearchEnforcer. Dies ist ein zusätzliches Modul zum Filtern des Zugriffs auf
Websites mit nicht jugendfreien Inhalten.
Die Aktivierung erfolgt durch Ausführen eines Ereignisses. Die Einstellungen des Moduls werden mit
dem Ereignis bestimmt.
Anschließend wird die Verarbeitung mit der nächsten Regel fortgesetzt.
Allow uncategorized URLs
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft List.OfCategory.IsEmpty (diese hat die Eigenschaft
„URL.Categories“ als Parameter), ob die Kategorienliste zur Kategorisierung einer URL leer ist. Dies
würde heißen, dass die URL nicht kategorisiert ist, da sie keiner vorhandenen Kategorie zugeordnet
werden konnte. Die Angabe der Eigenschaft „URL.Categories“ als Parameter gewährleistet, dass eine
bestimmte Kategorienliste überprüft wird. Hierbei handelt es sich um die Liste, die den Wert dieser
Eigenschaft darstellt.
Damit dem Wert der Eigenschaft „URL.Categories“ eine Kategorienliste zugeordnet werden kann,
wird das Modul „URL Filter“ aufgerufen, das diese Liste vom Global Threat Intelligence-System
abruft. Das Modul wird mit den festgelegten Standardeinstellungen ausgeführt.
Wenn eine URL nicht kategorisiert ist, wird die Verarbeitung des Regelsatzes beendet, und die auf
diese Regel folgenden Blockierungsregeln werden nicht verarbeitet. Die Anfrage für die URL wird an
den entsprechenden Web-Server weitergeleitet, und dem Benutzer wird der Zugriff auf das durch
Übermitteln der URL angefragte Web-Objekt erlaubt, sofern der Zugriff auf die URL nicht im
Antwortzyklus bzw. im Zyklus für eingebettete Objekte blockiert wird.
Block URLs whose category is in URL Category BlockList
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
Produkthandbuch
311
9
Web-Filterung
URL-Filterung
Die Regel überprüft mithilfe der Eigenschaft URL.Categories, ob eine der Kategorien, zu der eine
bestimmte URL gehört, auf der angegebenen Blockierungsliste vorhanden ist. Das für den
Informationsabruf zu diesen Kategorien aufgerufene Modul „URL Filter“ wird mit den
Standardeinstellungen ausgeführt, die in der Eigenschaft angegeben sind.
Wenn eine der Kategorien der URL in der Liste vorhanden ist, wird die Verarbeitung aller Regeln
beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf
diese Weise ist der Zugriff auf den Web-Server blockiert.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
Block URLs with bad reputation
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<default>
Die Regel überprüft mithilfe der Eigenschaft URL.IsHighRisk, ob eine URL eine Reputation hat,
aufgrund der ein Zugriff darauf sehr risikoreich erscheint. Wenn der Wert dieser Eigenschaft „true“
(wahr) ist, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht
an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server
blockiert.
Der Reputationsfaktor wird vom Modul „URL Filter“ abgerufen, das mit den gemäß der Eigenschaft
festgelegten Einstellungen ausgeführt wird.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
URL-Filterung mit Dynamic Content Classifier
URLs können für die Filterung mit Dynamic Content Classifier kategorisiert werden.
Dynamic Content Classifier (DCC) ist neben der lokalen Datenbank und Global Threat Intelligence eine
weitere Quelle für Kategorisierungsinformationen hinsichtlich URLs.
Sie können konfigurieren, dass Dynamic Content Classifier genutzt wird, wenn Suchanfragen nach
URL-Kategorien bei den anderen beiden Quellen kein Ergebnis liefern.
Konfigurieren von Dynamic Content Classifier
Sie können konfigurieren, dass Dynamic Content Classifier zum Erkennen von URL-Kategorien
verwendet wird, wenn andere Erkennungsmethoden keine Ergebnisse liefern.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz mit Regeln für die URL-Filterung aus.
Im Standard-Regelsatzsystem ist dies z. B. der Regelsatz URL Filtering.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Wählen Sie die Regel zum Verarbeiten von URL-Kategorien aus, für die die Verwendung von
Dynamic Content Classifier konfiguriert werden soll.
Im Regelsatz „URL Filtering“ ist dies z. B. die Regel Block URLs whose category is in Category BlockList.
312
Produkthandbuch
9
Web-Filterung
URL-Filterung
5
Klicken Sie auf die Einstellungen des URL Filter-Moduls in den Regelkriterien.
In der Beispielregel sind dies die Einstellungen für Default (Standard) im Kriterium URL.Categories
<Default> at least one in list Category BlockList.
des URL Filter-Moduls.
6
Vergewissern Sie sich, dass unter Rating Settings (Bewertungseinstellungen) die Option Enable the
Dynamic Content Classifier if GTI web categorization yields no results (Dynamic Content Classifier aktivieren, wenn
GTI-Web-Kategorisierung keine Ergebnisse liefert) ausgewählt ist.
7
[Optional] Bearbeiten Sie die Liste der URL-Kategorien, die von Dynamic Content Classifier erkannt
werden sollen.
a
Klicken Sie über der Liste Categories that will be dynamically detected (Dynamisch erkannte Kategorien)
auf das Symbol Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten).
b
Erweitern Sie unter DCC category (DCC-Kategorie) den Ordner Supported Categories (Unterstützte
Kategorien).
c
Aktivieren und deaktivieren Sie URL-Kategorien nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster Edit (Bearbeiten) wird nun geschlossen, und die ausgewählten Kategorien werden in
der Liste angezeigt.
Sie können eine URL-Kategorie aus der Liste entfernen, indem Sie auf das Symbol Delete
(Löschen) klicken und den Vorgang im angezeigten Fenster bestätigen.
8
9
Dynamic Content Classifier wird nun an der Überprüfung beteiligt, ob eine in einer Anfrage für
Web-Zugriff gesendete URL in eine der konfigurierten URL-Kategorien fällt.
Verwenden einer eigenen URL-Filter-Datenbank
Die URL-Filterung kann unter Verwendung von Informationen durchgeführt werden, die aus einer Ihrer
eigenen Datenbanken abgerufen werden.
Die URL-Filterung auf einer Web Gateway-Appliance verwendet Informationen über die Kategorien, in
die URLs fallen, und die Web-Reputationsfaktoren, die ihnen zugeordnet sind. Diese Informationen
werden aus der lokalen URL-Filterdatenbank, dem Global Threat Intelligence-System oder dem
Dynamic Content Classifier abgerufen, abhängig davon, wie die Einstellungen des Moduls für die
URL-Filterung konfiguriert sind.
Die Informationen in der lokalen Datenbank resultieren aus dem dortigen Speichern von Kategorien
und Web-Reputationsfaktoren, nachdem diese durch das Global Threat Intelligence-System für
bestimmte URLs ermittelt wurden. Wenn eine Suche in der lokalen Datenbank keine Treffer ergibt,
können zusätzlich die beiden anderen Informationsquellen verwendet werden.
Anstelle der lokalen Datenbank können Sie eine eigene Datenbank verwenden, in der Informationen
zu Kategorien und Web-Reputationsfaktoren enthalten sind. Um die lokale Datenbank zu ersetzen,
müssen Sie beim Konfigurieren der Einstellungen für die zentrale Verwaltung die URL des Servers
angeben, auf dem sich Ihre Datenbank befindet.
Produkthandbuch
313
9
Web-Filterung
URL-Filterung
Sie können sowohl Ihre eigene Datenbank als Quelle verwenden, die zuerst zum Abrufen von
URL-Filterinformationen durchsucht wird, als auch die beiden anderen Quellen deaktivieren und den
Filterungsprozess auf die Verwendung der in Ihrer Datenbank gespeicherten Informationen
beschränken.
Konfigurieren der Verwendung einer eigenen URL-Filter-Datenbank
Wenn Sie URL-Filterinformationen aus einer eigenen Datenbank abrufen möchten, konfigurieren Sie
die Verwendung dieser Datenbank im Rahmen der Einstellungen für die zentrale Verwaltung.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die die Informationen aus Ihrer
Datenbank verwenden soll, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Führen Sie einen Bildlauf nach unten zu Advanced Update Settings (Erweiterte
Aktualisierungseinstellungen) aus.
4
Geben Sie im Feld Enter a special custom parameter for an update server (Speziellen benutzerdefinierten
Parameter für einen Aktualisierungs-Server eingeben) die URL des Servers ein, auf dem sich Ihre
Datenbank befindet.
5
Wenn URLs mithilfe von Datenbankinformationen auf der Appliance gefiltert werden, werden diese
nicht aus der lokalen Datenbank, sondern aus Ihrer eigenen Datenbank abgerufen.
Sie können zudem andere Quellen von URL-Filterinformationen deaktivieren, um den Filtervorgang auf
die in der eigenen Datenbank gespeicherten Informationen zu beschränken.
Beschränken der URL-Filterung auf die Verwendung von
Datenbankinformationen
Wenn nur Datenbankinformationen für die URL-Filterung verwendet werden sollen, deaktivieren Sie die
Verwendung des Global Threat Intelligence-Systems und des Dynamic Content Classifier.
Wenn Sie die Verwendung einer eigenen URL-Filter-Datenbank konfiguriert haben, werden
Filterinformationen ausschließlich aus dieser Datenbank abgerufen.
Vorgehensweise
1
2
Wählen Sie unter Engines | URL Filter (Module | URL-Filter) die URL-Filter-Einstellungen aus, für die
Informationsquellen deaktiviert werden sollen.
3
Deaktivieren Sie unter Rating Settings (Bewertungseinstellungen) nacheinander die folgenden beiden
Kontrollkästchen:
4
314
•
Enable the Dynamic Content Classifier if GTI web categorization yields no result (Dynamic Content Classifier aktivieren,
wenn GTI-Web-Kategorisierung kein Ergebnis liefert)
•
Use online GTI web reputation and categorization services if local rating yields no result (Online-Dienste für
GTI-Web-Reputation und Kategorisierung verwenden, wenn lokale Bewertung kein Ergebnis liefert)
Produkthandbuch
9
Web-Filterung
URL-Filterung
URL-Filterung mithilfe eines IFP-Proxys
Die URL-Filterung kann für Web-Zugriffsanfragen durchgeführt werden, die unter dem IFP-Protokoll
übermittelt werden.
Zum Anwenden der URL-Filterung auf Anfragen dieser Art sind folgende Schritte erforderlich:
•
Einrichten eines IFP-Proxys
•
Implementieren geeigneter Filterregeln
Filteraktivitäten für IFP-Anfragen werden im Dashboard der Benutzeroberfläche angezeigt. Für diese
Aktivitäten kann auch eine Verbindungsverfolgung durchgeführt werden.
Einrichten eines IFP-Proxys
Für die Verarbeitung und das Filtern von Web-Zugriffsanfragen, die Benutzer von ihren
Client-Systemen aus unter dem IFP-Protokoll stellen, müssen die Proxy-Funktionen der Appliance
entsprechend konfiguriert werden. Es muss ein IFP-Proxy eingerichtet werden, der diese Anfragen
abfängt und sie für die URL-Filterung bereitstellt.
Für das Einrichten des Proxys müssen Sie auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) verschiedene Einstellungen festlegen. Diese Einstellungen umfassen:
•
Aktivieren bzw. Deaktivieren des Proxys
•
Liste der Proxy-Ports mit folgenden Angaben für jeden Proxy:
•
•
IP-Adresse und Port-Nummer
•
Meldungsmodus (zur Angabe, ob eine Blockierungsmeldung als umgeleitete oder als normale
Meldung unter dem IFP-Protokoll gesendet wurde)
Höchstanzahl gleichzeitiger IFP-Anfragen
Mit dieser Einstellung können Sie die Überlastung des IFP-Proxys verhindern.
Regeln für das Filtern von IFP-Anfragen
Für das Steuern des Filtervorgangs für IFP-Anfragen steht kein standardmäßiger bzw.
Bibliotheks-Regelsatz zur Verfügung. Sie können jedoch selbst einen Regelsatz erstellen und die
IFP-Proxy-Funktionen auch in vorhandenen Regelsätzen verwenden.
Beim Erstellen eines Regelsatzes zur Filterung von IFP-Anfragen müssen Sie die Nutzung des
IFP-Protokolls als Regelsatzkriterium festlegen, damit der Regelsatz grundsätzlich auf Anfragen, die
unter diesem Protokoll gestellt werden, angewendet wird. Dies erreichen Sie, indem Sie die
Eigenschaft Connection.Protocol zu den Kriterien hinzufügen und das IFP-Protokoll als Operanden
konfigurieren.
Da das IFP-Protokoll nur Anfragen abdeckt, können Sie die Filterung von Antworten und eingebetteten
Objekten als Aktivitäten, auf die der Regelsatz angewendet werden soll, ausschließen.
Die im Regelsatz enthaltenen Regeln können die gleichen wie im Standard-Regelsatz „URL Filtering“
sein.
Wenn die URL-Filterung nur für über das IFP-Protokoll gesendete Anfragen durchgeführt werden soll,
sollten Sie den Standard-Regelsatz „URL Filtering“ löschen und ausschließlich den auf hier
beschriebenem Wege erstellten Regelsatz zur IFP-Filterung anzuwenden.
Die Nutzung der IFP-Proxy-Funktionen in bestehenden Regelsätzen kann beispielsweise dann eine
Option sein, wenn bereits Authentifizierungsvorgänge für Anfragen unter verschiedenen anderen
Protokollen implementiert sind und Sie die Authentifizierung für IFP-Anfragen hinzufügen möchten.
Produkthandbuch
315
9
Web-Filterung
URL-Filterung
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP-based Session)“ enthält einen
eingebetteten Regelsatz mit Regeln zur Überprüfung, ob für einen anfragenden Client bereits eine
authentifizierte Sitzung besteht. Andernfalls wird die Anfrage an den Authentifizierungs-Server
umgeleitet.
Der eingebettete Regelsatz umfasst Protokolle wie HTTP oder HTTPS. Durch Nutzung der Eigenschaft
Connection.Protocol können Sie die Kriterien erweitern und auch das IFP-Protokoll aufnehmen.
Einschränkungen bei der IFP-Filterung
Bei der Verwendung eines IFP-Proxys zur Filterung von URLs sollten Sie folgende Einschränkungen
berücksichtigen:
•
Eingeschränkte Nutzung von SafeSearch Enforcer
Während der IFP-Filterung kann SafeSearch Enforcer ausschließlich für das Filtern von mit Google
durchgeführten Suchanfragen angewendet werden.
Das liegt daran, dass lediglich Google für das Senden der Suchkriterien URLs verwendet. Alle
anderen Suchmaschinen hingegen nutzen Cookies. Diese können jedoch nicht vom IFP-Proxy einer
Appliance verarbeitet werden.
•
HTTP-Proxy für bestimmte Funktionen erforderlich
Wenn Sie die folgenden Aktionen durchführen möchten, ist die Einrichtung eines HTTP-Proxys
zusätzlich zum IFP-Proxy erforderlich:
•
Von einer Filterregel blockierte IFP-Anfragen an eine Blockierungsseite umleiten, damit auf dem
Client des anfragenden Benutzers eine Blockierungsmeldung angezeigt wird.
•
Authentifizieren von Benutzern auf der Appliance durch Überprüfung ihrer
Anmeldeinformationen auf dem internen Authentifizierungs-Server.
•
Beschränkung des Web-Zugangs von Benutzern durch Implementieren des
Bibliotheks-Regelsatzes für Zeitkontingente.
IFP-Filteraktivitäten im Dashboard
Das Dashboard auf der Benutzeroberfläche enthält Informationen zu verschiedenen Aktivitäten der
IFP-Filterung.
•
Anzahl der verarbeiteten IFP-Anfragen
Diese Information wird unter Web Traffic Summary | Requests per protocol (Zusammenfassung
Web-Datenverkehr | Anfragen nach Protokoll) angezeigt.
•
Domänen, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Information wird unter Web Traffic | Top Level Domains by Number of Requests (Web-Datenverkehr |
Top-Level-Domänen nach Anzahl der Anfragen) angezeigt.
•
Websites, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Informationen werden unter Web Traffic | Destinations by Number of Requests (Web-Datenverkehr |
Ziel-Websites nach Anzahl der Anfragen) angezeigt.
Verbindungsverfolgung für IFP-Filteraktivitäten
Bei der Filterung von IFP-Anfragen kann eine Verbindungsverfolgung durchgeführt werden.
316
Produkthandbuch
9
Web-Filterung
URL-Filterung
Bei aktivierter Verbindungsverfolgung werden Verfolgungsdateien angelegt und gespeichert. Auf diese
Dateien kann auf der Benutzeroberfläche im übergeordneten Menü Troubleshooting (Fehlerbehebung)
zugegriffen werden.
Konfigurieren der IFP-Proxy-Einstellungen
Sie können die IFP-Proxy-Einstellungen konfigurieren, um einen Proxy für die Verarbeitung von
Anfragen für den Web-Zugriff einzurichten, die unter diesem Protokoll gesendet werden.
Vorgehensweise
1
2
Erweitern Sie in der Appliances-Baumstruktur die Appliance, für die Sie die IFP-Proxy-Einstellungen
konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Führen Sie im Bereich für Einstellungen einen Bildlauf nach unten zum Abschnitt IFP Proxy
(IFP-Proxy) aus.
4
Konfigurieren Sie die Einstellungen in diesem Abschnitt nach Bedarf.
5
IFP-Proxy-Einstellungen
Mit den IFP-Proxy-Einstellungen wird ein Proxy konfiguriert, der unter dem IFP-Protokoll gesendete
Anfragen für Web-Zugriff abfängt und für die URL-Filterung verfügbar macht.
IFP Proxy (IFP-Proxy)
Einstellungen für das Konfigurieren eines IFP-Proxys
Tabelle 9-18 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Bei Auswahl dieser Option wird der IFP-Proxy auf einer
Appliance aktiviert.
IFP port definition list (Liste von IFP-Port-Definitionen)
Ermöglicht Ihnen das Erstellen einer Liste von Ports, die
IFP-Anfragen empfangen.
Maximum number of concurrent IFP requests allowed
(Maximal zulässige Anzahl gleichzeitiger IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Sie können mithilfe dieser Eigenschaft eine Überlastung
des IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben.
Tabelle 9-19 IFP Port Definition (IFP-Port-Definition)
Option
Definition
Gibt die IP-Adresse und die Port-Nummer eines Ports an, der
IFP-Anfragen empfängt.
Send error message as redirect (Bei
Umleitung Fehlermeldung senden)
Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat,
durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht unter dem IFP-Protokoll gesendet.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu einem Port an, der
IFP-Anfragen empfängt.
Produkthandbuch
317
9
Web-Filterung
URL-Filterung
Erstellen eines Regelsatzes zum Filtern von IFP-Anfragen
Sie können einen Regelsatz mit Regeln zum Filtern von Web-Zugriffsanfragen erstellen, die unter dem
IFP-Protokoll gestellt werden.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze), klicken Sie anschließend auf Add (Hinzufügen),
und wählen Sie dann Rule Set (Regelsatz) aus.
2
Geben Sie im Feld Name einen geeigneten Namen für den Regelsatz ein, z. B. Filter IFP
Requests.
3
Deaktivieren Sie unter Applies to (wird angewendet auf) die Optionen Responses (Antworten) und
Embedded Objects (eingebettete Objekte).
4
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus.
5
Konfigurieren Sie die Regelsatzkriterien.
a
Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced criteria
(Erweiterte Kriterien) aus.
b
Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus.
c
Wählen Sie in der Liste der Operatoren equals (ist gleich) aus.
d
Geben Sie im Eingabefeld für Operanden IFP ein.
e
Klicken Sie auf OK.
Das Fenster Add Criteria (Kriterien hinzufügen) wird nun geschlossen, und das Kriterium wird im
Feld Criteria (Kriterien) angezeigt.
6
Klicken Sie auf OK.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird nun geschlossen, und der neue
Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
Wenn die Erstellung des-Regelsatzes abgeschlossen ist, müssen Sie dort Regeln zur URL-Filterung
einfügen. Beispielsweise können Sie Regeln aus dem Standard-Regelsatz für URL-Filterung kopieren
und nach Bedarf anpassen.
Bearbeiten eines Authentifizierungs-Regelsatzes zur Einbindung des IFPProtokolls
Sie können das IFP-Protokoll in die Kriterien eines Authentifizierungs-Regelsatzes einbinden, um die
Authentifizierung für Anfragen zu aktivieren, die unter diesem Protokoll übermittelt werden.
Vorgehensweise
1
Importieren Sie einen Authentifizierung-Regelsatz aus der Bibliothek.
a
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, klicken Sie auf Add (Hinzufügen), und
wählen Sie dann Top Level Rule Set (Regelsatz der obersten Ebene) aus.
Daraufhin öffnet sich das Fenster Add Top Level Rule Set (Regelsatz der obersten Ebene hinzufügen).
318
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
b
Klicken Sie auf Import rule set from Rule Set Library (Regelsatz aus Regelsatz-Bibliothek importieren).
c
Wählen Sie in der Liste Rule Set Library (Regelsatz-Bibliothek) den Regelsatz Authentication (Time/
IP-based Session) aus.
d
Wählen Sie im Bereich Import conflicts (Import-Konflikte) den aufgeführten Konflikt aus, und
wählen Sie unter Conflict Solution (Konfliktlösung) eine Strategie zur Konfliktlösung aus.
e
Klicken Sie auf OK.
Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird geschlossen, und
der Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
2
Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz Check for Valid
Authentication Session aus.
Nun werden die Kriterien und Regeln des untergeordneten Regelsatzes im Abschnitt für
Einstellungen angezeigt.
3
Klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Rule Set (Regelsatz
bearbeiten).
4
Ändern Sie die Regelsatzkriterien.
a
Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced Criteria
(Erweiterte Kriterien) aus.
b
Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus.
c
Wählen Sie in der Liste der Operatoren equals (ist gleich) aus.
d
Geben Sie im Eingabefeld für Operanden IFP ein.
e
Klicken Sie auf OK.
Das Fenster Add Criteria (Kriterien hinzufügen) wird geschlossen, und das Kriterium wird im Feld
Criteria (Kriterien) angezeigt.
f
5
Entfernen Sie unter Criteria combination (Kriterienkombination) die schließende Klammer nach dem
Buchstaben e, und fügen Sie eine schließende Klammer hinter d ein.
Klicken Sie auf OK.
Das Fenster Edit Rule Set (Regelsatz bearbeiten) wird geschlossen.
6
Medientyp-Filterung
Die Medientyp-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Medien bestimmter
Typen, z. B. Bilder, Audio oder Streaming-Medien, zugreifen können, wenn diese laut Ihrer
Web-Sicherheitsrichtlinien nicht zulässig sind.
Auf diese Weise können Sie beispielsweise verhindern, dass Ihre Benutzer zu viele Ressourcen
belegen.
Produkthandbuch
319
9
Web-Filterung
Medientyp-Filterung
Die Medientyp-Filterung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen.
•
•
Eine Regel verwendet eine Blockierungsliste, um den Zugriff auf Medien bestimmter Typen zu
blockieren.
Ein Standardprozess zur Medientyp-Filterung wird nach der Ersteinrichtung auf Web Gateway
installiert. Sie können diesen Prozess ändern und an die Anforderungen Ihrer
Web-Sicherheitsrichtlinien anpassen.
Beim Konfigurieren der Medientyp-Filterung können Sie mit Folgendem arbeiten:
•
Standard-Regelsatz Media Type Filtering geklickt haben, können Sie Schlüsselelemente
der Standardregeln für die Filterung anzeigen und konfigurieren.
•
entsperren) klicken, können Sie den Regelsatz Media Type Filtering in der
Regelsatz-Baumstruktur erweitern, sodass die untergeordneten Regelsätze Upload Media
Types und Download Media Types angezeigt werden.
Wenn Sie auf eine der Möglichkeiten klicken, werden die jeweiligen Standardregeln für
die Filterung vollständig angezeigt. Sie können alle Elemente konfigurieren, einschließlich
der Schlüsselelemente, und auch neue Regeln erstellen oder Regeln löschen.
Filterregeln
Die Regeln, die den Medientyp-Filterungsprozess steuern, befinden sich üblicherweise in einem
einzelnen Medientyp-Filterungsregelsatz. Dieser kann zwei untergeordnete Regelsätze mit Regeln zum
Filtern von Medientypen, die ins Web hochgeladen bzw. aus dem Web heruntergeladen werden,
enthalten.
Wenn der Standardprozess implementiert wird, ist ein Regelsatz zur Medientyp-Filterung mit zwei
untergeordneten Regelsätzen enthalten. Der Name des übergeordneten Regelsatzes lautet Media Type
Filtering, die der untergeordneten Regelsätze Upload Media Types und Download Media Types.
Eine Medientyp-Filterregel kann eine Liste mit Medientypen verwenden. Sie kann zudem auf der
Verwendung einer passenden Eigenschaft in ihren Kriterien basieren, z. B. die Eigenschaften
MediaType.IsAudio oder MediaType.IsVideo.
Blockierungslisten
Eine Regel verwendet eine Blockierungsliste, um Medien bestimmter Typen zu blockieren. Es kann
sowohl eine Blockierungsliste für Medien geben, die nicht aus Ihrem Netzwerk heraus ins Web
hochgeladen werden dürfen, als auch eine für Medien, die nicht aus dem Web in Ihr Netzwerk
heruntergeladen werden dürfen.
320
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Konfigurieren von Schlüsselelementen für die MedientypFilterung
Konfigurieren Sie Schlüsselelemente der Regeln für die Medientyp-Filterung, um wichtige Teile des
Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Media Type Filtering aus.
angezeigt.
3
4
Schlüsselelemente für die Medientyp-Filterung
Die Schlüsselelemente für die Medientyp-Filterung beziehen sich auf wichtige Teile dieses
Filterprozesses.
Block Media Types in Uploads (Medientypen in Uploads blockieren)
Schlüsselelemente für das Filtern von Medien, die in das Web hochgeladen werden
Tabelle 9-20 Block Media Types in Uploads (Medientypen in Uploads blockieren)
Option
Definition
Media types to block (Zu blockierende
Medientypen)
dem Sie die von einer Regel verwendete Liste „Upload Media Type
Block“ bearbeiten können.
Block Media Types in Downloads (Medientypen in Downloads blockieren)
Schlüsselelemente für das Filtern von Medien, die aus dem Web heruntergeladen werden
Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren)
Option
Definition
Media types to block (Zu blockierende
Medientypen)
dem Sie die von einer Regel verwendete Liste „Download Media
Type Block“ bearbeiten können.
Block undetectable media types (Nicht
erkannte Medientypen blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien
blockiert, wenn deren Typ nicht erkannt wurde.
Block unsupported media types (Nicht
unterstützte Medientypen blockieren)
blockiert, wenn diese einen Typ aufweisen, der von Web Gateway
nicht verarbeitet werden kann.
Produkthandbuch
321
9
Web-Filterung
Medientyp-Filterung
Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren)
(Fortsetzung)
Option
Definition
Block multimedia (Multimedia blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien
blockiert, wenn diese einen Multimedia-Typ aufweisen.
Block streaming media
(Streaming-Medien blockieren)
blockiert, wenn es sich dabei um Streaming-Medien handelt.
Konfigurieren der Medientyp-Filterung mithilfe der
vollständigen Regelansicht
Sie können die Medientyp-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres
Netzwerks anzupassen.
Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der
Regelansicht arbeiten.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die URL-Filterung.
Standardmäßig ist dies der Regelsatz URL Filtering.
2
•
Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren
•
Die von diesen Regeln verwendeten Listen bearbeiten
•
3
Einstellungen des URL Filter-Moduls ändern
Eigenschaften für die Medientyp-Filterung
Die meisten Regeln für die Medientyp-Filterung verwenden die Eigenschaft MediaType.EnsuredTypes in
ihren Kriterien. Bei Verwendung anderer Eigenschaften wird die Medientyp-Filterung auf andere Weise
ausgeführt.
So gibt es beispielsweise die Eigenschaft MediaType.NotEnsuredTypes. Wenn Sie diese Eigenschaft in
den Kriterien einer Blockierungsregel verwenden, blockiert die Regel Medien, deren Typen in einer
Sperrliste enthalten sind. Dies gilt selbst dann, wenn die Wahrscheinlichkeit, dass sie tatsächlich
diesen Typ aufweisen, bei weniger als 50 % liegt.
Sie können mit dieser Eigenschaft sicherstellen, dass ein Medientyp unter allen Umständen blockiert
wird.
In der folgenden Tabelle sind die Eigenschaften aufgelistet, die für Regeln für die Medientyp-Filterung
verfügbar sind.
322
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Tabelle 9-22 Eigenschaften für die Medientyp-Filterung
Eigenschaft
Beschreibung
MediaType.EnsuredTypes
Eigenschaft von Medien, deren Typen mit einer Wahrscheinlichkeit von
mehr als 50 % gesichert ist
Dieses Wahrscheinlichkeitsniveau wird angenommen, wenn eine
Medientyp-Signatur aus einer internen Liste auf der Appliance im
Objekt-Code der jeweiligen Medien gefunden wird.
MediaType.NotEnsuredTypes
Eigenschaft von Medien, bei denen die Wahrscheinlichkeit, dass sie
tatsächlich den jeweiligen Typ aufweisen, bei weniger als 50 % liegt
MediaType.FromFileExtension Eigenschaft von Medien, bei denen die Typen anhand der
Erweiterungen der Medientyp-Dateinamen angenommen werden
Die Erweiterungen und die jeweils zugeordneten Medientypen werden
in einem internen Katalog auf der Appliance nachgeschlagen. Es gibt
jedoch Erweiterungen, die für mehrere Medientypen verwendet
werden.
MediaType.FromHeader
Eigenschaft von Medien, bei denen die Typen entsprechend dem
Inhaltstyp-Feld des mit den Medien gesendeten Headers angenommen
werden
Die Header werden gelesen und in einem standardisierten Format
ausgewertet. Wenn Sie Header in ihrem ursprünglichen Format filtern
möchten, können Sie die Eigenschaft „Header.Get“ verwenden.
MediaType.IsSupported
Eigenschaft von eingebetteten oder archivierten Medien, die mit dem
Öffner-Modul der Appliance extrahiert werden können.
List.OfMediaType.IsEmpty
Eigenschaft von Medien mit Typen, die nicht in einer internen Liste
aufgeführt werden
Bearbeiten einer Medientyp-Filterregel
Sie können eine Medientyp-Filterregel so bearbeiten, dass ein anderer Medientyp gefiltert wird, indem
Sie die Eigenschaft in den Regelkriterien ändern. Sie müssen dann auch eine neue Filterliste für die
bearbeitete Regel erstellen.
Aufgaben
•
Erstellen einer Filterliste für eine geänderte Regel auf Seite 323
Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die
Nutzung mit dieser Regel erstellen.
•
Ersetzen einer Eigenschaft in einer Medientyp-Filterregel auf Seite 324
Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere
Eigenschaft ersetzen, sodass die Regel eine andere Art von Medientypen filtert.
Erstellen einer Filterliste für eine geänderte Regel
Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die Nutzung mit
dieser Regel erstellen.
Vorgehensweise
1
2
Wählen Sie im Zweig Custom Lists (benutzerdefinierte Listen) der Listen-Baumstruktur auf Media Type
(Medientyp), und klicken Sie auf Add (Hinzufügen).
Produkthandbuch
323
9
Web-Filterung
Medientyp-Filterung
3
Geben Sie im Feld Name einen geeigneten Namen für die neue Liste ein, z. B. Not Ensured
Download Media Type Blocklist.
