McAfee Web Gateway 7.6.0 Produkthandbuch

Transcription

Produkthandbuch
Revision B
McAfee Web Gateway 7.6.0
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch . . .
Zielgruppe . . . . . . . . . .
Konventionen . . . . . . . . .
Inhalt dieses Handbuchs . . . .
Quellen für Produktinformationen .
1
15
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Einführung
17
Filtern des Web-Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptfunktionen der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hauptkomponenten der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellung der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Allgemeine Verwaltungsaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Benutzeroberfläche
Systemkonfiguration
23
25
26
26
27
29
31
32
32
33
35
Erstkonfiguration der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Systemkonfiguration nach der Erstkonfiguration . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Funktionen . . . . . . . . . . . . . . . . . .
Netzwerk-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Authentifizierung und Kontingente . . . . . . . . . . . . .
Systemeinstellungen für die Web-Filterung . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . .
Systemeinstellungen für Protokollierung und Fehlerbehebung . . . . . . . . . . . . .
Konfigurieren der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemeinstellungen für allgemeine Appliance-Funktionen . . . . . . . . . . . . . . . . .
Einstellungen für License (Lizenz) . . . . . . . . . . . . . . . . . . . . . . . .
Telemetrie-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Date and Time (Datum und Uhrzeit) . . . . . . . . . . . . . . . .
Einstellungen für File Server (Datei-Server) . . . . . . . . . . . . . . . . . . . .
Einstellungen für User Interface (Benutzeroberfläche) . . . . . . . . . . . . . . . .
Systemeinstellungen für Netzwerkfunktionen . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Network Interfaces (Netzwerkschnittstellen) . . . . . . . . . . . . .
17
18
19
20
21
23
Hauptelemente der Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützende Konfigurationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwerfen von Änderungen durch erneutes Laden der Daten . . . . . . . . . . . . .
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche . . . . . . . . . . .
Schlüsselelementansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Schlüsselelements . . . . . . . . . . . . . . . . . . . . . .
Ansicht für vollständige Regeln . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Regelelements in der Ansicht für vollständige Regeln . . . . . . . .
Verwalten von Web Gateway ohne die Benutzeroberfläche . . . . . . . . . . . . . . . . .
3
15
15
15
16
16
35
36
36
36
37
37
37
37
38
38
39
40
41
43
44
45
49
50
Produkthandbuch
3
Inhaltsverzeichnis
Netzwerkschutzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Port Forwarding“ (Port-Weiterleitung) . . . . . . . . . . . . . . .
Einstellungen für Static Routes (Statische Routen) . . . . . . . . . . . . . . . . .
Netzwerkschnittstellenbündelung . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Netzwerkschnittstellenbündelung . . . . . . . . . . . . . . . . .
Überprüfen der Bündelungskonfiguration . . . . . . . . . . . . . . . . . . . . .
Quellenbasiertes Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des quellenbasierten Routings für eine Verwaltungsnetzwerkschnittstelle . . .
Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „File Editor“ (Datei-Editor) . . . . . . . . . . . . . . . . . . . . . . . .
Ändern der Cache-Volume-Größe . . . . . . . . . . . . . . . . . . . . . . . . . . .
Datenbankaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Aktualisieren der Datenbankinformationen . . . . . . . . . . . . . . . .
Planen automatischer Modul-Aktualisierungen . . . . . . . . . . . . . . . . . . .
Aktualisierung geschlossener Netzwerke . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren einer Appliance in einem geschlossenen Netzwerk . . . . . . . . . . . .
4
Proxys
55
55
57
59
60
62
63
63
65
66
67
68
68
69
69
70
71
Konfigurieren von Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
Konfigurieren des expliziten Proxy-Modus . . . . . . . . . . . . . . . . . . . . . 73
Einstellungen für „Transparenter Proxy“ . . . . . . . . . . . . . . . . . . . . .
74
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) . . . . . . . . . . . . . . . 81
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus . . . . . . . 82
Konfigurieren des Proxy-Hochverfügbarkeitsmodus . . . . . . . . . . . . . . . . . 83
Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration . . . . . . . . 85
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration . . . 86
Empfohlene Vorgehensweisen – Konfigurieren des Modus "Expliziter Proxy" mit WCCP . . . . . . 87
Konfigurieren der Verwendung von WCCP . . . . . . . . . . . . . . . . . . . . . 89
Einstellungen für einen WCCP-Dienst . . . . . . . . . . . . . . . . . . . . . . . 90
Fehlerbehebung bei Problemen mit WCCP . . . . . . . . . . . . . . . . . . . . . 92
Transparenter Router-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Konfigurieren des Modus "Transparenter Router" . . . . . . . . . . . . . . . . . . 94
Konfigurieren von Knoten im transparenten Router-Modus . . . . . . . . . . . . . . 94
Einstellungen für „Transparenter Router“ . . . . . . . . . . . . . . . . . . . . . 97
Transparenter Bridge-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Konfigurieren des transparenten Bridge-Modus . . . . . . . . . . . . . . . . . . 100
Konfigurieren von Knoten im transparenten Bridge-Modus . . . . . . . . . . . . .
101
Empfohlene Vorgehensweisen – Feineinstellungen für den Modus "Transparente Bridge" . . 104
Einstellungen für die transparente Bridge . . . . . . . . . . . . . . . . . . . . 106
Paketgrößenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Secure ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
SOCKS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Konfigurieren eines SOCKS-Proxys . . . . . . . . . . . . . . . . . . . . . . . 110
Verwenden von Eigenschaften und eines Ereignisses in Regeln für einen SOCKS-Proxy . . 110
Konfigurieren von SOCKS-Proxy-Einstellungen . . . . . . . . . . . . . . . . . . 111
Verwenden von UDP unter SOCKS . . . . . . . . . . . . . . . . . . . . . . . 111
SOCKS Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
113
XMPP-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Konfigurieren von allgemeinen Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . 118
Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Network Setup (Netzwerkeinrichtung) . . . . . . . . . . . . . . . . . . . . . . . 118
HTTP Proxy (HTTP-Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
FTP Proxy (FTP-Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
ICAP Server (ICAP-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . 121
4
Produkthandbuch
Inhaltsverzeichnis
IFP Proxy (IFP-Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
SOCKS Proxy (SOCKS-Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . 122
Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
Web Cache (Web-Cache) . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits für HTTP(S), FTP, ICAP, SOCKS
und UDP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
DNS Settings (DNS-Einstellungen) . . . . . . . . . . . . . . . . . . . . . . . 124
Yahoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
ICQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Windows Live Messenger . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
XMPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Advanced Settings (Erweiterte Einstellungen) . . . . . . . . . . . . . . . . . . . 127
Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser) . . . . . 132
Steuern ausgehender Quell-IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . 132
Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen . . . . . . . . . . . . . 135
Verwenden von WCCP zum Umleiten von FTP-Datenverkehr . . . . . . . . . . . . . . . . 135
Konfigurieren der Verwendung von WCCP zum Umleiten des FTP-Datenverkehrs . . . . . 136
Verwenden der Raptor-Syntax für die FTP-Anmeldung . . . . . . . . . . . . . . . . . .
137
Protokolle für die Kommunikation zwischen Knoten . . . . . . . . . . . . . . . . . . .
137
Verwendung von DNS-Servern in Abhängigkeit von Domänen . . . . . . . . . . . . . . . 138
Konfigurieren Sie die Verwendung von DNS-Servern entsprechend Domänen . . . . . . 139
Einstellungen für den Domain Name Service . . . . . . . . . . . . . . . . . . . 139
Austausch von Web-Sicherheitsinformationen mithilfe von DXL-Nachrichten . . . . . . . . . . 141
Konfigurieren der Einstellungen für den Datenaustausch mit DXL . . . . . . . . . . . 143
Konfigurieren der Einstellungen für den Datenaustausch über einen TIE Server . . . . . 144
Empfohlene Vorgehensweisen – Arbeiten mit dem Benutzeragenten-Handler . . . . . . . . . 145
Erstellen einer Regel für das Arbeiten mit dem Benutzeragenten-Header . . . . . . . . 147
Umgehen der Filterung für Office 365 und andere Microsoft-Dienste . . . . . . . . . . . . . 149
Schlüsselelemente für die Umgehung der Filterung von Microsoft-Diensten . . . . . . . 150
Bypass Microsoft (Office 365) Services (Regelsatz) . . . . . . . . . . . . . . . . . 151
Reverse-HTTPS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Umleiten von HTTPS-Datenverkehr im Modus „Transparente Bridge“ oder „Transparenter Router“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
152
Festlegen der Überwachung von über DNS-Einträge umgeleiteten Anfragen durch die Appliance
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
153
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration . . . . . . . . . . . . . 155
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPS-Proxy-Konfiguration . . . . 159
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) . . . . . . . . . . . . . 167
Bereitstellen einer PAC-Datei . . . . . . . . . . . . . . . . . . . . . . . . . 167
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“ . . . . . . . . . . . . 168
Konfigurieren der automatischen Erkennung eines WPAD-Hosts . . . . . . . . . . . 168
Verwenden des Helix-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . .
168
Konfigurieren der Verwendung des Helix-Proxys . . . . . . . . . . . . . . . . .
169
5
Zentrale Verwaltung
171
Konfiguration mit zentraler Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 172
Konfigurieren der zentralen Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 174
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung . . . . . . . . . 175
Konfigurieren der Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . 176
Zuweisen eines Knotens zu Knotengruppen . . . . . . . . . . . . . . . . . . . . . . 176
Zuweisen eines Knotens zu einer Laufzeitgruppe . . . . . . . . . . . . . . . . . 176
Zuweisen eines Knotens zu einer Aktualisierungsgruppe . . . . . . . . . . . . . . 177
Zuweisen eines Knotens zu Netzwerkgruppen . . . . . . . . . . . . . . . . . .
177
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit zentraler
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Überprüfen der Synchronisierung von Knoten . . . . . . . . . . . . . . . . . . . . . . 181
Hinzufügen eines geplanten Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Produkthandbuch
5
Inhaltsverzeichnis
Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung . . . . . . 182
Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . . . . . . . 183
6
Regeln
199
Flexibilität von Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zur Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filterzyklen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prozessablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelelemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Format von Regeln auf der Benutzeroberfläche . . . . . . . . . . . . . . . . . .
Komplexe Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Darstellung von Regeln im Dokumentationstext . . . . . . . . . . . . . . . . . . . . .
Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatzsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regelsatz-Bibliothek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte Rule Sets (Regelsätze) . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Benennen und Aktivieren einer Regel . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen) . . . . . . . . . . .
Hinzufügen von Regelkriterien . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen einer Regelaktion . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Regelereignisses . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importieren eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren von Regeln . . . . . . . . . . . . . . . . .
Verwenden von Regeln und Regelsätzen in passenden Zyklen . . . . . . . . . . . .
Verwendung aufwändiger Eigenschaften am Ende des Filterprozesses . . . . . . . . .
Verwendung von höchstens zwei Eigenschaften in den Kriterien einer Regel . . . . . . .
Beschränken des Zugriffs auf Konfigurationselemente . . . . . . . . . . . . . . . . . .
7
Listen
199
200
201
202
203
204
206
206
208
209
210
212
214
215
215
217
219
220
221
223
224
224
225
227
228
231
Listentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Zugreifen auf eine Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) . . . . . . . . . . . . 236
Zugreifen auf eine Liste in einer Regel . . . . . . . . . . . . . . . . . . . . .
236
Erstellen einer Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Hinzufügen einer neuen Liste . . . . . . . . . . . . . . . . . . . . . . . . . 237
Füllen einer Liste mit Einträgen . . . . . . . . . . . . . . . . . . . . . . . . 237
Arbeiten mit verschiedenen Listentypen . . . . . . . . . . . . . . . . . . . . . . . . 238
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs . . . . . .
238
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste . . . . . . . . . . . . . 239
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen . . . . . . . . . . . 240
Abonnierte Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Erstellen einer abonnierten Liste . . . . . . . . . . . . . . . . . . . . . . . . 241
Einstellungen für Inhalt abonnierter Listen . . . . . . . . . . . . . . . . . . . . 242
Aktualisieren abonnierter Listen . . . . . . . . . . . . . . . . . . . . . . . . 243
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste . . . . . . . . . . .
244
Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee verwalteten abonnierten Liste
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
246
Externe Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Verwenden externer Listendaten in Regeln . . . . . . . . . . . . . . . . . . . . 249
Ersetzung und Platzhalter . . . . . . . . . . . . . . . . . . . . . . . . . .
250
Konfigurieren des Moduls „External Lists“ . . . . . . . . . . . . . . . . . . . . 251
Einstellungen für das Modul „External Lists“ . . . . . . . . . . . . . . . . . . . 252
Konfigurieren von allgemeinen Einstellungen für externe Listen . . . . . . . . . . . 259
6
Produkthandbuch
Inhaltsverzeichnis
Systemeinstellungen für „External Lists“ (Externe Listen) . . . . . . . . . . . . . .
Zuordnungstyplisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Zuordnungstypliste . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Eigenschaften zur Arbeit mit Zuordnungstyplisten . . . . . . . . . .
Abrufen von Zuordnungsdaten aus externen und abonnierten Listen . . . . . . . . . .
Allgemeiner Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vorbereiten der Verwendung von Common Catalog-Listen . . . . . . . . . . . . . .
Einrichten eines Benutzerkontos für Common Catalog-Listen . . . . . . . . . . . .
Einrichten eines Administratorkontos für Common Catalog-Listen . . . . . . . . . . .
Aktivieren der Nutzung der REST-Schnittstelle für Common Catalog-Listen . . . . . . .
Beispieleinstellungen zum Registrieren von Web Gateway auf einem McAfee ePO-Server .
JSON-Daten (JavaScript Object Notation) . . . . . . . . . . . . . . . . . . . . . . .
8
Einstellungen
273
Einstellungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Settings“ (Einstellungen) . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel . . . . . . . . . .
Zugreifen auf Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Aktions- und Moduleinstellungen . . . . . . . . . . . . . . . . . . . . .
9
Authentifizierung
273
275
276
276
277
277
277
279
Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP-Digest-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Moduls „Authentication“ . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementieren einer anderen Authentifizierungsmethode . . . . . . . . . . . . . . . .
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung . . . . . . . .
Einstellungen für „Kerberos Administration“ . . . . . . . . . . . . . . . . . . .
Beitreten einer Appliance zu einer Windows-Domäne . . . . . . . . . . . . . . .
Einstellungen für die Windows-Domänenmitgliedschaft . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen . . .
Authentifizierung für den Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . .
Authentifizierung für transparente Modi . . . . . . . . . . . . . . . . . . . . .
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Konfigurieren der LDAP-Authentifizierung . . . . . . . . . .
Konfigurieren der LDAP-Methode zum Authentifizieren von Benutzern . . . . . . . . .
Konfigurieren der Einstellungen für die LDAP-Authentifizierungsmethode . . . . . . . .
Konfigurieren von Abfragen für Benutzer- und Gruppenattribute . . . . . . . . . . .
Speichern eines Attributs in einer separaten Eigenschaft . . . . . . . . . . . . . .
Speichern des ursprünglichen Benutzernamens für die Protokollierung . . . . . . . . .
Testen und Fehlerbehebung der LDAP-Authentifizierung . . . . . . . . . . . . . . .
Instant Messaging-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Instant Messaging-Authentifizierung . . . . . . . . . . . . . . .
Konfigurieren des Authentifizierungsmoduls für die Instant Messaging-Authentifizierung .
Konfigurieren des Dateisystem-Protokollierungsmoduls für die Instant MessagingAuthentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IM Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Einmalkennwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einmalkennwörtern für das Authentifizieren von Benutzern . . . . . .
Konfigurieren von Einmalkennwörtern für das autorisierte Außerkraftsetzen . . . . . . .
Konfigurieren von Einstellungen für Einmalkennwörter . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP) (Regelsatz) . . . . . . . . .
259
261
261
262
263
264
264
265
265
266
266
267
279
281
283
283
284
297
298
298
299
300
300
302
304
308
309
310
311
313
314
315
316
319
320
320
321
322
323
325
325
325
326
Produkthandbuch
7
Inhaltsverzeichnis
Authorized Override with OTP (Regelsatz) . . . . . . . . . . . . . . . . . . . .
Authentication Server (Time/IP Based Session with OTP and Pledge) (Regelsatz) . . . .
Authorized Override with OTP and Pledge (Regelsatz) . . . . . . . . . . . . . . .
Authentifizierung der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Zertifikaten für die Client-Zertifikat-Authentifizierung . . . . . . . . .
Regelsätze für die Client-Zertifikat-Authentifizierung . . . . . . . . . . . . . . . .
Umleiten von Anfragen an einen Authentifizierungs-Server . . . . . . . . . . . . .
Implementieren der Authentifizierung von Client-Zertifikaten . . . . . . . . . . . .
Importieren des Regelsatzes „Authentication Server (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Server-Zertifikaten
Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Zertifizierungsstellen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Listener-Ports für eingehende Anfragen auf der Appliance . . . . .
Importieren des Regelsatzes „Cookie Authentication (for X509 Authentication)“ . . . . .
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports für eingehende Anfragen . .
Importieren eines Client-Zertifikats in einen Browser . . . . . . . . . . . . . . .
Administratorkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . .
Bearbeiten eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . .
Löschen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorkonten . . . . . . . . . . . . . . . . . . . . .
Verwalten der Administratorrollen . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Administratorrollen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der externen Kontoverwaltung . . . . . . . . . . . . . . . . . . .
10
Kontingentverwaltung
Web-Filterung
354
357
357
358
359
361
361
362
363
365
366
366
367
368
369
369
370
372
372
373
373
374
377
Viren- und Malware-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Schlüsselelementen für die Viren- und Malware-Filterung . . . . . . .
Schlüsselelemente für die Viren- und Malware-Filterung . . . . . . . . . . . . . . .
Konfigurieren der Viren- und Malware-Filterung mithilfe der vollständigen Regelansicht . .
Konfigurieren von Einstellungen für das Modul „Anti-Malware“ . . . . . . . . . . . .
Ändern der Modulkombination zum Scannen von Web-Objekten . . . . . . . . . . .
8
342
343
343
344
345
347
347
347
348
348
349
349
350
353
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung . . . . . . .
Zeitkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Zeitkontingenten . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Zeitkontingent . . . . . . . . . . . . . . . . . . . . . .
Time Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Volumenkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Volumenkontingenten . . . . . . . . . . . . . . . . . . . .
Einstellungen für das Volumenkontingent . . . . . . . . . . . . . . . . . . . .
Volume Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Coachings . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Coaching (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autorisiertes Außerkraftsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des autorisierten Außerkraftsetzens . . . . . . . . . . . . . . . . .
Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) . . . . . . . .
Authorized Override (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Blockierungssitzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Blockierungssitzungen . . . . . . . . . . . . . . . . . . . .
Einstellungen für die Blockierungssitzung . . . . . . . . . . . . . . . . . . . .
Blocking Sessions (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Kontingent-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
329
331
334
336
336
337
338
340
340
341
378
379
379
381
382
382
Produkthandbuch
Inhaltsverzeichnis
Einstellungen für Anti-Malware . . . . . . . . . . . . . . . . . . . . . . . .
384
Gateway Anti-Malware (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . 390
Scannen des Mediendatenstroms . . . . . . . . . . . . . . . . . . . . . . . . 392
Warteschlange für Malware-Schutz . . . . . . . . . . . . . . . . . . . . . . . 393
URL-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Konfigurieren von Schlüsselelementen für die URL-Filterung . . . . . . . . . . . . . 396
Schlüsselelemente für die URL-Filterung . . . . . . . . . . . . . . . . . . . . . 396
Konfigurieren der URL-Filterung mithilfe der vollständigen Regelansicht . . . . . . . .
398
Konfigurieren von Einstellungen für das Modul „URL Filter“ . . . . . . . . . . . . .
398
URL-Filtereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
399
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten in die Whitelist mithilfe von URLEigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
402
URL Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
URL-Filterung mit Dynamic Content Classifier . . . . . . . . . . . . . . . . . . . 410
Verwenden einer eigenen URL-Filter-Datenbank . . . . . . . . . . . . . . . . . . 411
URL-Filterung mithilfe eines IFP-Proxys . . . . . . . . . . . . . . . . . . . . . 413
Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Konfigurieren von Schlüsselelementen für die Medientyp-Filterung . . . . . . . . . . 419
Schlüsselelemente für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . 419
Konfigurieren der Medientyp-Filterung mithilfe der vollständigen Regelansicht . . . . . . 420
Eigenschaften für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . 420
Bearbeiten einer Medientyp-Filterregel . . . . . . . . . . . . . . . . . . . . . 421
Media Type Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 423
Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Konfigurieren der Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . 426
Erstellen einer Liste zur Anwendungsfilterung . . . . . . . . . . . . . . . . . . . 427
Bearbeiten der Risikostufen in einer Anwendungsfilterregel . . . . . . . . . . . . . 428
Application Control (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 429
Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
430
Konfigurieren der Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . 432
Konfigurieren des Moduls für die Streaming-Medien-Erkennung . . . . . . . . . . . . 433
Empfohlene Vorgehensweisen – Konfigurieren Stream Detector . . . . . . . . . . .
433
Einstellungen für Stream Detector . . . . . . . . . . . . . . . . . . . . . . . 435
Globale Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Konfigurieren von globalen Whitelists . . . . . . . . . . . . . . . . . . . . . . 436
Global Whitelist (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 436
SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Konfigurieren des SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . 438
Konfigurieren der Module für SSL-Scans . . . . . . . . . . . . . . . . . . . . . 439
Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle . . . . . . . . . . . . . 440
Liste der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Einstellungen für „SSL Scanner“ . . . . . . . . . . . . . . . . . . . . . . . . 445
Einstellungen für SSL Client Context with CA (SSL-Client-Kontext mit Zertifizierungsstelle)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
446
Einstellungen für SSL Client Context without CA (SSL-Client-Kontext ohne Zertifizierungsstelle)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
450
Einstellungen für die Zertifikatskette . . . . . . . . . . . . . . . . . . . . . . 452
SSL Scanner (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Hardware Security Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
458
Verwenden eines Hardware Security Module zur Schlüsselverarbeitung . . . . . . . .
460
Konfigurieren der lokalen Verwendung eines Hardware Security Module . . . . . . . . 461
Konfigurieren der Remote-Verwendung eines Hardware Security Module . . . . . . . . 462
Auswählen eines privaten Schlüssels auf einem Hardware Security Module . . . . . . . 463
Arbeiten mit einer Sicherheitsinfrastruktur . . . . . . . . . . . . . . . . . . . . 463
Einstellungen für das Hardware Security Module . . . . . . . . . . . . . . . . . . 464
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Workflows für die Verwendung von Advanced Threat Defense . . . . . . . . . . . . 469
Produkthandbuch
9
Inhaltsverzeichnis
Kriterien für das zusätzliche Scannen durch Advanced Threat Defense . . . . . . . . .
Konfigurationselemente für die Verwendung von Advanced Threat Defense . . . . . . .
Nutzung eines vorhandenen Scan-Berichts von Advanced Threat Defense . . . . . . .
Nutzung eines laufenden Scans von Advanced Threat Defense . . . . . . . . . . . .
Begrenzung der Größe von Objekten für das Scannen durch Advanced Threat Defense . .
Konfigurieren der Verwendung von Advanced Threat Defense . . . . . . . . . . . .
Konfigurieren von Schlüsselelementen für die Verwendung von Advanced Threat Defense
Schlüsselelemente für die Verwendung von Advanced Threat Defense . . . . . . . . .
Konfigurieren von Einstellungen für die Verwendung von Advanced Threat Defense . . . .
Überwachen der Nutzung von Advanced Threat Defense . . . . . . . . . . . . . .
Gateway ATD-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . .
Advanced Threat Defense (Regelsatz) . . . . . . . . . . . . . . . . . . . . . .
ATD – Offline Scanning with Immediate File Availability (Regelsatz) . . . . . . . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Standardklassifizierungen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Data Loss Prevention für die Verwendung von Wörterbucheinträgen . .
Einstellungen für Data Loss Prevention (Klassifizierung) . . . . . . . . . . . . . .
Einstellungen für Data Loss Prevention (Wörterbücher) . . . . . . . . . . . . . . .
Data Loss Prevention (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Verhindern von Datenlecks mit einem ICAP-Server . . . . . . . . . . . . . . . .
12
Unterstützende Funktionen
470
470
472
474
474
475
478
478
479
480
481
484
485
487
491
492
493
494
496
497
499
503
Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Konfigurieren der Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . 504
Konfigurieren der Fortschrittsanzeige-Module . . . . . . . . . . . . . . . . . . . 505
Einstellungen für „Progress Page“ (Fortschrittsseite) . . . . . . . . . . . . . . . . 505
Einstellungen für das Durchlassen von Daten . . . . . . . . . . . . . . . . . . . 507
Progress Indication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 507
Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
Bandbreitenbeschränkungsregeln . . . . . . . . . . . . . . . . . . . . . . . 509
Konfigurieren der Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . 510
Web-Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
511
Überprüfen der Aktivierung des Web-Cache . . . . . . . . . . . . . . . . . . . 511
Web Cache (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
512
Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Nächster-Hop-Proxy-Modi . . . . . . . . . . . . . . . . . . . . . . . . . .
514
Konfigurieren von Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . 516
Hinzufügen eines Proxys am nächsten Hop zu einer Liste . . . . . . . . . . . . . . 516
Konfigurieren des Moduls „Next Hop Proxy“ . . . . . . . . . . . . . . . . . . . 517
Konfigurieren der Bindung an den Proxy am nächsten Hop . . . . . . . . . . . . .
518
Proxys am nächsten Hop für SOCKS-Datenverkehr . . . . . . . . . . . . . . . . . 518
Empfohlene Vorgehensweisen – Fehlerbehebung im Zusammenhang mit Proxys am nächsten
Hop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
523
Einstellungen für Nächster-Hop-Proxy . . . . . . . . . . . . . . . . . . . . .
526
Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) . . . . . . 527
Einstellungen für „Protocol Detector“ . . . . . . . . . . . . . . . . . . . . . . 528
Next Hop Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 528
13
Benutzermeldungen
531
Senden von Meldungen an Benutzer . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten des Texts einer Benutzermeldung . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Authenticate“ (Authentifizieren) . . . . . . . . . . . . . . . . . . .
Blockierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Redirect“ (Umleitung) . . . . . . . . . . . . . . . . . . . . . . .
10
531
533
534
535
536
Produkthandbuch
Inhaltsverzeichnis
Registerkarte Templates (Vorlagen) . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Template Editor (Vorlagen-Editor) . . . . . . . . . . . . . . . . . . . . . . . . . .
538
14
Cloud Single Sign On
545
Konfiguration von Cloud Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Prozess im Proxy- und im Nicht-Proxy-Modus . . . . . . . . . . . . . . . . . . . .
Unterstützte Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . .
SSO Catalog (SSO-Katalog) der unterstützten Cloud-Dienste . . . . . . . . . . . . . . . .
Anzeigen des SSO Catalog (SSO-Katalog) . . . . . . . . . . . . . . . . . . . .
SSO Catalog (SSO-Katalog) in der Benutzeroberfläche . . . . . . . . . . . . . . .
SSO Catalog (SSO-Katalog) als Dienst . . . . . . . . . . . . . . . . . . . . . .
Vergleich von allgemeinen und spezifischen Konnektorvorlagen . . . . . . . . . . . .
Konfigurieren eines benutzerdefinierten Cloud-Konnektors mithilfe einer Vorlage . . . . .
Löschen eines benutzerdefinierten Cloud-Konnektors . . . . . . . . . . . . . . . .
Anzeigen von Informationen zu den neuesten SSO-Aktualisierungen . . . . . . . . .
SSO Connector (SSO-Konnektor)-Listen . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Cloud-Zugriffs über SSO Connector-Listen (SSO-Konnektorlisten) . . .
Hinzufügen eines Cloud-Konnektors zu einer SSO Connector-Liste (SSO-Konnektorliste) .
Bereitstellen von SSO-Diensten für HTTP-Cloud-Anwendungen . . . . . . . . . . . . . . .
Das Modell für SSO-Anmeldeinformationen für HTTP-Cloud-Anwendungen . . . . . . .
Konfigurieren eines HTTP-Cloud-Konnektors . . . . . . . . . . . . . . . . . . .
Konfigurieren eines allgemeinen HTTP-Cloud-Konnektors . . . . . . . . . . . . . .
Allgemeine HTTP-Konnektoreinstellungen . . . . . . . . . . . . . . . . . . . .
Bereitstellen von SSO-Diensten für SAML 2.0-Cloud-Anwendungen . . . . . . . . . . . . .
Initiierung von SAML Single Sign On . . . . . . . . . . . . . . . . . . . . . .
Zertifikatsverwaltung für SAML Single Sign On . . . . . . . . . . . . . . . . . .
Konfigurieren eines SAML2-Cloud-Konnektors . . . . . . . . . . . . . . . . . . .
Einstellungen für den SAML2-Konnektor . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines allgemeinen SAML2-Cloud-Konnektors . . . . . . . . . . . . .
Einstellungen für den allgemeinen SAML2-Konnektor . . . . . . . . . . . . . . . .
Konfigurieren externer Datenquellen für SAML-Single Sign On . . . . . . . . . . . .
SAML-Authentifizierung mithilfe eines externen Identitätsanbieters . . . . . . . . . . . . .
SAML-Authentifizierungsprozess mithilfe eines externen Identitätsanbieters . . . . . . .
Web Gateway-Unterstützung von statischen ACS-URLs . . . . . . . . . . . . . . .
Übersicht über die Konfigurations-Tasks . . . . . . . . . . . . . . . . . . . . .
Validieren der SAML-Authentifizierungsantwort . . . . . . . . . . . . . . . . . .
Cookie authentication with SAML back end and fixed ACS URL (Regelsatz) . . . . . . .
Bereitstellen von SSO-Diensten für .NET- und Java-Web-Anwendungen . . . . . . . . . . .
Konfigurieren eines allgemeinen IceToken-Cloud-Konnektors . . . . . . . . . . . . .
Einstellungen für den allgemeinen IceToken-Konnektor . . . . . . . . . . . . . . .
Arbeitsweise des Endbenutzers mit dem Anwendungs-Launchpad . . . . . . . . . . . . . .
Anpassen des Anwendungs-Launchpads . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten der Datei "Launchpad.html" . . . . . . . . . . . . . . . . . . . . .
Bearbeiten des Standard-Launchpad-Stylesheets . . . . . . . . . . . . . . . . .
Importieren eines benutzerdefinierten Launchpad-Stylesheets . . . . . . . . . . . .
Bereitstellen eines benutzerdefiniertes Logos für das Launchpad . . . . . . . . . . .
Erstellen von Lesezeichen für Cloud-Dienste im Unternehmen . . . . . . . . . . . . . . .
Überwachen von Anmeldungen bei Cloud-Diensten im Dashboard . . . . . . . . . . . . . .
Zusammenfassung zum Regelsatz Single Sign On . . . . . . . . . . . . . . . . . . . .
Schlüsselelemente für die Konfiguration von Cloud Single Sign On . . . . . . . . . . . . .
Referenz zum Regelsatz Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
Select Services (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
HTTPS Handling (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
Launchpad (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OTP Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . .
Get Login Action (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . .
546
547
549
550
550
551
552
553
553
554
554
555
555
556
557
557
558
558
559
563
563
566
567
567
569
569
573
576
577
578
579
584
585
591
592
593
594
596
597
598
599
600
600
601
601
603
605
605
609
610
612
613
Produkthandbuch
11
Inhaltsverzeichnis
Process Common Tasks (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Perform SSO (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listen und Einstellungen für Single Sign On (SSO) . . . . . . . . . . . . . . . . . . . .
Single Sign-On-Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einstellungen für Single Sign On . . . . . . . . . . . . . . . . . . . . . . . .
SSO-Zertifikat und Einstellungen für private Schlüssel . . . . . . . . . . . . . . .
Übersicht über die SSO-Protokollierung . . . . . . . . . . . . . . . . . . . . . . . .
Aktivieren der SSO-Protokollierung . . . . . . . . . . . . . . . . . . . . . . .
Referenz zum Regelsatz SSO Log . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von SSO-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Cloud-Speicherverschlüsselung
633
Verschlüsseln und Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . .
Konfigurieren der Verschlüsselung und Entschlüsselung von Cloud-Speicherdaten . . . . . . .
Konfigurieren der Einstellungen für das Verschlüsseln und Entschlüsseln von Daten . . . . . .
Einstellungen für die Cloud-Speicherverschlüsselung . . . . . . . . . . . . . . . . . . .
Unterstützungseinstellungen der Cloud-Speicherverschlüsselung . . . . . . . . . . . . . .
Manuelles Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . . . .
Cloud Storage Encryption (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
16
Hybridlösung
Überwachung
641
643
644
645
645
646
647
648
649
649
650
650
653
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zugreifen auf das Dashboard . . . . . . . . . . . . . . . . . . . . . . . . .
Registerkarte „Alerts“ (Warnmeldungen) . . . . . . . . . . . . . . . . . . . .
Registerkarte „Charts and Tables“ (Diagramme und Tabellen) . . . . . . . . . . . .
Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Protokolldateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Einstellungen für Protokolldateien . . . . . . . . . . . . . . . .
Einstellungen für Log File Manager . . . . . . . . . . . . . . . . . . . . . . .
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) . . . . . . .
Erstellen eines Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Protokoll-Handlers . . . . . . . . . . . . . . . . . . . . . . .
Elemente einer Protokollierungsregel . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Hinzufügen eines Protokolldateifelds . . . . . . . . .
Empfohlene Vorgehensweisen – Erstellen eines Protokolls . . . . . . . . . . . . . .
Access log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Found Viruses Log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehandlung mit Informationen zu Vorfällen . . . . . . . . . . . . . . . . .
12
633
636
637
637
638
639
639
641
Arbeiten mit der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Einschränkungen der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren einer Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Einstellungen für die Hybridlösung . . . . . . . . . . . . . . . . . . .
Auswählen eines Regelsatzes für die Hybridlösung . . . . . . . . . . . . . . . . . . . .
Manuelles Durchführen einer Synchronisierung . . . . . . . . . . . . . . . . . . . . .
Einstellungen für „Web Hybrid“ . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ältere Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Synchronisieren der Einstellungen für die ältere Hybridlösung . . . . . . . . . . . .
Web-Filterungseinstellungen für die Synchronisierung . . . . . . . . . . . . . . .
Konfigurieren von Synchronisierungseinstellungen . . . . . . . . . . . . . . . . .
Einstellungen für „Web Hybrid Legacy“ (Ältere Web Hybrid-Versionen) . . . . . . . . .
17
618
618
619
619
621
623
625
626
627
632
653
654
654
657
665
667
667
668
669
671
674
674
675
676
677
678
685
686
686
686
687
Produkthandbuch
Inhaltsverzeichnis
Konfigurieren der Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . .
Anzeigen der Regelsätze zur Fehlerbehandlung . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Arbeiten mit dem Fehler-Handler . . . . . . . . . . .
Fehler-Handler-Regelsatz „Default“ . . . . . . . . . . . . . . . . . . . . . . .
Leistungsmessung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Leistungsinformationen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Leistungsmessung . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Eigenschaften in Regeln zur Protokollierung von Leistungsinformationen
Verwenden von Ereignissen in Regeln zum Messen der Regelsatz-Verarbeitungszeit . . .
Ereignisüberwachung mit SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . .
SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Übertragen von Daten für die McAfee ePO-Überwachung . . . . . . . . . . . . . . . . .
Konfigurieren der ePolicy Orchestrator-Einstellungen . . . . . . . . . . . . . . . .
Einstellungen für ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . .
Bypass ePO Requests (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Vorgehensweisen – Senden von Zugriffsprotokolldaten an einen Syslog-Server . . .
Hinzufügen einer Regel zum Senden von Zugriffsprotokolldaten . . . . . . . . . . .
Anpassen der Systemdatei "rsyslog.conf" zum Senden von Zugriffsprotokolldaten . . . .
Beheben von Problemen beim Senden von Zugriffsprotokolldaten . . . . . . . . . . .
Senden von Syslog-Daten an McAfee Enterprise Security Manager . . . . . . . . . . . . .
Konfigurieren des Sendevorgangs für Syslog-Daten . . . . . . . . . . . . . . . .
Anpassen der Systemdatei „rsyslog“ für die Datenübertragung . . . . . . . . . . . .
Einstellen der Erfassung und Auswerten der syslog-Daten . . . . . . . . . . . . . .
Beheben von Problemen bei der Übertragung von syslog-Daten . . . . . . . . . . .
18
Fehlerbehebung
688
688
689
692
699
701
701
702
703
704
705
705
708
708
709
709
710
711
712
713
714
714
714
715
717
719
Methoden zur Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
Regelverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Beheben von Problemen bei der Regelverarbeitung mithilfe der Regelverfolgung . . . . . 722
Regelverfolgungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
Ermitteln der Gründe für die Blockierung einer Anfrage anhand der Regelverfolgung . . . 732
Empfohlene Vorgehensweisen – Herausfinden, warum auf einer Webseite keine Bilder angezeigt
werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
Wiederherstellen entfernter Regelverfolgungen in den Regelverfolgungsbereichen . . . . 735
Löschen von Regelverfolgungen . . . . . . . . . . . . . . . . . . . . . . . . 737
Erstellen einer Feedback-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . .