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur neuen
Liste ein.
5
6
Klicken Sie auf OK.
Listen-Baumstruktur unter Media Type (Medientyp) angezeigt.
Sie können der neuen Liste nun Einträge hinzufügen, anhand derer die Medientyp-Filterregel Medien
blockiert bzw. zulässt.
Ersetzen einer Eigenschaft in einer Medientyp-Filterregel
Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere Eigenschaft
ersetzen, sodass die Regel eine andere Art von Medientypen filtert.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die Medientyp-Filterung aus, z. B.
den untergeordneten Regelsatz Download Media Type im Regelsatz Media Type Filtering.
3
Wählen Sie eine Regel aus, z. B. Block types from Download Media Type Blocklist, und klicken Sie auf Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten), in dem der Schritt Name ausgewählt
ist.
4
Klicken Sie auf Rule Criteria (Regelkriterien), und wählen Sie unter Criteria (Kriterien) die Regel aus.
Klicken Sie dann auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten).
5
6
Bearbeiten Sie die Regelkriterien wie folgt:
a
Wählen Sie in der Liste der Eigenschaften in der linken Spalte eine neue Eigenschaft aus, z. B.
MediaType.NotEnsuredTypes (anstelle von MediaType.EnsuredTypes).
b
Wählen Sie in der Liste der Operanden in der rechten Spalte Not Ensured Download Media Type Blocklist
(Sperrliste für unsichere Medientyp-Downloads) aus.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die geänderten Kriterien werden unter Rule Criteria
(Regelkriterien) angezeigt.
7
Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die geänderte Regel wird im
ausgewählten untergeordneten Regelsatz angezeigt.
8
324
Produkthandbuch
9
Web-Filterung
Medientyp-Filterung
Media Type Filtering (Regelsatz)
Der Regelsatz „Media Type Filtering“ ist der Standard-Regelsatz für die Medientypfilterung.
Bibliotheks-Regelsatz – Media Type Filtering
Criteria – Always
• Upload Media Type
Dieser Regelsatz ist standardmäßig nicht aktiviert.
• Download Media Type
Upload Media Type
Dieser untergeordnete Regelsatz blockiert das Hochladen von Medien, die zu bestimmten
Medientypen gehören. Er wird sowohl in Anfragezyklen verarbeitet, wenn Benutzer das Hochladen
von Medien in das Web anfragen, als auch in untergeordneten Objektzyklen, wenn Objekte in Medien
eingebettet sind.
Untergeordneter Bibliotheks-Regelsatz – Upload Media Type
Criteria – Always
Cycles – Requests (and IM) and embedded objects
Der Regelsatz enthält die folgende Regel:
Block types from list Upload Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media Type (Block
List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ
sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der
Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten.
Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die
Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an.
In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt.
Download Media Type
Dieser untergeordnete Regelsatz blockiert das Herunterladen von Medien, die zu bestimmten
Medientypen gehören. Er wird sowohl in Antwortzyklen verarbeitet, wenn Web-Server Medien als
Reaktion auf Download-Anfragen von Benutzern senden, als auch in untergeordneten Objektzyklen,
wenn Objekte in Medien eingebettet sind.
Untergeordneter Bibliotheks-Regelsatz – Download Media Type
Criteria – Always
Cycles – Responses and embedded objects
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media Type
(Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
Produkthandbuch
325
9
Web-Filterung
Anwendungsfilterung
Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ
sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der
Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten.
Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die
Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an.
In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt.
Anwendungsfilterung
Mit der Anwendungsfilterung wird gewährleistet, dass die Benutzer in Ihrem Netzwerk keinen Zugriff
auf nicht erwünschte Anwendungen bekommen, wie beispielsweise Facebook, Xing u. ä. Beim
Filterprozess werden Name und Reputationsfaktor einer Anwendung ausgewertet und gegebenenfalls
der Zugriff darauf entsprechend blockiert. Es ist auch möglich, die Filterung lediglich für einzelne
Funktionen von Anwendungen zu nutzen.
•
Filterregeln zur Steuerung des Vorgangs
•
von Regeln genutzte Anwendungslisten zur Blockierung von Anwendungen
•
in regelmäßigen Abständen aktualisierte Anwendungssystemlisten
Im Dashboard werden der Aktualisierungsstand und statistische Daten des Anwendungsfiltervorgangs
angezeigt.
Regeln für die Anwendungsfilterung
Üblicherweise enthält ein Regelsatz alle zur Steuerung der Anwendungsfilterung benötigten Regeln.
Für die Zugriffsblockierung von Anwendungen und einzelne Anwendungsfunktionen setzen diese
Regeln eine der beiden folgenden Methoden ein:
•
Blockieren von Anwendungen und einzelnen Funktionen anhand einer Liste
•
Blockieren von Anwendungen mit einer bestimmten Risikostufe
Bei der Blockierung von Anwendungen und einzelnen Funktionen anhand einer Liste wird die
Eigenschaft Application.Name genutzt.
Die Anfrage eines Benutzers, der Zugriff auf eine Anwendung bzw. eine einzelne Anwendungsfunktion
erhalten möchte, enthält als Wert dieser Eigenschaft den Namen dieser Anwendung bzw.
Anwendungsfunktion. Wenn dieser Name auf einer Blockierungsliste aufgeführt ist, wird der Zugriff
mithilfe einer Regel blockiert, z. B. auf folgende Weise.
Name
Block applications according to list
Kriterien
Application.Name is in list Unwanted Applications
Aktion
–>
Block<blockierte Anwendung>
Für das Blockieren von Anwendungen mit bestimmten Risikostufen werden Eigenschaften wie z. B.
Application.IsMediumRisk oder Application.IsHighRisk verwendet, die den Wert true bzw. false
annehmen können.
326
Produkthandbuch
9
Web-Filterung
Anwendungsfilterung
Die Risikoauswertung für eine Anwendung erfolgt auf Grundlage ihres vom Global Threat
Intelligence-System zugeordneten Reputationsfaktors. Wenn das Risiko beim Zulassen des Zugriffs auf
eine Anwendung als hoch eingestuft wird, bedeutet dies, dass die Anwendung eine schlechte
Reputation besitzt.
Wenn eine Anwendung diese Stufe erreicht oder sogar überschreitet, wird der Zugriff mithilfe einer
Regel blockiert, z. B. auf folgende Weise.
Name
Block high-risk applications
Kriterien
Application.IsMediumRisk equals true OR Application.isHighRisk
equals true
Aktion
–> Block<blockierte Anwendung>
Beide Methoden basieren auf den Anwendungssystemlisten. Auf von Anwendungsfilterregeln genutzte
Listen können Anwendungen und Anwendungsfunktionen nur dann gelangen, wenn sie in den
Anwendungssystemlisten aufgeführt sind.
Auch die Risikostufen von Anwendungen und Anwendungsfunktionen werden den
Anwendungssystemlisten entnommen.
Für Protokollierungszwecke stehen die Eigenschaften Application.To String und Application.Reputation
zur Verfügung. Die erste dieser Eigenschaften den in eine Zeichenfolge umgewandelten Namen einer
angefragten Anwendung, die zweite dagegen den entsprechenden numerischen Wert des jeweiligen
Reputationsfaktors.
Diese Eigenschaften können in Regeln zur Registrierung von Informationen in Protokolldateieinträgen
verwendet werden.
Die Anwendungsfilterung wird auf Appliances nicht standardmäßig durchgeführt. Sie können jedoch
den in der Bibliothek verfügbaren Regelsatz Application Control importieren.
Anschließend können Sie die in diesem Regelsatz enthaltenen Regeln überprüfen, bearbeiten oder
löschen und auch selbst neue Regeln erstellen.
Blockierungslisten
Regeln nutzen Anwendungslisten dazu, den von Benutzern angefragten Zugriff auf Anwendungen zu
blockieren. Die Regeln des in der Bibliothek verfügbaren Regelsatzes enthalten Listen, in denen bereits
mehrere Anwendungsnamen aufgeführt sind.
Sie können zu einer Liste des Bibliotheks-Regelsatzes Anwendungsnamen hinzufügen, Namen daraus
entfernen und auch selbst eigene Listen erstellen. Beim Hinzufügen von Anwendungsnamen müssen
diese aus den Anwendungssystemlisten entnommen werden.
Das Erstellen und Bearbeiten von Listen mit den Namen von Anwendungsfunktionen erfolgt auf
dieselbe Weise.
Anwendungssystemlisten
Die Anwendungen und Anwendungsfunktionen, die von Anwendungsfilterregeln blockiert werden
können, sind in Listen aufgeführt, die das Appliance-System vorgibt und die regelmäßig aktualisiert
werden.
Sie können diese Listen anzeigen, indem Sie in der Listen-Baumstruktur auf der Registerkarte Lists
(Listen) unter System Lists (Systemlisten) auf den Ordner Application Name (Anwendungsnamen)
klicken. Dieser Ordner enthält mehrere Unterordner für unterschiedliche Anwendungstypen,
beispielsweise File Sharing (Dateifreigabe) oder Instant Messaging.
Produkthandbuch
327
9
Web-Filterung
Anwendungsfilterung
In den Unterordnern ist jeweils eine Liste mit Anwendungen vorhanden, die für jede Anwendung
folgende Informationen enthält:
•
Name der Anwendung (bzw. Name der Anwendung und Name der Anwendungsfunktion)
•
Kommentar
•
Risikostufe
•
Beschreibung der Anwendung (bzw. der Anwendungsfunktion)
Anwendungsfunktionen sind in Klammern nach dem Anwendungsnamen aufgeführt, z. B. Orkut(Orkut
Chat). Wenn Sie zur Liste einer Blockierungsregel eine Anwendungsfunktion hinzufügen, wird nicht die
gesamte Anwendung sondern lediglich die angegebene Funktion blockiert.
Einträge für Anwendungen in einer Systemliste sind wie im folgenden Beispiel angelegt:
MessengerFX | Risk: Minimal: A web-based instant messaging service (Risiko: Minimal: Ein
Web-basierter Instant Messaging-Dienst)
Das nächste Beispiel zeigt einen Eintrag für eine Anwendungsfunktion:
Orkut(Orkut Chat) | Risk: High: Allows users to send instant messages. (Risiko: Hoch: Ermöglicht
Benutzern das Senden von Instant Messages)
Im Dashboard vorhandene Informationen zur Anwendungsfilterung
Im Dashboard werden folgende Informationen zur Anwendungsfilterung angezeigt:
•
Aktualisierungsstand der Anwendungsliste
•
statistische Daten zu tatsächlich blockierten Anwendungen und Anwendungsfunktionen
Konfigurieren der Anwendungsfilterung
Sie können die Anwendungsfilterung konfigurieren, um diesen Prozess an die Anforderungen Ihres
Vorgehensweise
1
Importieren Sie den Regelsatz Application Control.
2
Prüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
•
Aktivieren oder Deaktivieren von Blockierungsregeln
•
Bearbeiten der in Regeln verwendeten Listen durch Hinzufügen oder Entfernen von
Anwendungen
•
Erstellen eigener Listen und Festlegen von deren Verwendung anstelle der bzw. zusätzlich zu
den vorhandenen Listen
•
Ändern der Reputationsbewertung in Regeln durch Ersetzen der relevanten Eigenschaften, z. B.
durch Ersetzen von Application.IsHighRisk durch Application.IsMediumRisk
Sie können auch eigene Blockierungsregeln erstellen.
3
328
Produkthandbuch
9
Web-Filterung
Anwendungsfilterung
Erstellen einer Liste zur Anwendungsfilterung
Sie können eine Liste zur Verwendung in einer Filterregel für Anwendungen erstellen und diese mit
Einträgen für Anwendungen oder einzelne Funktionen von Anwendungen füllen, die blockiert werden
sollen.
Vorgehensweise
1
Wählen Sie Policy | Lists (Richtlinie | Listen) aus, und klicken Sie dann auf das Symbol Add
(Hinzufügen).
2
3
Konfigurieren Sie die allgemeinen Listeneinstellungen.
a
Geben Sie im Feld Name einen geeigneten Namen für die Liste ein, z. B. Unwanted
Applications.
b
Wählen Sie in der Liste Type (Typ) die Option Application Name (Anwendungsname) aus.
c
d
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur
Liste ein.
Klicken Sie auf OK.
Listen-Baumstruktur unter Custom Lists | Application Name (Benutzerdefinierte Listen |
Anwendungsname) angezeigt.
4
Wählen Sie die Liste aus, und klicken Sie über dem Einstellungsbereich auf das Symbol Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Liste von Ordnern, die
Anwendungsnamen enthalten.
5
Füllen Sie die Liste mit Einträgen für Anwendungen bzw. für einzelne Funktionen von
Anwendungen.
a
Erweitern Sie den Ordner, der eine Anwendung oder Anwendungsfunktion enthält, deren Name
Sie zur Liste hinzufügen möchten, z. B. Instant Messaging Web Applications (Web-Anwendungen für
Instant Messaging).
b
Wählen Sie eine Anwendung oder Anwendungsfunktion aus, beispielsweise MessengerFX oder
Orkut(Orkut Chat).
Sie können gleichzeitig mehrere Anwendungen oder Anwendungsfunktionen, mehrere Elemente
aus unterschiedlichen Ordnern und auch komplette Ordner auswählen.
c
Klicken Sie auf OK.
Das Fenster Edit (Bearbeiten) wird geschlossen, und die ausgewählten Anwendungen und
Anwendungsfunktionen werden in der Liste angezeigt.
Sie können auch einen kompletten Ordner hinzufügen und anschließend die Einträge für
Anwendungen oder Anwendungsfunktionen, die nicht in der Liste stehen sollen, wieder löschen.
6
Produkthandbuch
329
9
Web-Filterung
Anwendungsfilterung
Sie können die so erstellte Liste in den Kriterien einer Regel zur Anwendungsfilterung einsetzen,
beispielsweise zur Überprüfung, ob der Name einer Anwendung oder Anwendungsfunktion, für die
Zugriff angefragt wird, in der Liste aufgeführt ist.
Bearbeiten der Risikostufen in einer Anwendungsfilterregel
Sie können die Risikostufe in einer Regel bearbeiten, die Anwendungen entsprechend dem Risiko
filtert, das diese für die Web-Sicherheit darstellen, z. B. von hoch bis mittel. Dies erhöht die
Web-Sicherheit, da dann eine Blockierungsaktion auch dann ausgelöst werden kann, wenn eine
Anwendung nur ein mittleres Risiko darstellt.
Bevor Sie beginnen
Im folgenden Vorgang wird davon ausgegangen, dass Sie den Regelsatz „Application
Control“ aus der Bibliothek importiert haben.
Vorgehensweise
1
2
Erweitern Sie den Regelsatz Application Control, und erweitern Sie dann den untergeordneten
Regelsatz Block Applications in Request Cycle.
Die allgemeinen Einstellungen und Regeln des untergeordneten Regelsatzes werden im Abschnitt
für Einstellungen angezeigt.
3
4
Wählen Sie die Regel Block web applications with high risk aus, und klicken Sie auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten).
5
Wählen Sie unter Steps (Schritte) die Option Rule Criteria (Regelkriterien) aus, markieren Sie im
Abschnitt Criteria (Kriterien) den oberen Teil der komplexen Kriterien (der die Eigenschaft
Application.IsHighRisk verwendet), und klicken Sie dann auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten), und die Eigenschaft
Application.IsHighRisk ist in der Eigenschaftenliste ausgewählt.
6
Wählen Sie in der Liste der Eigenschaften den Eintrag Application.IsMediumRisk aus.
7
Klicken Sie auf OK.
Das Fenster Edit Criteria (Kriterien bearbeiten) wird geschlossen, und die geänderten Kriterien werden
im Abschnitt Criteria (Kriterien) angezeigt.
8
Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die Regel mit den geänderten
Kriterien wird im Einstellungsbereich angezeigt.
9
330
Produkthandbuch
Web-Filterung
Anwendungsfilterung
9
Application Control (Regelsatz)
Der Bibliotheks-Regelsatz „Application Control“ wird für die Anwendungsfilterung verwendet.
Bibliotheks-Regelsatz – Application Control
Criteria – Always
Cycles – Requests (and IM), responses
•
Block Applications in Request Cycle
•
Block Applications in Response Cycle
Block Applications in Request Cycle
Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Anfragezyklus.
Untergeordneter Bibliotheks-Regelsatz – Block Applications in Request Cycle
Criteria – Always
Block instant messaging applications
Application.Name is in list Instant Messaging –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer
angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese
Anwendung.
Block web applications with high risk
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer
Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser
Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem
hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert
die Regel eine Anfrage für diese Anwendung.
Block Facebook chat
Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit
einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in
eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen
Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert.
Block Applications in Response Cycle
Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Antwortzyklus.
Produkthandbuch
331
9
Web-Filterung
Untergeordneter Bibliotheks-Regelsatz – Block Applications in Response Cycle
Criteria – Always
Cycle – Responses
Applications to be looked for in response cycle
Application.Name is in list of Applications to Search for in Response Cycle –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer
angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese
Anwendung.
Block web applications with high risk
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer
Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser
Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem
hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert
die Regel eine Anfrage für diese Anwendung.
Block Facebook chat
Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default>
Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit
einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in
eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen
Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert.
Die Streaming-Medien-Filterung stellt sicher, dass Web-Objekte dieses Medientyps erkannt werden,
wenn sie auf Web Gateway eingehen, und entsprechend den konfigurierten Regeln verarbeitet werden.
Wenn die Virus- und Malware-Filterung auf Web Gateway implementiert ist, werden an Web Gateway
gesendete Web-Objekte auf Infektionen überprüft. Für ein umfassenden Scan-Ergebnis muss das
Web-Objekt vollständig gescannt werden.
Streaming-Medien sind jedoch niemals „vollständig“. Wenn also die herkömmliche Scan-Methode
angewendet wird, führt dies im Gegensatz zu anderen Nicht-Streaming-Medien zu keinem Ergebnis.
Zudem würde sich die Verarbeitung der Streaming-Medien endlos verzögern, da der Scan-Prozess nie
beendet wäre.
Sobald also ein Web-Objekt als Streaming-Medien erkannt wird, können Sie es blockieren, um zu
verhindern, dass die Benutzer Ihres Netzwerks auf Web-Objekte zugreifen, die noch nicht auf
Infektionen untersucht wurden.
332
Produkthandbuch
9
Web-Filterung
Alternativ können Sie auch Streaming-Medien das Virus- und Malware-Scannen überspringen lassen,
und Ihren Benutzern den Zugriff auf Medien dieses Typs ohne Scannen erlauben.
Folgende Elemente auf Web Gateway sind am Filterprozess beteiligt:
•
Filterregeln zur Steuerung des Vorgangs
•
Ein Modul, das die Wahrscheinlichkeit für Objekte berechnet, dass es sich um Streaming-Medien
handelt
Das Modul setzt den Wert einer passenden Eigenschaft auf True, wenn die Wahrscheinlichkeit, dass
es sich bei einem Web-Objekt um Streaming-Medien handelt, einen konfigurierten Wert erreicht
oder übersteigt.
Streaming-Medien-Filterung erfolgt normalerweise im Antwortzyklus des Filterprozesses, um
Streaming-Medien zu verarbeiten, die von Web-Servern als Antwort auf Benutzeranfragen gesendet
wurden.
Regel zur Streaming-Medien-Erkennung
Zum Blockieren oder Zulassen von Web-Objekten, bei denen es sich mit einer bestimmten
Wahrscheinlichkeit um Streaming-Medien handelt, können Sie eine Regel einrichten, die die
Eigenschaft StreamDetector.IsMediaStream verwendet.
Wen der Wert dieser Eigenschaft „True“ ist, würde der Zugriff auf das Web-Objekt durch die folgende
Regel blockiert werden.
Name
Block access to streaming media
Kriterien
Aktion
StreamDetector.IsMediaStream<Streaming Detection> equals true –> Block<Streaming Media
Blocked>
Der Zugriff würde durch die folgende Regel zugelassen:
Name
Allow access to streaming media
Kriterien
StreamDetector.IsMediaStream<Streaming Detection> equals true
Aktion
–>
Continue
Der Wert der Eigenschaft StreamDetector.IsMediaStream wird über das
Datenstromerkennungsprogramm bereitgestellt.
Die Streaming-Medien-Filterung erfolgt nicht standardmäßig auf Web Gateway. Wenn Sie dies
wünschen, müssen Sie eine Regel wie die oben beschriebenen Regeln erstellen.
Es wird empfohlen, diese Regel nicht in einem eigenen Regelsatz zu verwenden, sondern in einen
anderen, passenden Regelsatz einzufügen, z. B. in einen Regelsatz zur Medientyp-Filterung.
Der Standard-Regelsatz „Gateway Anti-Malware“ enthält eine Regel, mit der Streaming-Medien die
Virus- und Malware-Filterung überspringen können. In diesem Regelsatz wird die Überspringungsregel
vor der Regel platziert, mit der das Web-Objekt durch das Modul „Anti-Malware“ gescannt wird.
Produkthandbuch
333
9
Web-Filterung
Zusätzliche Eigenschaften zur Streaming-Medien-Filterung
Wenn die Eigenschaft StreamDetector.IsMediaStream auf „True“ gesetzt wird, erhalten zwei
zusätzliche Eigenschaften zugehörige Werte. Der Wert der Eigenschaft StreamDetector.Probability ist
der Prozentsatz, der tatsächlich für ein Web-Objekt berechnet wurde, z. B. 60 oder 70.
Der Wert der Eigenschaft StreamDetector.MatchedRule ist der Name der übereinstimmenden Regel.
Diese zusätzlichen Eigenschaften können in Regeln zur Registrierung von Informationen in
Protokolldateieinträgen verwendet werden.
Modul zur Streaming-Medien-Erkennung
Die Wahrscheinlichkeit, dass es sich bei Web-Objekten um Streaming-Medien handelt, wird vom
Datenstrom-Erkennungsprogramm (auch als Filter oder Engine bezeichnet) berechnet, das zur
Berechnung Informationen zu URL-Kategorien, Content-Type-Headern, Quell-IP-Adressen und anderen
Elementen verwendet. Das Ergebnis einer Wahrscheinlichkeitsberechnung ist ein Prozentsatz.
Unter anderem können auf diese Weise die folgenden Streaming-Medien-Typen erkannt werden:
•
Flash-Videos
•
RealMedia
•
IC9-Streams
•
MP3-Streams
•
MS WMSP
Sie können Einstellungen für dieses Modul konfigurieren und diese beispielsweise Streaming Media
Detection nennen. Die Einstellungen enthalten die Mindestwahrscheinlichkeit, ab der Web-Objekte als
Streaming-Medien eingestuft werden.
Konfigurieren der Streaming-Medien-Filterung
Sie können die Streaming-Medien-Filterung konfigurieren, um diesen Prozess an die Anforderungen
Vorgehensweise
1
Erstellen Sie eine Regel für die Streaming-Medien-Filterung, die Web-Objekte blockiert, wenn die
Wahrscheinlichkeit, dass es sich dabei um Streaming-Medien handelt, ein konfiguriertes Niveau
erreicht oder überschreitet.
2
Fügen Sie diese Regel in einen geeigneten Regelsatz ein, z. B. in einen Regelsatz für die
Medientyp-Filterung.
Sie können die Regel später bearbeiten, indem Sie beispielsweise das Wahrscheinlichkeitsniveau
erhöhen oder senken. Dazu müssen Sie die Einstellungen des Streaming-Erkennungsmoduls
konfigurieren.
3
334
Produkthandbuch
9
Web-Filterung
Konfigurieren des Moduls für die Streaming-Medien-Erkennung
Sie können das Modul konfigurieren, das die Wahrscheinlichkeit von Streaming-Medien für ein
bestimmtes Web-Objekt berechnet, um es an die Anforderungen Ihres Netzwerks anzupassen.
Vorgehensweise
1
2
Wählen Sie Stream Detector (Streaming-Erkennung) aus, und klicken Sie auf Add (Hinzufügen).
3
Geben Sie im Eingabefeld Name einen Namen für die Einstellungen ein.
4
[Optional] Geben Sie im Eingabefeld Comment (Kommentar) einen Kommentar zu den Einstellungen
ein.
5
6
Konfigurieren Sie unter Streaming Detector (Streaming-Erkennung) die Einstellungen für das Modul
nach Bedarf.
7
Empfohlene Vorgehensweisen – Konfigurieren Stream Detector
Durch die Konfiguration von Stream Detector können Sie die Handhabung von Streaming-Medien
einrichten. Die empfohlene Vorgehensweise ist die Durchführung eines speziellen Scans, wenn Stream
Detector erkannt hat, dass ein Web-Objekt zu diesem Medientyp gehört.
Bei der Virus- und Malware-Filterung aus Web Gateway ist es üblicherweise erforderlich, dass
Web-Objekte vollständig heruntergeladen und vom Modul „Anti-Malware“ gescannt werden (auch als
Engine oder Filter bezeichnet). Da eine Vollständigkeit für Streaming-Medien jedoch nie erreicht
werden kann, liefert die übliche Scan-Methode keine Ergebnisse, sondern läuft endlos weiter.
Streaming-Medien müssen daher auf eine besondere Weise verarbeitet werden. In Web Gateway sind
dafür zwei Komponenten verfügbar:
•
Stream Detector erkennt, dass ein Web-Objekt Medien streamt.
•
Media Stream Scanner scannt Streaming-Medien paketweise.
Verglichen mit der herkömmlichen Methode ist das Scannen mit Media Stream Scanner weniger
intensiv.
Entsprechend der Verarbeitung durch Media Stream Scanner werden Streaming-Medien auch
paketweise an den Client übermittelt, von dem eine Download-Anfrage eingegangen ist. Wenn in
einem Paket eine Infektion erkannt wird, wird der Vorgang angehalten, und dieses Paket und der Rest
der Streaming-Medien werden nicht weitergegeben.
Stream Detector ist ein separates Modul in Web Gateway und nicht wie der Media Stream Scanner
Bestandteil des Moduls „Anti-Malware“.
Eine passende Regel ruft beide Komponenten zur Ausführung ihrer jeweiligen Aufgaben auf. Diese ist
im Standard-Regelsatz Gateway Anti-Malware enthalten.
Produkthandbuch
335
9
Web-Filterung
Die Regel ist jedoch nicht in älteren Versionen von McAfee Web Gateway enthalten. Es empfiehlt sich
daher die folgende Vorgehensweise:
•
Überprüfen Sie Ihr Regelsatzsystem.
•
Wenn die Regel im Standard-Regelsatz „Gateway Anti-Malware“ oder einem anderen Regelsatz, den
Sie zur Virus- oder Malware-Filterung verwenden, nicht enthalten ist, konfigurieren Sie die Regel in
einem dieser Regelsätze.
Sie müssen die Regel direkt vor der Regel platzieren, die den üblichen Malware-Scan auslöst.
Regel zur Streaming-Medien-Filterung
Die Standardregel zur Streaming-Medien-Filterung sieht wie folgt aus:
Name
Start Media Stream Scanner on streaming media and skip
anti-malware scanning
Kriterien
Aktion
Ereignis
Cycle.Name equals "Response" AND
StreamDetector.IsMediaStream<Default Streaming Detection>
equals true
–> Stop Ruleset – Enable Media
Stream
Scanner
Im Standard-Regelsatz „Gateway Anti-Malware“ befindet sich diese Regel direkt vor der Regel, die den
üblichen Malware-Scan auslöst.
Wenn Stream Detector erkennt, dass ein Web-Objekt Medien streamt, stoppt die Regel die
Verarbeitung für diesen Regelsatz und startet Media Stream Scanner, sodass der spezielle
Streaming-Medien-Scan durchgeführt und die Regel für den üblichen Scan übersprungen wird.
Der Teil des Kriteriums, der die Cycle.Name-Eigenschaft verwendet, stellt sicher, dass die Regel nur im
Antwortzyklus der Verarbeitung gilt, wenn Web-Objekte in Web Gateway als Antwort auf eine
weitergeleitete Anfrage aus dem Internet empfangen werden.
Einstellungen für Stream Detector
Auf die Einstellungen für Stream Detector kann in der Einstellungs-Baumstruktur unter Stream Detector
zugegriffen werden. Der Name der Standardeinstellungen lautet Default Streaming Detection
(Standard-Datenstromerkennung).
Die Standardeinstellungen enthalten nur die folgende Option:
Minimal probability (Mindestwahrscheinlichkeit): Legt die Wahrscheinlichkeit fest, dass es sich um
Streaming-Medien handelt, die erfüllt sein muss, damit ein Web-Objekt als Streaming-Medium
behandelt wird.
336
•
Die Wahrscheinlichkeit wird in Prozent gemessen und als eine Zahl von 1 bis 100 eingestellt.
•
Die Wahrscheinlichkeit wird von Stream Detector ermittelt. Bei Erreichen dieser
Mindestwahrscheinlichkeit wird die Eigenschaft StreamDetector.IsMediaStream, die in der
Standardregel zum Filtern der Streaming-Medien verwendet wird, auf true gesetzt.
•
Der Standardwert für die Mindestwahrscheinlichkeit ist 60. Sie sollten diesen Wert beibehalten.
Produkthandbuch
9
Web-Filterung
Globale Whitelists
Einstellungen für Stream Detector
Mit den Einstellungen für Stream Detector wird das Modul konfiguriert, das die Wahrscheinlichkeit
berechnet, dass es sich bei Web-Objekten um Streaming-Medien handelt.
Stream Detector
Einstellungen für das Modul zur Berechnung der Wahrscheinlichkeit für Streaming-Medien
Tabelle 9-23 Stream Detector
Option
Definition
Minimal probability
(Mindestwahrscheinlichkeit)
Legt die Wahrscheinlichkeit (in Prozent, angegeben durch eine
Zahl von 0 bis 100) fest, die ausreicht, damit Web-Objekte als
Streaming-Medien eingestuft werden.
Globale Whitelists
Globale Whitelists stellen sicher, dass für in Whitelists enthaltene Web-Objekte alle weiterführenden
Filtervorgänge übersprungen werden, sodass der Zugriff auf diese Objekte nicht blockiert werden
kann.
Der Prozess der globalen Whitelists umfasst eine Reihe von Elementen mit jeweils unterschiedlichen
Funktionen.
•
•
Whitelists werden von Regeln verwendet, damit für einige Web-Objekte weitere Filtervorgänge
übersprungen werden können.
Ein Standardprozess für globale Whitelists wird nach der Ersteinrichtung in Web Gateway installiert.
Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anpassen.
Zum Konfigurieren globaler Whitelists können Sie folgende Elemente verwenden:
•
Regelsatz Global Whitelist geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterprozess anzeigen und konfigurieren.
•
Filterregeln
Die Regeln, die globale Whitelists steuern, sind normalerweise in einem Regelsatz enthalten.
Whitelist-Regeln werden in diesem Regelsatz platziert und dort verarbeitet. Wenn eine der Regeln
angewendet wird, werden die darauf folgenden Regelsätze übersprungen, und für die in den Whitelists
enthaltenen Objekte werden keine weiteren Filtervorgänge ausgeführt.
Sie können die in diesem Regelsatz enthaltenen Regeln überprüfen, ändern oder löschen. Zudem
können Sie eigene Regeln erstellen.
Produkthandbuch
337
9
Web-Filterung
Globale Whitelists
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz für globale Whitelists
enthalten. Dieser Regelsatz heißt Global Whitelist.
Whitelists
Whitelists werden von Whitelist-Regeln verwendet, damit für bestimmte Web-Objekte weitere
Filtervorgänge übersprungen werden können. Es können Whitelists für URLs, Medientypen und andere
Objekttypen vorhanden sein.
Listen erstellen und diese von den Whitelist-Regeln verwenden lassen.
Konfigurieren von globalen Whitelists
Sie können die globalen Whitelists konfigurieren, um diesen Prozess an die Anforderungen Ihres
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz auf globale Whitelists.
Standardmäßig ist dies der Regelsatz Global Whitelisting.
2
•
Aktivieren oder Deaktivieren von Whitelist-Regeln
•
Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden
•
3
Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln
Global Whitelist (Regelsatz)
Der Regelsatz „Global Whitelist“ ist der Standard-Regelsatz für globale Whitelists.
Standard-Regelsatz – Global Whitelist
Criteria – Always
Client IP is in list Allowed Clients
Client.IP is in list Allowed Clients –> Stop Cycle
Die Regel überprüft mithilfe der Eigenschaft Client.IP, ob die IP-Adresse eines Clients, von dem eine
Anfrage gesendet wurde, in der angegebenen Whitelist enthalten ist.
Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird
beendet. Die Anfrage wird dann an den entsprechenden Web-Server weitergeleitet.
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
338
Produkthandbuch
9
Web-Filterung
SSL-Scans
Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob der Host, auf den mit der in einer Anfrage
gesendeten URL zugegriffen wird, in der angegebenen Whitelist enthalten ist.
Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird
beendet. Die Anfrage wird dann an den Web-Server weitergeleitet, der den angefragten Host
darstellt.
SSL-Scans
SSL-Scans stellen sicher, dass SSL-verschlüsselter Web-Datenverkehr verarbeitet und anderen
Filterfunktionen zur Verfügung gestellt werden kann.
Der SSL-Scan-Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
SSL-Scan-Regeln steuern den Prozess.
•
Whitelists und andere Listen, mit denen Regeln Web-Objekten das Überspringen des SSL-Scannens
ermöglichen und andere Funktionen im Prozess ausführen können.
•
SSL-Scan-Module, die von den Regeln aufgerufen werden, führen eine Zertifikatsverifizierung und
andere Funktionen im Prozess aus.
Sie haben die folgenden Möglichkeiten zur Konfiguration des SSL-Scannens:
•
Standard-Regelsatz SSL Scanner geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterungsvorgang anzeigen und konfigurieren.
•
SSL-Scan-Regeln
Die Regeln zur Steuerung des SSL-Scannens befinden sich üblicherweise in einem Regelsatz, der
mehrere untergeordnete Regelsätze enthält. Jeder der untergeordneten Regelsätze steuert eine
bestimmte Funktion des SSL-Scanprozesses:
•
Handle CONNECT call: Es gibt einen Regelsatz mit Regeln zum Umgang mit dem
CONNECT-Aufruf, der zu Beginn einer SSL-verschlüsselten Kommunikation unter dem
HTTPS-Protokoll gesendet wird.
•
Certificate verification: Es gibt Regelsätze zur Überprüfung von Zertifikaten, die in einer
SSL-verschlüsselten Umgebung durch Clients und Server gesendet werden, z. B. durch
Überprüfung der allgemeinen Namen in diesen Zertifikaten.
Dieser Teil des Prozesses ermöglicht die Verifizierung für Einrichtungen mit explizitem Proxy und
transparente Einrichtungen.
•
Content inspection: Ein weiterer Regelsatz enthält Regeln zur Aktivierung der Untersuchung von
Inhalten, die in einer SSL-verschlüsselten Kommunikation übertragen werden.
Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das
Modul scannt und der Regel das Ergebnis meldet.
Produkthandbuch
339
9
Web-Filterung
SSL-Scans
Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet
werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der
Whitelist werden nicht gescannt.
Sie können die auf der Appliance für das SSL-Scannen implementierten Regeln überprüfen, ändern
oder löschen sowie eigene Regeln erstellen.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zum SSL-Scannen enthalten.
Dieser heißt SSL Scanner. Dieser Regelsatz ist jedoch anfänglich nicht aktiviert.
Whitelists und andere Listen für SSL-Scans
Whitelists werden von SSL-Scan-Regeln verwendet, um Web-Objekte Teile des Prozesses überspringen
zu lassen. Beispielsweise stellt eine Zertifikats-Whitelist Zertifikate von der Verifizierung frei.
Andere beim SSL-Scannen verwendete Listen enthalten die Port-Nummern, die in CONNECT-Aufrufen
zulässig sind, wenn diese anzunehmen sind, oder die Server, für die eine besondere Art der
Zertifikatsverifizierung erforderlich ist, da eine bestimmte Methode zum Schlüsselaustausch für diese
nicht angewendet werden kann.
Listen erstellen und diese von den SSL-Scan-Regeln verwenden lassen.
Module zum SSL-Scannen
Die folgenden Module (auch als Engines bezeichnet) werden von den SSL-Scan-Regeln aufgerufen, um
verschiedene Teile des SSL-Scan-Prozesses auszuführen:
•
SSL-Scanner: Führt je nach Ausführungseinstellungen die Zertifikatsverifizierung oder die
Aktivierung der Inhaltsüberprüfung durch.
Entsprechend wird das Modul von den Regeln zur Zertifikatsverifizierung und Inhaltsüberprüfung
mit verschiedenen Einstellungen aufgerufen.
•
Module zum Festlegen des Client-Kontexts: Wickeln das Senden eines Zertifikats für die
Appliance an die Clients ab, die während einer SSL-verschlüsselten Kommunikation Anfragen an
diese gesendet haben.
Beim Senden des Zertifikats kann auch die Zertifizierungsstelle, die das Zertifikat ausgestellt hat,
gesendet werden. Entsprechend gibt es ein Modul zum Senden eines Zertifikats mit und ein
anderes Modul zum Senden eines Zertifikats ohne dessen Zertifizierungsstelle.
Der Regelsatz „SSL Scanner“ des Standardsystems verwendet die Methode zum Senden eines
Zertifikats mit dessen Zertifizierungsstelle.
Nach der Ersteinrichtung ist eine Standard-Zertifizierungsstelle zur Verwendung verfügbar. Es wird
jedoch empfohlen, zur weiteren Verwendung eine eigene Zertifizierungsstelle anzugeben.
•
Zertifikatskette: Ist für das Erstellen einer Zertifikatskette zuständig.
Beim Erstellen der Kette verwendet das Modul eine Liste mit Zertifizierungsstellen für die
Zertifikate, die in der Kette enthalten sind. Sie können bestehenden Listen Zertifizierungsstellen
hinzufügen und auch neue Listen hinzufügen.
Konfigurieren des SSL-Scans
Sie können SSL-Scans konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks
anzupassen.
340
Produkthandbuch
9
Web-Filterung
SSL-Scans
Vorgehensweise
1
Aktivieren Sie den Regelsatz für SSL-Scans, und überprüfen Sie die Regeln in diesem Regelsatz.
Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner.
2
•
Ersetzen Sie die standardmäßige Stamm-Zertifizierungsstelle (CA) zum Signieren von
Zertifikaten, welche die Appliance an ihre Clients sendet, durch eine eigene Zertifizierungsstelle.
Hierbei kann es sich um eine Zertifizierungsstelle handeln, die Sie selbst auf der
Benutzeroberfläche erstellen, oder um eine Zertifizierungsstelle, die Sie aus dem Dateisystem
importieren.
•
•
Aktivieren oder deaktivieren Sie Whitelist-Regeln, beispielsweise:
•
Die Standardregel zum Überspringen der Verifizierung von Zertifikaten, wenn sich ein von
einem Client gesendetes Zertifikat in einer Whitelist befindet
•
Die Standardregel zum Überspringen der Inhaltsüberprüfung, wenn sich der Host einer
angeforderten URL in einer Whitelist befindet
Bearbeiten Sie die von den Whitelist-Regeln verwendeten Listen.
3
•
Erstellen Sie eigene Whitelists und legen Sie deren Verwendung durch die Whitelist-Regeln fest.
•
Ändern Sie die Einstellungen der am SSL-Scan beteiligten Module.
•
Modul „SSL Scanner“
•
Modul „SSL Client Context“
•
Modul „Certificate Chain“
Konfigurieren der Module für SSL-Scans
Sie können die Module für SSL-Scans konfigurieren, um zu ändern, auf welche Weise der
SSL-gesicherte Web-Datenverkehr verarbeitet wird.
Die folgenden Module sind am SSL-Scannen beteiligt und können konfiguriert werden:
•
Modul „SSL Scanner“
•
Modul „SSL Client Context“
•
Modul „Certificate Chain“
Vorgehensweise
1
2
Suchen Sie in der Regelsatz-Baumstruktur den Regelsatz für SSL-Scans.
Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner.
Produkthandbuch
341
9
Web-Filterung
SSL-Scans
3
Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz aus, der die Regel mit
den Einstellungen für das zu konfigurierende Modul enthält.
Wenn Sie beispielsweise das SSL Scanner-Modul konfigurieren möchten, erweitern Sie den
untergeordneten Regelsatz Handle CONNECT Call. Dieser enthält standardmäßig die Regel Enable
certificate verification mit den Einstellungen Default certificate verification für das Modul „SSL
Scanner“.
Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
4
5
Suchen Sie nach der Regel mit den Einstellungen für das Modul, das konfiguriert werden soll.
Dies könnte beispielsweise die oben genannte Regel Enable certificate verification handeln.
6
Klicken Sie in der Regel auf einen Einstellungsnamen.
Klicken Sie z. B. im Regelereignis von Enable certificate verification auf Default certificate
verification.
für ein Modul, beispielsweise das Modul „SSL Scanner“.
7
8
9
Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle
Sie können die nach der Erstkonfiguration bereitgestellte standardmäßige Stamm-Zertifizierungsstelle,
mit der die von der Appliance an ihre Clients gesendeten Zertifikate signiert werden, durch eine eigene
Zertifizierungsstelle ersetzen.
Sie können eine neue Stamm-Zertifizierungsstelle auf der Benutzeroberfläche erstellen oder eine
Stamm-Zertifizierungsstelle aus dem Dateisystem importieren.
Aufgaben
•
Erstellen einer Stamm-Zertifizierungsstelle auf Seite 342
Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene
Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate erstellen, welche die
Appliance an ihre Clients sendet.
•
Importieren einer Stamm-Zertifizierungsstelle auf Seite 343
Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate
importieren, die die Appliance an ihre Clients sendet und diese anstelle der
standardmäßigen Zertifizierungsstelle verwenden.
Erstellen einer Stamm-Zertifizierungsstelle
Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene Stamm-Zertifizierungsstelle
(CA) zum Signieren der Zertifikate erstellen, welche die Appliance an ihre Clients sendet.
Vorgehensweise
342
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur SSL Client Context with CA
(SSL-Client-Kontext mit CA), und wählen Sie die Einstellungen aus, für die die neue
Zertifizierungsstelle verwendet werden soll.
Produkthandbuch
9
Web-Filterung
SSL-Scans
3
Klicken Sie auf Generate New (Neu erstellen).
Daraufhin öffnet sich das Fenster Generate New Certificate Authority (Neue Zertifizierungsstelle erstellen).
4
Geben Sie in den Feldern Organization (Unternehmen) und Locality (Ort) entsprechende Informationen
zu Ihrer Zertifizierungsstelle ein.
5
[Optional] Geben Sie in den Feldern Organizational unit (Organisationseinheit) und State (Bundesland)
entsprechende Informationen ein. Wählen Sie in der Liste Country (Land) ein Land aus.
6
Geben Sie im Feld Common name (Allgemeiner Name) für Ihre Zertifizierungsstelle einen allgemeinen
Namen ein.
7
[Optional] Geben Sie im Feld Email address (E-Mail-Adresse) für Ihr Unternehmen eine E-Mail-Adresse
ein.
8
Wählen Sie aus der Liste Valid for (Gültigkeitsdauer) den Zeitraum aus, für den Ihre
Zertifizierungsstelle gültig sein soll.
9
Zertifizierungsstelle ein.
Daraufhin wird die neue Zertifizierungsstelle erstellt.
Importieren einer Stamm-Zertifizierungsstelle
Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate importieren, die die
Appliance an ihre Clients sendet und diese anstelle der standardmäßigen Zertifizierungsstelle
verwenden.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur SSL Client Context with CA (SSL-Client-Kontext mit
Zertifizierungsstelle) aus, und klicken Sie auf die Einstellungen, für die die importierte
Zertifizierungsstelle verwendet werden soll.
3
Daraufhin öffnet sich das Fenster Import Certificate Authority (Zertifizierungsstelle importieren).
4
Geben Sie im Feld Certificate (Zertifikat) den Namen der Zertifizierungsstellen-Datei ein, indem Sie
auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format (Privacy-Enhanced Mail) codiert sein.
5
Geben Sie im Feld Private key (Privater Schlüssel) den Namen der Zertifikatsschlüsseldatei ein, indem
Sie auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format codiert sein. Der Schlüssel muss eine Mindestlänge von 2.048 Bit
aufweisen.
6
[Bedingt] Wenn der private Schlüssel durch ein Kennwort geschützt ist, geben Sie dieses im Feld
Password (Kennwort) ein.
Hier können nur unverschlüsselte Schlüssel und Schlüssel mit AES-128-Bit-Verschlüsselung
verwendet werden.
Produkthandbuch
343
9
Web-Filterung
SSL-Scans
7
[Bedingt] Wenn die Zertifizierungsstelle Teil einer Zertifikatskette ist und Sie zusammen mit dem
Zertifikat Informationen zu dieser Kette angeben möchten, geben Sie den Namen der Datei mit
diesen Informationen im Feld Certificate chain (Zertifikatskette) ein, indem Sie auf Browse
(Durchsuchen) klicken und zur entsprechenden Datei navigieren.
Die Datei muss im PEM-Format codiert sein.
8
Klicken Sie auf OK.
Die Zertifizierungsstelle wird nun importiert.
9
Liste der Client-Zertifikate
Bei der Liste der Client-Zertifikate handelt es sich um eine Zertifikatsliste, die an einen Web-Server
gesendet werden kann, wenn eine SSL-gesicherte Client-Anfrage von einer Appliance empfangen und
an den entsprechenden Web-Server weitergeleitet wird.
Das Zertifikat wird gesendet, wenn der Web-Server es bei dem ersten und den anschließenden
Handshakes, wenn die SSL-Neuaushandlung durchgeführt wird, anfordert.
Ein Regelereignis weist die Appliance an, ein Client-Zertifikat für die Kommunikation mit dem
Web-Server zu verwenden. Das Zertifikat kann dann aus der Liste der Client-Zertifikate ausgewählt
werden.
In diesem Fall muss der private Schlüssel für das Zertifikat von dem Client bereitgestellt werden, der
die Anfrage gesendet hat.
Alternativ kann ein vorkonfiguriertes Zertifikat verwendet werden, das immer an den Web-Server
gesendet wird.
Das Regelereignis, das die Verwendung eines Zertifikats aus der Liste der Client-Zertifikate auslöst,
kann zu Regeln gehören, die für CONNECT-Anfragen gelten (auch in transparenten Einrichtungen),
oder zu Regeln in Regelsätzen für die Zertifikatverifizierung, die in ihren Kriterien CERTVERIFY als Wert
für die Command.Name-Eigenschaft haben.
Sie können Einstellungen für das Regelereignis konfigurieren, beispielsweise eine Liste der
Client-Zertifikate und die Anweisungen zu deren Verwendung. Die Einstellungen können auch
angeben, dass der private Schlüssel für die Zertifikate, die durch die Clients der Appliance
bereitgestellt werden, unverschlüsselt gespeichert wird.
Erstellen einer Liste mit Client-Zertifikaten
Sie können eine Liste mit Client-Zertifikaten erstellen, die dann im Rahmen der SSL-gesicherten
Kommunikation an Web-Server gesendet werden kann.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur SSL Client Certificate Handling (SSL-Client-Zertifikate
verwalten) aus, und klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen, in dem die Registerkarte
Add Settings (Einstellungen hinzufügen) ausgewählt ist.
344
Produkthandbuch
9
Web-Filterung
SSL-Scans
3
Konfigurieren Sie die Parameter für allgemeine Einstellungen.
a
Geben Sie im Feld Name einen Namen für die Einstellungen ein.
b
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu
den Einstellungen ein.
c
welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen
möchten.
4
Überprüfen Sie, ob die Option Use client certificate from Known client certificates list if client has proven ownership
(Client-Zertifikat aus Liste der bekannten Client-Zertifikate verwenden, wenn Nachweis des
Eigentums durch Client erfolgt ist) unter Client Certificate Handling (Client-Zertifikate verwalten)
ausgewählt ist.
5
Klicken Sie auf der Symbolleiste der Liste Known client certificates (Bekannte Client-Zertifikate) auf Add
(Hinzufügen).
Daraufhin öffnet sich das Fenster Add Client Certificate (Client-Zertifikat hinzufügen).
6
Klicken Sie zum Importieren eines Client-Zertifikats auf Import (Importieren).
Daraufhin öffnet sich das Fenster Import Client Certificate (Client-Zertifikat importieren).
7
Importieren Sie nun ein Client-Zertifikat.
a
Klicken Sie neben dem Feld Certificate (Zertifikat) auf Browse (Durchsuchen), navigieren Sie im
daraufhin geöffneten lokalen Datei-Manager zu einer passenden Zertifikatsdatei, und wählen Sie
diese aus.
Der Datei-Manager wird geschlossen, und der Name der Zertifikatsdatei wird nun in der Liste
angezeigt.
b
Klicken Sie neben dem Feld Private key (Privater Schlüssel) auf Browse (Durchsuchen), navigieren
Sie im daraufhin geöffneten lokalen Datei-Manager zu einer passenden Schlüsseldatei, und
wählen Sie diese aus.
Der Datei-Manager wird geschlossen, und Name und Kennwort der Schlüsseldatei werden nun in
den Feldern Private key (Privater Schlüssel) bzw. Password (Kennwort) angezeigt.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Informationen zur Zertifikatsdatei werden im Fenster
Import Client Certificate (Client-Zertifikat importieren) angezeigt.
d
8
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zum
Zertifikat ein.
Klicken Sie auf OK.
Das Fenster Add Client Certificate (Client-Zertifikat hinzufügen) wird geschlossen, und der Name der
Zertifikatsdatei sowie der Kommentar (falls vorhanden) werden in der Liste Known client certificates
(bekannte Client-Zertifikate) angezeigt.
Wiederholen Sie die Schritte 5 bis 8 für jedes weitere Zertifikat, das Sie zur Liste hinzufügen
möchten.
9
Klicken Sie auf OK, um das Fenster Add Settings (Einstellungen hinzufügen) zu schließen.
Produkthandbuch
345
9
Web-Filterung
SSL-Scans
Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten
Mit den Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten werden Client-Zertifikate
konfiguriert, die in einer SSL-gesicherten Kommunikation an Web-Server gesendet werden.
Verarbeitung von SSL-Client-Zertifikaten
Einstellungen zum Konfigurieren von SSL-Client-Zertifikaten
Tabelle 9-24 Verarbeitung von SSL-Client-Zertifikaten
Option
Definition
Use client certificate from Known
client certificates list if client has
proven ownership (Client-Zertifikat aus
Liste bekannter Zertifikate verwenden,
wenn Client bewährten Besitz hat)
Bei Auswahl dieser Option wird das Client-Zertifikat, das in einer
SSL-gesicherten Kommunikation an einen Web-Server gesendet wird,
der Liste bekannter Client-Zertifikate entnommen.
Das Zertifikat wird jedoch nur dann dieser Liste entnommen, wenn
sichergestellt wurde, dass der Client, dessen Anfrage die Appliance
an einen Server weiterleitet, der Besitzer dieses Zertifikats ist.
Nach der Auswahl dieses Optionsfelds wird der Bereich Known Client
Certificates (Bekannte Client-Zertifikate) mit Einstellungen zum
Konfigurieren einer Liste mit Zertifikaten angezeigt.
Always use predefined client
certificate (Immer vordefiniertes
Client-Zertifikat verwenden)
Bei Auswahl dieser Option wird immer dasselbe Client-Zertifikat an
einen Web-Server in einer SSL-gesicherten Kommunikation gesendet.
Nach der Auswahl dieses Optionsfelds wird der Bereich Predefined Client
Certificate (Vordefiniertes Client-Zertifikat) mit Einstellungen zum
Konfigurieren eines einzelnen Zertifikats angezeigt
Known client certificates (Bekannte Client-Zertifikate)
Einstellungen zur Konfiguration einer Liste bekannter Client-Zertifikate, die an einen Web-Server
gesendet werden können
Tabelle 9-25 Known client certificates (Bekannte Client-Zertifikate)
Option
Definition
List of known client certificates (Liste
bekannter Client-Zertifikate)
Bietet eine Liste mit Client-Zertifikaten, die an einen
Web-Server in einer SSL-gesicherten Kommunikation
gesendet werden können.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Liste bekannter Client-Zertifikate
erläutert.
Tabelle 9-26 Known client certificates (Bekannte Client-Zertifikate) – Listeneintrag
Option
Definition
Certificate (Zertifikat)
Gibt den Namen eines Client-Zertifikats an.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Zertifikat.
Predefined client certificate (Vordefiniertes Client-Zertifikat)
Einstellungen zum Konfigurieren eines Client-Zertifikats, das immer an einen Web-Server gesendet
wird
346
Produkthandbuch
9
Web-Filterung
SSL-Scans
Tabelle 9-27 Predefined client certificate (Vordefiniertes Client-Zertifikat)
Option
Definition
Subject, Issuer, Validity, Extensions
Bietet Informationen zum Client-Zertifikat, das derzeit zum Senden
(Inhaber, Aussteller, Gültigkeit, an einen Web-Server verwendet wird.
Erweiterungen)
Import (Importieren)
Öffnet das Fenster Import Client Certificate (Client-Zertifikat importieren)
zum Importieren eines Client-Zertifikats.
Nach dem Import werden Informationen zum Client-Zertifikat unter
Subject (Inhaber), Issuer (Aussteller) sowie in den anderen
Informationsfeldern angezeigt.
Öffnet den lokalen Datei-Manager, um ein Client-Zertifikat an einem
passenden Ort zu speichern.
Export Key (Schlüssel exportieren)
Öffnet den lokalen Datei-Manager, um den privaten Schlüssel für ein
Client-Zertifikat an einem passenden Ort zu speichern.
Certificate Chain (Zertifikatskette)
Zeigt eine Zertifikatskette an, sofern eine mit einem Client-Zertifikat
importiert wurde.
Einstellungen für „SSL Scanner“
Mit den SSL-Einstellungen für „SSL Scanner“ wird konfiguriert, wie Zertifikate verifiziert und die
Inhaltsüberprüfung für SSL-gesicherten Web-Datenverkehr aktiviert wird.
Enable SSL Scanner (SSL Scanner aktivieren)
Einstellungen zum Konfigurieren der Zertifkatsverifizierung oder der Aktivierung der
Inhaltsüberprüfung
Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren)
Option
Definition
SSL scanner function
(SSL Scanner-Funktion)
Hiermit wird die vom Modul „SSL Scanner“ ausgeführte Funktion
ausgewählt.
• Certificate verification (Zertifikatverifizierung): Bei Auswahl dieser
Option verifiziert das Modul Zertifikate, die in der
SSL-gesicherten Kommunikation eingereicht wurden.
• SSL inspection (SSL-Prüfung): Bei Auswahl dieser Option überprüft
das Modul den Inhalt der in einer SSL-gesicherten
Kommunikation übertragenen Web-Objekte.
SSL protocol version
(SSL-Protokollversion)
Bei Auswahl dieser Option überprüft das Modul den Inhalt der in
einer SSL-gesicherten Kommunikation übertragenen Web-Objekte.
• TLS 1.0: Bei Auswahl dieser Option wird TLS (Transport Layer
Security), Version 1.0, verwendet.
• SSL 3.0: Bei Auswahl dieser Option wird SSL, Version 3.0,
verwendet.
Server cipher list
(Server-Verschlüsselungsliste)
Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum
Entschlüsseln von Server-Daten verwendet werden.
Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen
für die Standard-Zertifikatverifizierung und zum Verifizieren von
Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral
Diffie-Hellman) nicht unterstützt wird.
Produkthandbuch
347
9
Web-Filterung
SSL-Scans
Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren) (Fortsetzung)
Option
Definition
SSL session cache TTL
(SSL-Sitzungs-Cache TTL)
Gibt den Zeitraum (in Sekunden) vor, den die Parameterwerte
einer Sitzung in der SSL-gesicherten Kommunikation im Cache
gespeichert werden.
Allow handshake and renegotiation with
servers that do not implement RFC 5746
(Handshake und Neuaushandlung mit
Servern zulassen, die RFC 5746 nicht
implementieren)
Bei Auswahl dieser Option führt das Modul „SSL Scanner“ diese
Aktivitäten auch bei der Kommunikation mit Web-Servern aus, die
den festgelegten Standard nicht erfüllen.
Zulassen alternativer Handshakes
Einstellungen für Handshakes in der SSL-gesicherten Kommunikation, die alternative Parameterwerte
verwenden
Tabelle 9-29 Zulassen alternativer Handshakes
Option
Definition
Use alternative handshake settings after
handshake failure (Alternative
Handshake-Einstellungen nach
Handshake-Fehler verwenden)
Bei Auswahl dieser Option verwendet das SSL Scanner-Modul
alternative Parameterwerte, nachdem beim ersten Versuch der
Durchführung eines Handshakes in einer SSL-gesicherten
Kommunikation ein Fehler aufgetreten ist.
Wählt die Version des Protokolls, dem das SSL Scanner-Modul bei
der Durchführung eines alternativen Handshakes folgt.
Security), Version 1.0, verwendet
verwendet
Server cipher list
(Server-Verschlüsselungsliste)
Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum
Entschlüsseln von Server-Daten verwendet werden.
Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen
für die Standard-Zertifikatverifizierung und zum Verifizieren von
Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral
Diffie-Hellman) nicht unterstützt wird.
Einstellungen für SSL-Client-Kontext
Die Einstellungen für den SSL-Client-Kontext werden für das Modul verwendet, das die Zertifikate
verarbeitet, die die Appliance an ihre Clients sendet.
Definieren des SSL-Client-Kontexts
Einstellungen für das Zertifikat, das die Appliance an ihre Clients sendet
348
Produkthandbuch
9
Web-Filterung
SSL-Scans
Tabelle 9-30 Aktivieren des SSL-Scanners
Option
Definition
(Current root certificate
authority) (Aktuelle
Root-Zertifizierungsstelle)
Bietet Informationen zur Root-Zertifizierungsstelle, die derzeit auf
der Appliance verwendet wird.
Send certificate chain (Zertifikatskette
senden)
Nach der Ersteinrichtung wird eine
Standard-Root-Zertifizierungsstelle auf der Appliance implementiert.
Zur weiteren Administration wird empfohlen, eine eigene
Root-Zertifizierungsstelle zu erstellen. Verwenden Sie zum Erstellen
dieser Zertifizierungsstelle die Schaltfläche Generate New (Neu
generieren).
Bei Auswahl dieser Option sendet die Appliance Informationen zur
Kette der Zertifikate, die an der Bestätigung des Zertifikats beteiligt
sind, das die Appliance an ihre Clients sendet.
Bei dem Zertifikat, das die Appliance als Server an ihre Clients
sendet, wird davon ausgegangen, dass es sich auf Stufe 0 befindet.
Wenn eine Zertifizierungsstelle dieses Server-Zertifikat zur
Bestätigung signiert, erfolgt dies auf Stufe 1.
Wenn eine zusätzliche Zertifizierungsstelle die erste
Zertifizierungsstelle validiert, erfolgt dies auf Stufe 2. Die Stufe
erhöht sich mit jeder zusätzlichen beteiligten Zertifizierungsstelle
um den Wert 1.
Certificate Chain (Zertifikatskette)
Bietet Informationen zu einer Zertifikatskette.
Nach dem Importieren einer vorhandenen Zertifizierungsstelle, die
an einer Zertifikatskette beteiligt ist, werden die Informationen zu
dieser Zertifikatskette im Feld angezeigt.
Perform insecure renegotations
(Durchführen unsicherer
Neuaushandlungen)
Bei Auswahl dieser Option handelt das Modul die Parameter für die
SSL-gesicherte Kommunikation auch dann neu aus, wenn dies
eigentlich unsicher ist.
Client cipher list
(Client-Verschlüsselungslisten)
Gibt eine Zeichenfolge aus Open SSL-Symbolen an, die zum
Entschlüsseln von Client-Daten verwendet werden.
SSL session cache TTL
(SSL-Sitzungs-Cache TTL)
Gibt den Zeitraum (in Sekunden) vor, den die im Cache
gespeicherten Parameterwerte einer Sitzung in der SSL-gesicherten
Kommunikation beibehalten werden.
Wählt die Version des Protokolls aus, dem das SSL Scanner-Modul
bei der Durchführung eines Handshakes folgt.
Security), Version 1.0, verwendet
verwendet
Einstellungen für die Zertifikatskette
Mit den Einstellungen für die Zertifikatskette wird das Modul konfiguriert, das für die Erstellung von
Zertifikatsketten zuständig ist.
Zertifikatsverifizierung
Einstellungen zum Erstellen einer Zertifikatskette
Produkthandbuch
349
9
Web-Filterung
SSL-Scans
Tabelle 9-31 Zertifikatsverifizierung
Option
Definition
Hier können Sie aus einer Liste eine Zertifizierungsstelle
auswählen, die die Zertifikate in einer Zertifikatskette
signiert.
In der folgenden Tabelle werden die Elemente eines Eintrags in dieser Liste erläutert.
Tabelle 9-32 Liste der Zertifizierungsstellen
Option
Definition
Certificate authority (Zertifizierungsstelle)
Gibt den Namen einer Zertifizierungsstelle an.
Certificate revocation list
(Zertifikatsperrliste)
Gibt die Liste, die Informationen zum Gültigkeitsende eines von
dieser Zertifizierungsstelle signierten Zertifikats enthält, und die
für den Zugriff auf die Liste verwendete URI an.
Trusted (Vertrauenswürdig)
Bei Auswahl dieser Option gilt die Zertifizierungsstelle auf der
Appliance als vertrauenswürdig.
Comment (Kommentar)
Kommentar zu einer Zertifizierungsstelle im Nur-Text-Format.
SSL Scanner (Regelsatz)
Der Regelsatz SSL Scanner ist der Standard-Regelsatz für das SSL-Scannen.
Standard-Regelsatz – SSL Scanner
Criteria – Always
• Handle CONNECT Call
• Certificate Verification
• Verify Common Name (proxy setup)
• Content Inspection
• Verify Common Name (transparent setup)
Handle CONNECT Call
Dieser untergeordnete Regelsatz behandelt den CONNECT-Aufruf in SSL-gesicherter Kommunikation
und aktiviert die Zertifikatsüberprüfung.
Untergeordneter Bibliotheks-Regelsatz – Handle CONNECT Call
Criteria – Command.Name equals “CONNECT”
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn auf der Appliance eine
Anfrage eingeht, die den CONNECT-Befehl enthält. Dieser wird in der Eröffnungsphase der
SSL-gesicherten Kommunikation gesendet.
Set client context
Always –> Continue – Enable SSL Client Context with CA <Default CA>
Die Regel aktiviert die Verwendung eines Server-Zertifikats, das an einen Client gesendet wird.
350
Produkthandbuch
Web-Filterung
SSL-Scans
9
Als standardmäßiger Aussteller des Zertifikats ist in den Ereigniseinstellungen die Zertifizierungsstelle
für McAfee Web Gateway-Stammzertifikate angegeben, die nach der Erstkonfiguration auf der
Appliance implementiert wurde.
Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird.
Tunneled hosts
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
Mit dieser Regel können Anfragen das SSL-Scannen umgehen, die Zugriff auf Hosts mit einer URL
anfordern, die in der angegebenen Whitelist aufgeführt ist.
Restrict destination ports to Allowed CONNECT Ports
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
Die Regel blockiert Anfragen mit Ziel-Ports, die nicht in der Liste der zulässigen CONNECT-Ports
aufgeführt sind.
erhält.
Enable certificate verification without EDH for hosts in no-EDH server list
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
Die Regel aktiviert die Zertifikatsüberprüfung für Anfragen, die von einem Host gesendet wurden, der
in der Liste der Server ohne Diffie-Helman-Schlüsselaustausch (EDH) aufgeführt ist.
erhält.
In den Ereigniseinstellungen ist festgelegt, dass das SSL-Scan-Modul im Überprüfungsmodus
ausgeführt wird. Außerdem ist dort eine spezielle Verschlüsselungszeichenfolge für die
Datenverschlüsselung auf Hosts ohne Diffie-Helman-Schlüsselaustausch angegeben.
Enable certificate verification
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
Die Regel aktiviert die Zertifikatsüberprüfung.
Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Überprüfungsmodus ausgeführt
wird.
Certificate Verification
Dieser untergeordnete Regelsatz behandelt den CERTVERIFY-Aufruf in SSL-gesicherter
Kommunikation. Entsprechend bestimmter Kriterien lässt er in der Whitelist enthaltene Zertifikate die
Überprüfung umgehen, blockiert jedoch andere Zertifikate.
Untergeordneter Bibliotheks-Regelsatz – Certificate Verification
Criteria – Command.Name equals “CERTVERIFY*
Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung
eines Zertifikats gesendet.
Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz:
•
Verify Common Name (proxy setup)
Produkthandbuch
351
9
Web-Filterung
SSL-Scans
Skip verification for certificates found in Certificate Whitelist
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
Die Regel lässt in der Whitelist enthaltene Zertifikate die Überprüfung umgehen.
Block self-signed certificates
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
Die Regel blockiert Anfragen mit selbstsignierten Zertifikaten.
erhält.
Block expired server (7 day tolerance) and expired CA certificates
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate incident>
Die Regel blockiert Anfragen mit abgelaufenen und CA-Zertifikaten.
erhält.
Block too long certificate chains
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
Die Regel blockiert eine Zertifikatskette, wenn diese die Pfadlänge überschreitet.
Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle
überprüft.
erhält.
Block revoked certificates
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn eines der enthaltenen Zertifikate widerrufen wurde.
überprüft.
erhält.
Block unknown certificate authorities
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn keine der Zertifizierungsstellen, die die enthaltenen
Zertifikate ausgestellt haben, bekannt ist.
überprüft.
erhält.
Block untrusted certificate authorities
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
Die Regel blockiert eine Zertifikatskette, wenn die erste bekannte Zertifizierungsstelle, die gefunden
wurde, nicht als vertrauenswürdig eingestuft ist.
352
Produkthandbuch
9
Web-Filterung
SSL-Scans
überprüft.
erhält.
Verify Common Name (proxy setup)
Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen.
Der Regelsatz wird bei Anfragen angewendet, die im Modus „expliziter Proxy“ gesendet wurden.
Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (proxy setup)
Criteria – Connection.SSL.TransparentCNHandling equals false
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit
SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens
nicht im transparenten Modus ausgeführt wird.
Allow matching hostname
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im
Zertifikat übereinstimmt.
Allow wildcard certificates
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden
allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen.
Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host
übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt.
Allow alternative common names
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten,
sofern mindestens einer dieser Namen mit dem Host übereinstimmt.
Block incident
Always –> Block <Common name mismatch>
Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert
diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt.
erhält.
Content Inspection
Dieser untergeordnete Regelsatz schließt die Behandlung eines CERTVERIFY-Aufrufs ab. Entsprechend
bestimmter Kriterien lässt er manche Anfragen die Inhaltsprüfung umgehen, aktiviert diese Prüfung
jedoch für alle anderen.
Produkthandbuch
353
9
Web-Filterung
SSL-Scans
Untergeordneter Bibliotheks-Regelsatz – Content Inspection
Criteria – Command.Name equals “CERTVERIFY*
Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung
eines Zertifikats gesendet.
Skip content inspection for hosts found in SSL Inspection Whitelist
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection Whitelist –>
Stop Rule Set
Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn diese an Hosts gesendet wurden, die in
der Whitelist enthalten sind. Angewendet wird diese Regel nur im nicht-transparenten Modus.
Skip content inspection for CN found in SSL Inspection Whitelist
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL Inspection
Whitelist –> Stop Rule Set
Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn deren Zertifikate in der Whitelist
enthaltene allgemeine Namen aufweisen. Angewendet wird diese Regel nur im transparenten Modus.
Die Regel ist anfänglich nicht aktiviert.
Do not inspect connections with client certificates
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
Die Regel lässt Anfragen die Prüfung umgehen, wenn für diese Anfragen die Nutzung von
Client-Zertifikaten erforderlich ist.
Die Regel ist anfänglich nicht aktiviert.
Enable content inspection
Always –> Continue – Enable SSL Scanner<Enable content inspection>
Die Regel aktiviert die Inhaltsprüfung.
Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Prüfmodus ausgeführt wird.
Wenn mindestens eine der Regeln zum Umgehen der Inhaltsprüfung zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und diese (letzte) Regel zur Aktivierung der Prüfung wird nicht verarbeitet.
Andernfalls aktiviert diese Regel die Inhaltsprüfung.
Verify Common Name (transparent setup)
Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen.
Der Regelsatz wird nur bei Anfragen angewendet, die im transparenten Modus gesendet wurden.
Bei Anfragen, die im Modus „expliziter Proxy“ gesendet wurden, wird der mit dem allgemeinen Namen
zu vergleichende Host-Name aus der von einem Client gesendeten CONNECT-Anfrage entnommen.
Da im transparenten Modus keine CONNECT-Anfragen gesendet werden, wird der Host-Name in
diesem Fall der vom Client gesendeten Anfrage für den Web-Zugriff entnommen.
Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (transparent setup)
Criteria – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not equal “
CONNECT” AND Command.Name does not equal “CERTVERIFY”
354
Produkthandbuch
9
Web-Filterung
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit
SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens
im transparenten Modus ausgeführt wird.
Allow matching hostname
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im
Zertifikat übereinstimmt.
Allow wildcard certificates
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden
allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen.
Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host
übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt.
Allow alternative common names
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten,
sofern mindestens einer dieser Namen mit dem Host übereinstimmt.
Block incident
Always –> Block <Common name mismatch>
Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung
des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert
diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt.
erhält.
Der Einsatz eines Hardware Security Module (HSM) erhöht die Sicherheit beim Verarbeiten der
privaten Schlüssel für die Zertifikate, die im Rahmen der SSL-gesicherten Kommunikation an Server
und Clients gesendet werden.
Schlüssel für Zertifikate, die in SSL-gesicherter Kommunikation verwendet werden, können öffentlich
oder privat sein. Wenn Sie private Schlüssel verwenden und diese nicht offenlegen möchten, können
Sie sie in einem Hardware Security Module speichern. Ein Hardware Security Module ist eine separate
Hardware-Komponente, die auf einer Web Gateway-Appliance installiert ist.
Wenn die Schlüssel zur Konfiguration und Aktivierung eines Zertifikats benötigt werden, werden sie
anhand ihrer ID (auch als Schlüsselname bezeichnet) referenziert, während die eigentlichen Schlüssel
geschützt auf der Hardware-Komponente verbleiben.
Schlüsselverarbeitung in einem Hardware Security Module
Alle Kryptografievorgänge, die für die Verwendung eines privaten Schlüssels erforderlich sind, der
wiederum zur Nutzung eines Zertifikats benötigt wird, werden im Hardware Security Module
ausgeführt. Diese Methode der Schlüsselverarbeitung erhöht die Sicherheit im Vergleich zur
alternativen Methode, bei der ein Schlüssel aus einer Datei importiert wird, die geöffnet und gelesen
werden kann.
Produkthandbuch
355
9
Web-Filterung
Schlüssel werden im Modul generiert oder in das Modul importiert. Sie werden geladen, damit sie in
Web Gateway zur Konfiguration und Verwendung von Zertifikaten durch den HSM-Agenten verfügbar
sind, der zum Web Gateway-Appliance-System gehört.
Der HSM-Agent kann einen privaten Schlüssel nur laden, wenn Sie die Schlüssel-ID im
Zeichenfolgenformat einer Liste in der Benutzeroberfläche von Web Gateway hinzufügt und dem
Agenten bereitgestellt haben.
Für die Kommunikation mit dem HSM-Agenten wird auf einer Appliance, auf der ein Hardware Security
Module installiert ist, ein HSM-Server eingerichtet. Die Einrichtung erfolgt auf der Benutzeroberfläche
von Web Gateway in den Einstellungen für das Hardware Security Module.
Beim Generieren von Zertifikatschlüsseln werden zur Erhöhung der Schlüsselsicherheit normalerweise
auch Kennwörter oder ein OCS (Operator Card System) verwendet. Schlüssel können jedoch auch
ohne diese zusätzlichen Optionen generiert werden. Wenn ein Schlüssel durch ein Kennwort oder OCS
geschützt ist, müssen Sie ihn im Hardware Security Module entsperren, um ihn verwenden zu können.
Importieren eines Schlüssels für ein Zertifikat
Um ein Zertifikat in der Benutzeroberfläche von Web Gateway zu importieren, wird ein Import-Fenster
bereitgestellt, das verschiedene Optionen zum Importieren des zur Aktivierung des Zertifikats
erforderlichen Schlüssels enthält.
Sie können einen Schlüssel importieren, der in einer Datei gespeichert ist, oder anhand der
Schlüssel-ID auf einen Schlüssel auf dem Hardware Security Module verweisen. Sie verweisen auf
einen Schlüssel, indem Sie in der von Ihnen erstellten Schlüsselliste eine Zeichenfolge auswählen.
Remote-Verwendung eines Hardware Security Module
Auf einem Hardware Security Module können die Schlüssel auf der Web Gateway-Appliance, auf der
das Modul installiert ist, gespeichert und geladen werden. Es kann auch von anderen Web
Gateway-Appliances innerhalb Ihres Netzwerks verwendet werden, auf denen kein solches Modul
installiert ist.
Eine Appliance, auf der ein Hardware Security Module installiert ist, wird als HSM-Server konfiguriert.
Appliances, auf denen kein Modul installiert ist, werden als Clients dieses Servers konfiguriert, sodass
sie eine Verbindung mit dem Server herstellen und Zertifikatsschlüssel laden können.
Die Konfiguration einer Appliance als HSM-Server oder -Client erfolgt auf der Benutzeroberfläche von
Web Gateway in den Einstellungen für das Hardware Security Module.
Installation und Zugriff auf ein Hardware Security Module
Ein Hardware Security Module wird auf einer PCI-Karte zur Verfügung gestellt, die zusammen mit den
entsprechenden Treibern auf einer Appliance installiert wird, auf der Web Gateway ausgeführt wird.
Wenn die Modulkarte installiert ist, können Sie auf das Modul zugreifen, indem Sie sich über eine
Systemkonsole bei der Appliance anmelden. Aktivitäten wie das Generieren oder Entsperren von
Schlüsseln führen Sie auf dem Modul durch Eingabe der entsprechenden Befehle in der Befehlszeile
aus.
Weitere Informationen zum Installieren einer Hardware Security Module-Karte und zum Durchführen
von Aktivitäten auf dem Modul finden Sie in der Dokumentation des McAfee-Partners, der das Modul
bereitstellt (Thales).
Zuständigkeiten des Administrators bei der Schlüsselverarbeitung
Administratoren können unterschiedliche Zuständigkeiten zugewiesen werden, um die Sicherheit bei
der Schlüsselverarbeitung zu erhöhen.
356
Produkthandbuch
9
Web-Filterung
So könnte beispielsweise ein Administrator für das Generieren von Zertifikatschlüsseln auf einem
Hardware Security Module zuständig sein, während der Web Gateway-Administrator anhand dieser
Schlüssel Zertifikate auf der Benutzeroberfläche von Web Gateway konfiguriert.
Dem Web Gateway-Administrator müssen dann die generierten Schlüssel-IDs und die
Schlüsselkennwörter bekannt sein, die für zusätzlichen Schutz festgelegt wurden.
Protokollieren von Schlüsselvorgängen
Schlüsselvorgänge, an denen ein Hardware Security Module beteiligt ist, werden in Web Gateway
protokolliert und im Dashboard der Benutzeroberfläche unter SSL Scanner Statistics
(SSL-Scanner-Statistik) als Remote Private Key Operations (Remote-Vorgänge für private Schlüssel)
angezeigt.
Verwendung eines Hardware Security Module zum Verwalten
von Zertifikatsschlüsseln
Mit einem Hardware Security Module (HSM) können Sie die Sicherheit der privaten Schlüssel erhöhen,
die für die SSL-verschlüsselte Kommunikation verwendet werden. Mithilfe des HSM können Schlüssel
erstellt und gespeichert und verschiedene andere Aktivitäten durchgeführt werden.
Die folgenden Schritte müssen möglicherweise von unterschiedlichen Administratoren ausgeführt
werden.
Vorgehensweise
1
Konfigurieren Sie eine Web Gateway-Appliance so, dass darauf ein Hardware Security Module
ausgeführt werden kann.
a
Installieren Sie auf der Appliance eine Hardware Security Module-Karte.
b
Die Treiber für das Hardware Security Module werden über eine Systemkonsole installiert.
Weitere Informationen zum Installieren der PCI-Karte mit dem Hardware Security Module finden
Sie im Installationshandbuch für McAfee Web Gateway.
Weitere Informationen zum Installieren der Modultreiber können Sie der entsprechenden
Dokumentation des McAfee-Partners entnehmen, der das HSM anbietet (Thales).
2
Erstellen Sie über eine Systemkonsole im Hardware Security Module einen Security World-Bereich
und (optional) ein OCS (Operator Card Set) für die entsprechenden Schlüssel. Erstellen Sie
anschließend die Schlüssel, bzw. importieren Sie sie, und merken Sie sich die Schlüssel-IDs.
Weitere Informationen zum Erstellen dieser Elemente können Sie der entsprechenden
3
Konfigurieren Sie auf der Web Gateway-Benutzeroberfläche eine der folgenden beiden Optionen:
•
Lokale Verwendung des Moduls
Richten Sie auf einer Appliance mit installiertem Hardware Security Module einen HSM-Server
zur lokalen Nutzung ein.
•
Remote-Verwendung des Moduls
•
Richten Sie auf einer Appliance mit installiertem Hardware Security Module einen
HSM-Server zur lokalen Nutzung ein. Erteilen Sie anschließend den Clients dieses Servers die
Berechtigung zur Remote-Verwendung des Moduls.
•
Konfigurieren Sie die Appliances ohne installiertes Modul, die das Modul per Remote-Zugriff
nutzen sollen, als HSM-Clients.
Produkthandbuch
357
9
Web-Filterung
4
Entsperren Sie über eine Systemkonsole die Schlüssel im Hardware Security Module, die durch ein
Kennwort bzw. ein OCS (Operator Card Set) geschützt sind.
Weitere Informationen zum Entsperren von Schlüsseln können Sie der entsprechenden
5
Sie können die Schlüssel nun auf der Benutzeroberfläche von Web Gateway zum Erstellen von
Zertifikaten verwenden.
Konfigurieren der lokalen Verwendung eines Hardware Security
Module
Sie können die lokale Verwendung eines Hardware Security Module konfigurieren, sodass es nur auf
der Appliance verwendet wird, auf der es installiert ist.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie die lokale Verwendung des
Moduls konfigurieren möchten, und klicken Sie dann auf Hardware Security Module.
3
Wählen Sie unter HSM Server (HSM-Server) die Option Start local HSM server (Lokalen HSM-Server
starten) aus.
4
Fügen Sie der Liste Keys to be loaded (Zu ladende Schlüssel) Einträge für die Schlüssel hinzu, die zum
Laden verfügbar sein sollen.
Geben Sie hierfür die Schlüssel-ID der einzelnen Schlüssel im Zeichenfolgenformat ein.
5
Siehe auch
Einstellungen für das Hardware Security Module auf Seite 360
Konfigurieren der Remote-Verwendung eines Hardware
Security Module
Sie können die Remote-Verwendung eines Hardware Security Module konfigurieren, sodass es für
Appliances in Ihrem Netzwerk verfügbar ist, auf denen kein solches Modul installiert ist.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance mit dem Modul aus, für das Sie die
Remote-Verwendung konfigurieren möchten, und klicken Sie dann auf Hardware Security Module.
3
Konfigurieren Sie einen HSM-Server auf dieser Appliance.
a
Wählen Sie unter HSM Server (HSM-Server) die Option Start local HSM server (Lokalen HSM-Server
starten) aus.
b
Fügen Sie der Liste Keys to be loaded (Zu ladende Schlüssel) Einträge für die Schlüssel hinzu, die
zum Laden verfügbar sein sollen.
Geben Sie hierfür die Schlüssel-ID der einzelnen Schlüssel im Zeichenfolgenformat ein.
c
358
Klicken Sie auf Allow remote connections (Remote-Verbindungen zulassen).
Produkthandbuch
9
Web-Filterung
4
d
Fügen Sie in der Liste HSM server port definition (HSM-Server-Port-Definition) einen oder mehrere
Ports hinzu, die auf Client-Anfragen überwachen.
e
Generieren oder importieren Sie unter Server identification (Server-Identifikation) ein Zertifikat für
den Server. Exportieren Sie es dann an einen Ort, von dem Sie es bei der Konfiguration der
Clients wieder importieren können.
Führen Sie für jede Appliance, die Sie als HSM-Client konfigurieren möchten, Folgendes durch:
a
Wählen Sie in der Appliances-Struktur eine Appliance aus, auf der kein Modul installiert ist, und
klicken Sie dann auf Hardware Security Module.
b
Wählen Sie unter HSM Client (HSM-Client) die Option Use remote HSM server (Remote-HSM-Server
verwenden) aus.
c
Fügen Sie in der Liste Remote server (Remote-Server) einen Eintrag für den HSM-Server hinzu.
Geben Sie den Host-Namen und den Listener-Port ein, und importieren Sie das
Server-Zertifikat.
d
5
Generieren oder importieren Sie unter Client identification (Client-Identifikation) ein Zertifikat für
den Client. Exportieren Sie es dann an einen Ort, von dem aus Sie es bei der Konfiguration der
Liste der zulässigen Clients wieder importieren können.
Fügen Sie unter HSM Server (HSM-Server) einen Eintrag für jeden HSM-Client zur Liste Permitted clients
(Zulässige Clients) hinzu.
Geben Sie den Host-Namen ein, und importieren Sie das Client-Zertifikat.
6
Siehe auch
Einstellungen für das Hardware Security Module auf Seite 360
Konfigurieren eines Zertifikats mithilfe einer Schlüssel-ID
In einem Hardware Security Module können Sie mithilfe der ID eines privaten Schlüssels ein Zertifikat
zur Verwendung bei der SSL-verschlüsselten Kommunikation konfigurieren.
In den folgenden Einstellungen können private Schlüssel des Hardware-Sicherheitsmoduls zum
Konfigurieren von Zertifikaten eingesetzt werden: SSL Client Certificate Handling
(SSL-Client-Zertifikate verwalten), SSL Client Context with CA (SSL-Client-Kontext mit
Zertifizierungsstelle), SSL Client Context without CA (SSL-Client-Kontext ohne Zertifizierungsstelle).
Bei der folgenden Vorgehensweise wird in der Einstellung SSL Client Context with CA
(SSL-Client-Kontext mit Zertifizierungsstelle) ein Zertifikat mithilfe eines Schlüssels konfiguriert.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungsstruktur die Einstellung SSL Client Context with
CA (SSL-Client-Kontext mit Zertifizierungsstelle), und wählen Sie dann die Einstellung Default CA
(Standard-Zertifizierungsstelle) aus.
3
Klicken Sie unter Define SSL Client Context (SSL-Client-Kontext definieren) auf die Option Import
(Importieren), die sich neben Certificate Authority (Zertifizierungsstelle) befindet.
Daraufhin öffnet sich das Fenster Import Certificate Authority (Zertifizierungsstelle importieren).
4
Klicken Sie neben Certificate (Zertifikat) auf Browse (Durchsuchen), navigieren Sie zur gewünschten
Zertifikatsdatei, und importieren Sie diese.
Produkthandbuch
359
9
Web-Filterung
5
Wählen Sie neben Private key source (Herkunft des privaten Schlüssels) die Option HSM aus.
Daraufhin wird eine Dropdown-Liste der IDs für das verfügbare HSM angezeigt.
6
Wählen Sie eine Schlüssel-ID aus, und klicken Sie dann auf Import (Importieren), um das Zertifikat
mit diesem Schlüssel zu importieren.
7
Einstellungen für das Hardware Security Module
Mit den Einstellungen für das Hardware Security Module wird die Verarbeitung von Zertifikatschlüsseln
auf einem lokal oder auf einer anderen Appliance installierten Hardware Security Module konfiguriert.
HSM Server (HSM-Server)
Dies sind die Einstellungen für ein Hardware Security Module auf der Web Gateway-Appliance, die Sie
gerade konfigurieren.
Tabelle 9-33 HSM Server (HSM-Server)
Option
Definition
Start local HSM server
(Lokalen HSM-Server
starten)
Bei Auswahl dieser Option wird ein Hardware Security Module zum Speichern
und Laden von Schlüsseln für diese Appliance ausgeführt.
Keys to be loaded (Zu
ladende Schlüssel)
Enthält eine Liste von Schlüssel-IDs für die Schlüssel, die im Hardware
Security Module gespeichert sind und zur Verwendung mit einem Zertifikat
geladen werden können.
Das Modul wird auf einem Server bereitgestellt, mit dem andere Web
Gateway-Appliances in Ihrem Netzwerk eine Verbindung als Client herstellen
können, um die im Modul gespeicherten Schlüssel zu laden.
Für jeden Schlüssel, den Sie in Web Gateway verwenden möchten, müssen
Sie die Schlüssel-ID im Zeichenfolgenformat zu dieser Liste hinzufügen.
Die Schlüssel-IDs werden bekannt, wenn Schlüssel im Hardware Security
Module generiert oder importiert werden.
In der folgenden Tabelle wird ein Eintrag in der Schlüsselliste erläutert.
Tabelle 9-34 Zu ladende Schlüssel – Listeneintrag
Option
Definition
String (Zeichenfolge)
Gibt die Schlüssel-ID für einen im Hardware Security Module gespeicherten
Schlüssel an.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Schlüssel.
Option
Definition
Allow local connections (Lokale
Verbindungen zulassen)
Bei Auswahl dieser Option können die im Hardware Security
Module gespeicherten Schlüssel für Verbindungen
verwendet werden, die auf dieser Appliance eingerichtet
sind.
Allow remote connections
(Remote-Verbindungen zulassen)
Bei Auswahl dieser Option können die im Hardware Security
Module gespeicherten Schlüssel per Remote-Zugriff für
Verbindungen verwendet werden, die auf anderen Web
Gateway-Appliances in Ihrem Netzwerk eingerichtet sind.
Bei Auswahl dieser Option müssen Sie die Ports des
HSM-Servers auf dieser Appliance angeben, die für
Remote-Verbindungen verfügbar sind.
360
Produkthandbuch
9
Web-Filterung
Option
Definition
HSM server port definition list (Liste der
HSM-Server-Port-Definitionen)
Enthält eine Liste der Ports auf dem HSM-Server.
Permitted clients (Zulässige Clients)
Enthält eine Liste der anderen Appliances in Ihrem
Netzwerk, die als Clients des HSM-Servers ausgeführt
werden können und das Hardware Security Module zum
Laden von Schlüsseln verwenden können.
In den folgenden Tabellen werden die Einträge in der Liste der HSM-Server-Ports und der Liste der
zulässigen Clients erläutert.
Tabelle 9-35 HSM server port definition list (Liste der HSM-Server-Port-Definitionen) –
Listeneintrag
Option
Definition
Listener address (Listener-Adresse) IP-Adresse und Port-Nummer eines Ports auf dem HSM-Server, der
auf Anfragen zur Herstellung einer Remote-Verbindung überwacht.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Port.
Tabelle 9-36 Permitted clients (Zulässige Clients) – Listeneintrag
Option
Definition
Host
Gibt den Host-Namen oder die IP-Adresse einer Web Gateway-Appliance in
Ihrem Netzwerk an, die zum Laden der im Hardware Security Module auf
dieser Appliance gespeicherten Schlüssel berechtigt ist.
Gibt das Zertifikat an, das ein Client beim Herstellen einer Verbindung mit
dem HSM-Server sendet.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem zulässigen Client.
Server Identification (Server-Identifizierung)
Dies sind Einstellungen für das Zertifikat, das der HSM-Server beim Herstellen einer Verbindung mit
seinen Clients sendet.
Für den HSM-Server wird nach der Ersteinrichtung einer Web Gateway-Appliance
standardmäßig ein von der McAfee-Stammzertifizierungsstelle ausgestelltes Zertifikat
bereitgestellt.
Sie sollten dieses Zertifikat durch ein eigenes Zertifikat ersetzen.
Tabelle 9-37
Option
Definition
Subject, Issuer, Validity, Extensions, Private key
(Inhaber, Aussteller, Gültigkeit,
Erweiterungen, privater Schlüssel)
Bietet Informationen zum derzeit verwendeten Zertifikat.
Server certificate (Server-Zertifikat)
Enthält Schaltflächen zur Durchführung verschiedener
Aktivitäten in Bezug auf ein Server-Zertifikat:
• Generieren eines Zertifikats
• Importieren eines Zertifikats
• Exportieren eines Zertifikats
• Exportieren eines Zertifikatschlüssels
Produkthandbuch
361
9
Web-Filterung
HSM Client (HSM-Client)
Dies sind Einstellungen für das Konfigurieren der Verwendung eines Hardware Security Module, das
sich auf einer anderen Web Gateway-Appliance in Ihrem Netzwerk befindet.
Tabelle 9-38 HSM Server (HSM-Server)
Option
Definition
Use remote HSM server
(Remote-HSM-Server
verwenden)
Bei Auswahl dieser Option verwendet diese Appliance die Schlüssel,
die in einem Hardware Security Module auf einer anderen Web
Gateway-Appliance in Ihrem Netzwerk gespeichert sind.
Das Modul wird auf einem Server bereitgestellt, mit dem diese
Appliance eine Verbindung als Client herstellen kann.
Bei Auswahl dieser Option müssen Sie einen oder mehrere Server in
einer Liste angeben.
Remote server (Remote-Server)
Enthält eine Liste der anderen Web Gateway-Appliances in Ihrem
Netzwerk, auf denen ein Hardware Security Module auf einem Server
ausgeführt wird, mit dem diese Appliance eine Verbindung als Client
herstellen kann.
In der folgenden Tabelle wird ein Eintrag in der Liste der Remote-Server erläutert.
Tabelle 9-39 Remote server (Remote-Server) – Listeneintrag
Option
Definition
Host
Gibt den Host-Namen oder die IP-Adresse einer Web Gateway-Appliance in
Ihrem Netzwerk an, auf der ein Hardware Security Module auf einem Server
ausgeführt wird.
Zertifikat, das der Server beim Herstellen einer Verbindung mit einem Client
sendet.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Remote-Server.
Client Identification (Client-Identifizierung)
Dies sind Einstellungen für das Zertifikat, das diese Appliance beim Herstellen einer Verbindung mit
einem HSM-Server als Client sendet.
Für diesen Client wird nach der Ersteinrichtung einer Web Gateway-Appliance standardmäßig
ein von der McAfee-Stammzertifizierungsstelle ausgestelltes Zertifikat bereitgestellt.
Sie sollten dieses Zertifikat durch ein eigenes Zertifikat ersetzen.
Tabelle 9-40
Option
Definition
Subject, Issuer, Validity, Extensions, Private key
(Inhaber, Aussteller, Gültigkeit,
Erweiterungen, privater Schlüssel)
Bietet Informationen zum derzeit verwendeten Zertifikat.
Client certificate (Client-Zertifikat)
Enthält Schaltflächen zur Durchführung verschiedener
Aktivitäten in Bezug auf ein Client-Zertifikat:
• Generieren eines Zertifikats
• Importieren eines Zertifikats
• Exportieren eines Zertifikats
• Exportieren eines Zertifikatschlüssels
362
Produkthandbuch
9
Web-Filterung
Nachdem ein Web-Objekt durch Web Gateway auf Viren oder andere Malware gescannt wurde, können
Sie es zusätzlich durch das Web-Sicherheitsprodukt Advanced Threat Defense (McAfee Advanced
Threat Defense) scannen lassen.
®
Advanced Threat Defense nutzt die sogenannte Sandboxing-Methode zum Scannen, bei der das
Verhalten eines bestimmten Web-Objekts zunächst in einer isolierten Testumgebung analysiert wird.
Das Scan-Ergebnis wird in einem Bericht erfasst und an Web Gateway gesendet.
Der zusätzliche Scan-Vorgang durch Advanced Threat Defense wird auch als Offline-Scan oder
Hintergrund-Scan bezeichnet.
Um die Nutzung von Advanced Threat Defense zu aktivieren, müssen Sie auf Web Gateway geeignete
Regeln implementieren. Regelsätze, die solche Regeln enthalten, können Sie aus der
Regelsatz-Bibliothek importieren.
Für die Konfiguration von Advanced Threat Defense in Web Gateway stehen Ihnen folgende
Optionen zur Verfügung:
•
Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Verwendung von
Advanced Threat Defense aus der Bibliothek importiert und in der Baumstruktur auf
einen Regelsatz geklickt haben, können Sie die wichtigsten Elemente dieser Regeln für
den zusätzlichen Scan konfigurieren.
•
Vollständige Regeln: Nachdem Sie in der Schlüsselelement-Ansicht auf Unlock View
(Anzeige entsperren) geklickt haben, werden die Regeln für den Zusatz-Scan vollständig
angezeigt, und Sie können alle Elemente, einschließlich der Schlüsselelemente,
konfigurieren sowie neue Regeln erstellen oder Regeln löschen.
Konfigurationsoptionen für die Verwendung von Advanced Threat Defense
Zur Implementierung eines von Advanced Threat Defense durchgeführten zusätzlichen Scans können
Sie verschiedene Optionen definieren.
•
Forwarding a web object depending on the additional scanning (Web-Objekt abhängig von
Ergebnis des Zusatz-Scans weiterleiten): Bei Auswahl dieser Option bestimmt das Ergebnis des
zusätzlich von Advanced Threat Defense durchgeführten Scans, ob ein Web-Objekt an den
anfordernden Benutzer weitergeleitet wird.
Es werden nur Web-Objekte weitergeleitet, die als sicher eingestuft wurden.
•
Forwarding a web object before the additional scanning (Web-Objekt vor Zusatz-Scan
weiterleiten): Bei Auswahl dieser Option wird das Web-Objekt an den anfordernden Benutzer
weitergeleitet, bevor der zusätzliche Scan durch Advanced Threat Defense durchgeführt wird.
Sollte während des Scans festgestellt werden, dass das Web-Objekt infiziert ist, wird eine
Warnmeldung an den Administrator des Netzwerks gesendet, von dem der Benutzer die Anfrage
gestellt hat.