737
Erstellung von Core-Dateien aktivieren . . . . . . . . . . . . . . . . . . . . . . . .
737
Erstellung von Dateien für Verbindungsverfolgung aktivieren . . . . . . . . . . . . . . . 738
Erstellen einer Paketverfolgungsdatei . . . . . . . . . . . . . . . . . . . . . . . . . 738
Arbeiten mit System- und Netzwerk-Tools . . . . . . . . . . . . . . . . . . . . . . . 739
Neustarten eines Dienstes des Betriebssystems . . . . . . . . . . . . . . . . . . . . . 740
Anzeigen von ausgeführten Antiviren-Threads . . . . . . . . . . . . . . . . . . . . . . 740
Sichern und Wiederherstellen einer Konfiguration für eine Appliance . . . . . . . . . . . . . 741
Einstellungen für Troubleshooting (Fehlerbehebung) . . . . . . . . . . . . . . . . . . . 742
A
Konfigurationslisten
Liste
Liste
Liste
Liste
Liste
Liste
745
der Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Blockierungsgrund-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Ereignisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Vorfalls-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
der Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
745
746
747
753
770
784
785
790
796
Produkthandbuch
13
Inhaltsverzeichnis
Eigenschaften – D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – J . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – U . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eigenschaften – W . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Platzhalterausdrücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Testen eines Platzhalterausdrucks . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger glob-Sonderzeichen . . . . . . . . . . . . . . . . . . . . . . .
Liste wichtiger Sonderzeichen für reguläre Ausdrücke (regex) . . . . . . . . . . . .
B
REST-Schnittstelle
891
Vorbereiten der Verwendung der REST-Schnittstelle . . . . . . . . . . . . . . . . . . .
Aktivieren der Nutzung der Schnittstelle . . . . . . . . . . . . . . . . . . . . .
Gewähren der Zugriffsberechtigung für die Schnittstelle . . . . . . . . . . . . . .
Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von curl als Datenübertragungs-Tool . . . . . . . . . . . . . . . . .
Authentifizieren bei der Schnittstelle . . . . . . . . . . . . . . . . . . . . . .
Anfordern von Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen grundlegender Aktivitäten . . . . . . . . . . . . . . . . . . . . . .
Arbeiten auf einzelnen Appliances . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit zur Fehlerbehebung hochgeladenen Dateien . . . . . . . . . . . . . .
Arbeiten mit Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beispielskripte für das Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . .
C
Software anderer Hersteller
800
804
805
805
806
808
812
815
844
847
848
852
858
859
874
876
883
884
884
885
886
891
892
892
892
893
895
897
898
899
901
902
903
904
909
913
Liste der Software anderer Hersteller . . . . . . . . . . . . . . . . . . . . . . . . . 913
Index
14
921
Produkthandbuch
Einleitung
In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem
McAfee-Produkt.
Informationen zu diesem Handbuch
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Zielgruppe
Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe
verfasst.
Die Informationen in diesem Handbuch richten sich in erster Linie an:
•
Administratoren: Personen, die für die Implementierung und Durchsetzung des
Sicherheitsprogramms eines Unternehmens verantwortlich sind.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Buchtitel, Begriff,
Hervorhebung
Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine
Hervorhebung.
Fett
Text, der stark hervorgehoben wird.
Benutzereingabe, Code,
Meldung
Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein
Code-Beispiel; eine angezeigte Meldung.
Benutzeroberflächentext
Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen,
Menüs, Schaltflächen und Dialogfelder.
Hypertext-Blau
Ein Link auf ein Thema oder eine externe Website.
Hinweis: Zusätzliche Informationen, beispielsweise eine alternative
Methode für den Zugriff auf eine Option.
Tipp: Vorschläge und Empfehlungen.
Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres
Computersystems, der Software-Installation, des Netzwerks, Ihres
Unternehmens oder Ihrer Daten.
Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der
Nutzung eines Hardware-Produkts zu vermeiden.
Produkthandbuch
15
Einleitung
Informationen zu diesem Handbuch
Inhalt dieses Handbuchs
Dieses Handbuch ist so gegliedert, dass Sie die gewünschten Informationen schnell finden können.
Die McAfee Web Gateway-Appliance wird mit einem Überblick über die Hauptfunktionen, die
Bereitstellungsoptionen, die Systemarchitektur und die Administrator-Aktivitäten vorgestellt.
Darauf folgt eine Erläuterung, wie Sie die Appliance einrichten und die ersten Schritte bis zu dem
Punkt ausführen, an dem Proxy-, Authentifizierungs- und Web-Filterungsfunktionen konfiguriert
werden.
Die Konfiguration dieser Hauptfunktionen wird in separaten Kapiteln erläutert.
Zudem wird erläutert, wie Sie Funktionen des Appliance-Systems konfigurieren, z. B. Domain Name
Services, Port-Weiterleitung oder statische Routen, und eine Appliance als Knoten in einer
Konfiguration mit zentraler Verwaltung einrichten.
Kapitel zur Überwachung und Fehlerbehebung befinden sich am Ende des Handbuchs.
Ein Anhang enthält Listen wichtiger Konfigurationselemente wie Aktionen, Ereignisse, Eigenschaften
usw.
Quellen für Produktinformationen
Nach der Veröffentlichung eines Produkts werden Informationen zu dem Produkt im Online-Knowledge
Center von McAfee eingegeben.
Vorgehensweise
16
1
Rufen Sie im McAfee ServicePortal unter http://support.mcafee.com die Registerkarte Knowledge
Center auf.
2
Klicken Sie im Bereich Knowledge Base auf eine Inhaltsquelle:
•
Produktdokumentation für die Suche nach Benutzerdokumentation
•
Technische Artikel für die Suche nach KnowledgeBase-Artikeln
3
Wählen Sie Meine Filter nicht löschen aus.
4
Geben Sie ein Produkt ein, und wählen Sie die Version aus. Klicken Sie dann auf Suchen, um eine
Liste der gewünschten Dokumente anzuzeigen.
Produkthandbuch
1
Einführung
Die McAfee® Web Gateway-Appliance sorgt für umfassende Web-Sicherheit für Ihr Netzwerk.
Sie schützt Ihr Netzwerk vor Bedrohungen aus dem Web, z. B. vor Viren und sonstiger Malware,
unangemessenen Inhalten, Datenlecks und ähnlichen Problemen. Zudem sorgt sie für die Einhaltung
gesetzlicher Bestimmungen (Compliance) und eine reibungslos funktionierende Arbeitsumgebung.
Inhalt
Filtern des Web-Datenverkehrs
Hauptfunktionen der Appliance
Hauptkomponenten der Appliance
Bereitstellung der Appliance
Allgemeine Verwaltungsaktivitäten
Filtern des Web-Datenverkehrs
Die Appliance wird als Gateway installiert, das Ihr Netzwerk mit dem Web verbindet und den ein- und
ausgehenden Datenverkehr filtert.
Die von Benutzern aus dem Netzwerk an das Web gesendeten Anfragen sowie die aus dem Web
zurückgesendeten Antworten werden entsprechend den implementierten Web-Sicherheitsregeln
gefiltert. Mit Anfragen oder Antworten gesendete eingebettete Objekte werden ebenfalls gefiltert.
Bösartige und unangemessene Inhalte werden blockiert, während das Passieren nützlicher Inhalte
zugelassen wird.
Abbildung 1-1 Filtern des Web-Datenverkehrs
1 – Ihr Netzwerk
2 – Web Gateway
3 – Web
Sendet Anfragen an das Web.
Filtert Anfragen und Antworten.
Sendet Antworten an Ihr Netzwerk.
Produkthandbuch
17
1
Einführung
Das Filtern von Web-Datenverkehr ist ein komplexer Prozess. Die Hauptfunktionen der Appliance
tragen auf unterschiedliche Weise dazu bei.
Filtern von Web-Objekten
Spezielle Virenschutz- und Malware-Schutzfunktionen auf der Appliance scannen und filtern
Web-Datenverkehr und blockieren Web-Objekte, wenn diese infiziert sind.
Andere Funktionen filtern angefragte URLs anhand der Informationen aus dem Global Threat
Intelligence -System oder führen eine Medientyp- und Anwendungsfilterung durch.
™
Sie werden von Funktionen unterstützt, die sich selbst nicht filtern, jedoch beispielsweise
Benutzeranfragen zählen oder den Fortschritt beim Herunterladen von Web-Objekten anzeigen.
Filtern von Benutzern
Authentifizierungsfunktionen der Appliance filtern Benutzer unter Verwendung der Informationen aus
internen und externen Datenbanken und Methoden, z. B. NTLM, LDAP, RADIUS, Kerberos usw.
Zusätzlich zum Filtern regulärer Benutzer können Sie über die Appliance die Rechte und
Zuständigkeiten des Administrators steuern.
Abfangen des Web-Datenverkehrs
Beim jedem Filtern von Web-Objekten oder Benutzern ist eine Voraussetzung zu erfüllen. Diese wird
durch die Proxy-Funktionen der Appliance anhand verschiedener Netzwerkprotokolle erreicht, z. B.
HTTP, HTTPS, FTP, Yahoo, ICQ, Windows Live Messenger, XMPP usw.
Die Appliance kann im expliziten Proxy-Modus, im transparenten Bridge-Modus oder im Router-Modus
ausgeführt werden.
Überwachen des Filterungsprozesses
Die Überwachungsfunktionen der Appliance bieten eine fortlaufende Übersicht über den
Filterungsprozess.
Sie umfassen ein Dashboard zur Anzeige von Informationen zu Warnmeldungen, zur Web-Nutzung, zu
Filteraktivitäten und zum Systemverhalten. Neben Protokollierungs- und Verfolgungsfunktionen sind
auch Optionen zur Weiterleitung von Daten an den McAfee ePolicy Orchestrator -Server (McAfee ePO)
oder zur Ereignisüberwachung mit einem SNMP-Agenten verfügbar.
®
18
™
Produkthandbuch
Einführung
1
Die McAfee Web Gateway-Appliance umfasst mehrere Subsysteme zur Bereitstellung der Filterung und
anderer Funktionen, die auf dem Betriebssystem basieren.
Appliance-Subsysteme
Die Subsysteme der Appliance und deren Module haben folgende Aufgaben:
•
Kern-Subsystem: Bietet ein Proxy-Modul zum Abfangen des Web-Datenverkehrs und ein
Regelmodul zum Verarbeiten der Filterregeln, aus denen Ihre Web-Sicherheitsrichtlinie besteht.
Des weiteren stellt dieses Subsystem die Module bereit, die spezielle Aufgaben für die Filterregeln
erfüllen und von Ihnen konfiguriert werden können, z. B. das Anti-Malware-Modul, das URL
Filter-Modul oder das Authentication-Modul.
Ein Modul zur Ablaufverwaltung sorgt für eine effiziente Zusammenarbeit der Module.
•
Koordinator-Subsystem: Speichert alle Konfigurationsdaten, die auf der Appliance verarbeitet
werden
Dieses Subsystem bietet auch Funktionen zur Aktualisierung und für die zentrale Verwaltung.
•
Konfigurator-Subsystem: Stellt die Benutzeroberfläche zur Verfügung (Name des internen
Subsystems ist Konfigurator)
Abbildung 1-2 Appliance-Subsysteme und Module
Betriebssystem
Die Subsysteme der Appliance basieren auf den Funktionen ihres Betriebssystems, bei dem es sich um
MLOS2 handelt (McAfee Linux Operating System, Version 2).
Produkthandbuch
19
1
Einführung
Diese Version wird auch von anderen Linux-basierten McAfee-Sicherheitsprodukten verwendet, z. B.
von McAfee Email Gateway. Dies erleichtert die Einarbeitung, wenn Sie für die Verwaltung von
mehreren dieser Produkte zuständig sind.
Das Betriebssystem bietet Funktionen zum Ausführen der durch die Filterregeln ausgelösten Aktionen,
zum Lesen und Schreiben in der Datei und im Netzwerk sowie zur Zugriffssteuerung.
Ein Konfigurations-Daemon (sysconfd-Daemon) implementiert geänderte Konfigurationseinstellungen
im Betriebssystem.
Entscheiden Sie vor der Einrichtung der McAfee Web Gateway-Appliance, auf welche Weise diese
genutzt werden soll. Sie kann auf unterschiedlichen Plattformen ausgeführt werden, und Sie haben die
Möglichkeit, verschiedene Modi der Netzwerkintegration zu konfigurieren. Sie können auch mehrere
Appliances als Knoten innerhalb einer Konfiguration mit zentraler Verwaltung einrichten und
entsprechend verwalten.
Plattform
Sie können die Appliance auf unterschiedlichen Plattformen ausführen.
•
Hardware-basierte Appliance: auf einer physischen Hardware-Plattform
•
Virtuelle Appliance: auf einer virtuellen Maschine
Netzwerkintegration
Die Appliance kann für das Abfangen, Filtern und Übertragen des Web-Datenverkehrs im Netzwerk
verschiedene Modi nutzen.
•
Expliziter Proxy-Modus: Die mit der Appliance kommunizierenden Clients registrieren, dass es
sich um Kommunikation mit der Appliance handelt. Sie müssen die Clients „explizit“ für das Senden
des Datenverkehrs an die Appliance konfigurieren.
•
Transparente Modi: Die Clients registrieren nicht, dass mit der Appliance kommuniziert wird.
•
Transparente Bridge: Die Appliance agiert als „unsichtbare“ Verbindung zwischen Clients und
Web. Die Clients müssen hierfür nicht extra konfiguriert werden.
•
Transparenter Router: Die Appliance leitet den Datenverkehr entsprechend einer
Routing-Tabelle weiter, die von Ihnen ausgefüllt werden muss.
Verwaltung und Aktualisierungen
Das Verwalten der Appliance sowie die Verteilung von Aktualisierungen kann auf unterschiedliche
Arten erfolgen.
•
Eigenständig: Die Appliance wird separat verwaltet und erhält keine Aktualisierungen von
anderen Appliances.
•
Zentrale Verwaltung: Die Appliance wird als Knoten innerhalb einer komplexen Konfiguration
eingerichtet. Von der Benutzeroberfläche der Appliance aus können andere Knoten verwaltet und
auch Aktualisierungen verteilt werden.
Die Appliance kann dann auch von anderen Knoten aus verwaltet und dafür konfiguriert werden,
dass sie Aktualisierungen von diesen Knoten erhält.
20
Produkthandbuch
Einführung
1
Die Verwaltung der Appliance umfasst verschiedene Aktivitäten, die von den jeweiligen Anforderungen
Ihres Netzwerks abhängen.
Im Folgenden werden die empfohlenen allgemeinen Verwaltungsaktivitäten erläutert.
Vorgehensweise
1
Führen Sie die Erstkonfiguration durch.
Die Einrichtung umfasst die Erstkonfiguration von Systemparametern wie Host-Name und
IP-Adresse, die Implementierung eines anfänglichen Systems von Filterregeln sowie die
Lizenzierung.
In dieser Phase sind zwei Assistenten verfügbar: einer für die Erstkonfiguration und einer für die
Filterregeln.
2
Konfigurieren Sie die Proxy-Funktionen.
Nach Abschluss der Erstkonfiguration sind der explizite Proxy-Modus und das HTTP-Protokoll auf
der Appliance vorkonfiguriert.
Sie können diese Konfiguration ändern und außerdem andere Netzwerkkomponenten konfigurieren,
mit denen die Appliance kommuniziert.
3
Implementieren Sie ggf. die Authentifizierung.
Die Authentifizierung ist auf der Appliance nicht standardmäßig implementiert.
Wenn Sie sie implementieren möchten, können Sie aus einer Reihe von
Authentifizierungsmethoden eine Methode auswählen, u. a. NTLM, LDAP und Kerberos.
4
Konfigurieren Sie die Web-Filterung.
Sie können die während der Erstkonfiguration implementierten Regeln für Viren- und
Malware-Filterung, URL-Filterung, Medientyp-Filterung und andere Filterprozesse überprüfen.
Sie können diese Regeln optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen.
Die Arbeit mit den Filterregeln umfasst das Verwalten der von den Regeln verwendeten Listen und
das Konfigurieren der Einstellungen für Aktionen von Regeln sowie von Modulen, die am
Filterprozess beteiligt sind.
5
Überwachen Sie das Verhalten der Appliance.
Wenn Sie die Appliance entsprechend den jeweiligen Anforderungen konfiguriert haben, sollten Sie
überwachen, auf welche Weise sie den Filterprozess durchführt.
Darüber hinaus können Sie Systemfunktionen wie CPU- und Speicherauslastung, Anzahl der
aktiven Verbindungen und weitere Funktionen überwachen.
Weitere Informationen zu diesen Aktivitäten finden Sie in den Abschnitten, in denen sie konkret
behandelt werden, z. B. in Einrichtung, Authentifizierung oder Web-Filterung.
Produkthandbuch
21
1
Einführung
22
Produkthandbuch
2
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie mit Regeln, Listen, Einstellungen, Konten und weiteren
Elementen zur Verwaltung von Web Gateway arbeiten. Sie bietet Informationen zur Schlüsselfilterung
und zu Systemparametern und ermöglicht die Durchführung von Maßnahmen zur Fehlerbehebung.
Inhalt
Hauptelemente der Benutzeroberfläche
Unterstützende Konfigurationsfunktionen
Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche
Verwalten von Web Gateway ohne die Benutzeroberfläche
Die Hauptelemente der Benutzeroberfläche werden auf dem folgenden Beispielbildschirm angezeigt.
Abbildung 2-1 Benutzeroberfläche
In der folgenden Tabelle werden die Hauptelemente der Benutzeroberfläche beschrieben.
Produkthandbuch
23
2
Benutzeroberfläche
Tabelle 2-1 Hauptelemente der Benutzeroberfläche
Option
Definition
System-Informationszeile
Zeigt System- und Benutzerinformationen an.
User Preferences
(Benutzereinstellungen)
Öffnet ein Fenster, in dem Sie Einstellungen für die
Benutzeroberfläche konfigurieren und Ihr Kennwort ändern können.
Logout (Abmelden)
Meldet Sie von der Benutzeroberfläche ab.
Hilfesymbol
Öffnet die Online-Hilfe.
Sie können die Seiten durchsuchen oder über eine
Verzeichnisstruktur navigieren sowie eine Volltextsuche durchführen
oder nach Indexbegriffen suchen.