Sie können auch konfigurieren, dass ein bereits gescanntes Web-Objekt kein zweites Mal von
Advanced Threat Defense gescannt werden soll. In diesem Fall wird der beim ersten Scannen erstellte
Bericht erneut ausgewertet.
Produkthandbuch
363
9
Web-Filterung
Verfügbarkeit von Advanced Threat Defense
Für die Verwendung mit Web Gateway wird die Web-Sicherheits-Software Advanced Threat Defense
auf derselben Hardware-Plattform vorinstalliert geliefert, auf der sie als Appliance auf einem separaten
Server ausgeführt wird.
Es können auch mehrere Instanzen des Produkts auf verschiedenen Servern ausgeführt und zur
Unterstützung von Web Gateway verwendet werden. Jede Instanz des Produkts muss auf einer
eigenen Hardware-Plattform installiert werden.
Workflows für die Verwendung von Advanced Threat Defense
Für das zusätzliche Scannen von Web-Objekten durch Advanced Threat Defense können
unterschiedliche Workflows konfiguriert werden.
Weiterleiten von Web-Objekten abhängig von Ergebnis des Zusatz-Scans
Die folgende Abbildung veranschaulicht den Workflow, bei dem ein Web-Objekt gemäß dem
Scan-Ergebnis von Advanced Threat Defense an den Benutzer weitergeleitet wird.
Abbildung 9-1 Web-Objekt wird abhängig vom Ergebnis des Zusatz-Scans weitergeleitet
1
Ein Benutzer sendet eine Anfrage für den Zugriff auf ein Web-Objekt, beispielsweise eine Datei, von
einem System innerhalb Ihres Netzwerks, bei dem es sich um einen Web Gateway-Client handelt.
2
Wenn die Anfrage die Filterung gemäß den konfigurierten Regeln besteht, leitet Web Gateway sie
an den entsprechenden Web-Server weiter.
An den Client wird eine Fortschrittsseite gesendet, auf der der Benutzer aufgefordert wird, die
Verarbeitung der Anfrage abzuwarten.
3
Der Web-Server sendet das Objekt an Web Gateway.
4
Wenn die Kriterien für die Verwendung von Advanced Threat Defense erfüllt werden, leitet
Web Gateway das Objekt zum Scannen weiter.
Web Gateway ruft in regelmäßigen Abständen Informationen über den Scan-Fortschritt von
Advanced Threat Defense ab.
364
Produkthandbuch
9
Web-Filterung
5
Wenn Advanced Threat Defense den Scan abgeschlossen hat, meldet es an Web Gateway, ob das
Objekt bösartig ist.
6
Der Zugriff auf das angeforderte Objekt wird entsprechend zugelassen oder verweigert. In
letzterem Fall meldet Web Gateway dem Benutzer, dass der Zugriff verweigert wird, und gibt den
Grund dafür an.
Kriterien für das zusätzliche Scannen durch Advanced Threat
Defense
Web Gateway verwendet die Funktionen von Advanced Threat Defense zum Scannen eines
Web-Objekts, nachdem das Objekt bereits von den Anti-Malware-Modulen von Web Gateway gescannt
wurde.
Die Regelsatz-Bibliothek von Advanced Threat Defense verwendet diese Wahrscheinlichkeit in ihren
Kriterien. Standardmäßig ist ein Wert von 60 Prozent für die Übereinstimmung der Kriterien
eingestellt. Das bedeutet, dass die Scan-Ergebnisse des Web-Objekts in Web Gateway eine
Malware-Wahrscheinlichkeit von mindestens 60 Prozent aufweisen müssen, damit es an Advanced
Threat Defense weitergeleitet wird.
Bei der Konfiguration von Advanced Threat Defense können Sie hier einen höheren oder niedrigeren
Wert einstellen, was zur Folge hat, dass dieses Produkt Web Gateway mehr oder weniger häufig
unterstützt.
Daher muss sich der Regelsatz für Advanced Threat Defense in der Regelsatz-Baumstruktur hinter
dem Regelsatz für die normalen Malware-Schutz-Funktionen von Web Gateway befinden, welches
üblicherweise der Standard-Regelsatz Gateway Anti-Malware ist.
Wenn Web Gateway und Advanced Threat Defensezusammenarbeiten, wird das Modul (oder Engine)
„Anti-Malware“ mit zwei verschiedenen Einstellungen ausgeführt: eine für den Web Gateway-Bereich
und eine für den Bereich des unterstützenden Produkts.
Die Standardnamen für die beiden Einstellungen lauten Gateway Anti-Malware und Gateway ATD.
Diese beiden Einstellungen unterscheiden sich in einem wichtigen Punkt: Bei den
Gateway ATD-Einstellungen ist die Verwendung von Advanced Threat Defense eingestellt, in den
anderen Einstellungen ist dies nicht der Fall.
Konfigurationselemente für die Verwendung von Advanced
Threat Defense
Um das zusätzliche Scannen von Web-Objekten durch Advanced Threat Defense zu aktivieren, müssen
Sie auf Web Gateway geeignete Regeln implementieren. Regelsätze, die solche Regeln enthalten,
können Sie aus der Regelsatz-Bibliothek importieren. Nach dem Importieren dieses Regelsatzes
werden auch eine Liste und die entsprechenden Einstellungen implementiert.
Regelsätze für den Zusatz-Scan
Es gibt einen Regelsatz für das Weiterleiten eines Web-Objekts abhängig vom Ergebnis des
Zusatz-Scans und einen Regelsatz für das Weiterleiten eines Web-Objekts vor dem Zusatz-Scan, bei
dem nach dem Scan ggf. eine Warnmeldung ausgegeben wird.
•
Bibliotheks-Regelsatz „Advanced Threat Defense“: Diese Regel implementiert den Workflow,
mit dem ein Web-Objekt zusätzlich durch Advanced Threat Defense gescannt und dann abhängig
vom Ergebnis des Scans an den Benutzer weitergeleitet wird.
Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden
Einstellungen implementiert.
Produkthandbuch
365
9
Web-Filterung
•
Untergeordneter Bibliotheks-Regelsatz „ATD – Init Offline Scan“: Für diesen
untergeordneten Regelsatz gelten die gleichen Kriterien wie für den Regelsatz, bei dem ein
Web-Objekt abhängig vom Ergebnis des Zusatz-Scans an den Benutzer weitergeleitet wird.
Der Regelsatz wird angewendet, wenn der zuvor von Web Gateway durchgeführte Scan zum
Ergebnis hatte, dass das Web-Objekt zu einem konfigurierten Wahrscheinlichkeitsgrad infiziert ist,
wenn sich das Web-Objekt in der Liste von scanbaren Web-Objekten befindet und eine bestimmte
Objektgröße nicht überschritten wird.
Der Regelsatz enthält nur eine Regel, die die Eigenschaft Antimalware.MATD.InitBackgroundScan in
ihren Kriterien verwendet. Der Wert dieser Eigenschaft ist standardmäßig auf true gesetzt.
In diesem Fall werden Daten für die aktuelle Transaktion aufgezeichnet. Hierzu gehören alle Daten,
die im Zusammenhang mit einer Anfrage auf Web-Zugriff und der dazugehörigen Antwort von
einem Web-Server stehen, wie z. B. die IP-Adresse des Clients, die
Authentifizierungsinformationen, die URL des Web-Servers und das angeforderte Web-Objekt, das
als Inhalt der Antwortnachricht gesendet wurde.
Es wird eine interne Anfrage zum Veranlassen des Advanced Threat Defense-Scans gesendet.
Anschließend wird das angeforderte Web-Objekt an den Benutzer weitergeleitet, während der Scan
später mit den aufgezeichneten Daten durchgeführt wird.
Wenn der Wert der Eigenschaft Antimalware.MATD.InitBackgroundScan auf false gesetzt ist, kann
der Advanced Threat Defense-Scan nicht veranlasst werden, und es wird mithilfe eines
Regelereignisses eine Fehlermeldung angezeigt.
•
Untergeordneter Bibliotheks-Regelsatz „ATD – Handle Offline Scan“: Zu den Kriterien für
diesen untergeordneten Regelsatz gehört die Eigenschaft Antimalware.MATD.IsBackgroundScan.
Der Wert dieses Kriteriums ist standardmäßig auf true gesetzt.
In diesem Fall werden die Daten, die von der Regel im Regelsatz ATD – Init Offline Scan erfasst
wurden, von Advanced Threat Defense zum Scannen des durch die Daten angegebenen
Web-Objekts verwendet.
Der Regelsatz enthält eine Regel, die mithilfe eines Ereignisses einen Zähler erhöht, wenn beim
Scannen ein infiziertes Web-Objekt gefunden wurde, eine zweite Regel, die mithilfe eines weiteren
Ereignisses eine Meldung über das infizierte Web-Objekt erstellt und an den Administrator sendet,
und schließlich eine dritte Regel, die den Verarbeitungszyklus beendet.
Liste und Einstellungen für den Zusatz-Scan
Der Bibliotheks-Regelsatz Advanced Threat Defense enthält Regeln zur Aktivierung von Advanced
Threat Defense auf Web Gateway sowie zur Weiterleitung eines angeforderten Web-Objekts an den
Benutzer, je nachdem, wie das Scan-Ergebnis ausgefallen ist.
Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden
Einstellungen implementiert.
•
Liste der für Advanced Threat Defense unterstützten Typen: Diese Liste wird innerhalb der
Kriterien des Bibliotheks-Regelsatzes verwendet. Nur Web-Objekte, die zu einem der Medientypen
auf dieser Liste gehören, werden zum Scannen an Advanced Threat Defense weitergeleitet.
Die Liste enthält standardmäßig bereits einige Medientypen. Sie können beliebig viele Medientypen
zur Liste hinzufügen oder daraus entfernen.
•
366
Gateway-ATD-Einstellungen: Diese Einstellungen gelten für das Anti-Malware-Modul (auch als
Engine bezeichnet) von Web Gateway, das für die Viren- und Malware-Filterung sowie für die
zusätzliche Verwendung von Advanced Threat Defense zuständig ist.
Produkthandbuch
9
Web-Filterung
Die Einstellungen enthalten hauptsächlich Optionen zur Konfiguration der folgenden Elemente:
•
Kommunikation zwischen Web Gateway und dem Server, auf dem Advanced Threat Defense
ausgeführt wird
•
Schweregrad, ab dem ein Web-Objekt, beispielsweise eine Datei, als bösartig klassifiziert wird
Wenn ein Objekt von Advanced Threat Defense gescannt wird, ist das Ergebnis ein Schweregrad
auf einer Skala von 0 bis 5 (sehr hoher Schweregrad).
Auf dieser Skala können Sie einen Wert einstellen, beispielsweise 3, was bedeutet, dass alle
Objekte mit einem Scan-Ergebnis von mindestens 3 als bösartig eingestuft werden.
Für diese Objekte wird die Eigenschaft „Antimalware.Infected“ auf true gesetzt, sodass eine
Regel, die diese Eigenschaft in ihren Kriterien verwendet, das Web-Objekt blockiert und
verhindert, dass es an den Benutzer weitergeleitet wird, der darauf zugreifen wollte.
Überwachung der Aktivitäten von Advanced Threat Defense
Für die Überwachung der Scan-Aktivitäten, die von Advanced Threat Defense als Unterstützung von
Web Gateway durchgeführt werden, stehen verschiedene Methoden zur Verfügung.
•
Log Handler (Protokoll-Handler): Der Regelsatz ATD Scanning Log kann aus der Regelsatzgruppe
Logging (Protokollierung) in der Regelsatz-Bibliothek importiert werden.
Der Regelsatz enthält eine Protokollierungsregel, die Informationen über jeden Scan-Job
aufzeichnet, den Advanced Threat Defense zu einem von Web Gateway weitergeleiteten
Web-Objekt durchführt.
Die folgenden Informationen sind verfügbar:
•
Beim Scan ermittelter Schweregrad
•
Server, auf dem Advanced Threat Defense ausgeführt wird
•
Task-ID für einen Scan-Job
•
Hash-Wert für einen Scan-Job
Zur Erstellung der Protokolleinträge für diese Informationen verwendet die Regel geeignete
Eigenschaften.
•
Error Handler (Fehler-Handler): Der Regelsatz Block on ATD Errors kann aus der
Fehlerbehandlungs-Regelsatzgruppe in der Regelsatz-Bibliothek importiert werden.
Er enthält Blockierungsregeln zur Behandlung von Fehlern, die während der Durchführung eines
Scan-Jobs von Advanced Threat Defense auftreten.
Die Regeln verwenden die entsprechenden Fehler-IDs in ihren Kriterien. Die Fehler-IDs liegen im
Bereich von 14010 bis 14012.
Eine Regel im Regelsatz „Block on Anti-Malware Engine Errors“ deckt den Bereich von 14002 bis
14050 ab. Der Regelsatz „Block on ATD Errors“ muss sich daher vor diesem
Malware-Schutz-Regelsatz befinden.
Die Blockierungsregeln des Regelsatzes „Block on ATD Errors“ würden sonst nie verarbeitet werden,
und es würden nur Blockierungsmeldungen mit allgemeinen Verweisen auf Malware-Schutz-Fehler
an die Benutzer gesendet werden.
Produkthandbuch
367
9
Web-Filterung
•
Anti-Malware properties (Anti-Malware-Eigenschaften): Für die Überwachung der Aktivitäten von
Advanced Threat Defense stehen verschiedene Eigenschaften zur Verfügung. Die Namen der
Eigenschaften beginnen beispielsweise mit Antimalware.MATD, Antimalware.MATD.Server oder
Antimalware.MATD.Report.
Diese Eigenschaften werden in den Protokollierungsregeln des Regelsatzes „ATD Scanning Log“
verwendet.
Wenn ein Scan-Job von Advanced Threat Defense durchgeführt wurde, stellt der Wert der
Eigenschaft Antimalware.MATD.Report einen Bericht über diesen Job dar. Der Bericht wird in Form
einer Zeichenfolge bereitgestellt, die die Datenstruktur eines JSON-Objekts (JavaScript Object
Notation) abbildet.
Um Informationen aus diesem Bericht zu extrahieren, verwenden Sie JSON-Eigenschaften
zusammen mit der Eigenschaft Antimalware.MATD.Report.
•
Dashboard: In den Diagrammen und Tabellen des Dashboards wird gezeigt, wie sich die folgenden
Daten während eines bestimmten Zeitintervalls entwickelt haben.
•
Unter Executive Summary (Kurzfassung): Die Anzahl der Anfragen für Web-Objekte, die aufgrund
der Scan-Ergebnisse von Advanced Threat Defense blockiert wurden.
•
Unter Malware Statistics (Malware-Statistik): Die Anzahl der Anfragen für Web-Objekte, die zum
Scannen an Advanced Threat Defense weitergeleitet wurden, die Anzahl der aufgrund der
Scan-Ergebnisse blockierten Anfragen und die Scan-Dauer.
Nutzung eines vorhandenen Scan-Berichts von Advanced
Threat Defense
Ein Bericht, der von Advanced Threat Defense nach dem Scannen eines Web-Objekts erzeugt wurde,
kann von Web Gateway zur Bewertung dieses Objekts und somit für dessen Zugriffsverwaltung
genutzt werden.
Wenn Web Gateway einen vorhandenen Bericht nutzt, wird in Advanced Threat Defense kein erneuter
Scan ausgelöst. Beim Vorhandensein mehrerer Berichte wird die Bewertung anhand des neuesten
Berichts vorgenommen. In Web Gateway werden intern Hash-Werte berechnet, damit bestimmt
werden kann, ob zwei Web-Objekte identisch sind. Wenn dies der Fall ist, kann derselbe Bericht
verwendet werden.
Damit vorhandene Scan-Berichte in Web Gateway genutzt werden können, müssen Sie eine Regel mit
der Eigenschaft Antimalware.ATD.GetReport implementieren. Wenn diese boolesche Eigenschaft den
Wert true (wahr) hat, heißt dies, dass ein bestimmtes Web-Objekt bereits von Advanced Threat
Defense gescannt und der entsprechende Bericht für diesen Scan abgerufen wurde.
Dieser Bericht kann auch anderen Regeln zur Verfügung gestellt werden. Beispielsweise kann eine
Regel mit der Eigenschaft Antimalware.Infected durch Auswertung des Bericht feststellen, ob ein
Objekt infiziert ist.
Optionen für die Nutzung eines vorhandenen Scan-Berichts
Für die Nutzung eines vorhandenen Scan-Berichts bei der Zugriffsverwaltung für Web-Objekte gibt es
verschiedene Möglichkeiten.
•
368
Allow a file when a scanning report shows that it is not infected (Datei zulassen, wenn ein
Scan-Bericht zeigt, dass keine Infektion vorliegt): Manche Dateien werden manuell in Advanced
Threat Defense geladen und dort gescannt. Anschließend wird ein Bericht dazu erstellt. Danach
gestattet Web Gateway Benutzern das Herunterladen einer solchen Datei, sofern dafür ein Bericht
vorhanden ist, aus dem hervorgeht, dass diese Datei nicht infiziert ist.
Produkthandbuch
9
Web-Filterung
Wenn für ein Web-Objekt kein Scan-Bericht vorhanden ist, kann die Eigenschaft
Antimalware.ATD.GetReport trotzdem in passenden Regeln angewendet werden. In diesen Regeln
trägt die Eigenschaft dann den Wert false (falsch), da kein Scan-Bericht abgerufen werden konnte.
•
Allow a file if no scanning report is available and scan this file offline (Datei zulassen, wenn
kein Scan-Bericht verfügbar ist, und diese Datei offline scannen): Wenn für eine Datei, deren
Download angefordert wurde, kein Scan-Bericht vorhanden ist, kann eine Regel dem Benutzer das
Herunterladen der Datei erlauben und anschließend einen Offline-Scan durchführen lassen. Nach
Abschluss des Scans wird ein Bericht erzeugt und an den Netzwerkadministrator des Benutzers
weitergeleitet.
•
Block a file if no scanning report is available and scan this file offline (Datei blockieren,
wenn kein Scan-Bericht verfügbar ist, und diese Datei offline scannen): Wenn für eine Datei, deren
Download angefordert wurde, kein Scan-Bericht vorhanden ist, kann eine Regel den Zugriff auf die
Datei blockieren und einen Offline-Scan durchführen lassen. Nach Abschluss des Scan-Vorgangs
wird ein Bericht erzeugt und an den Netzwerkadministrator des Benutzers weitergeleitet.
Beispielregeln für die Nutzung eines vorhandenen Scan-Berichts
Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter Regelsatz für die
Nutzung eines vorhandenen Advanced Threat Defense-Scan-Berichts ist verfügbar. Sie können für
diesen Zweck jedoch selbst entsprechende Regeln sowie einen passenden Regelsatz erstellen.
Bei der Implementierung der folgenden Beispielregeln werden Dateien manuell in Advanced Threat
Defense hochgeladen. Das Herunterladen einer Datei ist zulässig, wenn der von Advanced Threat
Defense erzeugte Bericht zeigt, dass die Datei nicht infiziert ist.
Der Name des Regelsatzes könnte z. B. Use Existing Advanced Threat Defense Scanning Report
lauten. Hinsichtlich Medientypen muss der Regelsatz über die gleichen Kriterien verfügen wie der
Bibliotheks-Regelsatz Advanced Threat Defense und auf alle Verarbeitungszyklen anwendbar sein.
Der Regelsatz sollte folgende Regeln beinhalten:
•
Eine Regel, die mithilfe der Eigenschaft Antimalware.ATD.GetReport einen vorhandenen
Scan-Bericht abruft.
•
Eine Regel, die Dateien anhand dieses Berichts bewertet und den Zugriff darauf blockiert, wenn aus
dem Bericht eine Infektion der Datei hervorgeht.
Die Regel zum Abrufen des Berichts könnte z. B. wie folgt aussehen:
Name
Allow files that have been scanned before
Antimalware.ATD.GetReport
equals false
Action (Aktion)
–> Block
<BlockedByMATD>
Event (Ereignis)
– Statistics.Counter.Increment"
(BlockedByMATD",1)<Default>
Die Regel blockiert den Zugriff auf eine Datei, wenn für diese kein Bericht vorhanden ist. In diesem
Fall wird die nächste Regel nicht mehr verarbeitet. Diese Regel wertet einen Bericht aus. Sie könnte
wie folgt aussehen:
Name
Block infected files
Action (Aktion)
Antimalware.Infected <Gateway –> Block
ATD> equals true
<BlockedByMATD>
Event (Ereignis)
– Statistics.Counter.Increment
("BlockedByMATD",1)<Default>
Produkthandbuch
369
9
Web-Filterung
In beiden Regeln registriert ein Zähler, wie häufig Dateien beim Verwenden von Advanced Threat
Defense-Funktionen blockiert wurden.
Nutzung eines laufenden Scans von Advanced Threat Defense
Wenn von Advanced Threat Defense gerade ein Scan durchgeführt wird, können die Ergebnisse dieses
Vorgangs nicht nur für die Verarbeitung der zugrunde liegenden Anfrage genutzt werden, sondern
auch für andere Zugriffsanfragen bezüglich des gleichen Web-Objekts.
Damit die Ergebnisse eines Scans zur Verarbeitung mehrerer Anfragen verwendet werden können,
müssen diese Anfragen in Web Gateway eingehen, während der entsprechende Scan noch läuft. In
Web Gateway werden intern Hash-Werte berechnet, damit bestimmt werden kann, ob zwei
Web-Objekte identisch sind. So kann entschieden werden, ob sich die eingehenden Anfragen auf das
gleiche Objekt beziehen.
Wenn Sie die Ergebnisse eines Scans für mehrere Zugriffsanfragen, die sich auf dasselbe Objekt
beziehen, verwenden möchten, müssen Sie eine Option aktivieren, die sich in den Gateway
ATD-Einstellungen für das Modul (auch als Engine bezeichnet) „Anti-Malware“ befindet. Diese muss
aktiviert sein. Hierbei handelt es sich um die Option Re-use running task if same sample is being analyzed
(Laufenden Task bei Analyse desselben Objekts wiederverwenden).
Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter Regelsatz für die
Nutzung der Ergebnisse eines Scans bei Eingehen mehrerer Anfragen für dasselbe Objekt vorhanden.
Sie können für diesen Zweck jedoch selbst entsprechende Regeln sowie einen passenden Regelsatz
erstellen.
Konfigurieren der Verwendung von Advanced Threat Defense
Sie können einstellen, dass Web-Objekte nach dem Scannen durch Web Gateway zusätzlich durch
Advanced Threat Defense gescannt werden. Alternativ kann auch ein von Advanced Threat Defense für
ein Web-Objekt erzeugter Scan-Bericht in Web Gateway ausgewertet werden, um den Zugriff auf
dieses Objekt zu steuern.
Wenn für ein Web-Objekt ein vorhandener Scan-Bericht ausgewertet wird, löst Web Gateway für
dieses Objekt kein erneutes zusätzliches Scannen durch Advanced Threat Defense aus.
Aufgaben
•
Konfigurieren des Scans durch Advanced Threat Defense auf Seite 370
Sie können einen zusätzlichen Scan durch Advanced Threat Defense konfigurieren, der
nach Abschluss des Scans durch Web Gateway durchgeführt wird.
•
Konfigurieren der Nutzung vorhandener Scan-Berichte von Advanced Threat Defense auf
Seite 372
Wenn ein Web-Objekt nicht erneut gescannt werden soll, können Sie veranlassen, dass ein
vorhandener Scan-Bericht von Advanced Threat Defense zur Bewertung dieses Objekts
verwendet wird.
Konfigurieren des Scans durch Advanced Threat Defense
Sie können einen zusätzlichen Scan durch Advanced Threat Defense konfigurieren, der nach Abschluss
des Scans durch Web Gateway durchgeführt wird.
Vorgehensweise
1
Nehmen Sie alle notwendigen Einstellungen vor, um Advanced Threat Defense in das Netzwerk zu
integrieren.
Weitere Informationen hierzu finden Sie im McAfee Advanced Threat Defense Product Guide
(Produkthandbuch zu McAfee Advanced Threat Defense).
370
Produkthandbuch
9
Web-Filterung
2
Führen Sie auf der Benutzeroberfläche von Web Gateway folgende Schritte aus:
a
Importieren Sie aus der Bibliothek für Regelsätze den Regelsatz für einen der beiden
zusätzlichen Scan-Workflows.
Diese Regelsätze befinden sich in der Regelsatzgruppe Gateway Anti-Malware.
•
Advanced Threat Defense: Zum Weiterleiten von Web-Objekten abhängig vom Ergebnis des
Zusatz-Scans.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum
Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz
Gateway Anti-Malware.
•
ATD – Offline Scanning with Immediate File Availability: Zum Weiterleiten von Web-Objekten
vor der Durchführung zusätzlicher Scans.
Nach dem Importieren dieses Regelsatzes werden in der Regelsatz-Baumstruktur die beiden
folgenden Regelsätze angezeigt:
•
ATD – Init Offline Scan: Dieser Regelsatz startet den zusätzlichen Scan-Vorgang.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum
Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz
Gateway Anti-Malware.
•
ATD – Handle Offline Scan: Dieser Regelsatz steuert den zusätzlichen Scan-Vorgang nach
dessen Beginn.
Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter den Regelsätzen zur
Durchführung globaler bzw. allgemeiner Aktivitäten und vor den Regelsätzen zur
Durchführung spezieller Filtervorgänge.
Beispielsweise wäre dies in der standardmäßigen Regelsatz-Baumstruktur die Position
zwischen den Regelsätzen Common Rules und Media Type Filtering.
b
Zum Aktivieren der Überwachung der Scan-Aktivitäten von Advanced Threat Defense in Web
Gateway müssen Sie aus der Bibliothek für Regelsätze die Regelsätze ATD Scanning Log und
Block on ATD Errors importieren und diese den vorhandenen Regelsätzen „Log Handler“ bzw.
„Error Handler“ hinzufügen.
c
Fügen Sie der Liste der unterstützten Medientypen je nach Bedarf Medientypen hinzu, oder
entfernen Sie bestimmte Typen aus der Liste. Nach dem Importieren eines der Regelsätze aus
der Bibliothek lautet der Name dieser Liste Advanced Threat Defense Supported Types.
Wenn Sie einen Regelsatz importiert haben, ist diese Liste in der Schlüsselelementansicht des
Regelsatzes verfügbar.
d
Konfigurieren Sie die Einstellungen für das Scannen durch Web Gateway.
Standardmäßig tragen diese den Namen Gateway Anti-Malware.
Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der
Schlüsselelementansicht des Regelsatzes bearbeiten.
Produkthandbuch
371
9
Web-Filterung
e
Konfigurieren Sie die Einstellungen für das Scannen durch Advanced Threat Defense.
Nach dem Importieren eines der Regelsätze aus der Bibliothek lautet der Name dieser
Einstellungen Gateway ATD.
Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der
Schlüsselelementansicht des Regelsatzes bearbeiten.
f
Konfigurieren der Nutzung vorhandener Scan-Berichte von Advanced
Threat Defense
Wenn ein Web-Objekt nicht erneut gescannt werden soll, können Sie veranlassen, dass ein
vorhandener Scan-Bericht von Advanced Threat Defense zur Bewertung dieses Objekts verwendet
wird.
Für die Nutzung eines vorhandenen Scan-Berichts gibt es verschiedene Optionen. Bei den folgenden
Handlungsanweisungen werden diese Gegebenheiten vorausgesetzt:
•
Für manuell in Advanced Threat Defense hochgeladene und gescannte Web-Objekte wurden
Scan-Berichte erzeugt.
•
Web Gateway gestattet den Zugriff, wenn aus einem Bericht hervorgeht, dass ein Web-Objekt nicht
infiziert ist, bzw. blockiert dieses Objekt, wenn kein entsprechender Bericht vorhanden ist.
Führen Sie die folgenden allgemeinen Schritte aus:
Vorgehensweise
1
Erstellen Sie für die Regeln zur Steuerung der Nutzung vorhandener Scan-Berichte von Advanced
Threat Defense einen Regelsatz.
2
Erstellen Sie in diesem Regelsatz folgende Regeln:
3
4
372
•
Eine Regel zum Abrufen eines Scan-Berichts für eine Datei. Diese Regel muss den Zugriff zu
dieser Datei blockieren, wenn kein entsprechender Bericht vorhanden ist.
•
Eine Regel zum Auswerten eines Scan-Berichts. Diese Regel muss eine Datei blockieren, wenn
aus dem entsprechenden Bericht eine Infektion hervorgeht.
Konfigurieren Sie im Modul „Anti-Malware“ die Einstellungen für Gateway ATD.
a
Achten Sie darauf, dass die Option Re-use previous detection ... (Frühere Erkennung erneut
verwenden) ausgewählt ist.
b
[Optional] Ändern Sie bei Bedarf den Wert unter Maximum detection age (Höchstalter der
Erkennung), um festzulegen, ab wann ältere Berichte nicht mehr berücksichtigt werden sollen.
Als Standardwert sind hier 30 Minuten eingestellt.
Produkthandbuch
9
Web-Filterung
Konfigurieren von Schlüsselelementen für die Verwendung von
Konfigurieren Sie Schlüsselelemente für das zusätzliche Scannen durch Advanced Threat Defense, um
wichtige Teile des Scan-Vorgangs an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
Importieren Sie den Regelsatz Advanced Threat Defense oder den Regelsatz ATD – Offline Scanning with
Immediate File Availability aus der Regelsatz-Bibliothek.
2
Wählen Sie in der Regelsatz-Baumstruktur den importierten Regelsatz aus.
Schlüsselelemente der Regeln für den Scan-Vorgang werden im Konfigurationsbereich angezeigt.
3
4
Siehe auch
Schlüsselelemente für die Verwendung von Advanced Threat Defense auf Seite 373
Schlüsselelemente für die Verwendung von Advanced Threat
Defense
Die Schlüsselelemente der Regeln für die Verwendung von Advanced Threat Defense beim zusätzlichen
Scannen von Web-Objekten behandeln wichtige Teile dieses Prozesses.
Es können unterschiedliche Schlüsselelemente für die Regeln in den Regelsätzen konfiguriert werden,
die für das zusätzliche Scannen implementiert sind.
•
•
•
Advanced Threat Defense: Wenn dieser Regelsatz implementiert ist, können die folgenden Gruppen
von Schlüsselelementen konfiguriert werden:
•
Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense
für diese unterstützten Medientypen aktivieren)
•
•
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen)
ATD – Init Offline ScanAdvanced: Wenn dieser Regelsatz implementiert ist, können die folgenden
Gruppen von Schlüsselelementen konfiguriert werden:
•
Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense
für diese unterstützten Medientypen aktivieren)
•
ATD – Handle Offline Scan: Wenn dieser Regelsatz implementiert ist, können die folgenden
Gruppen von Schlüsselelementen konfiguriert werden:
•
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen)
Im Folgenden werden die Schlüsselelemente dieser Regelsätze beschrieben.
Enable Advanced Threat Defense for These Supported Media Types (Advanced
Threat Defense für diese unterstützten Medientypen aktivieren)
Schlüsselelement für die Auswahl von Web-Objekten, die zusätzlich durch Advanced Threat Defense
gescannt werden können
Produkthandbuch
373
9
Web-Filterung
Tabelle 9-41 Enable Advanced Threat Defense for These Supported Media Types (Advanced
Threat Defense für diese unterstützten Medientypen aktivieren)
Option
Definition
Media types to insert (Einzufügende Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
Medientypen)
dem Sie die von einer Regel verwendete Liste Advanced Threat
Defense Supported Types (Unterstützte Medientypen für Advanced
Threat Defense) bearbeiten können.