Übergeordnete Menüleiste
Sie können eines der folgenden Menüs auswählen:
• Dashboard: Zum Anzeigen von Informationen zu Ereignissen, zur
Web-Nutzung, zu Filteraktivitäten und zum Systemverhalten
• Policy (Richtlinie): Zum Konfigurieren Ihrer Web-Sicherheitsrichtlinie
• Configuration (Konfiguration): Zum Konfigurieren der
Systemeinstellungen der Appliance
• Accounts (Konten): Zum Verwalten der Administratorkonten
• Troubleshooting (Fehlerbehebung): Zum Beheben von Problemen auf
der Appliance
Search (Suche)
Öffnet ein Fenster mit den folgenden Suchoptionen:
• Search for objects (Suche nach Objekten): Ermöglicht die Suche nach
Regelsätzen, Regeln, Listen und Einstellungen.
Durch die Eingabe des Suchbegriffs im Eingabefeld werden alle
Objekte angezeigt, deren Namen mit dem Suchbegriff
übereinstimmen.
• Search for objects referring to (Suche nach verweisenden Objekten):
Ermöglicht die Auswahl einer Liste, einer Eigenschaft oder die
Auswahl von Einstellungen und zeigt alle Regeln, die das
ausgewählte Element verwenden.
Save Changes (Änderungen speichern) Speichert die Änderungen.
24
Produkthandbuch
Benutzeroberfläche
2
Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung)
Option
Definition
Registerkartenleiste
Stellt die Registerkarten des aktuell ausgewählten übergeordneten
Menüs bereit.
Übergeordnete Menüs haben die folgenden Registerkarten:
• Dashboard
• Alerts (Warnungen)
• Charts and Tables (Diagramme und Tabellen)
• Policy (Richtlinie)
• Rule Sets (Regelsätze)
• Liste (Listen)
• Settings (Einstellungen)
• Templates (Vorlagen)
• Configuration (Konfiguration)
• Appliances
• File Editor (Datei-Editor)
• Accounts (Konten)
• Administrator Accounts (Administratorkonten)
Das übergeordnete Menü Troubleshooting (Fehlerbehebung) enthält
keine Registerkarten.
Symbolleiste (auf
Registerkarte)
Bietet verschiedene Tools (abhängig von der ausgewählten
Registerkarte).
Navigationsbereich
Bietet Verzeichnisstrukturen der Konfigurationselemente, z. B.
Regeln, Listen und Einstellungen.
Konfigurationsbereich
Bietet Optionen zum Konfigurieren des derzeit im Navigationsbereich
ausgewählten Elements.
Die Benutzeroberfläche bietet mehrere Funktionen zur Unterstützung Ihrer Konfigurationsaktivitäten.
Tabelle 2-2 Unterstützende Administrationsfunktionen
Option
Definition
Gelbes Dreieck
Wird mit dem Namen einer Liste angezeigt, die noch leer ist und von Ihnen
gefüllt werden muss.
Einige Listen werden vom Assistenten der Richtlinienkonfiguration erstellt,
aber nicht gefüllt, da sie vertraulich sind.
Text mit gelbem
Hintergrund
Wird angezeigt, wenn Sie den Mauszeiger über ein Element auf der
Benutzeroberfläche bewegen und bietet Informationen zur Bedeutung und
Verwendung des Elements.
OK-Symbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe gültig ist.
Fehlersymbol
Wird in einem Fenster angezeigt, wenn Ihre Eingabe ungültig ist.
Meldungstext
Wird mit dem Fehlersymbol angezeigt und bietet Informationen zur ungültigen
Eingabe.
Produkthandbuch
25
2
Benutzeroberfläche
Tabelle 2-2 Unterstützende Administrationsfunktionen (Fortsetzung)
Option
Definition
Hellrotes Eingabefeld Gibt einen ungültigen Eintrag an.
Save Changes
(Änderungen speichern)
Schaltfläche wird rot angezeigt, wenn Sie ein Element ändern.
Rotes Dreieck
Wird mit Registerkarten, Symbolen und Listeneinträgen angezeigt, wenn Sie
ein Element geändert und noch nicht gespeichert haben.
Wird wieder grau angezeigt, nachdem Sie Ihre Änderungen gespeichert
haben.
Wenn Sie eine Regel geändert haben, wird das rote Dreieck beispielsweise an
folgenden Stellen angezeigt:
• In der Zeile des Regeleintrags im Abschnitt für Einstellungen
• Auf dem Regelsatzsymbol
• Auf der Prognose der Registerkarte Rule Sets (Regelsätze)
• Auf dem Symbol Policy (Richtlinie) in der übergeordneten Menüleiste
Verwerfen von Änderungen
Wenn Sie auf der Benutzeroberfläche Administratortätigkeiten ausgeführt haben, können Sie statt des
Speicherns der vorgenommenen Änderungen diese Änderungen auch verwerfen.
Eine Möglichkeit ist es, beim Abmelden die Abmeldung ohne Speichern der Änderungen zu bestätigen.
Alternativ dazu können Sie auch Änderungen verwerfen, indem Sie die Konfigurationsdaten erneut
laden.
Beim erneuten Laden der Konfigurationsdaten wird die Konfiguration wieder hergestellt, die nach dem
letzten Speichern vorhanden war. Dies kann von Ihnen oder einem anderen Administratoren
vorgenommen worden sein. Wenn nach der Ersteinrichtung der Appliance noch keine Änderungen
gespeichert wurden, wird die Konfiguration der Ersteinrichtung wieder hergestellt.
Verwerfen von Änderungen durch erneutes Laden der Daten
Sie können auf der Benutzeroberfläche vorgenommene Änderungen verwerfen, indem Sie die
bestehenden Konfigurationsdaten erneut laden.
Vorgehensweise
1
Klicken Sie hierfür auf das kleine schwarze Dreieck neben der Schaltfläche Save Changes (Änderungen
speichern).
Es wird der Hinweis Reload Data from Backend (Daten neu aus Backend laden) eingeblendet.
2
Klicken Sie auf den Hinweis.
Die vorgenommenen Änderungen werden verworfen, und die Konfigurationsdaten werden erneut
geladen.
26
Produkthandbuch
2
Benutzeroberfläche
Konfigurieren einer Web-Sicherheitsrichtlinie auf der
Benutzeroberfläche
Auf der Benutzeroberfläche können Sie für Ihr Netzwerk eine Web-Sicherheitsrichtlinie konfigurieren.
Eine Web-Sicherheitsrichtlinie wird in Web Gateway in Form verschiedener Regeln implementiert, die
zu Regelsätzen zusammengefasst werden. Die Regeln innerhalb eines Regelsatzes beziehen sich für
gewöhnlich auf einen bestimmten Bereich der Web-Sicherheit. Beispielsweise gibt es Regelsätze mit
Regeln für die Anti-Malware-Filterung, URL-Filterung, Medientyp-Filterung usw.
Auf der Benutzeroberfläche können Sie diese Regeln und Regelsätze anzeigen, bearbeiten, löschen
und auch neue Regeln und Regelsätze erstellen.
Eine Regel umfasst verschiedene Elemente. Eine Regel zur URL-Filterung kann z. B. eine Liste mit
Kategorien für URLS, eine Aktion zur Blockierung und weitere Elemente enthalten. Wenn ein Benutzer
eine Anfrage für den Web-Zugriff sendet, würde diese Regel die Anfrage blockieren, sofern die dabei
angefragte URL in eine der Kategorien fällt.
Mit der Verwendung dieser Regel in Ihrer Web-Sicherheitsrichtlinie können Sie dafür sorgen, dass
Benutzer vom Netzwerk aus beispielsweise keine Websites aufrufen können, die in die Kategorien
Online-Shopping, Unterhaltung oder Drogen fallen.
Registerkarten für Policy (Richtlinie)
Auf der Benutzeroberfläche stehen für das Konfigurieren einer Web-Sicherheitsrichtlinie drei
Registerkarten zur Auswahl.
•
Registerkarte Rule Sets (Regelsätze): Auf dieser Registerkarte können Sie alle Schritte zum
Konfigurieren von Web-Sicherheitsregeln vornehmen.
Die von den Regeln auf dieser Registerkarte verwendeten Listen und Einstellungen können auch
bearbeitet werden.
Weitere Informationen zum Arbeiten mit Regeln finden Sie im Kapitel Regeln.
•
Registerkarte Lists (Listen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf
die in den Regeln verwendeten Listen. Sie können hier Listen aus der Listenstruktur auswählen und
sie anschließend konfigurieren.
Weitere Informationen zum Arbeiten mit Listen finden Sie im Kapitel Listen.
•
Registerkarte Settings (Einstellungen): Diese Registerkarte bietet eine alternative
Zugriffsmöglichkeit auf die in den Regeln verwendeten Einstellungen. Sie können hier Einstellungen
in der Einstellungsstruktur auswählen und konfigurieren.
Bei der Konfiguration von Regeln in Web Gateway bezeichnet der Begriff Einstellungen eine Gruppe
von Parametern, für die bestimmte Werte festgelegt werden. Es gibt zwei Arten von Einstellungen:
•
Einstellungen für die Module (auch als Engines bezeichnet), die Aufgaben der Regelverarbeitung
übernehmen, beispielsweise das Modul „Anti-Malware“, das Web-Objekte auf Viren- und andere
Malware-Infektionen scannt.
•
Einstellungen für die von Regeln durchgeführten Aktionen, z. B. die Aktion Block (Blockieren).
Für ein Modul bzw. eine Aktion kann es unterschiedliche Einstellungen geben. Auf diese Weise kann
ein Modul seine Aufgabe auf verschiedene Arten durchführen und eine Aktion kann auf
unterschiedliche Weise ausgeführt werden, je nachdem, welche der verschiedenen Einstellungen für
das Modul bzw. die Aktion gerade konfiguriert sind.
Produkthandbuch
27
2
Benutzeroberfläche
Weitere Informationen zum Arbeiten mit Einstellungen finden Sie im Kapitel Einstellungen.
•
Registerkarte Templates (Vorlagen): Auf dieser Registerkarte können Sie Vorlagen bearbeiten,
auf denen Meldungen für Benutzer von Web Gateway konfiguriert werden.
Weitere Informationen zum Arbeiten mit Vorlagen finden Sie im Kapitel Benutzermeldungen.
Arbeiten mit der Registerkarte Rule Sets (Regelsätze)
Auf der Registerkarte Rule Sets (Regelsätze) können Sie einen Regelsatz (z. B. URL Filtering) auswählen
und die darin enthaltenen Regeln konfigurieren.
Für Regelsätze sind zwei unterschiedliche Ansichten möglich, in denen Sie jeweils folgendermaßen
arbeiten können:
•
Schlüsselelemente von Regeln: In dieser Regelsatzansicht werden nur die Schlüsselelemente
der Regeln eines bestimmten Regelsatzes angezeigt, jedoch nicht die vollständigen Regeln mit allen
konfigurierbaren Elementen.
Schlüsselelemente sind diejenigen, deren Bearbeitung beim Konfigurieren der
Web-Sicherheitsrichtlinie am wahrscheinlichsten ist. Bei dieser Ansicht können Sie sich voll und
ganz auf die Arbeit an diesen wichtigen Elementen konzentrieren.
Diese Regelsatzansicht wird bei folgenden Aktionen aufgerufen:
•
Bei Auswahl eines Standard-Regelsatzes
•
Beim Importieren bestimmter Regelsätze aus der Regelsatz-Bibliothek
Manche Bibliotheks-Regelsätze werden in dieser Ansicht nicht angezeigt.
Diese Regelsatzansicht wird nicht für Regelsätze angezeigt, die Sie selbst erstellt haben.
Hier sehen Sie ein Beispiel für ein Schlüsselelement, das in dieser Ansicht konfiguriert werden
kann:
Abbildung 2-2 Beispiel für Schlüsselelement: URL-Whitelist
Eine URL-Whitelist ist beispielsweise ein Elementeiner Regel zur URL-Filterung.
Klicken Sie auf Edit (Bearbeiten), um die Liste zur Bearbeitung zu öffnen.
28
Produkthandbuch
2
Benutzeroberfläche
•
Vollständige Regeln: In dieser Regelsatzansicht werden vollständige Regeln angezeigt, sowie alle
Regeln, die in einem bestimmten Regelsatz enthalten sind. Sie können einzelne Elemente dieser
Regeln auswählen und sie anschließend konfigurieren. Dies gilt auch für die Schlüsselelemente. Das
Löschen von Regeln und das Erstellen von neuen Regeln ist in dieser Ansicht ebenfalls möglich.
Wenn Sie einen Standard-Regelsatz oder einen Bibliotheks-Regelsatz auswählen, für den beide
Ansichten verfügbar sind, müssen Sie zunächst die Schlüsselelementansicht verlassen, um in der
Ansicht für vollständige Regeln arbeiten zu können. Nach dem Verlassen der
Schlüsselelementansicht können Sie zu dieser Ansicht nur zurückkehren, wenn Sie alle Änderungen
verwerfen oder den Regelsatz erneut importieren.
Das Beispiel der URL-Whitelist ist ein Schlüsselelement einer Regel für die URL-Filterung, das bei
Anzeige in der Ansicht für vollständige Regeln folgendermaßen aussieht:
Abbildung 2-3 Beispiel für Element innerhalb einer vollständigen Regel: URL-Whitelist
Klicken Sie auf URL WhiteList (URL-Whitelist), um die Liste zur Bearbeitung zu öffnen.
Siehe auch
Schlüsselelementansicht auf Seite 29
Ansicht für vollständige Regeln auf Seite 32
Schlüsselelementansicht
In der Schlüsselelementansicht werden Schlüsselelemente der Regeln in einem Regelsatz angezeigt;
diese können in der Ansicht konfiguriert werden.
Abbildung 2-4 Schlüsselelementansicht
Produkthandbuch
29
2
Benutzeroberfläche
Optionen der Schlüsselelementansicht
In der folgenden Tabelle werden die Optionen der Schlüsselelementansicht beschrieben.
Tabelle 2-3 Optionen der Schlüsselelementansicht
Option
Definition
Rule set name field (Feld für Zeigt den Standardnamen des Regelsatzes an, für den
den Regelsatznamen)
Schlüsselelemente angezeigt werden; dieser Name kann bearbeitet
werden.
Rule set description field
(Feld für die
Regelsatzbeschreibung)
Zeigt die Standardbeschreibung des Regelsatzes an, für den
Schlüsselelemente angezeigt werden; diese Beschreibung kann
bearbeitet werden.
Enable (Aktivieren)
Bei Auswahl dieser Option wird der Regelsatz aktiviert, dessen
Schlüsselelemente derzeit konfiguriert werden.
Unlock View (Ansicht
entsperren)
Schließt die Schlüsselelementansicht und zeigt die entsprechende
Ansicht für vollständige Regeln an.
Eine Bestätigungsmeldung wird angezeigt. Beachten Sie, dass Sie
nach dem Verlassen der Schlüsselelementansicht zu dieser Ansicht nur
zurückkehren können, wenn Sie alle Änderungen verwerfen oder den
Regelsatz erneut importieren.
In der Regelsatz-Baumstruktur zeigen Symbole vor dem
Regelsatznamen, welche der beiden Anzeigen gerade aktiviert ist.
Regelsatz in der Schlüsselelementansicht
Regelsatz in Ansicht für vollständige Regeln
• Klicken Sie zum Arbeiten mit untergeordneten Regelsätzen auf Unlock
View (Ansicht entsperren) für den untergeordneten Regelsatz.
Die untergeordneten Regelsätze werden in der
Regelsatz-Baumstruktur mit jeweils aktivierter Ansicht der
vollständigen Regelsätze angezeigt.
• Um die untergeordneten Regelsätze des Standardregelsatzes
Common Rules (Allgemeine Regeln) anzuzeigen, erweitern Sie diesen
Regelsatz.
Die Ansicht für vollständige Regeln ist bereits für den letzten der
untergeordneten Regelsätze aktiviert, während die anderen weiterhin
in der Schlüsselelementansicht angezeigt werden.
Mit der Option Unlock (Entsperren) im Kontextmenü des
Regelsatzes können Sie die Schlüsselelementansicht für einen
Regelsatz oder mehrere Regelsätze in einem Schritt verlassen.
1 Wählen Sie einen Regelsatz oder mehrere Regelsätze auf
einmal aus, klicken Sie mit der rechten Maustaste, und
wählen Sie Unlock (Entsperren).
Sie können auch einen Regelsatz erweitern, der
untergeordnete Regelsätze enthält, und einen oder mehrere
untergeordnete Regelsätze auswählen.
2 Bestätigen Sie, dass Sie die Schlüsselelementansicht
beenden möchten.
Die Ansicht für vollständige Regeln wird für alle ausgewählten
Regelsätze aktiviert.
30
Produkthandbuch
2
Benutzeroberfläche
Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung)
Option
Definition
Permissions (Berechtigungen)
Öffnet ein Fenster, in dem Sie festlegen können, welche Personen auf
den Regelsatz zugreifen dürfen, dessen Schlüsselelemente Sie gerade
konfigurieren.
Schlüsselelemente für einen
Regelsatz
Die Schlüsselelemente variieren für die verschiedenen Regelsätze.
Schlüsselelemente für zusammengehörende Funktionen werden in
einer Gruppe angezeigt. Jeder Gruppe ist ein Gruppen-Header
vorangestellt.
In der Schlüsselelementansicht für die URL-Filterung werden
Schlüsselelemente z. B. in Basic Filtering (Grundlegende Filterung),
SafeSearch und anderen Gruppen angezeigt.
Diese Gruppen enthalten Schlüsselelemente für die grundlegende
URL-Filterung, für die zusätzliche Verwendung von
SafeSearch-Funktionen im Filterprozess sowie für andere Funktionen.
Konfigurieren eines Schlüsselelements
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Schlüsselelements einer
Web-Sicherheitsregel.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Schlüsselelement für eine Regel
im Standard-Regelsatz zur URL-Filterung.
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus.
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus.
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
3
Klicken Sie unter Basic Filtering (Standardfilter) neben URL Whitelist (URL-Whitelist) auf Edit
(Bearbeiten).
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
4
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) den Ausdruck http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
Produkthandbuch
31
2
Benutzeroberfläche
5
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
6
Klicken Sie auf Save Changes (Änderungen speichern).
Ansicht für vollständige Regeln
Die Ansicht für vollständige Regeln zeigt die in einem Regelsatz enthaltenen vollständigen Regeln an.
In dieser Ansicht können Sie mit den zugehörigen Elementen, auch den Schlüsselelementen, arbeiten.
Sie können Regeln bearbeiten und löschen sowie eigene Regeln erstellen. Sie können auch Regelsätze
bearbeiten, löschen und erstellen. Neue Regelsätze können sowohl mit bestehenden Regeln als auch
mit eigenen Regeln gefüllt werden.
Sie können auch Regelsätze aus einer Regelsatz-Bibliothek auf Web Gateway oder aus einer
Online-Regelsatz-Bibliothek importieren. Sie können auf die gleiche Weise wie mit anderen Regeln und
Regelsätzen auch mit diesen Regelsätzen und ihren Regeln arbeiten.
Abbildung 2-5 Ansicht für vollständige Regeln
Weitere Informationen zur Ansicht für vollständige Regeln finden Sie im Kapitel Regeln.
Konfigurieren eines Regelelements in der Ansicht für
vollständige Regeln
Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Elements einer
Web-Sicherheitsregel in der Ansicht für vollständige Regeln.
Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Element einer Regel im
Standard-Regelsatz zur URL-Filterung. Um dies zu erreichen, muss beinahe genauso vorgegangen
werden wie beim Ausführen dieses Tasks in der Schlüsselelement-Ansicht. Der einzige Unterschied ist
die Art und Weise des Zugriffs auf die URL-Whitelist.
32
Produkthandbuch
Benutzeroberfläche
2
Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu,
dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf
der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des
Zugriffs auf „zulässige“ Web-Objekte.
Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*)
überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http://
www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung.
Vorgehensweise
1
2
Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt.
3
Klicken Sie auf Unlock View (Anzeige entsperren), um die Schlüsselelement-Ansicht zu verlassen.
Sie werden nun in einer Meldung aufgefordert, das Verlassen der Ansicht für die Schlüsselelemente
zu bestätigen, und zudem gewarnt, dass Sie nicht zu dieser Ansicht zurückkehren können.
4
Klicken Sie auf Yes (Ja).
Nur wird die Ansicht der vollständigen Regeln angezeigt.
5
Klicken Sie in der Regel Allow URLs that match in URL WhiteList auf URL WhiteList.
Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten).
6
Geben Sie eine URL in die Whitelist ein.
a
Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen).
b
Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) beispielsweise http://
www.mcafee.com/* ein.
c
Klicken Sie auf OK.
Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL
wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt.
7
Klicken Sie auf OK.
Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen.
8
Weitere Informationen zum Arbeiten mit Regeln und Regelsätzen finden Sie im Kapitel Regeln.
Mit der zusätzlich zur Verfügung stehenden Schnittstelle können Sie Verwaltungsvorgänge für Web
Gateway vornehmen, ohne bei der standardmäßigen Benutzeroberfläche angemeldet zu sein. Diese
alternative Schnittstelle wird als REST-Schnittstelle (Representational State Transfer) bezeichnet.
Hiermit können Sie auf einer bestimmten Web Gateway-Appliance und auch auf anderen damit
verbundenen Appliances Verwaltungsaktivitäten durchführen, z. B. eine Appliance ausschalten und neu
starten, mit Listen und Einstellungen arbeiten oder Aktualisierungen starten.
Produkthandbuch
33
2
Benutzeroberfläche
Eine Einführung zur REST-Schnittstelle mit Erklärungen zu den grundlegenden Arbeitsweisen sowie
Beispielskripten für die Kommunikation mit der Schnittstelle finden Sie im Abschnitt REST-Schnittstelle
im Anhang dieses Handbuchs.
34
Produkthandbuch
3
Systemkonfiguration
Das Appliance-System bietet Basisfunktionen, die von anderen Funktionen, wie z. B. der
Web-Filterung, der Authentifizierung oder der Kontingentverwaltung, verwendet werden. Dieses
System können Sie so konfigurieren, dass es genau auf die Anforderungen in Ihrem Netzwerk
zugeschnitten ist.
Bei der Konfiguration des Appliance-Systems arbeiten Sie hauptsächlich mit Folgendem:
•
Systemeinstellungen: Werden für Netzwerkschnittstellen, DNS-Server, Proxys, die zentrale
Verwaltung und weitere Komponenten und Methoden konfiguriert, die zum Appliance-System
gehören
•
Systemdateien: Enthalten Einstellungen für Funktionen des Appliance-Systems, die mit dem
Datei-Editor geändert werden können
•
Datenbankaktualisierungen: Stellen sicher, dass relevante Informationen für die Filterfunktionen
einer Appliance zur Verfügung stehen
Die Systemkonfiguration wird teilweise während der Ersteinrichtung einer Appliance durchgeführt.
Nach dieser Einrichtung können Sie weitere Konfigurationsaktivitäten am Appliance-System
vornehmen.
Inhalt
Erstkonfiguration der Systemeinstellungen
Systemkonfiguration nach der Erstkonfiguration
Konfigurieren der Systemeinstellungen
Registerkarte Appliances
Systemeinstellungen für allgemeine Appliance-Funktionen
Systemeinstellungen für Netzwerkfunktionen
Netzwerkschnittstellenbündelung
Quellenbasiertes Routing
Systemdateien
Registerkarte „File Editor“ (Datei-Editor)
Ändern der Cache-Volume-Größe
Datenbankaktualisierungen
Aktualisierung geschlossener Netzwerke
Erstkonfiguration der Systemeinstellungen
Bei der Erstkonfiguration einer Appliance müssen einige ihrer Systemeinstellungen konfiguriert
werden.
Sie können die Standardwerte der Ersteinstellungen übernehmen oder eigene Einstellungen
implementieren. Diese Einstellungen können auch zu einem späteren Zeitpunkt geändert werden.
Produkthandbuch
35
3
Systemkonfiguration
In der folgenden Tabelle sind die Einstellungen aufgeführt, die bei der Erstkonfiguration festgelegt
werden; außerdem sind ihre Standardwerte angegeben.
Tabelle 3-1 Erstkonfiguration der Systemeinstellungen
Parameter
Standardwert
Primary network interface (Primäre Netzwerkschnittstelle)
eth0
Autoconfiguration with DHCP (Automatische Konfiguration mit DHCP)
yes
Host name (Host-Name)
mwgappl
Root password (Root-Kennwort)
<keines>
Remote root logon with SSH (Remote-Root-Anmeldung mit SSH)
Aktiviert
Default gateway (Standard-Gateway)
<konfiguriert durch DHCP>
DNS server (DNS-Server)
<konfiguriert durch DHCP>
Alle Einstellungen für das Appliance-System können nach dessen Erstkonfiguration konfiguriert
werden. Dazu gehört das Bearbeiten der Einstellungen, die während dieser Konfiguration konfiguriert
wurden.
Einstellungen für das Appliance-System können in verschiedenen Feldern konfiguriert werden.
Systemeinstellungen für allgemeine Funktionen
Einige Systemeinstellungen werden für Funktionen des Appliance-Systems konfiguriert, die allgemeine
Dienste bieten, z. B. Lizenzierung oder Datum und Uhrzeit auf einer Appliance.
Siehe auch
Einstellungen für License (Lizenz) auf Seite 40
Telemetrie-Einstellungen auf Seite 41
Einstellungen für Date and Time (Datum und Uhrzeit) auf Seite 43
Einstellungen für File Server (Datei-Server) auf Seite 44
Einstellungen für User Interface (Benutzeroberfläche) auf Seite 45
Netzwerk-Systemeinstellungen
Netzwerk-Systemeinstellungen werden zur Integration des Appliance-Systems in das Netzwerk
konfiguriert.
Einige Netzwerk-Systemeinstellungen werden bereits bei der Erstkonfiguration festgelegt, darunter
Einstellungen für die primäre Netzwerkschnittstelle einer Appliance und für den von einer Appliance
verwendeten DNS-Server.
Später können Sie dann auch Einstellungen für die Proxy-Funktionen, die Port-Weiterleitung, die
statischen Routen und weitere netzwerkbezogene Funktionen konfigurieren.
Siehe auch
Einstellungen für Network Interfaces (Netzwerkschnittstellen) auf Seite 50
Einstellungen für den Domain Name Service auf Seite 139
Netzwerkschutzeinstellungen auf Seite 55
Einstellungen für „Port Forwarding“ (Port-Weiterleitung) auf Seite 55
Einstellungen für Static Routes (Statische Routen) auf Seite 57
Proxy-Einstellungen auf Seite 118
36
Produkthandbuch
Systemkonfiguration
3
Systemeinstellungen für Authentifizierung und Kontingente
Authentifizierungs- und Kontingent-Systemeinstellungen werden konfiguriert, um Methoden zum
Authentifizieren von Benutzern auf einer Appliance zu implementieren und Einschränkungen für ihre
Web-Nutzung festzulegen.
Authentifizierung und Kontingente werden auf einer Appliance hauptsächlich über Regeln in
Regelsätzen für Authentifizierung und Kontingente konfiguriert.
Einige Authentifizierungsfunktionen hingegen werden als Einstellungen des Appliance-Systems
konfiguriert, u. a. Einstellungen für die Kerberos-Authentifizierung und die Mitgliedschaft in
Windows-Domänen.
Einige Kontingentparameter werden auch als Systemeinstellungen konfiguriert.
Siehe auch
Einstellungen für „Kerberos Administration“ auf Seite 298
Einstellungen für die Windows-Domänenmitgliedschaft auf Seite 300
Kontingent-Systemeinstellungen auf Seite 374
Systemeinstellungen für die Web-Filterung
Die Systemeinstellungen für die Web-Filterung werden konfiguriert, um Funktionen zum Filtern von
Web-Objekten auf einer Appliance zu implementieren.
Die Konfiguration der Web-Filterung auf einer Appliance erfolgt größtenteils über die Regeln in
Regelsätzen zur Web-Filterung, z. B. die Regelsätze „Gateway Antimalware“ oder „URL Filter“.
Einige Web-Filterungsfunktionen werden jedoch als Einstellungen des Appliance-Systems konfiguriert,
z. B. die Malware-Schutz-Warteschlange, die Web-Objekte in einer Warteschlange sammelt, um die
Arbeitslast für die Scan-Module einer Appliance zu verringern.
Siehe auch
Systemeinstellungen für Anti-Malware (Malware-Schutz) auf Seite 393
Systemeinstellungen für die zentrale Verwaltung
Die Systemeinstellungen für die zentrale Verwaltung werden konfiguriert, wenn Sie mehrere
Appliances als Knoten in einer gemeinsamen Konfiguration ausführen.
Bei der Konfiguration der zentralen Verwaltung können Sie auch Systemeinstellungen für andere
Knoten über den Knoten konfigurieren, bei dem Sie angemeldet sind.
Siehe auch
Einstellungen für die zentrale Verwaltung auf Seite 183
Systemeinstellungen für Protokollierung und Fehlerbehebung
Systemeinstellungen für die Protokollierung und Fehlerbehebung werden konfiguriert, um den Log File
Manager auf einer Appliance zu steuern und externe Komponenten zum Erfassen von Protokolldaten
zu verwenden.
Die Verwendung externer Komponenten umfasst die Weiterleitung von Daten an einen
McAfee ePO-Server sowie die Überwachung von Ereignissen mit einem SNMP-Agenten.
Siehe auch
Einstellungen für Log File Manager auf Seite 671
Einstellungen für ePolicy Orchestrator auf Seite 709
SNMP-Einstellungen auf Seite 705
Produkthandbuch
37
3
Systemkonfiguration
Sie können die Einstellungen für das Appliance-System konfigurieren, um es an die Anforderungen
Ihres jeweiligen Netzwerks anzupassen.
Vorgehensweise
1
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur eine Appliance aus, und klicken Sie dann auf die
Systemeinstellungen, die Sie konfigurieren möchten.
3
Konfigurieren Sie diese Einstellungen nach Bedarf.
4
Siehe auch
Systemkonfiguration nach der Erstkonfiguration auf Seite 36
Registerkarte Appliances
Auf der Registerkarte Appliances können Sie die Systemeinstellungen für eine Appliance konfigurieren.
Abbildung 3-1 Registerkarte „Appliances“
Hauptelemente der Registerkarte Appliances
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Appliances beschrieben.
Tabelle 3-2 Hauptelemente der Registerkarte Appliances
38
Element
Beschreibung
Symbolleiste „Appliances“
Symbolleiste mit Elementen zum Hinzufügen von
Appliances zu einer Konfiguration mit zentraler
Verwaltung sowie zum Entfernen von Appliances und
zum gleichzeitigen Aktualisieren aller Appliances
Appliances-Baumstruktur
Verzeichnisstruktur von Appliances mit
Systemeinstellungen für jede einzelne Appliance
Produkthandbuch
3
Systemkonfiguration
Tabelle 3-2 Hauptelemente der Registerkarte Appliances (Fortsetzung)
Element
Beschreibung
Symbolleiste „Appliance“
Symbolleiste mit Elementen für die Arbeit mit einer
ausgewählten Appliance
(wird angezeigt, wenn eine Appliance in
der Appliances-Baumstruktur ausgewählt
ist)
Appliance-Einstellungen
Systemeinstellungen für die ausgewählte Appliance
Symbolleiste „Appliances“
Die Symbolleiste „Appliances“ bietet die folgenden Optionen.
Tabelle 3-3 Symbolleiste „Appliances“
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Appliance (Appliance hinzufügen) zum
Hinzufügen einer Appliance.
Delete (Löschen)
Löscht eine ausgewählte Appliance.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang
bestätigen müssen.
Manual engine update (Manuelle
Modulaktualisierung)
Aktualisiert DAT-Dateien mit Virussignaturen und anderen
Filterinformationen für alle Appliances in einer Konfiguration mit
zentraler Verwaltung.
Symbolleiste „Appliance“
Die Symbolleiste „Appliance“ bietet die folgenden Optionen.
Tabelle 3-4 Symbolleiste „Appliance“
Option
Definition
Reboot (Neu starten)
Hiermit wird eine Appliance neu gestartet.
Flush cache (Cache leeren)
Hiermit wird der Web-Cache einer Appliance geleert.
Update appliance software
(Appliance-Software aktualisieren)
Hiermit wird eine aktualisierte Version der Appliance-Software
installiert.
Shutdown (Herunterfahren)
Hiermit wird eine Appliance in den Zustand der Inaktivität
versetzt.
Rotate logs (Protokolle rotieren)
Hiermit werden die Protokolldateien auf einer Appliance rotiert.
Rotate and push logs (Protokolle rotieren und
mithilfe von Push übertragen)
Rotiert Protokolldateien auf einer Appliance und überträgt sie
mithilfe von Push an das Ziel, das in den Einstellungen für den
Log File Manager (Protokolldatei-Manager) angegeben ist.
Einige Systemeinstellungen werden für Funktionen konfiguriert, die allgemeine Dienste des
Appliance-Systems bieten.
Einstellungen für allgemeine Appliance-Funktionen enthalten folgende Einstellungen:
•
Lizenzeinstellungen
•
Datum- und Uhrzeiteinstellungen
Produkthandbuch
39
3
Systemkonfiguration
•
Datei-Server-Einstellungen
•
Einstellungen für die Benutzeroberfläche
Einstellungen für License (Lizenz)
Mit den Einstellungen für License (Lizenz) wird eine Lizenz in eine Appliance importiert. Zusammen mit
diesen Einstellungen werden Informationen zur Lizenz und Optionen zum Lesen der Lizenz- und der
Datennutzungsvereinbarung angezeigt.
License Administration (Lizenzverwaltung)
Einstellungen zum Importieren einer Lizenz
Tabelle 3-5 License Administration (Lizenzverwaltung)
Option
Definition
Import License (Lizenz importieren)
Hier befinden sich die zum Importieren einer Lizenz
erforderlichen Optionen.
I have read and accept the end user license
agreement (Ich habe den
Endbenutzer-Lizenzvertrag gelesen
und stimme ihm zu)
Hier befinden sich ein Link zum Endbenutzer-Lizenzvertrag
sowie ein Kontrollkästchen, das nach dem Lesen dieses
Dokuments aktiviert wird.
License file (Lizenzdatei)
Zeigt den Namen und Pfad der im lokalen Dateisystem
ausgewählten Lizenzdatei an.
Die Lizenz kann nur importiert werden, wenn das
Kontrollkästchen aktiviert ist, andernfalls bleiben die
Importoptionen abgeblendet.
Wenn in diesem Feld der Name und Pfad angezeigt werden,
werden unter License information (Lizenzinformationen) weitere
Lizenzinformationen angegeben.
Die Lizenz wird durch Klicken auf Save Changes (Änderungen
speichern) aktiviert.
Browse (Durchsuchen)
Öffnet das lokale Dateisystem, in dem Sie zu einer
Lizenzdatei navigieren können.
License Information (Lizenzinformationen)
Hier werden Informationen zu einer importierten Lizenz sowie eine Option zum Lesen der
Datennutzungserklärung angezeigt.
Tabelle 3-6 License Information (Lizenzinformationen)
40
Option
Definition
Status
Zeigt den Namen einer Lizenzdatei an.
Creation (Erstellung)
Zeigt das Erstellungsdatum einer Lizenzdatei an.
Expiration (Ablauf)
Zeigt das Ablaufdatum einer Lizenzdatei an.
License ID (Lizenz-ID)
Zeigt die ID einer Lizenzdatei an.
Customer (Kunde)
Zeigt den Namen des Lizenzbesitzers an.
Customer ID (Kunden-ID)
Zeigt die ID des Lizenzbesitzers an.
Seats (Arbeitsplätze)
Zeigt die Anzahl der Arbeitsplätze im Unternehmen des
Lizenzbesitzers an, für die die Lizenz gültig ist.
Evaluation (Test)
Zeigt an, ob die Lizenz getestet wurde.
Produkthandbuch
Systemkonfiguration
3
Tabelle 3-6 License Information (Lizenzinformationen) (Fortsetzung)
Option
Definition
Features (Funktionen)
Hier werden die von der Lizenz abgedeckten Funktionen
von Web Gateway aufgeführt.
I have read and understood the data usage statement
(Ich habe die Datennutzungserklärung
gelesen und stimme ihr zu)
Diese Option enthält einen Link zur
Datennutzungserklärung.
Telemetrie-Einstellungen
Die Telemetrie-Einstellungen werden zum Konfigurieren der Erfassung von Feedback-Daten zu
potenziell bösartigen Web-Objekten sowie zur Richtlinienkonfiguration verwendet.
Feedback Settings (Feedback-Einstellungen)
Einstellungen für das Erfassen von Feedback-Daten
Sie können jede der nachfolgenden Optionen separat aktivieren oder deaktivieren.
Tabelle 3-7 Feedback Settings (Feedback-Einstellungen)
Option
Definition
Send feedback to McAfee about system information and
suspicious URLs to improve its threat prediction and
protection services (Feedback zu
Systeminformationen und verdächtigen URLs
an McAfee senden, um
Bedrohungsvorhersagen und Schutzdienste zu
verbessern)
Bei Auswahl dieser Option werden Feedback-Daten
erfasst und an spezielle Feedback-Server von McAfee
gesendet.