Von Advanced Threat Defense werden nur die Web-Objekte
zusätzlich gescannt, deren Medientyp in dieser Liste aufgeführt ist;
zudem müssen die anderen Kriterien erfüllt sein.
Schlüsselelement zur Konfiguration der Scans durch das Anti-Malware-Modul, bevor zusätzliche Scans
durch Advanced Threat Defense ausgeführt werden
Tabelle 9-42 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Option
Definition
Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die
Einstellungen für das Anti-Malware-Modul bearbeiten können, wenn dieses mit
den Modulkomponenten ausgeführt wird, die normalerweise in Web Gateway
verfügbar sind.
Dieser Scan wird vor jedem Scan durch Advanced Threat Defense ausgeführt. Je
nach dem Ergebnis dieses Scans führt Advanced Threat Defense ggf. einen
zusätzlichen Scan durch.
Gateway Advanced Threat Defense Settings (Gateway Advanced Threat
Defense-Einstellungen)
Schlüsselelement für die Konfiguration des zusätzlichen Scans durch Advanced Threat Defense
Tabelle 9-43 Bypass scanning for these agents and hosts (Scannen für diese Agenten und
Hosts umgehen)
Option
Definition
Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die
Einstellungen für das Anti-Malware-Modul in Web Gateway bearbeiten können,
während Scans durch Advanced Threat Defense ausgeführt werden.
Konfigurieren von Einstellungen für die Verwendung von
Sie können Einstellungen für das Modul (auch als Engine bezeichnet) Anti-Malware in Web Gateway so
konfigurieren, dass Web-Objekte mithilfe von Advanced Threat Defense gescannt werden können.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Anti-Malware, und wählen Sie
die Einstellungen für das Konfigurieren der Verwendung von Advanced Threat Defense aus.
Nach dem Importieren des Bibliotheks-Regelsatzes „Advanced Threat Defense“ lautet der Name der
betreffenden Einstellungen Gateway ATD.
374
Produkthandbuch
9
Web-Filterung
3
4
Siehe auch
Gateway ATD-Einstellungen auf Seite 375
Gateway ATD-Einstellungen
Mit den Gateway ATD-Einstellungen wird die Verwendung von Advanced Threat Defense zum Scannen
von Web-Objekten konfiguriert, die über Web Gateway weitergegeben wurden.
Auswahl der Scan-Module und des Verhaltens
Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall,
dass ein Modul eine Infektion erkennt
Tabelle 9-44 Auswahl von Scan-Modulen
Option
Definition
Full McAfee coverage: The recommended high-performance
configuration (Vollständiger McAfee-Schutz: Die
empfohlene Hochleistungskonfiguration)
Bei Auswahl dieser Option sind das McAfee
Gateway Anti-Malware-Modul und das McAfee
Anti-Malware-Modul aktiv.
Methoden verwendet:
Proaktive Methoden + Virussignaturen
Layered coverage: Full McAfee coverage plus specific Avira
engine features — minor performance impact (Mehrstufiger
Schutz: Vollständiger McAfee-Schutz plus
bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen)
Gateway Anti-Malware-Modul, das McAfee
Anti-Malware-Modul und für einige Web-Objekte
zusätzlich das Avira-Modul (Drittanbieter) aktiv.
Methoden verwendet:
Modulfunktionen eines Drittanbieters für einige
Web-Objekte
Duplicate coverage: Full McAfee coverage and Avira engine —
less performance and more false positives (Doppelter
Schutz: Vollständiger McAfee-Schutz und
Avira-Modul – weniger Leistung und mehr
False-Positives)
Gateway Anti-Malware-Modul, das McAfee
Anti-Malware-Modul und das Avira-Modul
Methoden verwendet:
Avira only: Only uses Avira engine — not recommended (Nur
Avira: Nur das Avira-Modul wird verwendet –
nicht empfohlen)
Bei Auswahl dieser Option ist nur das Avira-Modul
aktiv.
Methoden verwendet:
Produkthandbuch
375
9
Web-Filterung
Tabelle 9-44 Auswahl von Scan-Modulen (Fortsetzung)
Option
Definition
McAfee Advanced Threat Defense only: Send files to an MATD
appliance for deep analysis through sandboxing (Nur
McAfee Advanced Threat Defense: Senden der
Dateien an eine MATD-Appliance zur detaillierten
Analyse durch Sandboxing)
Bei Auswahl dieser Option ist nur das Scannen mit
Advanced Threat Defense aktiv.
Methoden verwendet:
Advanced Threat Defense-Funktionen
Stop virus scanning right after an engine detected a virus
(Viren-Scan gleich nach Entdeckung eines Virus anhalten)
Bei Auswahl dieser Option wird das Scannen eines
Web-Objekts sofort angehalten, sobald ein Modul
eine Virus- oder andere Malware-Infektion
entdeckt hat.
MATD-Einrichtung
Allgemeiner Teil der Einstellungen zur Verwendung von Advanced Threat Defense
Tabelle 9-45 MATD-Einrichtung
Option
Definition
Hier können Sie den Benutzernamen angeben, den
Web Gateway zum Herstellen einer Verbindung mit Advanced
Threat Defense sendet.
Password (Kennwort)
Hier können Sie das Kennwort angeben, das Web Gateway
zum Herstellen einer Verbindung mit Advanced Threat
Defense sendet.
Durch Klicken auf Set (Festlegen) wird ein Fenster zum
Festlegen des Kennworts geöffnet.
Server list (Serverliste)
Hiermit rufen Sie eine Liste der Server auf, auf denen
Advanced Threat Defense ausgeführt wird.
Bietet eine Dropdown-Liste zur Auswahl bekannter
Zertifizierungsstellen
Diese Zertifizierungsstellen werden referenziert, wenn die
Kommunikation zwischen Web Gateway und Advanced
Threat Defense im SSL-verschlüsselten Modus unter dem
HTTPS-Protokoll erfolgt.
Severity threshold to indicate a malicious file
(Schweregrad-Schwellenwert für
Meldung einer bösartigen Datei)
Legt einen Schwellenwert für den Schweregrad der
bösartigen Funktionen fest, der in einem Web-Objekt (z. B.
eine Datei) beim Scan durch Advanced Threat Defense
erkannt wird.
Wenn dieser Schwellenwert erreicht wird, wird das Objekt als
bösartig eingestuft, und der Wert der
Antimalware.Infected-Eigenschaft wird auf true gesetzt.
Der Schwellenwert wird über einen Schieberegler mit Werten
von 0 bis 5 (sehr hoher Schweregrad) eingestellt.
Reuse previous detection, McAfee Web Gateway
will retrieve latest report from MATD based on the
hash of the file (Vorherige Erkennung
wiederverwenden, McAfee
Web Gateway ruft letzten Bericht aus
MATD basierend auf dem Hash der
Datei ab)
376
Bei Auswahl dieser Option wird der Schweregrad, der für das
Web-Objekt beim letzten Scannen durch Advanced Threat
Defense gefunden wurde, verwendet, um es als bösartig
oder nicht bösartig zu klassifizieren.
Wenn diese Option ausgewählt ist, kann auch auf die nächste
Option zugegriffen werden.
Produkthandbuch
9
Web-Filterung
Tabelle 9-45 MATD-Einrichtung (Fortsetzung)
Option
Definition
Maximum detection age (Maximales
Erkennungsalter)
Legt die Höchstdauer (in Minuten) fest, die nach der
Erkennung eines Schweregrads für ein Web-Objekt vergehen
darf, bis dieser Wert nicht mehr zur Klassifizierung des
Objekts als bösartig bzw. nicht bösartig verwendet werden
kann.
Der Standardhöchstdauer beträgt 30 Minuten.
Reuse running task if same sample is analyzed
(Laufenden Task bei Analyse
desselben Objekts wiederverwenden)
Bei Auswahl dieser Option wird ein laufender Task
verwendet, wenn dasselbe Web-Objekt analysiert wird.
Send client IP to MATD server (Client-IP an
MATD-Server senden)
Bei Auswahl dieser Option wird die IP-Adresse eines Clients,
der eine Anfrage zum Herunterladen eines Web-Objekts
gesendet hat, an den Server gesendet, auf dem Advanced
Threat Defense ausgeführt wird.
In der folgenden Tabelle wird ein Eintrag in der Serverliste erläutert.
Tabelle 9-46 Serverliste – Listeneintrag
Option
Definition
String (Zeichenfolge)
Gibt den Namen des Servers an, auf dem Advanced Threat Defense
ausgeführt wird.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Server.
Netzwerkeinrichtung
Einstellungen zur Konfiguration der Verbindung mit dem Server, auf dem Advanced Threat Defense
ausgeführt wird
Tabelle 9-47 Netzwerkeinrichtung
Option
Definition
Connection timeout
(Verbindungszeitlimit)
Legt den Zeitraum (in Sekunden) fest, nach dessen Ablauf die
Verbindung mit einem Server getrennt wird, wenn keine Reaktion
empfangen wird.
Der Standardzeitraum beträgt 5 Sekunden.
Scan timeout (Scan-Zeitlimit)
Legt die Dauer (in Minuten und Sekunden) fest, für die Advanced
Threat Defense ein Web-Objekt scannen darf.
Ein Überschreiten dieser Dauer wird in Web Gateway als Fehler
erfasst.
Minutes (Minuten): Zulässige Dauer in Minuten
Seconds (Sekunden): Zulässige Dauer in Sekunden
Der Standarddauer beträgt 10 Minuten.
Poll interval (Abfrageintervall)
Legt das Zeitintervall (in Sekunden) fest, das vergeht, bevor erneut
Informationen über den Fortschritt beim Scannen eines Web-Objekts
aus Advanced Threat Defense abgerufen werden.
Das Standardintervall beträgt 20 Sekunden.
Produkthandbuch
377
9
Web-Filterung
Advanced Threat Defense (Regelsatz)
Der Bibliotheks-Regelsatz „Advanced Threat Defense“ ermöglicht Web Gateway das Verwenden von
Advanced Threat Defense beim Filtern von Web-Objekten.
Bibliotheks-Regelsatz – Advanced Threat Defense
Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND
MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types
Cycles – Responses, Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft:
•
Gemäß einem früheren Scan der Malware-Schutzmodule in Web Gateway beträgt die
Wahrscheinlichkeit, dass ein Web-Objekt bösartig ist, mindestens 60 Prozent.
•
Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch
Advanced Threat Defense unterstützt wird.
Enable progress page
Always –> Continue – Enable Progress Page<Default>
Die Regel aktiviert ein Ereignis, mit dem eine Seite angezeigt wird, auf der der Fortschritt beim
Herunterladen eines Web-Objekts auf einen Client angegeben wird.
Upload file to ATD and wait for scanning result
Antimalware.Infected<Gateway ATD> –> Block<Virus Found> –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine
Datei) mit einem Virus oder sonstiger Malware infiziert ist.
Der für diese Überprüfung erforderliche Scan-Vorgang erfolgt entsprechend den Gateway
ATD-Einstellungen; d. h., er wird durch Advanced Threat Defense durchgeführt.
Wenn eine Infektion des Objekts festgestellt wird, wird die Weiterleitung des Objekts an den
anfragenden Client blockiert, und dem Benutzer, der den Zugriff auf das Objekt angefragt hat, wird
eine Blockierungsmeldung angezeigt.
Die Blockierungsaktion wird vom Statistikzähler erfasst.
ATD – Offline Scanning with Immediate File Availability
(Regelsatz)
Der Bibliotheks-Regelsatz „ATD – Offline Scanning with Immediate File Availability“ ermöglicht Web
Gateway das Verwenden von Advanced Threat Defense beim Filtern von Web-Objekten.
Wenn dieser Regelsatz implementiert ist, wird ein Web-Objekt an den anfordernden Benutzer
weitergeleitet, bevor es von Advanced Threat Defense zusätzlich gescannt wurde, sodass das Objekt
sofort für den Benutzer verfügbar wird.
Wenn beim Scan-Vorgang festgestellt wird, dass das Objekt infiziert ist, wird eine Meldung an den
Administrator des Netzwerks gesendet, aus dem der Benutzer die Anfrage gesendet hat.
Diese Nutzung der Scan-Funktionen von Advanced Threat Defense wird auch als Offline-Scan oder
Hintergrund-Scan bezeichnet.
378
Produkthandbuch
9
Web-Filterung
Nach dem Importieren dieses Regelsatzes werden die folgenden beiden Regelsätze implementiert und
in der Regelsatz-Baumstruktur angezeigt:
•
ATD – Init Offline Scan
•
ATD – Handle Offline Scan
Ein Regelsatz mit dem Namen ATD – Offline Scanning with Immediate File Availability ist nicht
implementiert.
ATD – Init Offline Scan
Dieser Regelsatz initiiert das zusätzliche Scannen durch Advanced Threat Defense.
Bibliotheks-Regelsatz – ATD – Init Offline Scan
Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND
MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types AND
Body.Size less than 30000000
Cycles – Responses, Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft:
•
Gemäß einem früheren Scan-Vorgang durch Web Gateway beträgt die Wahrscheinlichkeit, dass ein
Web-Objekt bösartig ist, mindestens 60 Prozent.
•
Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch
Advanced Threat Defense unterstützt wird.
•
Das Web-Objekt überschreitet nicht eine bestimmte Größe.
Offline scanning with immediate file availability
Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed>
Wenn diese Regel verarbeitet wird, werden alle Daten zu der an Web Gateway gesendeten Anfrage
für den Web-Zugriff aufgezeichnet, einschließlich der Antwort, die vom angeforderten Web-Server
empfangen wurde. Die Antwort enthält normalerweise in ihrem Textteil das angeforderte
Web-Objekt, z. B. eine Datei. Der Textteil mit dem Web-Objekt wird in Web Gateway gespeichert.
Zudem wird eine interne Anfrage in Web Gateway erstellt, um das Scannen durch Advanced Threat
Defense zu initiieren. Web Gateway wartet anschließend auf eine Antwort auf diese interne Anfrage,
um festzustellen, ob die Anfrage akzeptiert und das Scannen ausgeführt wird.
Die Dauer, für die Web Gateway auf diese Antwort wartet, wird in Sekunden gemessen; sie ist ein
Parameter der Antimalware.MATD.InitBackgroundScan-Eigenschaft. Dieser Zeitraum beträgt
standardmäßig fünf Sekunden. Sie können diesen Zeitraum konfigurieren, indem Sie den
Eigenschaftenparameter bearbeiten.
Wenn innerhalb des konfigurierten Zeitraums keine Antwort auf die interne Anfrage empfangen wird,
wird die Eigenschaft auf false gesetzt, sodass dieses Kriterium erfüllt und die Regel angewendet wird.
Anschließend wird eine Meldung gesendet, mit der der Administrator informiert wird, dass das
zusätzliche Scannen durch Advanced Threat Defense nicht ausgeführt werden konnte.
Wenn die Antwort innerhalb des konfigurierten Zeitraums empfangen wird, wird das Web-Objekt an
den Benutzer weitergeleitet.
Die weitere Verarbeitung des zusätzlichen Scannens wird vom nächsten Regelsatz behandelt.
Bibliotheks-Regelsatz – ATD – Handle Offline Scan
Criteria – Antimalware.MATD.IsBackgroundScan equals true
Cycles – Requests, Embedded Objects
Produkthandbuch
379
9
Web-Filterung
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn der Wert von
Antimalware.MATD.IsBackgroundScan gleich true ist.
Wenn der Wert „true“ ist, wurde das zusätzliche Scannen durch Advanced Threat Defense von der
Regel im vorhergehenden Regelsatz erfolgreich initiiert. In diesem Fall werden die von diesem
Regelsatz aufgezeichneten und gespeicherten Daten von Advanced Threat Defense zum Scannen eines
angeforderten Web-Objekts verwendet.
Upload file to ATD and wait for scanning result
Antimalware.Infected<Gateway ATD> equals true –> Continue –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine
Datei) mit einem Virus oder sonstiger Malware infiziert ist. Der für diese Überprüfung erforderliche
Scan-Vorgang erfolgt entsprechend den Gateway ATD-Einstellungen; d. h., er wird durch Advanced
Threat Defense durchgeführt.
Dafür wird das zuvor gespeicherte Web-Objekt von Web Gateway an Advanced Threat Defense
weitergeleitet.
Wenn sich beim Scannen herausstellt, dass das Objekt infiziert ist, wird dieses Ergebnis durch einen
Statistikzähler erfasst.
Offline scanning with immediate file availability
Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set
User-Defined.MessageText =
"Client.IP: "
+ IP.ToString(Client.IP)
+ "Requested URL: "
+ URL
+ "Virus name: "
+ ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, ","
Email.Send ("Administrator@", "MATD offline scan detected a virus",
User-Defined.MessageText)<Default>
Beim Verarbeiten der Regel wird überprüft, ob der Wert der Antimalware.Infected-Eigenschaft true
ist.
Wenn dies der Fall ist, heißt das, dass beim Scannen durch Advanced Threat Defense eine Infektion
des Web-Objekts mit einem Virus oder sonstiger Malware festgestellt wurde.
Eine Warnmeldung wird erstellt und an den Administrator für das Netzwerk des Benutzers gesendet,
der die Anfrage für den Zugriff auf das Web-Objekt gesendet hat. Die Meldung enthält Informationen
zur Anfrage, die von der Regel des vorhergehenden Regelsatzes aufgezeichnet wurden.
Stop cycle
Always –> Stop Cycle
Diese Regel beendet den Verarbeitungszyklus. Sie wird immer nach der Verarbeitung der
vorangegangenen Regeln ausgeführt.
380
Produkthandbuch
9
Web-Filterung
Data Loss Prevention (DLP) stellt sicher, dass vertraulicher Inhalt Ihr Netzwerk nicht verlassen kann.
Der Schutzprozess erkennt derartigen Inhalt und blockiert an das Internet ausgehenden Datenverkehr
entsprechend.
•
Data Loss Prevention-Regeln, die den Prozess steuern
•
Standardklassifizierungen und ein Wörterbuch, das Sie mit Einträgen für Data Loss Prevention
füllen
•
Data Loss Prevention-Module, die von den Regeln aufgerufen werden, die zur Suche nach
vertraulichem Inhalt verarbeitet werden
Mithilfe der Data Loss Prevention-Regeln können Sie auch verhindern, dass unangemessener Inhalt in
Ihr Netzwerk gelangt. Dies kann jedoch die Leistung beeinträchtigen.
Der Data Loss Prevention-Prozess kann für den Text angewendet werden, der im Textteil einer
gesendeten Anfrage oder Antwort enthalten ist, oder für beliebigen anderen Text aus Anfragen und
Antworten, z. B. URL-Parameter oder Header.
Wenn Sie die Appliance zusammen mit einer DLP-Lösung ausführen, die zum Filtern einen ICAP-Server
verwendet, können Sie einen Regelsatz implementieren, um einen ungestörten Datenfluss zwischen
der Appliance und dem ICAP-Server zu gewährleisten.
Data Loss Prevention-Regeln
Data Loss Prevention wird nicht standardmäßig auf der Appliance implementiert. Sie können jedoch
den Regelsatz Data Loss Prevention aus der Bibliothek importieren.
Sie können dann die Regeln dieses Regelsatzes überprüfen, bei Bedarf ändern oder löschen und auch
eigene Regeln erstellen.
Eine Data Loss Prevention-Regel blockiert beispielsweise eine Anfrage, wenn der als Textteil gesendete
Text vertrauliche Inhalte enthält. Um herauszufinden, ob dies auf einen bestimmten Anfragetext
zutrifft, ruft die Regel ein Modul auf, das den Textteil untersucht. Um zu wissen, was als vertraulich
gilt, bezieht sich das Modul abhängig von der Konfiguration auf die Standardklassifizierungen in den
Systemlisten oder auf die Wörterbucheinträge.
Bei der Verarbeitung einer Anfrage oder Antwort wird deren Text als Wert der Body.Text-Eigenschaft
gespeichert. Bevor der Text gespeichert und untersucht werden kann, muss dieser extrahiert werden.
Das Composite Opener-Modul führt die Öffnungsvorgänge aus. Ein Ereignis in einem Regelsatz des
Regelsatzes Common Rules aktiviert den Öffner standardmäßig.
Bei einem Anfragetext kann es sich beispielsweise um eine Textdatei handelt, für die das Hochladen
ins Internet angefragt wird. Der Wert für eine passende textbezogene Eigenschaft in den
Regelkriterien müsste dann wahr sein, damit die Regel angewendet wird und den Vorgang blockiert.
Die folgende Regel verwendet die DLP.Classification.BodyText.Matched-Eigenschaft auf diese Weise.
Wenn der Text einer Anfrage vertrauliche Inhalte enthält, wird dies vom Data Loss Prevention-Modul
erkannt. Der Wert der Eigenschaft wird auf true gesetzt, und die Anfrage wird blockiert.
Name
Block files with SOX information
Kriterien
DLP.Classification.BodyText.Matched<SOX> equals true
Aktion
–> Block<DLP.Classification.Block>
Produkthandbuch
381
9
Web-Filterung
Bei der Verarbeitung dieser Regel sucht das Data Loss Protection-Modul gemäß seinen Einstellungen
nach Inhalten, die aufgrund der SOX-Richtlinien (Sarbanes-Oxley), die sich mit Zuständigkeiten
öffentlicher Unternehmen befassen, vertraulich sind.
Der Regel können Ereignisse hinzugefügt werden, um Informationen bezüglich der Data Loss
Prevention zu protokollieren oder einen Zähler zu erhöhen, der zählt, wie oft eine Anfrage aufgrund
dieser Regel blockiert wurde.
Standardklassifizierungen und Wörterbucheinträge
In Data Loss Prevention werden mithilfe von Standardklassifizierungen und Wörterbucheinträgen
vertrauliche Inhalte festgelegt, die Ihr Netzwerk nicht verlassen dürfen.
Mithilfe der Systemlisten und Wörterbucheinträge können Sie auch festlegen, welche unangemessenen
Inhalte, z. B. diskriminierende oder beleidigende Sprache, aus Ihrem Netzwerk ferngehalten werden
sollen. Unangemessene Inhalte könnten beispielsweise so definiert werden, dass eine Regel von
Web-Servern als Antwort auf eine Anfrage gesendete Inhalte blockiert.
Der Bibliotheks-Regelsatz für Data Loss Prevention enthält einen untergeordneten Regelsatz zur
Verarbeitung von Textteilen im Antwortzyklus.
Standardklassifizierungen und Wörterbucheinträge unterscheiden sich wie folgt:
•
Standardklassifizierungen: Bieten Informationen zur Suche nach verschiedenen Arten
vertraulicher oder unangemessener Inhalte, z. B. Kreditkartennummern,
Sozialversicherungsnummern oder medizinische Diagnosedaten.
Standardklassifizierungen sind in Ordnern und Unterordnern in Systemlisten enthalten und werden
durch das Appliance-System aktualisiert. Sie können die Systemlisten unter DLP Classification
(DLP-Klassifizierung) im Zweig System Lists (Systemlisten) der Listen-Baumstruktur anzeigen, jedoch
nicht bearbeiten oder löschen.
Wenn Sie die Einstellungen des Moduls bearbeiten, das für die Klassifizierungen zuständig ist,
können Sie aus den Ordnern dieser Listen passende Unterordner auswählen und eine Liste mit
Klassifizierungen zur Data Loss Prevention in Ihrem Netzwerk erstellen.
•
Wörterbucheinträge: Geben Sie vertrauliche oder unangemessene Inhalte an, z. B. Namen von
Personen oder Stichwörter, die auf Inhalte hinweisen, die das Netzwerk nicht verlassen dürfen
Das Wörterbuch wird im Rahmen der Einstellungen für das Modul erstellt, das für diese Liste
zuständig ist.
Durch das Erstellen eines Wörterbuchs und das Füllen des Wörterbuchs mit vertraulichen oder
unangemessenen Inhalten lässt sich der Data Loss Prevention-Prozess im Gegensatz zur
Verwendung der Standardklassifizierungen der Systemlisten noch weiter konfigurieren. Auf diese
Weise können Sie den Prozess an die Anforderungen Ihres Netzwerks anpassen.
Data Loss Prevention-Module
Die Aufgabe der Data Loss Prevention-Module (auch als Engines bezeichnet) ist es, vertrauliche oder
unangemessene Inhalte im Textteil von Anfragen und Antworten und in allen weiteren Texten der
Anfragen und Antworten zu erkennen.
Wenn zusammengesetzte Objekte, z. B. Archivdokumente, Textteile von POST-Anfragen usw., mit
Anfragen oder Antworten gesendet werden, sind auch diese Teil des Data Loss Prevention-Prozesses.
Um diese Objekte zu berücksichtigen, werden die Data Loss Prevention-Regeln auch im Zyklus
„Embedded Objects“ (Eingebettete Objekte) verarbeitet.
382
Produkthandbuch
9
Web-Filterung
Abhängig von den Ergebnissen der Data Loss Prevention-Module werden die textabhängigen
Eigenschaften in den Regelkriterien auf true oder false gesetzt, sodass der Web-Datenverkehr
letztendlich blockiert oder zugelassen wird.
Es gibt zwei Module, die Listen zur Erkennung relevanter Inhalte unterschiedlich einsetzen:
•
Data Loss Prevention (Klassifizierungen): Verwendet Standardklassifizierungen auf
Systemlisten zur Date Loss Prevention
•
Data Loss Prevention (Wörterbücher): Verwendet Wörterbücher mit Einträgen für vertrauliche
und unangemessene Inhalte, die Sie sich selber zur Data Loss Prevention bereitstellen
Beim Konfigurieren der Einstellungen für die Module geben Sie an, nach welchen Inhalten gesucht
werden soll. Die Standardklassifizierungen und Wörterbucheinträge, die den Inhalt angeben, sind Teil
der Einstellungsparameter.
Suchmethoden zur Data Loss Prevention
Es gibt verschiedene Methoden zur Suche nach Inhalten, die das Netzwerk nicht verlassen bzw. nicht
hineinkommen dürfen.
•
Eine Suche kann beispielsweise herausfinden, ob ein bestimmter Anfrage- oder Antworttext Teile
der Inhalte enthält, die als vertraulich oder unangemessen festgelegt wurden.
•
Eine Suche kann mit einem Teil des Inhalts beginnen, z. B. einem URL-Parameter oder Header, und
herausfinden, ob dieser Teil entsprechend Ihrer Konfiguration vertraulich oder unangemessen ist.
Für die erste Methode können Sie die DLP.Classification.BodyText.Matched-Eigenschaft verwenden, die
bereits in einer Beispielregel gezeigt wurde.
Für die zweite Methode können Sie die DLP.Classification.AnyText.Matched-Eigenschaft verwenden.
Diese Eigenschaft verwendet einen Zeichenfolgeparameter für den Inhaltsteil, der darauf überprüft
wird, ob er in einer Systemliste oder in einem Wörterbuch enthalten ist.
Abhängig davon, womit Sie arbeiten, würden Sie die beiden bereits erwähnten Parameter mit
Systemlisten und DLP.Dictionaries.BodyText.Matched und DLP.Dictionaries.AnyText.Matched mit dem
Wörterbuch verwenden.
Protokollierung von Data Loss Prevention
Zusätzliche Eigenschaften stehen zur Protokollierung der Ergebnisse des Data Loss
Prevention-Prozesses zur Verfügung. Somit können Sie diese Daten beispielsweise mit einem Ereignis
in einer Regel protokollieren.
Wenn der Wert für DLP.Classification.BodyText.Matched für den Text einer verarbeiteten Anfrage oder
Antwort true ist, gilt Folgendes für die relevanten Protokollierungseigenschaften:
•
DLP.Classification.BodyText.MatchedTerms enthält eine Liste der übereinstimmenden Begriffe aus
dem Textteil
•
DLP.Classification.BodyText.MatchedClassifications enthält eine Liste der übereinstimmenden
Klassifizierungen
Wenn DLP.Dictionary.BodyText.Matched den Wert true hat, enthält
DLP.Dictionary.BodyText.MatchedTerms eine Liste aller übereinstimmenden Begriffe.
Ähnlich können übereinstimmende Begriffe und Klassifizierungen für die Suchmethode protokolliert
werden, die nach Übereinstimmungen einer bestimmten Textzeichenfolge sucht.
Produkthandbuch
383
9
Web-Filterung
Wenn der Wert für DLP.Classification.AnyText.Matched true ist:
•
DLP.Classification.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe, die in
anderen Texten als dem Textteil gefunden wurden.
•
DLP.Classification.AnyText.MatchedClassifications enthält eine Liste übereinstimmender
Klassifizierungen, die in anderen Texten als dem Textteil gefunden wurden.
Wenn sich die Übereinstimmung in einem Wörterbuch befindet, ist DLP.Dictionary.AnyText.Matched
true, und DLP.Dictionary.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe.
Informationen zu den Data Loss Prevention-Ergebnissen werden auch im Dashboard angezeigt.
Verhindern des Verlusts medizinischer Daten
Das nachfolgende Beispiel aus Data Loss Prevention geht davon aus, dass medizinische Daten das
Netzwerk eines amerikanischen Krankenhauses nicht verlassen dürfen.
Standardklassifizierungen zur Verhinderung des Verlustes medizinischer Daten befinden sich im
HIPAA-Ordner (Health Insurance Portability and Accountability Act). Zusätzlich zu diesen
Standardinformationen werden die Namen der Ärzte, die im Krankenhaus arbeiten, in ein Wörterbuch
eingegeben, damit auch diese Informationen das Netzwerk nicht verlassen.
Die folgenden Aktivitäten müssen zur Konfiguration von Data Loss Prevention in diesem Beispiel
durchgeführt werden:
•
Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Klassifizierungen), die die
Standard-HIPAA-Klassifizierungen enthalten
•
Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Wörterbücher), die die Namen
der Ärzte als Wörterbucheinträge enthalten
•
Sicherstellen, dass die Regel aktiviert ist, die den Composite Opener aktiviert
Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem
Regelsatz „Common Rules“ untergeordnet ist.
•
Erstellen einer Regel, die Inhalte entsprechend den konfigurierten Einstellungen überprüft
Die Regel muss in einem Regelsatz enthalten sein, der im Anfragezyklus für Anfragen zum
Hochladen von Daten aus dem Krankenhausnetzwerk in das Internet gilt.
Dieser Regelsatz kann im Standard-Regelsatz für Data Loss Prevention oder in einem von Ihnen
erstellten Regelsatz eingebettet sein.
In diesem Beispiel überprüft die Regel nur Text aus dem Textteil einer Anfrage. Es könnte wie folgt
aussehen:
Name
Prevent loss of HIPAA data and doctors' names
Kriterien
Aktion
DLP.Classification.BodyText.Matched<HIPAA> equals true AND –> Block<DLP.Classification.Block>
DLP.Dictionary.BodyText.Matched<Doctors'Names> equals true
Konfigurieren von Data Loss Prevention
Sie können Data Loss Prevention konfigurieren, um zu verhindern, dass vertrauliche Inhalte Ihr
Netzwerk verlassen. Sie können damit auch verhindern, dass unangemessene Inhalte in Ihr Netzwerk
gelangen.
384
Produkthandbuch
Web-Filterung
9
Vorgehensweise
1
Importieren Sie den Regelsatz „Data Loss Prevention“ aus der Bibliothek.
2
Prüfen Sie die enthaltenen Regeln, und ändern Sie sie gegebenenfalls.
Sie können z. B. Folgendes ausführen:
•
Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von
Standardklassifizierungen.
•
Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von
Wörterbucheinträgen.