McAfee erfasst diese Daten, um sie zu analysieren
und die Bedrohungsvorhersagen und
Schutzfunktionen von Web Gateway zu verbessern.
Weitere Informationen hierzu finden Sie unter Data
Usage Statement (Datennutzungserklärung).
Send feedback to McAfee about potentially malicious
websites (Feedback zu potenziell bösartigen
Websites an McAfee senden)
Bei Auswahl dieser Option werden relevante Daten
für die Viren- und Malware-Filterung erfasst und an
einen speziellen Feedback-Server von McAfee
gesendet.
Send feedback to McAfee about dynamically classified
websites (Feedback zu dynamisch klassifizierten für die Klassifizierung von Websites erfasst und an
Websites an McAfee senden)
einen speziellen Feedback-Server von McAfee
gesendet.
Send feedback to McAfee about policy configuration to
improve the product (Feedback zur
Richtlinienkonfiguration an McAfee senden,
um das Produkt zu verbessern)
für die Richtlinienkonfiguration erfasst und an einen
speziellen Feedback-Server von McAfee gesendet.
Further Information (Weitere Informationen)
Link zur Datennutzungserklärung
Produkthandbuch
41
3
Systemkonfiguration
Tabelle 3-8 Further Information (Weitere Informationen)
Option
Definition
Data Usage Statement
(Datennutzungserklärung)
Stellt einen Link zur Datennutzungserklärung bereit, in der
Folgendes erläutert wird:
• Zweck der Erfassung von Feedback-Daten durch McAfee
• Art der erfassten Daten
• Möglichkeit des Deaktivierens der Datenerfassung für
verschiedene Datentypen
Die Datennutzungserklärung wurde Ihnen bereits bei der
Ersteinrichtung der Appliance angezeigt.
Advanced Settings (Erweiterte Einstellungen)
Erweiterte Einstellungen für die Erfassung von Feedback-Daten
Tabelle 3-9 Advanced Settings (Erweiterte Einstellungen)
Option
Definition
Use upstream proxy (Upstream-Proxy
verwenden)
Bei Auswahl dieser Option werden Feedback-Daten über einen
Proxy-Server an McAfee gesendet.
IP or name of the proxy (IP-Adresse
oder Name des Proxys)
Gibt die IP-Adresse oder den Host-Namen des Proxy-Servers an.
Port of the proxy (Port des Proxys)
Gibt die Nummer des Ports auf dem Proxy-Server an, an dem
Anfragen zum Senden von Feedback-Daten empfangen werden.
Die Port-Nummer kann im Bereich von 1 bis 65635 liegen.
Die Standard-Port-Nummer lautet 9090.
User name (Benutzername)
Gibt den Benutzernamen an, der zum Anmelden beim
Proxy-Server benötigt wird.
Password (Kennwort)
Gibt das Kennwort an, das zum Anmelden beim Proxy-Server
benötigt wird.
Durch Klicken auf Set (Festlegen) wird ein Fenster zum Festlegen
des Kennworts geöffnet.
Choose feedback server
(Feedback-Server auswählen)
Bei Auswahl dieser Option können Sie eine IP-Adresse und eine
Port-Nummer für den Server konfigurieren, an den
Feedback-Daten gesendet werden.
IP of the server (IP-Adresse des
Servers)
Gibt die IP-Adresse des Feedback-Servers an.
Port of the server (Port des Servers)
Gibt die Nummer des Ports auf dem Feedback-Server an, an dem
Anfragen zum Senden von Daten empfangen werden.
Die Port-Nummer kann im Bereich von 1 bis 65635 liegen.
Port of the server (Port des Servers)
42
Bei Auswahl dieser Option werden Aktivitäten zum Senden von
Feedback protokolliert.
Produkthandbuch
Systemkonfiguration
3
Einstellungen für Date and Time (Datum und Uhrzeit)
Mit den Einstellungen für Date and Time (Datum und Uhrzeit) werden die Zeit-Server konfiguriert, die
Datum und Uhrzeit des Appliance-Systems synchronisieren. Sie können die Systemzeit hier auch
manuell festlegen.
Date and Time (Datum und Uhrzeit)
Einstellungen für Datum und Uhrzeit des Appliance-Systems
Tabelle 3-10 Date and Time (Datum und Uhrzeit)
Option
Definition
Enable time synchronization with NTP
servers (Zeitsynchronisierung
mit NTP-Servern aktivieren)
Bei Auswahl dieser Option verwendet die Appliance zur
Zeitsynchronisierung Zeit-Server, die das NTP-Protokoll (Network
Time Protocol) nutzen.
Hierbei wird die Systemzeit der Appliance mit der Zeit der
NTP-Server synchronisiert. Wenn die Abweichung zwischen beiden
Zeiten jedoch zu groß ist, schlägt die Synchronisierung fehl.
Es wird deshalb empfohlen, nach dem Festlegen der
Synchronisierung mit NTP-Servern einen Neustart der Appliance
durchzuführen. Bei einem solchen Neustart stellt die Appliance die
Systemzeit entsprechend der Zeit der NTP-Server ein.
NTP server list (Liste der
NTP-Server)
Enthält eine Liste, in die für die Zeitsynchronisierung unter
Verwendung des NTP-Protokolls einzusetzende Server eingegeben
werden.
Die Liste enthält folgende Elemente:
• String (Zeichenfolge): Gibt den Namen eines NTP-Servers an.
• Comment (Kommentar): Enthält einen Kommentar zum NTP-Server
im Nur-Text-Format.
Select time zone (Zeitzone
auswählen)
Enthält eine Auswahlliste für die Zeitzonen.
Die von den NTP-Servern durchgeführte Zeitsynchronisierung sowie
die manuell eingestellte Zeit beziehen sich auf die hier ausgewählte
Zeitzone.
Set System Time Manually (Systemzeit manuell festlegen)
Einstellungen für das manuelle Konfigurieren von Datum und Uhrzeit des Appliance-Systems
Produkthandbuch
43
3
Systemkonfiguration
Tabelle 3-11 Set System Time Manually (Systemzeit manuell festlegen)
Option
Definition
Current date and time
(Aktuelles Datum
und aktuelle
Uhrzeit)
Enthält Elemente zur Einstellungen von Datum und Uhrzeit des
Appliance-Systems.
• Date (Datum): Hier kann mithilfe eines Kalenders bzw. durch direkte Eingabe
in das Feld ein Datum festgelegt werden.
• Kalendersymbol: Hiermit öffnen Sie einen Kalender zur Auswahl eines
Datums.
Nach Auswahl eines Datums aus dem Kalender und Klicken auf OK wird dieses
Datum im Datumsfeld angezeigt.
• Time (Uhrzeit): Hier können Sie durch direkte Eingabe eine Uhrzeit festlegen.
Die Systemzeit der Appliance wird anschließend mit der Zeit der NTP-Server
synchronisiert. Wenn die Abweichung zwischen beiden Zeiten jedoch zu groß
ist, schlägt die Synchronisierung fehl.
Es wird deshalb empfohlen, nach dem Festlegen der Synchronisierung mit
NTP-Servern einen Neustart der Appliance durchzuführen. Bei einem solchen
Neustart stellt die Appliance die Systemzeit entsprechend der Zeit der
NTP-Server ein.
Set now (Jetzt einstellen) Die im jeweiligen Feld eingegebenen Datums- und Uhrzeiteinstellungen werden
übernommen.
Einstellungen für File Server (Datei-Server)
Mit den Einstellungen für File Server (Datei-Server) werden dedizierte Datei-Server-Ports auf einer
Appliance konfiguriert, um beispielsweise das Herunterladen von Dateien durch Clients zu
ermöglichen.
HTTP Connector Port (HTTP-Konnektor-Port)
Einstellungen für dedizierte Datei-Server-Ports auf einer Appliance
44
Produkthandbuch
3
Systemkonfiguration
Tabelle 3-12 HTTP Connector Port (HTTP-Konnektor-Port)
Option
Definition
Enable dedicated file server port
over HTTP (Dedizierten
Datei-Server-Port über HTTP
aktivieren)
Bei Auswahl dieser Option sind die unten konfigurierten dedizierten
HTTP-Datei-Server-Ports aktiviert.
HTTP connector
(HTTP-Konnektor)
Gibt die Port-Nummer des dedizierten HTTP-Datei-Server-Ports an.
Hier können mehrere Port-Nummern durch Kommas getrennt
eingegeben werden. Der zulässige Bereich erstreckt sich von 1024 bis
65335.
Wenn Anfragen an die Ports 1–1023 weitergeleitet werden sollen,
können Sie eine entsprechende Port-Weiterleitungsregel einrichten.
Sie können die Port-Nummer auch zusammen mit einer IP-Adresse
eingeben. Das bedeutet, dass eine Verbindung mit einer Appliance über
diesen Port nur unter Verwendung der angegebenen IP-Adresse zulässig
ist.
Beispiel:
Eine Appliance weist zwei Schnittstellen mit den folgenden IP-Adressen
auf:
eth0: 192.168.0.10, eth1: 10.149.110.10
Sie geben unter „HTTP connector“ (HTTP-Konnektor) Folgendes ein:
4711, 192.168.0.10:4722
Anschließend ist das Herstellen von Verbindungen mit der Appliance
über Port 4711 mit beiden IP-Adressen zulässig, während beim
Herstellen von Verbindungen über 4722 die IP-Adresse 192.168.0.10
verwendet werden muss.
Eine derartige Beschränkung von Verbindungen kann zum Einrichten
eines Intranets vorgenommen werden.
Enable dedicated file server port
over HTTPS (Dedizierten
Datei-Server-Port über HTTPS
aktivieren)
Bei Auswahl dieser Option ist ein dedizierter HTTPS-Datei-Server-Port
aktiviert.
HTTPS connector
(HTTPS-Konnektor)
Gibt die Port-Nummer des dedizierten HTTPS-Datei-Server-Ports an.
Hier können mehrere Port-Nummern durch Kommas getrennt
eingegeben werden. Der zulässige Bereich erstreckt sich von 1024 bis
65335.
Die Eingabe einer IP-Adresse mit einer Port-Nummer kann auf dieselbe
Weise wie für den HTTP-Konnektor erfolgen, und sie hat dieselbe
Bedeutung.
Wenn Anfragen an die Ports 1–1023 weitergeleitet werden sollen,
können Sie eine entsprechende Port-Weiterleitungsregel einrichten.
Einstellungen für User Interface (Benutzeroberfläche)
Mit den Einstellungen für User Interface (Benutzeroberfläche) werden die Elemente der lokalen
Benutzeroberfläche einer Appliance konfiguriert, beispielsweise Ports, die Anmeldeseite, ein Zertifikat
für SSL-gesicherte Kommunikation usw.
UI Access (Zugriff auf die Benutzeroberfläche)
Einstellungen für die Art des Zugriffs auf die Benutzeroberfläche einer Appliance
Produkthandbuch
45
3
Systemkonfiguration
Tabelle 3-13 UI Access (Zugriff auf die Benutzeroberfläche)
Option
Definition
HTTP connector (HTTP-Konnektor)
Bietet Konfigurationsoptionen für den Zugriff auf die
Benutzeroberfläche über HTTP.
• Enable local user interface over HTTP (Lokale Benutzeroberfläche
über HTTP aktivieren): Bei Auswahl dieser Option können
Sie über HTTP eine Verbindung mit der Benutzeroberfläche
herstellen.
• HTTP connector (HTTP-Konnektor): Gibt einen Port für die
Herstellung einer Verbindung mit der Benutzeroberfläche
über HTTP an.
• Enable REST interface over HTTP (REST-Schnittstelle über HTTP
aktivieren): Bei Auswahl dieser Option können Sie über
HTTP eine Verbindung mit der REST-Schnittstelle herstellen.
HTTPS connector (HTTPS-Konnektor)
Bietet Konfigurationsoptionen für den Zugriff auf die
Benutzeroberfläche über HTTPS.
• Enable local user interface over HTTPS (Lokale Benutzeroberfläche
über HTTPS aktivieren): Bei Auswahl dieser Option können
Sie über HTTPS eine Verbindung mit der
Benutzeroberfläche herstellen.
• HTTPS connector (HTTPS-Konnektor): Gibt einen Port für die
Herstellung einer Verbindung mit der Benutzeroberfläche
über HTTPS an.
• Enable REST interface over HTTPS (REST-Schnittstelle über HTTPS
aktivieren): Bei Auswahl dieser Option können Sie über
HTTPS eine Verbindung mit der REST-Schnittstelle
herstellen.
HTTPS client certificate connector
(HTTPS-Client-Zertifikat-Konnektor)
Bietet Optionen zum Konfigurieren eines
Client-Zertifikat-Konnektors.
• Enable client certificate authentication (Authentifizierung über
Client-Zertifikat aktivieren): Bei Auswahl dieser Option
kann die Authentifizierung über ein Client-Zertifikat
durchgeführt werden.
• HTTPS connector for client certificate authentication (HTTPS-Konnektor
für Authentifizierung über Client-Zertifikat): Gibt einen Port
für die Herstellung einer Verbindung mit der
Benutzeroberfläche an, wenn die Authentifizierung über das
Client-Zertifikat durchgeführt wird.
• Redirect target after authentication (Ziel nach Authentifizierung
umleiten): Bei Auswahl dieser Option wird eine Anfrage
nach erfolgreicher Authentifizierung über das
Client-Zertifikat umgeleitet.
• Redirection host and port (Umleitungs-Host und -Port): Gibt das
Host-System und den Port auf diesem System an, an den
Anfragen umgeleitet werden.
Miscellaneous (Verschiedenes)
Bietet verschiedene Optionen für das Konfigurieren des
Zugriffs auf die Benutzeroberfläche.
• Session timeout (Sitzungszeitlimit): Legt den Zeitraum (in
Minuten) fest, nach dessen Ablauf die Sitzung auf der
Benutzeroberfläche geschlossen wird, wenn in dieser Zeit
keine Aktivitäten verzeichnet werden.
Das Sitzungszeitlimit kann 1–99.999 Minuten betragen.
Das Limit ist standardmäßig auf 30 Minuten eingestellt.
46
Produkthandbuch
Systemkonfiguration
3
Login Page Options (Optionen für Anmeldeseite)
Einstellungen für die Seite, die zur Anmeldung bei der Benutzeroberfläche einer Appliance verwendet
wird
Tabelle 3-14 Optionen der Anmeldeseite
Option
Definition
Allow browser to save login credentials (Browser
das Speichern der Anmeldeinformationen
erlauben)
Wenn diese Option ausgewählt ist, werden die von einem
Benutzer zur Anmeldung an einer Appliance angegebenen
Anmeldeinformationen vom Browser gespeichert.
Restrict browser session to IP address of user
(Browser-Sitzung auf IP-Adresse des Benutzers
einschränken)
Wenn diese Option ausgewählt ist, ist eine Sitzung zur Arbeit
mit der Benutzeroberfläche nur solange gültig, wie die
IP-Adresse des Clients, über den der Benutzer die Sitzung
gestartet hat, unverändert bleibt.
Let user decide to restrict session for IP address
or not (Benutzer entscheiden lassen, ob Sitzung
für IP-Adresse eingeschränkt wird)
Wenn diese Option ausgewählt ist, bleibt es dem Benutzer,
der eine Sitzung zur Arbeit mit der Benutzeroberfläche
gestartet hat, überlassen, ob diese nur für die IP-Adresse
des Clients, über den die Sitzung gestartet wurde, gültig ist.
Allow multiple logins per login name (Mehrere
Anmeldungen pro Anmeldename zulassen)
Wenn diese Option ausgewählt ist, können sich mehrere
Benutzer über denselben Benutzernamen und dasselbe
Kennwort an der Benutzeroberfläche anmelden.
Use HTTPOnly session cookies (applet loading
may take longer) (HTTPOnly-Sitzungs-Cookies
verwenden (Laden des Applets kann länger
dauern))
Wenn diese Option ausgewählt ist, werden
HTTPOnly-Cookies für eine Sitzung mit der
Benutzeroberfläche verwendet.
Maximum number of active applet users
(Höchstanzahl aktiver
Applet-Benutzer)
Beschränkt die Anzahl von Benutzern, die gleichzeitig bei der
Benutzeroberfläche einer Appliance angemeldet sein
können.
Die maximale Benutzeranzahl beträgt standardmäßig 20.
Login message (Anmeldenachricht)
Bietet die folgenden Optionen zum Anzeigen einer
zusätzlichen Nachricht auf der Anmeldeseite für die
Benutzeroberfläche.
Mit diesen Optionen können Sie eine Nachricht
konfigurieren, die beispielsweise aufgrund interner
Richtlinien oder externer Vorschriften angezeigt werden
muss.
• Show on login page (Auf Anmeldeseite anzeigen): Bei Auswahl
dieser Option wird der im Feld HTML message
(HTML-Nachricht) eingegebene Text auf der Anmeldeseite
angezeigt.
• HTML message (HTML-Nachricht): Der in diesem Feld
eingegebene Text wird auf der Anmeldeseite angezeigt.
User Interface Certificate (Benutzeroberflächen-Zertifikat)
Einstellungen für ein Zertifikat, das bei der SSL-verschlüsselten Kommunikation über den HTTPS-Port
für die Benutzeroberfläche verwendet wird
Produkthandbuch
47
3
Systemkonfiguration
Tabelle 3-15 User Interface Certificate (Benutzeroberflächen-Zertifikat)
Option
Definition
Subject, Issuer, Validity, Extensions (Inhaber,
Aussteller, Gültigkeit, Erweiterungen)
Gibt Informationen zum derzeit verwendeten Zertifikat an.
Import (Importieren)
Öffnet das Fenster Import Certificate Authority
(Zertifizierungsstelle importieren) zum Importieren eines
neuen Zertifikats.
Certificate Chain (Zertifikatskette)
Zeigt eine Zertifikatskette, die mit einem Zertifikat
importiert wird.
Fenster 'Import Certificate Authority' (Zertifizierungsstelle importieren)
Einstellungen zum Importieren eines Zertifikats, das bei der SSL-verschlüsselten Kommunikation
verwendet wird
Tabelle 3-16 Fenster 'Import Certificate Authority' (Zertifizierungsstelle importieren)
Option
Definition
Certificate (Zertifikat)
Gibt den Namen einer Zertifikatsdatei an.
Der Dateiname kann manuell oder über die Schaltfläche Browse
(Durchsuchen) in der entsprechenden Zeile eingegeben werden.
Öffnet den lokalen Datei-Manager, um nach einer Zertifikatsdatei zu
suchen und diese auszuwählen.
Private key (Privater
Schlüssel)
Gibt den Namen der Datei eines privaten Schlüssels an.
Hier können nur AES-128-Bit-verschlüsselte Schlüssel oder
unverschlüsselte Schlüssel verwendet werden.
Öffnet den lokalen Datei-Manager, um nach der Datei eines privaten
Schlüssels zu suchen und diese auszuwählen.
Password (Kennwort)
Legt ein Kennwort fest, das die Verwendung eines privaten Schlüssels
zulässt.
Öffnet das Fenster Import Certificate Authority (Zertifizierungsstelle importieren)
zum Importieren eines neuen Zertifikats.
OK
Startet den Importvorgang für das angegebene Zertifikat.
Certificate Chain
(Zertifikatskette)
Gibt den Namen einer Zertifikatskettendatei an.
Öffnet den lokalen Datei-Manager, um nach einer Zertifikatskettendatei zu
suchen und diese auszuwählen.
Nach dem Importieren eines Zertifikats mit einer Zertifikatskette wird die
Zertifikatskette im Feld Certificate chain (Zertifikatskette) der Einstellungen
für das Benutzeroberflächenzertifikat angezeigt.
Memory Settings (Speichereinstellungen)
Einstellungen für den bei der Verwendung der Benutzeroberfläche einer Appliance verfügbaren
Speicher
48
Produkthandbuch
Systemkonfiguration
3
Tabelle 3-17 Memory Settings (Speichereinstellungen)
Option
Definition
Amount of maximum memory available for GUI
applet (Maximal für das GUI-Applet
verfügbarer Speicher)
Beschränkt den für das Benutzeroberflächen-Applet
verfügbaren Speicherplatz (in MiB).
Der verfügbare Höchstwert liegt im Bereich 100–999 MiB,
der Standardwert beträgt 512 MiB.
Amount of maximum memory available for MWG Beschränkt den für das Benutzeroberflächen-Backend
UI backend (Maximal für das
MWG-UI-Backend verfügbarer
Der verfügbare Höchstwert liegt im Bereich 100–9999 MiB.
Speicher)
Wenn hier kein Wert angegeben ist, wird der
Standardhöchstwert von 512 MiB eingestellt.
REST Settings (REST-Einstellungen)
Einstellungen für die Konfiguration der Verwendung der REST-Schnittstelle mit einer Appliance
Tabelle 3-18 REST Settings (REST-Einstellungen)
Option
Definition
Maximum size of a REST request
(Maximale Größe einer
REST-Anfrage)
Beschränkt die Größe (in MiB) einer Anfrage, die an die
REST-Schnittstelle gesendet wird.
Der bei Verwendung der REST-Schnittstelle maximal verfügbare
Speicherplatz beträgt 200 MiB.
Die maximale Größe einer Anfrage beträgt standardmäßig 2 MiB.
Maximum memory per REST session
(Maximal pro REST-Sitzung
verfügbarer Speicher)
Beschränkt den für eine Sitzung über die REST-Schnittstelle
Der bei Verwendung der REST-Schnittstelle maximal verfügbare
Speicherplatz beträgt 200 MiB.
Der maximal verfügbare Speicherplatz für eine Sitzung beträgt
standardmäßig 10 MiB.
Maximum number of active REST users
(Höchstanzahl aktiver
REST-Benutzer)
Beschränkt die Anzahl von Benutzern, die gleichzeitig die
REST-Schnittstelle verwenden können.
Die maximale Benutzeranzahl beträgt standardmäßig 20.
Einige Systemeinstellungen werden für Funktionen konfiguriert, die das Appliance-Systems in Ihr
Netzwerk integrieren.
Systemeinstellungen für Netzwerkfunktionen umfassen Proxy-Einstellungen sowie die folgenden
Einstellungen:
•
Einstellungen für Netzwerkschnittstelle
•
Einstellungen für statische Routen
•
Einstellungen für Domain Name Service
•
Einstellungen für die Port-Weiterleitung
•
Netzwerk-Schutzeinstellungen
Siehe auch
Produkthandbuch
49
3
Systemkonfiguration
Einstellungen für Network Interfaces (Netzwerkschnittstellen)
Mit den Einstellungen der Network Interfaces (Netzwerkschnittstellen) werden die Netzwerkschnittstellen
einer Appliance konfiguriert.
Network Interface Settings (Einstellungen für Netzwerkschnittstelle)
Dies sind die Einstellungen für die Netzwerkschnittstellen.
Tabelle 3-19 Network Interface Settings (Einstellungen für Netzwerkschnittstelle)
Option
Definition
Host name/Fully qualified domain
name (Host-Name/
Vollqualifizierter
Domänenname)
Gibt den Host-Namen einer Appliance an.
Default gateway (IPv4)
(Standard-Gateway (IPv4))
Gibt das Standard-Gateway für Web-Datenverkehr unter IPv4 an.
Default gateway (IPv6)
(Standard-Gateway (IPv6))
Gibt das Standard-Gateway für Web-Datenverkehr unter IPv6 an.
Der Name muss als vollqualifizierter Domänenname angegeben
werden.
Enable these network interfaces
Stellt eine Liste von Netzwerkschnittstellen bereit, die aktiviert und
(Diese Netzwerkschnittstellen deaktiviert werden können.
aktivieren)
Die Netzwerkschnittstelle eth0 ist standardmäßig in der Liste
enthalten und aktiviert.
IPv4
Bietet Optionen zum Konfigurieren von Netzwerkschnittstellen unter
IPv4.
Die Optionen befinden sich auf einer separaten Registerkarte.
IPv6
Bietet Optionen zum Konfigurieren von Netzwerkschnittstellen unter
IPv6.
Advanced (Erweitert)
Bietet Optionen zum Konfigurieren zusätzlicher Medien und eines
Bridge-Computers für eine Netzwerkschnittstelle.
50
Produkthandbuch
Systemkonfiguration
3
Tabelle 3-19 Network Interface Settings (Einstellungen für Netzwerkschnittstelle)
(Fortsetzung)
Option
Definition
Add VLAN (VLAN hinzufügen)
Öffnet ein Fenster zum Hinzufügen einer Netzwerkschnittstelle für
VLAN-Datenverkehr.
Sie können diese Option zur Ausführung von VLANs unter IPv4 oder
IPv6 verwenden.
Sie fügen eine Netzwerkschnittstelle hinzu, indem Sie eine Nummer
als ID angeben und dann auf OK klicken.
Der Name der Schnittstelle besteht aus zwei Teilen, die durch einen
Punkt voneinander getrennt sind.
Der erste Teil ist der Name und die Nummer der Schnittstelle, die in
der Liste der verfügbaren Netzwerkschnittstellen aktiviert ist. Der
zweite Teil ist die von Ihnen angegebene Nummer.
Wenn beispielsweise die Schnittstelle eth0 aktiviert ist und Sie 1
angeben, wird eine Netzwerkschnittstelle für VLAN-Datenverkehr mit
der Bezeichnung eth0.1 hinzugefügt. Diese ist zunächst nicht
aktiviert.
Der Nummernbereich für VLAN-Netzwerkschnittstellen liegt bei 1–
4094.
Nachdem Sie eine oder mehrere Netzwerkschnittstellen für
VLAN-Datenverkehr hinzugefügt haben, müssen Sie auch
deren IDs zu den Parametern für die Port-Umleitungen für
den von Ihnen verwendeten Netzwerkmodus (z. B. Modus
„Transparente Bridge“) hinzufügen.
Die VLAN-IDs werden im Fenster zum Hinzufügen und
Bearbeiten von Port-Umleitungen in das Feld Optional 802.1Q
VLANs (Optionale 802.1Q-VLANs) eingegeben. Verwenden Sie
bei mehreren Einträgen Kommas als Trennzeichen.
Delete (Löschen)
Hiermit wird eine ausgewählte Netzwerkschnittstelle für
VLAN-Datenverkehr gelöscht.
In der folgenden Tabelle werden die Optionen auf den Registerkarten IPv4, IPv6 und Advanced (Erweitert)
beschrieben.
IPv4
Registerkarte zum Konfigurieren von Netzwerkschnittstellen unter IPv4
Produkthandbuch
51
3
Systemkonfiguration
Tabelle 3-20 IPv4
Option
Definition
IP settings (IP-Einstellungen) Hier können Sie eine Methode zum Konfigurieren einer IP-Adresse für
eine Netzwerkschnittstelle auswählen.
• Obtain automatically (DHCP) (Automatisch abrufen (DHCP)): Die IP-Adresse
wird automatisch über DHCP (Dynamic Network Host Protocol)
abgerufen.
• Configure manually (Manuell konfigurieren): Die IP-Adresse wird manuell
konfiguriert.
• Disable IPv4 (IPv4 deaktivieren): Für diese Schnittstelle wird nicht IPv4
verwendet.
IP address (IP-Adresse)
Gibt die IP-Adresse einer Netzwerkschnittstelle an (manuell
konfiguriert).
Subnet mask (Subnetzmaske) Gibt die Subnetzmaske einer Netzwerkschnittstelle an (manuell
konfiguriert).
Default route (Standardroute) Gibt die Standardroute für Web-Datenverkehr über die
Netzwerkschnittstelle an (manuell konfiguriert).
MTU
Beschränkt die Anzahl der Bytes in einer bestimmten
Übertragungseinheit auf den angegebenen Wert.
IP aliases (IP-Aliasse)
Bietet eine Liste der Aliasse für die IP-Adresse an.
• Add alias (Alias hinzufügen): Öffnet das Eingabefenster zum Hinzufügen
eines Alias.
• Delete (Löschen): Löscht einen ausgewählten Alias.
IPv6
Registerkarte zum Konfigurieren von Netzwerkschnittstellen unter IPv6
Tabelle 3-21 IPv6
Option
Definition
IP settings
(IP-Einstellungen)
Hier können Sie eine Methode zum Konfigurieren einer IP-Adresse für eine
Netzwerkschnittstelle auswählen.
• Obtain automatically (DHCP) (Automatisch abrufen (DHCP)): Die IP-Adresse
wird automatisch über DHCP (Dynamic Network Host Protocol)
abgerufen.
• Solicit from router (Über Router beziehen): Die IP-Adresse wird von einem
Router abgerufen.
• Configure manually (Manuell konfigurieren): Die IP-Adresse wird manuell
konfiguriert.
• Disable IPv6 (IPv6 deaktivieren): Für diese Schnittstelle wird nicht IPv6
verwendet.
52
IP address (IP-Adresse)
Gibt die IP-Adresse einer Netzwerkschnittstelle an (manuell konfiguriert).
Default route
(Standardroute)
Gibt eine Standardroute für Web-Datenverkehr über die
Netzwerkschnittstelle an (manuell konfiguriert).
Produkthandbuch
3
Systemkonfiguration
Tabelle 3-21 IPv6 (Fortsetzung)
Option
Definition
MTU
Beschränkt die Anzahl der Bytes in einer bestimmten Übertragungseinheit
auf den angegebenen Wert.
IP aliases (IP-Aliasse)
Bietet eine Liste der Aliasse für die IP-Adresse an.
• Add alias (Alias hinzufügen): Öffnet ein Fenster zum Hinzufügen eines
Alias.
• Delete (Löschen): Löscht einen ausgewählten Alias.
Advanced (Erweitert)
Registerkarte zum Konfigurieren der erweiterten Funktionen der Netzwerkschnittstelle.
Wenn es sich bei der derzeit ausgewählten Netzwerkschnittstelle um eine Bündelungsschnittstelle
handelt, enthält die Registerkarte andere Optionen. Diese werden in einer zweiten Tabelle beschrieben.
Tabelle 3-22 Advanced (Erweitert)
Option
Definition
Media (Medien)
Hier können Sie zusätzliche Medien zur Verwendung mit einer
Netzwerkschnittstelle auswählen.
• Automatically detect (Automatisch erkennen): Medien zur Verwendung mit
einer Netzwerkschnittstelle werden automatisch erkannt, wenn sie in
der Netzwerkumgebung einer Appliance verfügbar sind.
• 1000BaseT-FD, 1000Base-HD, ...: Das ausgewählte Medienelement wird mit
einer Netzwerkschnittstelle verwendet.
Bridge enabled
(Bridge-Computer
aktiviert)
Bei Aktivierung dieser Option wird Web-Datenverkehr im Modus
„Transparente Bridge“ durch eine Netzwerkschnittstelle geleitet.
Bond enabled (Bündelung
aktiviert)
Bei Auswahl dieser Option wird die derzeit ausgewählte
Netzwerkschnittstelle, z. B. eth2, als gebündelte Schnittstelle konfiguriert,
die einer Bündelungsschnittstelle untergeordnet ist.
• Name: Gibt den Namen der transparenten Bridge an.
• Name: Gibt den Namen der Bündelungsschnittstelle an.
In der folgenden Tabelle werden die Optionen beschrieben, die bei Auswahl einer
Bündelungsschnittstelle auf der Registerkarte Advanced (Erweitert) verfügbar sind.
Produkthandbuch
53
3
Systemkonfiguration
Tabelle 3-23 Advanced (Erweitert)
Option
Definition
Bonding options
(Bündelungsoptionen)
Bietet Optionen für eine Bündelungsschnittstelle.
• Mode (Modus): Gibt den Modus an, in dem die gebündelten
Netzwerkschnittstellen in der Bündelungskonfiguration aktiviert werden.
• Active/Passive (Aktiv/Passiv): Bei Auswahl dieser Option ist immer nur
jeweils eine gebündelte Schnittstelle aktiv.
Eine andere gebündelte Schnittstelle wird erst dann aktiv, wenn bei
der aktiven gebündelten Schnittstelle ein Fehler auftritt.
Die MAC-Adresse der Bündelungsschnittstelle ist extern nur an einem
Port sichtbar, sodass es auf Netzwerk-Switches nicht zu
Adresskonflikten kommt.
Dieser Modus wird in einigen Systemmeldungen als mode 1 (Modus 1)
bezeichnet.
Dieser Modus ist standardmäßig ausgewählt.
• 802.3ad/LACP: Bei Auswahl dieser Option sind alle gebündelten
Schnittstellen in der Bündelungskonfiguration aktiv.
Die gebündelte Schnittstelle für ausgehenden Datenverkehr wird
entsprechend der konfigurierten Hash-Richtlinie ausgewählt.
Dieser Modus wird in einigen Systemmeldungen als mode 4 (Modus 4)
bezeichnet.
Wenn dieser Modus ausgewählt wird, werden die Optionen LACP rate
(LACP-Rate) und Hash policy (Hash-Richtlinie) verfügbar.
• Miimon: Legt das Zeitintervall (in Millisekunden) für das Senden der
Abfragemeldungen des MII-Überwachungsprogramms fest.
Das Standardintervall beträgt 100 Millisekunden.
• LACP rate (LACP-Rate): Legt die Übertragungsrate für das Senden von
LACP-DU-Datenpaketen im 802.3ad-Modus fest.
• Slow (Langsam): Bei Auswahl dieser Option werden Datenpakete alle
30 Sekunden gesendet.
Diese Übertragungsrate ist standardmäßig ausgewählt.
• Fast (Schnell): Bei Auswahl dieser Option werden Datenpakete jede
Sekunde gesendet.
• Hash policy (Hash-Richtlinie): Bestimmt die Berechnungsweise des
Hash-Werts für eine Bündelungskonfiguration.
• Layer2 (Ebene 2): Bei Auswahl dieser Option wird eine Kombination aus
Werten der Ebene 2 zur Berechnung des Hash-Wertes verwendet. Bei
diesen Werten handelt es sich um Hardware-MAC-Adressen und
Pakettyp-ID-Adressen.
Diese Hash-Richtlinie ist standardmäßig ausgewählt.
• Layer2+3 (Ebene 2+3): Bei Auswahl dieser Option wird eine Kombination
aus Protokollinformationen der Ebene 2 und 3 zur Berechnung des
Hash-Wertes verwendet.
54
Produkthandbuch
3
Systemkonfiguration
Netzwerkschutzeinstellungen
Mit den Systemeinstellungen für den Netzwerkschutz werden Schutzregeln für den Datenverkehr
konfiguriert, der bei Appliances Ihres Netzwerks eingeht.
Netzwerkschutzregeln
Einstellungen für das Konfigurieren der Netzwerk-Schutzregeln
Tabelle 3-24 Netzwerkschutzregeln
Option
Definition
Enable network protection
(Netzwerkschutz aktivieren)
Bei Auswahl dieser Option werden die im Folgenden für den
Netzwerkschutz konfigurierten Einstellungen aktiviert.
Input policy (Eingaberichtlinie)
Hier können Sie die für eingehenden Datenverkehr angewendete
Aktion auswählen.
Eingehender Datenverkehr kann entweder abgewiesen oder
angenommen werden.
Allow Ping requests (Ping-Anfragen
zulassen)
Bei Auswahl dieser Option nimmt die Appliance Ping-Anfragen an und
beantwortet diese.
Exceptions from default policy
(Ausnahmen der Standardrichtlinie)
Enthält eine Liste zur Eingabe der Netzwerkgeräte, die Datenverkehr
an eine Appliance senden.
Der Datenverkehr dieser Geräte wird nicht entsprechend den aktuell
implementierten Regeln verarbeitet. Wenn diese Regeln eingehenden
Datenverkehr abweisen, wird der von den hier aufgeführten Geräten
gesendete Datenverkehr akzeptiert und umgekehrt.
In der folgenden Tabelle wird ein Eintrag in der Liste der Ausnahmen von der Standardrichtlinie
beschrieben.
Tabelle 3-25 Ausnahmen von der Standardrichtlinie – Listeneintrag
Option
Definition
Device (Gerät)
Gibt den Namen eines Netzwerkgeräts an, das Datenverkehr an die Appliance
sendet.
Die Eingabe von * oder keine Eingabe bedeutet, dass alle Geräte abgedeckt
sind.
Protocol (Protokoll)
Gibt das Protokoll an, das zum Senden des Datenverkehrs verwendet wurde.
Source (Quelle)
Gibt die IP-Adresse oder den IP-Adressbereich des Netzwerkgeräts oder der
Netzwerkgeräte an, die Datenverkehr an die Appliance senden.
Destination Port (Ziel-Port) Gibt den Port einer Appliance an, der das Ziel des Netzwerk-Datenverkehrs ist.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Ausnahme.
Einstellungen für „Port Forwarding“ (Port-Weiterleitung)
Mit den Einstellungen für Port Forwarding (Port-Weiterleitung) konfigurieren Sie Regeln, mit denen eine
Appliance Web-Datenverkehr, der von einem Port auf einem bestimmten Host gesendet wurde, an
einen anderen Port weiterleitet.