•
Ändern Sie die Parameter weiterer Einstellungen.
•
Erstellen Sie eigene Regeln.
Sie können auch einen eigenen Regelsatz für Data Loss Prevention erstellen, anstatt den
Bibliotheks-Regelsatz zu nutzen.
3
Vergewissern Sie sich, dass Composite Opener aktiviert ist, sodass der mit Anfragen und Antworten
gesendete Text überprüft werden kann.
Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem
Regelsatz „Common Rules“ untergeordnet ist.
4
Wenn Data Loss Prevention mit ICAP ausgeführt werden soll, können Sie einen weiteren Regelsatz
aus der Bibliothek importieren und dessen Regeln nach Bedarf ändern.
5
Konfigurieren von Data Loss Prevention für die Verwendung
von Standardklassifizierungen
Sie können Data Loss Prevention konfigurieren, indem Sie Standardklassifizierungen aus Systemlisten
auswählen und diese in eine Liste eingeben, die in den Einstellungen des Data Loss Prevention-Moduls
für die Verarbeitung von Klassifizierungen enthalten ist.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Classifications) (Data Loss Prevention
(Klassifizierungen)) aus, und klicken Sie auf Add (Hinzufügen).
3
Konfigurieren Sie die Parameter für allgemeine Einstellungen:
a
b
Einstellungen ein.
c
möchten.
Produkthandbuch
385
9
Web-Filterung
4
Klicken Sie auf der Symbolleiste der internen Liste DLP Classifications (Data Loss
Prevention-Klassifizierungen) auf das Symbol Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Verzeichnisstruktur von Ordnern, die
Unterordner mit Standardklassifizierungen enthalten.
5
Erweitern Sie einen Ordner, z. B. SOX Compliance (SOX-Compliance), und wählen Sie einen
Unterordner aus, z. B. Compliance Reports (Compliance-Berichte). Klicken Sie anschließend auf OK.
Sie können auch mehrere Unterordner eines Ordners gleichzeitig, Ordner aus verschiedenen
Unterordnern oder komplette Ordner mit allen darin enthaltenen Unterordnern auswählen.
Das Fenster Edit (Bearbeiten) wird nun geschlossen, und der bzw. die Unterordner werden in der
internen Liste DLP Classifications (Data Loss Prevention-Klassifizierungen) angezeigt.
6
Konfigurieren von Data Loss Prevention für die Verwendung
von Wörterbucheinträgen
Sie können Text und Platzhalterausdrücke eingeben, die vertrauliche oder unangemessene Inhalte
angeben, die als Einträge eines Wörterbuchs für Data Loss Prevention verwendet werden.
Nach dem Importieren des Bibliotheks-Regelsatzes „Data Loss Prevention“ ist die Verwendung eines
Wörterbuchs mit Einträgen für vertrauliche oder unangemessene Inhalte noch nicht implementiert. Sie
müssen geeignete Einstellungen erstellen, um diese zu implementieren und das Wörterbuch mit
Einträgen zu füllen.
Aufgaben
•
Erstellen von Einstellungen mit einem Wörterbuch auf Seite 386
Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen
mit einem Wörterbuch erstellen.
•
Füllen des Wörterbuchs mit Einträgen auf Seite 387
Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit
Einträgen füllen.
Erstellen von Einstellungen mit einem Wörterbuch
Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen mit einem
Wörterbuch erstellen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Dictionaries) (Data Loss Prevention
(Wörterbücher)) aus, und klicken Sie dann auf Add (Hinzufügen).
3
386
Konfigurieren Sie die Parameter für allgemeine Einstellungen:
a
b
Einstellungen ein.
c
möchten.
Produkthandbuch
9
Web-Filterung
Nun können Sie in das Wörterbuch Einträge einfügen.
Füllen des Wörterbuchs mit Einträgen
Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit Einträgen füllen.
Vorgehensweise
1
Klicken Sie in den für Data Loss Prevention mit Wörterbucheinträgen erstellten Einstellungen auf
der Symbolleiste der Inline-Liste Dictionary (Wörterbuch) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen).
2
Wählen Sie unter Type of data to search (Typ der zu durchsuchenden Daten) Text oder Wildcard expression
(Platzhalterausdruck) aus.
3
Geben Sie im Feld Text or wildcard expression (Text oder Platzhalterausdruck) eine Textzeichenfolge oder
einen Platzhalterausdruck ein.
4
[Optional] Geben Sie zusätzliche Informationen für einen Eintrag an:
•
•
Wenn Sie eine Textzeichenfolge eingegeben haben, wählen Sie eine oder eine beliebige
Kombination der folgenden Optionen aus:
•
Case-sensitive (Groß-/Kleinschreibung berücksichtigen)
•
At start of word (Am Anfang des Wortes)
•
At end of word (Am Ende des Wortes)
Wenn Sie einen Platzhalterausdruck eingegeben haben, aktivieren bzw. deaktivieren Sie die
Option Case-sensitive (Groß-/Kleinschreibung berücksichtigen) nach Bedarf.
5
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar im Nur-Text-Format zu einem
Eintrag ein.
6
Klicken Sie auf OK.
Daraufhin wird das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen) geschlossen,
und der neue Eintrag wird im Wörterbuch angezeigt.
Wiederholen Sie die Schritte 1 bis 6, um weitere Einträge hinzuzufügen.
7
Klicken Sie im Fenster Add Settings (Einstellungen hinzufügen) auf OK.
Daraufhin wird das Fenster geschlossen, und die Einstellungen werden in der
Einstellungs-Baumstruktur unter Data Loss Prevention (Dictionaries) (Data Loss Prevention
(Wörterbücher)) angezeigt.
Einstellungen für Data Loss Prevention (Klassifizierung)
Die Einstellungen für Data Loss Prevention (Klassifizierung) werden zum Konfigurieren von Einträgen
in Klassifizierungslisten verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen
eingestuft werden.
DLP-Klassifizierungsparameter
Konfigurationseinstellungen für die Verwendung von Klassifizierungslisten bei der Suche nach
vertraulichen bzw. unangemessenen Inhalten
Produkthandbuch
387
9
Web-Filterung
Tabelle 9-48 DLP-Klassifizierungsparameter
Option
Definition
Tracking policy
(Überwachungsrichtlinie)
Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte
im Textteil von Anfragen und Antworten fest.
Die Suche wird für alle ausgewählten Klassifizierungen durchgeführt. Sie
können die Suche jedoch in folgendem Umfang anpassen:
• Minimum: Die Suche für eine bestimmte Klassifizierung wird beendet,
wenn für diese eine Instanz mit vertraulichem bzw. unangemessenem
Inhalt gefunden wurde oder wenn die Suche nach einer solchen Instanz
kein Ergebnis erbrachte. Anschließend wird die Suche für die nächste
Klassifizierung durchgeführt.
Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen
verarbeitet wurden.
• Maximum: Die Suche ermittelt für eine bestimmte Klassifizierung alle
Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die
Suche für eine Klassifikation abgeschlossen ist, wird die nächste
Klassifikation verarbeitet.
Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen
verarbeitet wurden.
DLP Classifications
(DLP-Klassifizierungen)
Enthält eine Liste zur Auswahl von Einträgen in Klassifizierungslisten aus
den Systemlisten, die in der Listen-Baumstruktur unter DLP Classification
(DLP-Klassifizierung) aufgeführt sind.
In der folgenden Tabelle wird ein Eintrag in der Liste „DLP Classifications“ erläutert.
Tabelle 9-49 DLP-Klassifizierungsparameter – Listeneintrag
Option
Definition
DLP Classification (DLP-Klassifizierung) Enthält Informationen bezüglich der Erkennung vertraulicher bzw.
unangemessener Inhalte.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Eintrag.
Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention
Option
Definition
Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl)
des ausgegebenen Kontexts)
eines bei der Suche gefundenen Begriffs begrenzen.
Der gefundene Begriff ist der in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherte Wert.
Context list size (Länge der
Kontextliste)
Hier können Sie die Anzahl der aufgelisteten Begriffe begrenzen, die bei
der Suche gefunden wurden.
Die gefundenen Begriffe sind die in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherten Werte.
388
Produkthandbuch
9
Web-Filterung
Einstellungen für Data Loss Prevention (Wörterbücher)
Die Einstellungen für Data Loss Prevention (Wörterbücher) werden zum Konfigurieren von Begriffen
und Platzhalterausdrücken verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen
eingestuft werden.
DLP-Wörterbuchparameter
Einstellungen zum Konfigurieren von Begriffen und Platzhalterausdrücken zur Angabe, welche Inhalte
als vertraulich bzw. unangemessen eingestuft werden
Tabelle 9-51 DLP-Wörterbuchparameter
Option
Definition
Tracking policy
(Überwachungsrichtlinie)
Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte
im Textteil von Anfragen und Antworten fest.
Die Suche wird für alle erstellten Wörterbucheinträge durchgeführt. Die
Suche kann jedoch in folgendem Umfang angepasst werden:
• Minimum: Die Suche wird für einen bestimmten Wörterbucheintrag
beendet, wenn für diesen eine Instanz mit vertraulichem bzw.
unangemessenem Inhalt gefunden wurde oder wenn die Suche nach einer
solchen Instanz kein Ergebnis erbrachte. Anschließend wird die Suche für
den nächsten Eintrag durchgeführt.
Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet
wurden.
• Maximum: Die Suche ermittelt für einen bestimmten Wörterbucheintrag
alle Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die
Suche für einen Eintrag abgeschlossen ist, wird der nächste Eintrag
verarbeitet.
Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet
wurden.
Dictionary (Wörterbuch)
Enthält eine Liste zur Eingabe von Begriffen und Platzhalterausdrücken, die
als vertraulicher bzw. unangemessener Inhalt eingestuft werden oder mit
einem solchen Inhalt übereinstimmen.
In der folgenden Tabelle wird ein Eintrag in der Liste Dictionary (Wörterbuch) erläutert.
Tabelle 9-52 Wörterbuch – Listeneintrag
Option
Definition
Text or wildcard expression (Begriff oder
Platzhalterausdruck)
Gibt einen Begriff bzw. Platzhalterausdruck an, der als
vertraulicher bzw. unangemessener Inhalt eingestuft wird oder
mit einem solchen Inhalt übereinstimmt.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem Begriff
(Zeichenfolge) bzw. einem Platzhalterausdruck.
Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention
Produkthandbuch
389
9
Web-Filterung
Option
Definition
Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl)
des ausgegebenen Kontexts)
eines bei der Suche gefundenen Begriffs begrenzen.
Der gefundene Begriff ist der in der Eigenschaft
DLP.Dictionary.Matched.Terms gespeicherte Wert.
Context list size (Länge der
Kontextliste)
Hier können Sie die Anzahl von Treffern begrenzen, die für den
angegebenen Wert in der Liste angezeigt werden.
Die gefundenen Begriffe sind die in der Eigenschaft
DLP.Classification.Matched.Terms gespeicherten Werte.
Data Loss Prevention (Regelsatz)
Der Regelsatz „Data Loss Prevention (DLP)“ ist ein Bibliotheks-Regelsatz, mit dem verhindert wird,
dass vertrauliche Inhalte Ihr Netzwerk verlassen bzw. dass unangemessene Inhalte in Ihr Netzwerk
eindringen.
Standard-Regelsatz – Data Loss Prevention (DLP)
Criteria – Always
•
DLP in Request Cycle
•
DLP in Response Cycle
Dieser Regelsatz ist standardmäßig nicht aktiviert.
DLP in Request Cycle
Dieser untergeordnete Regelsatz blockiert Anfragen, die von Clients Ihres Netzwerks an Web-Server
gesendet werden, wenn erkannt wird, dass es sich dabei um vertrauliche Inhalte handelt. So würde
beispielsweise eine Anfrage zum Hochladen einer Datei mit vertraulichen Inhalten in das Internet
blockiert.
Untergeordneter Bibliotheks-Regelsatz – DLP in Request Cycle
Criteria – Cycle.TopName equals "Request"
Cycles – Requests (and IM) and Embedded Objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage auf der
Appliance verarbeitet wird.
Block files with HIPAA information
DLP.Classification.BodyText.Matched <HIPAA> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Die Regel überprüft anhand der DLP.Classification.BodyText.Matched -Eigenschaft, ob der Textteil der
derzeit verarbeiteten Anfrage Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text
kann z. B. in einer Datei enthalten sein, deren Upload in das Internet angefragt wird.
Text wird gemäß den HIPAA-Vorschriften für das Gesundheitswesen als vertraulicher Inhalt
eingestuft. Die Nutzung der relevanten Informationen wird im Rahmen der Moduleinstellungen
konfiguriert, die nach dem Eigenschaftennamen angegeben sind.
390
Produkthandbuch
9
Web-Filterung
Wenn im Textteil einer Anfrage vertrauliche Inhalte enthalten sind, wird die Anfrage blockiert. Die
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfragenden Benutzer
an.
Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines
Data Loss Prevention-Treffers.
Block files with Payment Card Industry information
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Text wird gemäß den geltenden Vorschriften für Kreditkarten als vertraulicher Inhalt eingestuft.
Darunter würde beispielsweise eine Kreditkartennummer fallen. Ob ein Text vertrauliche Inhalte
enthält, wird auf dieselbe Weise wie für die HIPAA-bezogene Regel anhand geeigneter Informationen
bestimmt.
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer
an.
Block files with SOX information
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Text wird gemäß den Bestimmungen des Sarbanes-Oxley (SOX) Act zur Rechenschaftspflicht
börsennotierter Unternehmen als vertraulich eingestuft. Darunter würden beispielsweise Protokolle
von Vorstandssitzungen fallen. Ob ein Text vertrauliche Inhalte enthält, wird auf dieselbe Weise wie
für die HIPAA-bezogene Regel anhand geeigneter Informationen bestimmt.
Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer
an.
DLP in Response Cycle
Dieser untergeordnete Regelsatz blockiert Antworten, die auf der Appliance von Web-Servern
empfangen werden, wenn erkannt wird, dass diese unangemessene Inhalte enthalten, z. B.
diskriminierende oder anstößige Sprache.
Untergeordneter Bibliotheks-Regelsatz – DLP in Response Cycle
Criteria – Cycle.TopName equals "Response"
Cycles – Responses and embedded objects
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Antwort auf der
Appliance verarbeitet wird.
Produkthandbuch
391
9
Web-Filterung
Acceptable use
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default>
Die Regel überprüft anhand der DLP.Classification.BodyText.Matched-Eigenschaft, ob der Textteil der
derzeit verarbeiteten Antwort Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text
kann z. B. in einer Datei enthalten sein, die als Antwort auf eine Download-Anfrage gesendet wird.
Das von der Regel aufgerufene Modul, von dem festgestellt wird, ob im Textteil der Antwort
unangemessene Inhalte enthalten sind, nutzt geeignete Informationen aus Klassifizierungslisten. Die
Nutzung dieser Listen wird im Rahmen der Moduleinstellungen konfiguriert, die nach dem
Eigenschaftennamen angegeben sind.
Wenn im Textteil einer Antwort unangemessene Inhalte enthalten sind, wird die Antwort blockiert.
Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den Benutzer an, an den
die Antwort weitergeleitet werden sollte.
Verhindern von Datenlecks mit einem ICAP-Server
Wenn Sie Data Loss Prevention mit einem ICAP-Server implementiert haben, der den Filterprozess
behandelt, können Sie Einstellungen konfigurieren und einen Regelsatz implementieren, um einen
reibungslosen Datenfluss zwischen der Appliance und dem ICAP-Server sicherzustellen.
Für Data Loss Prevention können Sie die Lösung nDLP verwenden. In dieser Lösung werden Daten
gefiltert, die Benutzer aus dem Netzwerk in das Web hochladen möchten, um Datenlecks zu
verhindern. Die Filterung wird durch einen ICAP-Server abgewickelt. Der Datenfluss läuft wie folgt ab:
•
Aus den Client-Systemen der Benutzer gesendete Daten werden an die Appliance weitergeleitet.
•
Die Appliance stellt einen ICAP-Client bereit, der REQMOD-Anfragen mit den Benutzerdaten an den
ICAP-Server sendet.
•
Die Anfragen werden auf dem Server gefiltert, indem sie gemäß dem ICAP-Protokoll geändert und
an die Web-Server übergeben werden, die die Ziele der Anfragen darstellen.
Nach dem Importieren des Regelsatzes Data Loss Prevention with ICAP aus der Bibliothek steuern auf
der Appliance implementierte Regeln das Senden von Anfragen an den ICAP-Server.
Entsprechend diesen Regeln wird eine Anfrage unter folgenden Umständen nicht weitergeleitet:
•
Der Textteil der Anfrage enthält keine Daten, und die Anfrage enthält keine URL-Parameter.
•
Der Textteil der Anfrage überschreitet eine bestimmte Größe (Standardwert: 50 MB).
Zusammen mit dem Regelsatz werden Einstellungen importiert, die Sie konfigurieren müssen. Hierzu
zählt eine Liste der ICAP-Server, an die die Appliance Anfragen weiterleiten kann.
Sie können außerdem den ICAP-Client auf der Appliance so konfigurieren, dass keine größere Anzahl
von Verbindungen zum Senden von Anfragen gleichzeitig geöffnet wird, als von einem bestimmten
ICAP-Server bewältigt werden kann.
392
Produkthandbuch
9
Web-Filterung
Erstellen einer ICAP-Server-Liste für Data Loss Prevention
Da die nDLP-Lösung zur Data Loss Prevention zum Filtern von Daten einen ICAP-Server nutzt, müssen
Sie für das Ausführen dieser Lösung eine Liste der entsprechenden Server konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur ICAP Client (ICAP-Client) aus, und klicken Sie auf die
Einstellung ReqMod.
3
Konfigurieren Sie nun die in diesen Einstellungen verfügbare ICAP-Server-Liste je nach Bedarf.
4
ICAP-Client-Einstellungen
Mit den ICAP-Client-Einstellungen wird die Kommunikation im REQMOD-Modus zwischen einem
ICAP-Client auf der Appliance und ICAP-Servern konfiguriert.
ICAP Service (ICAP-Dienst)
Einstellungen für ICAP-Server, an die der ICAP-Client auf der Appliance Anfragen sendet
Tabelle 9-54 Select Scanning Engines (Scan-Module auswählen)
Option
Definition
List of ICAP Servers (Liste der
ICAP-Server)
Enthält eine Liste zur Auswahl einer Liste von Servern, die für die
ICAP-Kommunikation verwendet werden.
Eingehende Anfragen von ICAP-Clients werden an die Server in der
ausgewählten Liste im Round-Robin-Modus (Rundlaufmodus) verteilt.
Die Liste wird hierfür alle 60 Sekunden überprüft.
In der folgenden Tabelle wird ein Eintrag für einen ICAP-Server in einer Serverliste beschrieben.
Tabelle 9-55 Eintrag in einer Liste von ICAP-Servern
Option
Definition
URI
Gibt die URI eines ICAP-Servers an.
Format: ICAP://<IP-Adresse>:<Port-Nummer>
Respect max concurrent connections
limit (Zulässige Höchstzahl für
gleichzeitige Verbindungen
beachten)
Bei Auswahl dieser Option öffnet der ICAP-Client auf der Appliance
nicht mehr gleichzeitige Verbindungen zum Senden von Anfragen,
als vom ICAP-Server bewältigt werden können.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem
ICAP-Server.
Data Loss Prevention With ICAP (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Data Loss Prevention With ICAP“ kann der Datenfluss zwischen der
Appliance und einem ICAP-Server innerhalb einer Data Loss Prevention-Lösung konfiguriert werden.
Bibliotheks-Regelsatz – Data Loss Prevention With ICAP
Criteria – URL.Host does not equal “ ”
Cycles – Requests (and IM) and Embedded Objects
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn für eine in einer Anfrage
an die Appliance gesendete URL ein Host-Name gefunden wird.
Produkthandbuch
393
9
Web-Filterung
Skip requests that do not carry information
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft Body.Size, ob der Textteil einer bestimmten Anfrage leer
ist. Außerdem überprüft die Regel mit der Eigenschaft ListOfString.IsEmpty, ob eine Anfrage
URL-Parameter enthält.
Wenn ein Teil dieses zweiteiligen Kriteriums zutrifft, wird die Verarbeitung des Regelsatzes beendet,
und die Anfrage wird nicht an den ICAP-Server weitergeleitet.
Skip body that is greater than 50 MB
Body.Size greater than 52428800 –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft „Body.Size“, ob der Textteil einer bestimmten Anfrage
größer als 50 MB ist. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die
Anfrage wird nicht an den ICAP-Server weitergeleitet.
In diesem Regelsatzkriterium wird die maximale Größe des Textteils einer Anfrage in Bytes
angegeben.
Call ReqMod server
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
Wenn eine Anfrage das Filtern durch die ersten zwei Regeln des Regelsatzes bestanden hat, wird sie
an den ICAP-Server weitergeleitet. Die Eigenschaft „ICAP.ReqMod.Satisfaction“ erhält dann den Wert
„True“ (wahr).
Die Regel prüft, ob dies für eine Regel zutrifft, und beendet anschließend die Verarbeitung des
laufenden Zyklus.
394
Produkthandbuch
10
Einige Funktionen der Appliance dienen nicht zur Filterung von Web-Objekten oder Benutzern, sondern
unterstützen den Filterungsprozess auf eine andere Art.
Die unterstützenden Funktionen bieten folgende Möglichkeiten:
•
Download-Fortschritt anzeigen: Sie können Methoden konfigurieren, um Benutzern den
Fortschritt beim Herunterladen von Web-Objekten sichtbar zu machen.
•
Bandbreite für Uploads und Downloads beschränken: Sie können die Geschwindigkeit
beschränken, mit der Daten von Clients auf die Appliance hochgeladen oder von Web-Servern auf
die Appliance heruntergeladen werden.
•
Web-Cache für die Speicherung und Bereitstellung von Web-Objekten verwenden: Wenn
Sie Objekte aus dem Web-Cache an die Appliance senden, können Sie Antworten auf
Client-Anfragen beschleunigen.
•
Anfragen über Proxys des nächsten Hops umleiten: Über diese Proxys können Sie Anfragen
an das jeweilige Ziel umleiten.
Inhalt
Fortschrittsanzeige
Bandbreitenbeschränkung
Web-Caching
Nächster-Hop-Proxys
Fortschrittsanzeige
Die Fortschrittsanzeige zeigt einem Benutzer, der den Download eines Web-Objekts gestartet hat, der
Fortschritt beim Herunterladen des Objekts an.
•
Fortschrittsanzeigeregeln, die den Prozess steuern
•
Fortschrittsanzeigemodule, die von den Regeln für die Verarbeitung der verschiedenen Methoden
für die Fortschrittsanzeige aufgerufen werden
Produkthandbuch
395
10
Fortschrittsanzeige
Fortschrittsanzeigeregeln
Die Regeln, die die Fortschrittsanzeige steuern, sind normalerweise in einem Regelsatz enthalten.
Verschiedene Regeln steuern die Verwendung der unterschiedlichen Methoden für die
Fortschrittsanzeige. Demzufolge rufen sie verschiedene Module zum Verarbeiten dieser Methoden auf.
Auf der Appliance sind zwei Methoden für die Fortschrittsanzeige verfügbar. Welche Methode für einen
Download geeignet ist, hängt von dem Browser ab, mit dem der Benutzer die Download-Anfrage
sendet.
•
Fortschrittsseite: Für Mozilla-Browser
Bei dieser Methode wird für den Benutzer, der einen Download gestartet hat, eine Seite mit einem
Fortschrittsbalken angezeigt; anschließend wird eine weitere Seite beim Abschluss des Downloads
angezeigt.
•
Durchlassen von Daten: Für alle anderen Browser
Bei dieser Methode wird ein Web-Objekt in Paketen und mit einer bestimmten
Weiterleitungsgeschwindigkeit an den Benutzer weitergeleitet.
Die Fortschrittsanzeige ist im Standard-Regelsatzsystem nicht implementiert. Diese Funktionen
werden von einem Bibliotheks-Regelsatz bereitgestellt. Dieser heißt Progress Indication.
Sie können diesen Regelsatz implementieren, die darin enthaltenen Regeln überprüfen, ändern oder
löschen, und Sie können auch eigene Regeln erstellen.
Fortschrittsanzeigemodule
Für die Verarbeitung der verschiedenen Methoden der Fortschrittsanzeige sind zwei
Fortschrittsanzeigemodule (auch als Engine bezeichnet) verfügbar:
•
Modul „Progress Page“: für die Fortschrittsseitenmethode
•
Modul „Data Trickling“: für die Methode zum Durchlassen von Daten
Sie können Einstellungen für diese Module konfigurieren, um die Art der Verarbeitung dieser Methoden
zu ändern.
Es werden Vorlagen für das Konfigurieren der beiden Seiten für die Fortschrittsseitenmethode
bereitgestellt. Die Konfiguration erfolgt auf die gleiche Weise wie für Benutzermeldungsvorlagen.
Konfigurieren der Fortschrittsanzeige
Sie können die Fortschrittsanzeige implementieren und konfigurieren, um sie an die Anforderungen
Vorgehensweise
396
1
Importieren Sie den Regelsatz „Progress Indication“ aus der Bibliothek.
2
Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
Produkthandbuch
Fortschrittsanzeige
10
•
•
3
Konfigurieren Sie Einstellungen für das Modul „Progress Page“:
•
Wählen Sie eine bestimmte Sprache für die Fortschrittsseite aus.
•
Ändern Sie den Text der Fortschrittsseite.
•
Geben Sie Zeitlimits für die heruntergeladene Seite an, z. B. ein Zeitlimit für den Zeitraum,
den eine Seite nach dem Download verfügbar ist.
Konfigurieren Sie Einstellungen für das Modul „Data Trickling“:
•
Größe des ersten Pakets beim Durchlassen von Daten
•
Weiterleitungsgeschwindigkeit
Konfigurieren der Fortschrittsanzeige-Module
Sie können die Fortschrittsanzeige-Module konfigurieren, um zu ändern, auf welche Weise der
Fortschritt beim Download von Web-Objekten für Benutzer angezeigt wird.
Für die Fortschrittsanzeige sind zwei verschiedene Module vorhanden: das Modul „Progress Page“ und
das Modul „Data Trickling“.
Vorgehensweise
1
Wählen Sie Policy Rule Sets (Richtlinie | Regelsätze) aus.
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Fortschrittsanzeige aus.
Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz
Progress Indication.
3
4
Suchen Sie je nach konfigurierter Fortschrittsanzeige nach der Regel, die das Modul „Progress
Page“ bzw. das Modul „Data Trickling“ aufruft.
Im Bibliotheks-Regelsatz sind dies die Regeln Enable progress page und Enable data trickling.
5
Klicken Sie im Regelereignis der entsprechenden Regel auf den Namen der Einstellungen.
für das Modul „Progress Page“ bzw. das Modul „Data Trickling“.
6
7
8
Siehe auch
Einstellungen für das Durchlassen von Daten auf Seite 399
Progress Indication (Regelsatz) auf Seite 400
Produkthandbuch
397
10
Fortschrittsanzeige
Einstellungen für „Progress Page“ (Fortschrittsseite)
Mit den Einstellungen für „Progress Page“ (Fortschrittsseite) wird die Fortschrittsseite konfiguriert, die
Benutzern beim Herunterladen von Web-Objekten angezeigt wird.
Parameter für „Progress Page“ (Fortschrittsseite)
Einstellungen für die Fortschrittsseite
Tabelle 10-1 Parameter für „Progress Page“ (Fortschrittsseite)
Option
Definition
Templates (Vorlagen) Stellt Einstellungen für die Vorlagen bereit, die für die Fortschrittsseite genutzt
werden.
Timeouts (Zeitlimits) Stellt Einstellungen für Zeitlimits bereit, die sich auf die Fortschrittsseite beziehen.
Templates (Vorlagen)
Einstellungen für die Vorlagen, die für die Fortschrittsseite genutzt werden
Tabelle 10-2 Templates (Vorlagen)
Option
Definition
Language (Sprache)
Bietet Einstellungen zum Auswählen der Sprache der Fortschrittsseite.
• Auto (Browser): Bei Auswahl dieser Option wird die Meldung in der
Sprache des Browsers ausgegeben, von dem die blockierte Anfrage
gesendet wurde.
• Force to (Erzwingen von): Bei Auswahl dieser Option wird die Meldung
in der Sprache ausgegeben, die in der hier bereitgestellten Liste
ausgewählt wird.
• Value of 'Message.Language' property (Wert der
Message.Language-Eigenschaft): Bei Auswahl dieser Option wird die
Meldung in der Sprache ausgegeben, die als Wert der Eigenschaft
„Message.Language“ festgelegt ist.
Mit dieser Eigenschaft kann eine Regel erstellt werden.
Collection (Sammlung)
Stellt eine Liste zum Auswählen einer Vorlagensammlung bereit.
• Add (Hinzufügen): Öffnet das Fenster „Add Template Collection“
(Vorlagensammlung hinzufügen), mit dem eine Vorlagensammlung
hinzugefügt werden kann.
• Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum
Bearbeiten einer Vorlagensammlung.
Template name for progress bar
page (Name der Vorlage für Seite
mit Fortschrittsbalken)
Stellt eine Liste zum Auswählen einer Vorlage bereit.
• Add (Hinzufügen): Öffnet das Fenster „Add Template“ (Vorlage
hinzufügen), mit dem eine Vorlage hinzugefügt werden kann.
Bearbeiten einer Vorlage.
398
Produkthandbuch
Fortschrittsanzeige
10
Tabelle 10-2 Templates (Vorlagen) (Fortsetzung)
Option
Definition
Template name for download
finished page (Name der Vorlage
für Seite bei
Download-Fertigstellung)
Template name for download
canceled page (Name der Vorlage
für Seite bei Abbruch des
Downloads)
Timeouts (Zeitlimits)
Einstellungen für Zeitlimits, die sich auf die Fortschrittsseite beziehen
Tabelle 10-3 Templates (Vorlagen)
Option
Definition
Delay for redirects to progress page (Verzögerung für Beschränkt den Zeitraum (in Sekunden) bis zum Anzeigen
Umleitungen auf Fortschrittsseite)
der Fortschrittsseite auf den angegebenen Wert.
File availability time before download
(Dateiverfügbarkeitsdauer vor Download)
Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf
eine Datei für einen Benutzer vor dem Download nicht
mehr verfügbar ist, auf den angegebenen Wert.
File availability time after download
(Dateiverfügbarkeitsdauer nach Download)
Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf
eine Datei für einen Benutzer nach dem Download nicht
mehr verfügbar ist, auf den angegebenen Wert.
Einstellungen für das Durchlassen von Daten
Die Einstellungen für das Durchlassen von Daten werden zum Konfigurieren des Vorgangs des
Durchlassens von Daten genutzt, der angewendet wird, wenn ein Benutzer mit dem Download eines
Web-Objekts begonnen hat.
Parameter für das Durchlassen von Daten
Einstellungen bezüglich der einzelnen Teilpakete eines Web-Objekts, die im Datendurchlass-Modus
weitergeleitet werden
Tabelle 10-4 Parameter für das Durchlassen von Daten
Option
Definition
Size of first chunk (Größe des ersten Pakets)
Gibt die Größe des ersten Pakets (in Bytes) eines Web-Objekts
an, dessen Weiterleitung mithilfe der Methode zum
Durchlassen von Daten erfolgt.
Forwarding rate
(Weiterleitungsgeschwindigkeit)
Gibt die Größe der Pakete eines Web-Objekts an, die einzeln
alle fünf Sekunden weitergeleitet werden.
Die Weiterleitungsgeschwindigkeit beträgt ein Tausendstel der
gesamten weiterzuleitenden Datenmenge multipliziert mit dem
hier konfigurierten Wert.
Produkthandbuch
399
10
Progress Indication (Regelsatz)
Mithilfe des Bibliotheks-Regelsatzes „Progress Indication“ kann Benutzern der Fortschritt beim
Herunterladen eines Web-Objekts angezeigt werden.
Bibliotheks-Regelsatz – Progress Indication
Criteria – MediaType.FromHeader does not equal text/html
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn Medien, die als Antwort
auf die von einem Benutzer gesendete Anfrage aus dem Web gesendet werden, nicht vom Typ „Text“
oder „HTML“ sind.
Enable progress page
Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable Progress
Page <Default>
Die Regel aktiviert eine Fortschrittsseite für Mozilla-Browser. Die Ereigniseinstellungen geben das
Erscheinungsbild der Fortschrittsseite an, z. B. die verwendete Sprache.
FTP upload timeout prevention
URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable FTP
Upload Progress Indication
Die Regel aktiviert die Funktion „FTP Upload Progress Indication“, wenn eine Datei von einem Client
unter dem FTP-Protokoll zum Hochladen ins Web gesendet wurde.
Meldungen zum Upload-Fortschritt werden dann während des Upload-Prozesses an den Client
gesendet, um eine Zeitüberschreitung zu verhindern, die bei einer längeren Upload-Dauer auf dem
Client auftreten könnte.
Eine solche Zeitüberschreitung kann z. B. auf das Scannen der hochzuladenden Datei auf Infektionen
mit Viren und sonstiger Malware zurückzuführen sein.
Enable data trickling
Always –> Stop Rule Set – Enable Data Trickling<Default>
Die Regel aktiviert das Durchlassen von Daten für alle Browser, bei denen es sich nicht um
Mozilla-Browser handelt. In den Ereigniseinstellungen werden die Paket- und Blockgrößen für das
Durchlassen angegeben.
Sie können die Geschwindigkeit zum Hochladen und Herunterladen von Daten an bzw. von der
Appliance beschränken. Dies wird auch als Bandbreitenbeschränkung bezeichnet.
Mithilfe der Bandbreitenbeschränkung können Sie beispielsweise vermeiden, dass die
Netzwerkleistung, die Sie zur Durchführung eines bestimmten Tasks benötigen, von anderen
Benutzern beeinträchtigt wird, die einzelne Objekte in das Internet hochladen oder große Downloads
aus dem Internet herunterladen.
400
Produkthandbuch
10
Bandbreitenbeschränkungsregeln
Bandbreitenbeschränkungsregeln begrenzen die Übertragungsgeschwindigkeit, wenn Objekte ins
Internet hochgeladen oder aus dem Internet heruntergeladen werden.
Ereignisse in Bandbreitenbeschränkungsregeln
In den Regeln zur Steuerung der Bandbreitenbeschränkung können zwei Ereignisse verwendet
werden:
•
Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Client an die
Appliance
Dies ist der Fall, wenn ein Client eine Anfrage zum Hochladen eines Objekts an einen Web-Server
sendet und die Anfrage auf der Appliance zusammen mit dem Objekt abgefangen wird.
•
Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Web-Server an
die Appliance
In diesem Fall gab es eine Client-Anfrage zum Herunterladen eines Objekts von einem Web-Server,
und nach dem Filtern der Anfrage auf der Appliance sowie dem Weiterleiten der Anfrage sendet der
Web-Server als Antwort das Objekt.
Bandbreitenbeschränkungsregeln für Uploads
Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Uploads
ausführen kann.
Limit upload speed for hosts on throttling list (Upload-Geschwindigkeit für Hosts in
Beschränkungslisten begrenzen)
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
Die Regel verwendet das Ereignis Throttle.Client, um die Geschwindigkeit für Uploads auf 10 Kbit/s zu
begrenzen, wenn sich der Web-Server, an den die Daten hochgeladen werden sollen, in einer
bestimmten Liste befindet.
In den Kriterien der Regel wird die URL.Host-Eigenschaft verwendet, um den Host-Namen des
Web-Servers abzurufen, der in der Anfrage für das Hochladen angegeben wurde.
Wenn die Upload-Beschränkungsliste diesen Namen enthält, werden die Kriterien verglichen und die
Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt.
Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird.
Bandbreitenbeschränkungsregeln für Downloads
Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Downloads
ausführen kann.
Limit download speed for media types on throttling list (Download-Geschwindigkeit für
Medientypen in Beschränkungslisten begrenzen)
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue – Throttle.Server
(1000)
Die Regel verwendet das Ereignis Throttle.Server, um die Geschwindigkeit für Downloads auf
1000 Kbit/s zu begrenzen, wenn das herunterzuladende Web-Objekt zu einem Medientyp in einer
bestimmten Liste gehört.
Produkthandbuch
401
10
In den Kriterien der Regel wird die MediaType.EnsuredTypes-Eigenschaft verwendet, um den
Medientyp des Web-Objekts zu erkennen, das der Web-Server sendet. Ein Objekt kann auch zu
mehreren Typen gehören.
Wenn sich einer dieser Typen auf der Medientyp-Beschränkungsliste befindet, werden die Kriterien
verglichen und die Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt.
Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird.
Bandbreitenbeschränkungsregeln und Regelsätze
Es wird empfohlen, einen Gesamtregelsatz für Bandbreitenbeschränkungsregeln zu erstellen und zwei
Regelsätze in diesen zu integrieren, einen zur Beschränkung von Uploads sowie einen weiteren zur
Beschränkung von Downloads. Der integrierte Upload-Regelsatz kann dann für den Anfragezyklus und
der eingebettete Download-Regelsatz für den Antwortzyklus gelten.
Jeder integrierte Regelsatz kann über mehrere Beschränkungsregeln verfügen, die für verschiedene
Arten von Web-Objekten gelten.
Der Gesamtregelsatz für die Bandbreitenbeschränkung sollte am Anfang Ihres Regelsatzsystems
platziert werden. Wenn dies nicht der Fall ist, können Regeln in anderen Regelsätzen unbeschränkte
Downloads anderer Web-Objekte starten, bevor Ihre Beschränkungsregeln ausgeführt werden.
Beispielsweise könnte eine Regel zur Virus- oder Malware-Filterung den Download eines Web-Objekts
auslösen, das von einem Web-Server als Antwort auf eine Benutzeranfrage gesendet wurde. Das
Web-Objekt muss dann vollständig auf die Appliance heruntergeladen werden, um zu überprüfen, ob
es infiziert ist.
Wenn sich der Regelsatz zur Bandbreitenbeschränkung hinter dem Regelsatz mit der Virus- und
Malware-Filterungsregel befindet und nach dieser verarbeitet wird, wird keine
Bandbreitenbeschränkung für den Download angewendet.
Konfigurieren der Bandbreitenbeschränkung
Sie können die Bandbreitenbeschränkung implementieren und konfigurieren, um sie an die
Anforderungen Ihres Netzwerks anzupassen.
Vorgehensweise
1
Erstellen Sie Listen von Web-Objekten, die von den Regeln für die Bandbreitenbeschränkung
verwendet werden sollen.
Sie können beispielsweise Folgendes erstellen:
402
•
Eine Liste von Hosts, für die die Übertragungsgeschwindigkeit bei einem Upload von Objekten
beschränkt wird
•
Eine Liste von Medientypen, für die die Übertragungsgeschwindigkeit beschränkt wird, wenn ein
Objekt eines der betreffenden Typen auf sie heruntergeladen wird
2
Erstellen Sie einen Regelsatz für die Bandbreitenbeschränkung.
3
Erstellen Sie innerhalb dieses Regelsatzes Regeln für die Bandbreitenbeschränkung.
Produkthandbuch
Web-Caching
10
Sie können beispielsweise Folgendes erstellen:
4
•
Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn Objekte auf
bestimmte Hosts hochgeladen werden
•
Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn ein Objekt eines
bestimmten Medientyps heruntergeladen wird
Entwerfen Sie diese Regeln nach Bedarf.
5
•
Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Client,
das die Bandbreitenbeschränkung beim Hochladen von Objekten in das Web aktiviert.
•
Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Server,
das die Bandbreitenbeschränkung beim Herunterladen von Objekten aus dem Web aktiviert.
Web-Caching
Ein Web-Cache wird auf der Appliance zum Speichern von Web-Objekten bereitgestellt, um schneller
auf Client-Anfragen antworten zu können.
Die Verwendung des Web-Caches der Appliance wird durch Regeln in einem Regelsatz gesteuert.
Um herauszufinden, ob auf Ihrer Appliance ein Web-Cache-Regelsatz implementiert ist, überprüfen Sie
das Regelsatzsystem auf der Registerkarte Rule Sets (Regelsätze) im übergeordneten Menü Policy
(Richtlinie).
Wenn keiner implementiert ist, können Sie den Bibliotheks-Regelsatz „Web Cache“ importieren. Nach
dem Importieren dieses Regelsatzes können Sie diesen auf der Registerkarte Rule Sets (Regelsätze)
überprüfen und für Ihr Netzwerk bearbeiten. Alternativ können Sie einen Regelsatz mit eigenen Regeln
erstellen.
Ein Web-Cache-Regelsatz enthält üblicherweise Regeln zum Lesen von Objekten aus dem Cache sowie
zum Schreiben von Objekten in den Cache.
Zusätzlich können Umgehungsregeln vorhanden sein, die Objekte vom Lesen und Schreiben
ausschließen.
Überprüfen der Aktivierung des Web-Cache
Sie können überprüfen, ob der Web-Cache aktiviert ist.
Vorgehensweise
1
Wählen Sie Configuration Appliances (Konfiguration | Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Aktivierung des
Web-Cache überprüfen möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Scrollen Sie nach unten zum Bereich Web Cache (Web-Cache), und überprüfen Sie, ob Enable Cache
(Cache aktivieren) ausgewählt ist. Aktivieren Sie diese Option bei Bedarf.
4
Klicken Sie bei Bedarf auf Save Changes (Änderungen speichern).
Produkthandbuch
403
10
Web-Caching
Web Cache (Regelsatz)
Der Regelsatz „Web Cache“ ist ein Bibliotheks-Regelsatz für Web-Caching.
Bibliotheks-Regelsatz – Web Cache
Criteria – Always
Cycles – Requests (and IM) and responses
•
Read from Cache
•
Write to Cache
Read from Cache
Dieser untergeordnete Regelsatz ermöglicht das Lesen von Web-Objekten aus dem Cache und
verbietet dies für URLs, die sich in einer Umgehungsliste befinden.
Untergeordneter Bibliotheks-Regelsatz – Read from Cache
Criteria – Always
Skip caching URLs that are in Web Cache URL Bypass List
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen
Umgehungsliste befinden.
Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen
aus dem Cache ermöglicht, wird dann nicht verarbeitet.
Enable Web Cache
Always –> Continue — Enable Web Cache
Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der
Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte
Objekte gelesen werden können.
Write to Cache
Dieser untergeordnete Regelsatz ermöglicht das Schreiben von Web-Objekten in den Cache und
verbietet dies sowohl für große Objekte als auch für URLs und Medientypen in bestimmten
Umgehungslisten.
Untergeordneter Bibliotheks-Regelsatz – Write to Cache
Criteria – Always
Cycles – Responses
404
Produkthandbuch
10
Enable Web Cache
Always –> Continue — Enable Web Cache
Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der
Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte
Objekte gelesen werden können.
Nächster-Hop-Proxys können als zusätzliche Maßnahme zum Weiterleiten von Anfragen, die von den
Clients einer Appliance erhalten wurden, an ihre Ziele verwendet werden.
Wenn Nächster-Hop-Proxys implementiert sind, verwendet eine Regel in einem zugehörigen Regelsatz
ein Modul (auch als Engine bezeichnet) zum Aufrufen von Nächster-Hop-Proxys, die in eine Liste zur
Weiterleitung von Anfragen eingegeben wurden.
Beispielsweise können Sie mit internen Nächster-Hop-Proxys Anfragen weiterleiten, die über interne
Ziele verfügen. IP-Adressen von internen Zielen werden dann in eine Liste eingegeben, auf der die
Weiterleitungsregel basiert. Zusätzlich gibt es eine Liste interner Nächster-Hop-Proxys zur Verwendung
durch die Regel.
Produkthandbuch
405
10
Ein Regelsatz mit einer Regel zur Verwendung von Nächster-Hop-Proxys wird auf der Appliance nach
der Erstkonfiguration nicht implementiert. Sie können einen Regelsatz aus der Bibliothek importieren
und entsprechend den Bedürfnissen Ihres Netzwerks anpassen oder einen eigenen Regelsatz erstellen.
Wenn Sie den Nächster-Hop-Proxy-Regelsatz importieren, wird auch eine Liste mit Servern importiert,
die als Nächster-Hop-Proxys verwendet werden können. Die Liste ist anfangs leer und muss von Ihnen
gefüllt werden. Sie können auch mehrere Listen erstellen und diese Listen zum Routing in
verschiedenen Situationen verwenden.
Einstellungen für das Nächster-Hop-Proxy-Modul werden mit dem Bibliotheks-Regelsatz importiert. Sie
können diese Einstellungen so konfigurieren, dass das Modul eine bestimmte
Nächster-Hop-Proxy-Liste verwendet und der Modus zum Aufrufen der Nächster-Hop-Proxys ermittelt
wird (Round-Robin oder Failover).
Nächster-Hop-Proxy-Modi
Wenn mehrere Server als Nächster-Hop-Proxys zum Routing von Anfragen verfügbar sind, kann das
Nächster-Hop-Proxy-Modul zwei Modi verwenden, um diese aufzurufen: Round-Robin und Failover.
Beim Routing einer Anfrage im Round-Robin-Modus ruft das Nächster-Hop-Proxy-Modul den
Nächster-Hop-Proxy auf, der sich in der Liste neben dem zuletzt aufgerufenen Proxy befindet.
Bei der nächsten Anfrage wird dies auf die gleiche Art gehandhabt, sodass irgendwann alle Server in
der Liste als Nächste-Hop-Proxys verwendet wurden.
Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im
Round-Robin-Modus.
Abbildung 10-1 Nächster-Hop-Proxys im Round-Robin-Modus
Beim Routing einer Anfrage im Failover-Modus ruft das Nächster-Hop-Proxy-Modul den ersten
Nächster-Hop-Proxy in der Liste auf.
Wenn dieser Nächster-Hop-Proxy nicht antwortet, wird dieser Aufruf wiederholt, bis die konfigurierte
Anzahl erneuter Versuche erreicht ist. Erst danach wird versucht, den zweiten Nächster-Hop-Proxy in
der Liste aufzurufen. Dieser wird auf die gleiche Weise wie der erste aufgerufen, und anschließend
wird versucht, den dritten Nächster-Hop-Proxy in der Liste aufzurufen.
Dies wird solange wiederholt, bis ein Nächster-Hop-Proxy antwortet oder festgestellt wird, dass alle
Nächster-Hop-Proxys in der Liste nicht verfügbar sind.
406
Produkthandbuch
10
Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im Failover-Modus.
Abbildung 10-2 Nächster-Hop-Proxys im Failover-Modus
Konfigurieren von Nächster-Hop-Proxys
Sie können die Verwendung von Nächster-Hop-Proxys implementieren und konfigurieren, um sie an
die Anforderungen Ihres Netzwerks anzupassen.
Vorgehensweise
1
Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Bibliothek.
2
Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls.
•
Bearbeiten Sie die Listen, die von der Regel für Nächster-Hop-Proxys verwendet werden.
•
3
Konfigurieren Sie die Einstellungen des Next Hop Proxy-Moduls.
Hinzufügen eines Proxys am nächsten Hop zu einer Liste
Mit den folgenden Schritten können Sie einen Proxy am nächsten Hop einer Liste hinzufügen.
Vorgehensweise
1
Öffnen Sie das Fenster Edit Settings (Einstellungen bearbeiten), um die Einstellungen des Moduls
„Next Hop Proxy“ (Proxys am nächsten Hop) anzuzeigen.
2
Wählen Sie unter Next Hop Proxy Server (Proxy-Server am nächsten Hop) aus der List of next-hop proxy
servers (Liste der Proxy-Server am nächsten Hop) eine entsprechende Liste aus, und klicken Sie auf
Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit List (Next Hop Proxy Server) (Liste bearbeiten (Proxy-Server am
nächsten Hop).
Produkthandbuch
407
10
3
Klicken Sie unter List content (Listeninhalt) auf das Symbol Hinzufügen.
Daraufhin öffnet sich das Fenster Add Next Hop Proxy (Proxy am nächsten Hop hinzufügen).
4
Konfigurieren Sie je nach Bedarf die Einstellungen für einen Proxy am nächsten Hop.
5
Klicken Sie in allen noch geöffneten Fenstern auf OK.
6
Der Proxy am nächsten Hop wird nun der ausgewählten Liste hinzugefügt.
Siehe auch
Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) auf Seite 413
Konfigurieren des Moduls „Next Hop Proxy“
Sie können das Modul „Next Hop Proxy“ konfigurieren, um zu ändern, wie Anfragen mithilfe von
Nächster-Hop-Proxys an das Web weitergeleitet werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für Nächster-Hop-Proxys aus.
Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz
Next Hop Proxy.
3
4
Suchen Sie nach der Regel, die das Modul „Next Hop Proxy“ aufruft.
Im Bibliotheks-Regelsatz ist dies die Regel Use internal proxy for internal host.
5
Klicken Sie im Regelereignis auf den Namen der Einstellungen.
Im Bibliotheks-Regelsatz lautet dieser Name Internal Proxy.
für das Modul „Next Hop Proxy“.
6
7
8
Siehe auch
Next Hop Proxy (Regelsatz) auf Seite 415
Proxys am nächsten Hop für SOCKS-Datenverkehr
Auf einem Proxy am nächsten Hop kann eingestellt werden, dass Web-Datenverkehr über das
SOCKS-Protokoll weitergeleitet wird.
Bei diesem Protokoll erfolgt der Web-Datenverkehr außerdem auch über ein eingebettetes Protokoll,
das Web Gateway erkennen kann. Wenn es sich bei diesem eingebetteten Protokoll um HTTP oder
HTTPS handelt, kann der Web-Datenverkehr entsprechend den konfigurierten Regeln gefiltert werden.
408
Produkthandbuch
10
Für die Weiterleitung von Web-Datenverkehr können die Versionen 4 und 5 des SOCKS-Protokolls
verwendet werden. Die SOCKS-Version wird beim Einrichten eines Proxys am nächsten Hop festgelegt.
Standardmäßig wird für den ausgehenden Datenverkehr die gleiche Version verwendet, die für den
eingehenden Datenverkehr festgelegt ist.
Konfigurieren eines Proxys am nächsten Hop für SOCKS-Datenverkehr
Wenn Sie einen Proxy am nächsten Hop für den SOCKS-Datenverkehr konfigurieren möchten,
betreiben Sie Web Gateway als SOCKS-Proxy, und implementieren Sie die passenden Regelsätze zum
Aktivieren eines Proxys am nächsten Hop sowie zum Filtern des Datenverkehrs.
Aufgaben
•
Aktivieren eines SOCKS-Proxys auf Seite 409
Durch entsprechende Konfiguration der Proxy-Einstellungen kann Web Gateway als
SOCKS-Proxy betrieben werden.
•
Konfigurieren eines Regelsatzes für einen Proxy am nächsten Hop für den SOCKSDatenverkehr auf Seite 409
Zum Konfigurieren eines Regelsatzes für den SOCKS-Datenverkehr müssen Sie die Kriterien
des Bibliotheks-Regelsatzes „Next Hop Proxy“ bearbeiten und eine Regel hinzufügen, mit
der ein Proxy am nächsten Hop über das SOCKS-Protokoll aktiviert wird.
•
Konfigurieren des Regelsatzes „SOCKS Proxy“ auf Seite 410
Zum Filtern von Datenverkehr, der über das SOCKS-Protokoll an Proxys am nächsten Hop
weitergeleitet wird, ist eine Einstellung erforderlich, die Sie im Regelsatz „SOCKS Proxy“
konfigurieren können.
Aktivieren eines SOCKS-Proxys
Durch entsprechende Konfiguration der Proxy-Einstellungen kann Web Gateway als SOCKS-Proxy
betrieben werden.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Web Gateway-Appliance aus, die Sie für den Betrieb als
SOCKS-Proxy konfigurieren möchten, und klicken Sie anschließend auf Proxies (Proxys).
3
Führen Sie einen Bildlauf nach unten bis zum Bereich SOCKS Proxy (SOCKS-Proxy) durch, und
wählen Sie die Option Enable SOCKS proxy (SOCKS-Proxy aktivieren) aus.
4
Konfigurieren eines Regelsatzes für einen Proxy am nächsten Hop für den SOCKSDatenverkehr
Zum Konfigurieren eines Regelsatzes für den SOCKS-Datenverkehr müssen Sie die Kriterien des
Bibliotheks-Regelsatzes „Next Hop Proxy“ bearbeiten und eine Regel hinzufügen, mit der ein Proxy am
nächsten Hop über das SOCKS-Protokoll aktiviert wird.
Vorgehensweise
1
Importieren Sie den Bibliotheks-Regelsatz Next Hop Proxy aus der Bibliothek.
2
Verschieben Sie den Regelsatz in der Regelsatz-Baumstruktur nach oben, und zwar direkt hinter
den Regelsatz, den Sie für die Authentifizierung von Benutzern verwenden, z. B. Explicit Proxy
Authentication and Authorization.
3
Ersetzen Sie das Regelsatzkriterium Always durch Connection.Protocol equals "SOCKS".
Produkthandbuch
409
10
4
Fügen Sie eine Regel zum Aktivieren eines Proxys am nächsten Hop hinzu.
a
Konfigurieren Sie die Regelkriterien so, dass die Regel auf bestimmte Anfragen angewendet
wird.
Sie können als Regelkriterium z. B. Client.IP matches in list Client IP verwenden, damit die
Regel nur auf Anfragen von Clients angewendet wird, deren IP-Adresse sich in einer bestimmten
Liste befindet.
b
Legen Sie als Regelaktion Continue fest.
c
Legen Sie als Regelereignis Enable Next Hop Proxy fest.
d
Konfigurieren Sie die Einstellungen des Regelereignisses.
•
Fügen Sie einen Proxy am nächsten Hop zur Liste der Proxys am nächsten Hop hinzu.
Geben Sie beim Hinzufügen des Proxys am nächsten Hop die erforderlichen
SOCKS-Parameter an.
•
5
Konfigurieren Sie weiteren Optionen nach Bedarf.
Sie können dem Regelsatz „Next Hop Proxy“ weitere Regeln hinzufügen und bei jedem Einrichten eines
neuen Proxys am nächsten Hop andere Kriterien verwenden.
Siehe auch
Next Hop Proxy (Regelsatz) auf Seite 415
Hinzufügen eines Proxys am nächsten Hop zu einer Liste auf Seite 407
Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) auf Seite 413
Regeln zum Aktivieren von Proxys am nächsten Hop für SOCKS-Datenverkehr auf Seite 411
Konfigurieren des Regelsatzes „SOCKS Proxy“
Zum Filtern von Datenverkehr, der über das SOCKS-Protokoll an Proxys am nächsten Hop
weitergeleitet wird, ist eine Einstellung erforderlich, die Sie im Regelsatz „SOCKS Proxy“ konfigurieren
können.
Vorgehensweise
1
Importieren Sie den Regelsatz SOCKS Proxy aus der Bibliothek.
Dieser befindet sich in der Kategorie Common Rules (Allgemeine Regeln).
2
Platzieren Sie den Regelsatz in der Regelsatz-Baumstruktur direkt hinter dem Regelsatz Next Hop
Proxy.
3
Klicken Sie im untergeordneten Regelsatz Protocol Detection des Regelsatzes SOCKS Proxy auf die
Einstellungen des Moduls Protocol Detector (Protokollerkennung).
Standardmäßig tragen diese Einstellungen den Namen Default (Standard).
4
Wählen Sie unter Protocol Detector Options (Protokollerkennungsoptionen) die Option Determine next-hop
proxy after receiving embedded data (Proxy am nächsten Hop nach Erhalt eingebetteter Daten ermitteln)
aus.
5
6
Weitere Informationen zum Regelsatz „SOCKS Proxy“ finden Sie im Kapitel Proxys.
410
Produkthandbuch
10
Siehe auch
Einstellungen für „Protocol Detector“ auf Seite 414
Regeln zum Aktivieren von Proxys am nächsten Hop für SOCKSDatenverkehr
Sie können dem Regelsatz „Next Hop Proxy“ Regeln hinzufügen und dabei verschiedene Kriterien für
die Einrichtung eines Proxys am nächsten Hop verwenden.
Mit der folgenden Regel können Sie einen Proxy am nächsten Hop für eine Anfrage aktivieren, die von
einem Web Gateway-Client mit einer IP-Adresse von einer bestimmten Liste empfangen wurde.
Name
Enable next-hop proxy for SOCKS traffic if received from listed client (Proxy am nächsten
Hop für SOCKS-Datenverkehr von einem aufgelisteten Client aktivieren)
Client.IP matches in list
Client IPs
Action (Aktion)
–>
Continue
Enable Next Hop
Proxy<SOCKS Next Hop
Proxy>
Die Regel überprüft mithilfe der Eigenschaft Client.IP, ob die IP-Adresse eines Clients, von dem eine
Anfrage empfangen wurde, in der Liste enthalten ist.
In diesem Fall aktiviert ein Ereignis einen Proxy am nächsten Hop für diesen Datenverkehr. Das
Ereignis wird mit bestimmten Einstellungen ausgeführt, die Sie konfigurieren können, um
beispielsweise die zu verwendende Version des SOCKS-Protokolls anzugeben.
Die nächste Regel aktiviert einen Proxy am nächsten Hop, wenn unter dem SOCKS-Protokoll ein
HTTP-Protokoll eingebettet ist.
Name
Enable next-hop proxy for SOCKS traffic with embedded HTTP protocol (Proxy am nächsten
Hop für SOCKS-Datenverkehr mit eingebettetem HTTP-Protokoll aktivieren)
ProtocolDetector.DetectedProtocol<Default>
equals "HTTP"
Action
(Aktion)
–>
Continue
Enable Next Hop
Proxy<Embedded
Protocol HTTP Next
Hop Proxy>
Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.DetectedProtocol<, ob es sich beim
eingebetteten Protokoll um ein HTTP-Protokoll handelt.
Bei Verwendung dieser Regel müssen Sie auch die Option Determine next-hop proxy after receiving embedded data
(Proxy am nächsten Hop nach Empfang der eingebetteten Daten ermitteln) in den Einstellungen für
das Modul „Protocol Detector“ (oder Engine) aktivieren.
Die nächste Regel aktiviert einen Proxy am nächsten Hop, wenn unter dem SOCKS-Protokoll ein
HTTPS-Protokoll eingebettet ist.
Name
Enable next-hop proxy for SOCKS traffic with embedded HTTPS protocol (Proxy am nächsten
Hop für SOCKS-Datenverkehr mit eingebettetem HTTPS-Protokoll aktivieren)
Produkthandbuch
411
10
Action
(Aktion)
ProtocolDetector.DetectedProtocol<Default>
equals "HTTPS"
–>
Continue
Enable Next Hop
Proxy<Embedded
Protocol HTTPS Next
Hop Proxy>
Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.DetectedProtocol<, ob es sich beim
eingebetteten Protokoll um ein HTTP-Protokoll handelt.
Bei Verwendung dieser Regel müssen Sie auch die Option Determine next-hop proxy after receiving embedded data
(Proxy am nächsten Hop nach Empfang der eingebetteten Daten ermitteln) in den Einstellungen für
das Modul „Protocol Detector“ (oder Engine) aktivieren.
Die nächste Regel aktiviert einen Proxy am nächsten Hop für alle unter dem SOCKS-Protokoll
eingebetteten Protokolle.
Name
Enable next-hop proxy for SOCKS traffic with any embedded protocol (Proxy am nächsten
Hop für SOCKS-Datenverkehr mit eingebettetem Protokoll aktivieren)
Connection.Protocol.Parent equals "
SOCKS"
Action (Aktion)
–>
Continue
Enable Next Hop
Proxy<Embedded Protocol
Next Hop Proxy>
Die Regel überprüft mithilfe der Eigenschaft Connection.Protocol.Parent, ob das SOCKS-Protokoll in
einer Anfrage zur Weiterleitung von SOCKS-Datenverkehr an das Internet als übergeordnetes Protokoll
angegeben ist. Wenn SOCKS als übergeordnetes Protokoll angegeben ist, bedeutet das, dass es auch
ein eingebettetes Protokoll geben muss.
Die nächste Regel ist der vorhergehenden Regel sehr ähnlich. Sie aktiviert einen Proxy am nächsten
Hop für Datenverkehr unter dem SOCKS-Protokoll oder Datenverkehr, der direkt unter dem
HTTP-Protokoll ausgeführt wird, ohne in das SOCKS-Protokoll eingebettet zu sein.
Name
Enable next-hop proxy for SOCKS traffic with any embedded protocol (Proxy am nächsten
Hop für SOCKS-Datenverkehr mit eingebettetem Protokoll aktivieren)
Action (Aktion)
Connection.Protocol.Parent equals " SOCKS" –> Continue
OR Connection.Protocol equals "HTTP"
Enable Next Hop
Proxy<Embedded Protocol Next
Hop Proxy>
Siehe auch
Einstellungen für „Protocol Detector“ auf Seite 414
412
Produkthandbuch
10
Einstellungen für Nächster-Hop-Proxy
Mit den Einstellungen des Nächster-Hop-Proxys werden Nächster-Hop-Proxys konfiguriert, über die
Anfragen, die auf der Appliance eingegangen sind, an das Web weitergeleitet werden sollen.
Nächster-Hop-Proxy-Server
Einstellungen für Nächster-Hop-Proxys
Tabelle 10-5 Nächster-Hop-Proxy-Server
Option
Definition
List of next-hop proxy servers (Liste
der Nächster-Hop-Proxy-Server)
Zeigt eine Liste zur Auswahl einer Nächster-Hop-Proxy-Serverliste.
Round robin (Round-Robin)
Bei Auswahl dieser Option verwendet das Nächster-Hop-Proxy-Modul
den Nächster-Hop-Proxy nach dem zuletzt verwendeten Proxy aus der
Liste.
Wenn das Ende der Liste erreicht wird, wird erneut der erste
Nächster-Hop-Proxy in der Liste ausgewählt.
Fail over (Failover)
Bei Auswahl dieser Option versucht das Nächster-Hop-Proxy-Modul
zuerst, den ersten Nächster-Hop-Proxy in der Liste zu verwenden.
Wenn der erste Proxy am nächsten Hop nicht reagiert, wird die
Verbindungsherstellung so lange wiederholt, bis die konfigurierte
Höchstanzahl von erneuten Versuchen erreicht ist. Dann wird versucht,
den zweiten Proxy am nächsten Hop in der Liste zu verwenden usw.,
bis ein Server reagiert oder ermittelt wird, dass kein Proxy verfügbar
ist.
Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten
Hop hinzufügen)
In den Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) können Sie einen
Proxy am nächsten Hop konfigurieren, der einer Liste von Proxys am nächsten Hop hinzugefügt wird.
Next Hop Proxy Definition (Definition des Proxys am nächsten Hop)
Einstellungen für das K

McAfee Web Gateway 7.5.0 Produkthandbuch

Transcription

Similar documents

Web Gateway 7.4.1 Produkthandbuch

McAfee Web Gateway 7.6.0 Produkthandbuch