Port Forwarding (Port-Weiterleitung)
Einstellungen für das Konfigurieren von Regeln für die Port-Weiterleitung
Produkthandbuch
55
3
Systemkonfiguration
Tabelle 3-26 Port Forwarding (Port-Weiterleitung)
Option
Definition
Port forwarding rules (Regeln für die Port-Weiterleitung) Stellt eine Liste von Regeln für die Port-Weiterleitung
bereit.
In der folgenden Tabelle wird ein Eintrag in der Liste der Regeln für die Port-Weiterleitung beschrieben.
Tabelle 3-27
Port forwarding rules (Regeln für die Port-Weiterleitung) – Listeneintrag
Option
Definition
Source host (Quell-Host)
Gibt die IP-Adresse eines Hosts an, der die Quelle von Web-Datenverkehr in
einer Regel für die Port-Weiterleitung ist.
Bind IP (Bind-IP-Adresse)
Gibt die Bind-IP-Adresse an.
Target port (Ziel-Port)
Gibt den Port an, an den Web-Datenverkehr vom Quell-Host weitergeleitet
wird.
Destination host (Ziel-Host) Gibt die IP-Adresse des Hosts an, der das Ziel des Web-Datenverkehrs ist, der
vom Quell-Host gesendet wird.
Destination port (Ziel-Port) Gibt den Port des Ziel-Hosts an, an dem eingehender Web-Datenverkehr vom
Quell-Host empfangen wird.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Regel für die
Port-Weiterleitung.
Die weiteren Einstellungen für Port Forwarding (Port-Weiterleitung) lauten wie folgt.
Tabelle 3-28 Port Forwarding (Port-Weiterleitung) (Fortsetzung)
Option
Definition
Enable extended connection logging
(Erweiterte
Verbindungsprotokollierung
aktivieren)
Bei Auswahl dieser Option werden alle Protokolle für die
Port-Weiterleitung auf der Appliance unter /var/log/
mwg_fwd.log gespeichert.
Die hier konfigurierten Protokollierungsoptionen gelten für alle
Port-Weiterleitungen, die unter den konfigurierten
Port-Weiterleitungsregeln ausgeführt werden.
Die gespeicherten Protokolldateien können Sie auch auf der
Benutzeroberfläche im übergeordneten Menü Troubleshooting
(Fehlerbehebung) anzeigen.
Wählen Sie die Appliance aus, für die Sie die Protokolldateien
anzeigen möchten, wählen Sie dann Log files (Protokolldateien)
aus, und öffnen Sie den Ordner system.
Customize extended logging fields
(Erweiterte Protokollierungsfelder
anpassen)
Bei Auswahl dieser Option werden die Eingabefelder zum
Konfigurieren des Datentyps aktiviert, der protokolliert werden
soll.
Log on success (Bei Erfolg
protokollieren)
Hier können Sie den Datentyp angeben, der protokolliert werden
soll, wenn Web-Datenverkehr erfolgreich weitergeleitet wurde.
Sie können einen oder mehrere Datentypen in Großbuchstaben
und durch Komma getrennt eingeben: PID, HOST, USERID,
EXIT, DURATION, TRAFFIC.
Log on failure (Bei Fehlschlagen
protokollieren)
Hier können Sie den Datentyp angeben, der protokolliert werden
soll, wenn die Weiterleitung des Web-Datenverkehrs
fehlgeschlagen ist.
Sie können einen oder mehrere Datentypen in Großbuchstaben
und durch Komma getrennt eingeben: HOST, USERID, ATTEMPT.
HOST-Daten werden standardmäßig protokolliert.
56
Produkthandbuch
Systemkonfiguration
3
Einstellungen für Static Routes (Statische Routen)
Mit den Einstellungen für Static Routes (statische Routen) werden Routen konfiguriert, die immer
dasselbe Gateway sowie dieselbe Schnittstelle auf diesem Gateway verwenden, wenn
Web-Datenverkehr von einer Appliance an einen bestimmten Host geleitet wird.
Static Routes (Statische Routen)
Einstellungen für statische Routen unter IPv4 oder IPv6
Tabelle 3-29 Static Routes (Statische Routen)
Option
Definition
Static routes list (Liste statischer Routen) Bietet eine Liste statischer Routen zum Übertragen von
Web-Datenverkehr unter IPv4 oder IPv6.
In der folgenden Tabelle wird ein Eintrag in der Liste der statischen Routen erläutert.
Tabelle 3-30 Static routes list (Liste statischer Routen) – Listeneintrag
Option
Definition
Destination (Ziel)
Gibt die IP-Adresse und (optional) die Netzwerkmaske des Hosts an, der das
Ziel einer statischen Route ist.
Gateway
Gibt die IP-Adresse des Gateways zur Weiterleitung des Web-Datenverkehrs
von der Appliance zu einem Host an.
Device (Gerät)
Gibt die Schnittstelle an, die auf einem Gateway für eine statische Route
verwendet wird.
Description (Beschreibung) Enthält eine Beschreibung einer statischen Route im Nur-Text-Format.
Comment (Kommentar)
Enthält einen Kommentar zu einer statischen Route im Nur-Text-Format.
Source-based routing (Quellenbasiertes Routing)
Einstellungen für quellenbasiertes Routing unter IPv4 oder IPv6
Tabelle 3-31 Source-based routing (Quellenbasiertes Routing)
Option
Definition
Source-based routing for IPv4
(Quellenbasiertes Routing für IPv4)
Bei Auswahl dieser Option erfolgt das quellenbasierte Routing
unter IPv4.
Source-based routing for IPv6
(Quellenbasiertes Routing für IPv6)
Bei Auswahl dieser Option erfolgt das quellenbasierte Routing
unter IPv6.
Static source routing table number (Nummer Bietet eine Liste von Einträgen für Tabellen für
quellenbasiertes Routing, anhand derer der über die
der Routing-Tabelle für statische
Verwaltungsbenutzeroberfläche gesendete und empfangene
Quellen)
Datenverkehr geleitet wird.
Source-based routing list for IPv4 (Liste für
quellenbasiertes Routing für IPv4)
Bietet eine Liste von Routing-Einträgen für den über die
Verwaltungsbenutzeroberfläche gesendeten und empfangenen
Datenverkehr.
Diese Routing-Einträge sind für ein Netzwerk gedacht, in dem
IPv4 verwendet wird.
Source-based routing list for IPv6 (Liste für
quellenbasiertes Routing für IPv6)
Diese Routing-Einträge sind für ein Netzwerk gedacht, in dem
IPv6 verwendet wird.
In der folgenden Tabelle wird ein Eintrag in der Liste für Tabellen für quellenbasiertes Routing
erläutert.
Produkthandbuch
57
3
Systemkonfiguration
Tabelle 3-32 Static source routing table number (Nummer der Routing-Tabelle für statische
Quellen) – Listeneintrag
Option
Definition
Source information to look up routing table
(Quellinformationen für die Suche in der
Routing-Tabelle)
Gibt die Quell-IP-Adresse des Datenverkehrs an, der
entsprechend der konfigurierten Routing-Tabelle für
statische Quellen umgeleitet wird.
Routing table number
(Routing-Tabellennummer)
Gibt die Nummer der Routing-Tabelle für die Leitung des
Datenverkehrs an, der über die
Verwaltungsbenutzeroberfläche gesendet und empfangen
wird.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einer
Routing-Tabelle für statische Quellen.
In der folgenden Tabelle wird ein Eintrag in der Liste für quellenbasiertes Routing unter IPv4 erläutert.
Tabelle 3-33 Source-based routing list for IPv4 (Liste für quellenbasiertes Routing für
IPv4) – Listeneintrag
Option
Definition
Destination (Ziel)
Gibt den IP-Adressbereich (in CIDR-Notation) für die Ziele des
Verwaltungsnetzwerkschnittstelle gesendet wird.
Datenverkehrs an, der über die Verwaltungsbenutzeroberfläche
gesendet und empfangen wird.
Gateway
Gibt die IP-Adresse des Gateways für den Datenverkehr an, der
über die Verwaltungsnetzwerkschnittstelle gesendet und
empfangen wird.
Device (Gerät)
Gibt den Namen der Netzwerkschnittstelle an, die als
Verwaltungsnetzwerkschnittstelle konfiguriert ist.
Source IP (Quell-IP-Adresse)
Gibt die IP-Adresse der Netzwerkschnittstelle an, die als
Diese Adresse ist die Quell-IP-Adresse des Datenverkehrs, der
entsprechend der Routing-Tabelle geleitet wird.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Eintrag
für quellenbasiertes Routing.
In der folgenden Tabelle wird ein Eintrag in der Liste für quellenbasiertes Routing unter IPv6 erläutert.
IPv6) – Listeneintrag
58
Option
Definition
Destination (Ziel)
Gibt den IP-Adressbereich (in CIDR-Notation) für die Ziele des
Verwaltungsnetzwerkschnittstelle gesendet wird.
Datenverkehrs an, der über die Verwaltungsbenutzeroberfläche
Gateway
Gibt die IP-Adresse des Gateways für den Datenverkehr an, der
über die Verwaltungsnetzwerkschnittstelle gesendet und
empfangen wird.
Device (Gerät)
Gibt den Namen der Netzwerkschnittstelle an, die als
Produkthandbuch
Systemkonfiguration
3
IPv6) – Listeneintrag (Fortsetzung)
Option
Definition
Source IP (Quell-IP-Adresse)
Gibt die IP-Adresse der Netzwerkschnittstelle an, die als
Diese Adresse ist die Quell-IP-Adresse des Datenverkehrs, der
entsprechend der Routing-Tabelle geleitet wird.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Eintrag
für quellenbasiertes Routing.
Durch die Bündelung von zwei oder mehr Netzwerkschnittstellen können diese als eine Schnittstelle
agieren. Dies steigert die Bandbreite und sorgt für hohe Verfügbarkeit.
Die Netzwerkschnittstellen in Web Gateway, z. B. die Schnittstellen eth2 und eth3, können zu einem
Kanal gebündelt werden. Auf diese Weise wird ein Bündelungs-Kernel-Modul erstellt, auf das über eine
gemeinsame Netzwerkschnittstelle zugegriffen werden kann, die als Bündelungsschnittstelle
bezeichnet wird.
Die unter der Bündelungsschnittstelle zusammengefassten Netzwerkschnittstellen werden als
gebündelte Schnittstellen bezeichnet. Diese Schnittstellen können über verschiedene Netzwerkkarten
bereitgestellt werden.
Für eine Bündelungsschnittstelle und eine gebündelte Schnittstelle werden auch die Begriffe "Master"
und "untergeordnet" verwendet. In einigen Systemmeldungen wird die gebündelte Schnittstelle auch
als "Slave" bezeichnet.
Hinsichtlich der beteiligten Komponenten und Prozesse wird die Netzwerkschnittstellenbündelung auch
als NIC-Bündelung, Ethernet-Bündelung oder Kanalbündelung bezeichnet.
Die Netzwerkschnittstellenbündelung kann auf der Benutzeroberfläche von Web Gateway konfiguriert
werden. Sie können durch Ausführung bestimmter Befehle über eine System-Konsole überprüfen, ob
eine Bündelungsschnittstelle erfolgreich konfiguriert wurde.
Ein VLAN kann auf einer Bündelungsschnittstelle auf die gleiche Weise wie auf einer herkömmlichen
Netzwerkschnittstelle über die entsprechenden Konfigurationsoptionen der Benutzeroberfläche
konfiguriert werden.
Wenn für ein Netzwerk der Modus "Transparente Bridge" oder "Transparenter Router" konfiguriert ist,
kann die Netzwerkschnittstellenbündelung nicht implementiert werden.
Produkthandbuch
59
3
Systemkonfiguration
Konfigurieren der Netzwerkschnittstellenbündelung
Zum Konfigurieren der Netzwerkschnittstellenbündelung erstellen Sie eine Bündelungsschnittstelle und
konfigurieren dann die Parameter für diese Schnittstelle und die Bündelungskonfiguration.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, auf der Sie die
Netzwerkschnittstellenbündelung konfigurieren möchten, und klicken Sie auf Network Interfaces
(Netzwerkschnittstellen).
Daraufhin werden die Einstellungen für die Network Interfaces (Netzwerkschnittstellen) im
Konfigurationsbereich angezeigt.
3
Erstellen Sie eine Bündelungsschnittstelle.
a
Wählen Sie unter Enable these network interfaces (Diese Netzwerkschnittstellen aktivieren) eine
Netzwerkschnittstelle aus, die als gebündelte Schnittstelle ausgeführt werden soll, z. B. eth2.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bond enabled (Bündelung
aktiviert) aus, und geben Sie im Feld Name den Namen der Bündelungsschnittstelle ein, die Sie
erstellen möchten, z. B. bond1.
Wiederholen Sie die Unterschritte a und b für eine weitere Netzwerkschnittstelle, die Sie als
gebündelte Schnittstelle unter dieser Bündelungsschnittstelle ausführen möchten.
Sie können auch weitere Netzwerkschnittstellen als gebündelte Schnittstellen hinzufügen, sodass
die Bündelungskonfiguration mehr als zwei Netzwerkschnittstellen umfasst.
c
d
Melden Sie sich ab und wieder an.
Nach der Anmeldung wird die neue Bündelungsschnittstelle in der Liste unter Enable these network
interfaces (Diese Netzwerkschnittstellen aktivieren) angezeigt.
4
Konfigurieren Sie Parameter für die Bündelungsschnittstelle.
a
Wählen Sie die Bündelungsschnittstelle aus, und klicken Sie entsprechend der in Ihrem
Netzwerk verwendeten Protokollversion auf die Registerkarte IPv4 oder IPv6.
b
Wählen Sie Configure manually (Manuell konfigurieren) aus, und geben Sie unter IP address
(IP-Adresse) und subnet mask (Subnetzmaske) eine IP-Adresse und die Werte für die
Subnetzmaske ein.
Der Standardwert unter MTU, der die maximale Anzahl an Bytes pro Übertragungseinheit angibt,
kann beibehalten werden.
60
Produkthandbuch
3
Systemkonfiguration
5
Konfigurieren Sie Parameter für die Bündelungskonfiguration.
a
Wählen Sie die Bündelungsschnittstelle aus, und klicken Sie auf die Registerkarte Advanced
(Erweitert).
b
Wählen Sie unter Mode (Modus) einen der folgenden Bündelungsmodi aus.
•
Active/Passive (Aktiv/Passiv): In diesem Modus ist immer nur eine gebündelte Schnittstelle in
der Bündelungskonfiguration aktiv. Eine andere gebündelte Schnittstelle wird erst dann aktiv,
wenn bei der aktiven gebündelten Schnittstelle ein Fehler auftritt.
Die MAC-Adresse der Bündelungsschnittstelle ist extern nur an einem Port sichtbar, sodass es
auf Netzwerk-Switches nicht zu Adresskonflikten kommt.
Dieser Modus wird in einigen Systemmeldungen als mode 1 (Modus 1) bezeichnet.
Dieser Modus ist standardmäßig ausgewählt.
•
802.3ad/LACP: In diesem Modus sind alle gebündelten Schnittstellen in der
Bündelungskonfiguration aktiv.
Die gebündelte Schnittstelle für ausgehenden Datenverkehr wird entsprechend der
konfigurierten Hash-Richtlinie ausgewählt.
Dieser Modus wird in einigen Systemmeldungen als mode 4 (Modus 4) bezeichnet.
Wenn dieser Modus ausgewählt wird, werden die Optionen LACP rate (LACP-Rate) und Hash
policy (Hash-Richtlinie) verfügbar.
c
Konfigurieren Sie unter Miimon die Überwachung für die Bündelungsschnittstelle.
Der hier konfigurierte Wert legt das Zeitintervall (in Millisekunden) für das Senden der
Abfragemeldungen des MII-Überwachungsprogramms fest.
Das Standardintervall beträgt 100 Millisekunden.
d
Wenn Sie 802.3ad/LACP als Bündelungsmodus ausgewählt haben, müssen Sie die für diesen Modus
spezifischen Optionen auswählen.
Wählen Sie unter LACP rate (LACP-Rate) die Übertragungsrate für die LACP-DU-Datenpakete aus,
die zwischen Bündelungsnetzwerkschnittstellen und gebündelten Netzwerkschnittstellen
ausgetauscht werden.
•
Slow (Langsam): Bei dieser Übertragungsrate werden Datenpakete alle 30 Sekunden
gesendet.
Diese Übertragungsrate ist standardmäßig ausgewählt.
•
Fast (Schnell): Bei dieser Übertragungsrate werden Datenpakete jede Sekunde gesendet.
Wählen Sie unter Hash policy (Hasch-Richtlinie) eine der folgenden Optionen aus.
•
Layer2 (Ebene 2): In dieser Richtlinie wird eine Kombination aus Werten der Ebene 2 zur
Hash-Berechnung verwendet. Bei diesen Werten handelt es sich um Hardware-MAC-Adressen
und Pakettyp-ID-Adressen.
Diese Hash-Richtlinie ist standardmäßig ausgewählt.
•
6
Layer2+3 (Ebene 2+3): In dieser Richtlinie wird eine Kombination aus Protokollinformationen
der Ebene 2 und 3 zur Hash-Berechnung verwendet.
Produkthandbuch
61
3
Systemkonfiguration
Siehe auch
Einstellungen für Network Interfaces (Netzwerkschnittstellen) auf Seite 50
Überprüfen der Bündelungskonfiguration
Sie können über eine Systemkonsole überprüfen, ob die Bündelungsnetzwerkschnittstelle
ordnungsgemäß konfiguriert ist.
Anhand eines geeigneten Netzwerkskripts lässt sich überprüfen, ob die Bündelungskonfiguration mit
den von Ihnen konfigurierten Parametern ausgeführt wird, und mithilfe eines zusätzlichen Befehls
können Sie den Status der Bündelungsschnittstelle und der an diese Schnittstelle gebundenen
Netzwerkschnittstellen überprüfen.
Überprüfen der Konfigurationsparameter
Mit dem Netzwerkskript ifcfg können Sie überprüfen, ob die Netzwerkschnittstellen der
Bündelungskonfiguration mit den konfigurierten Parametern ausgeführt werden, z. B. dem
Bündelungsmodus oder der IP-Adresse der Bündelungsschnittstelle.
Führen Sie zum Anzeigen der Parameter für die Bündelungsschnittstelle, z. B. bond 1, das
Netzwerkskript mithilfe des folgenden Befehls aus:
cat /etc/sysconfig/network-scripts/ifcfg-bond1
Der Befehl gibt folgende Zeilen zurück (Beispiel):
### BEGIN AUTOGENERATED CONFIG
BONDING_OPTS:='mode=1 miimon=600'
BOOTPROTO='none'
DEVICE='bond1'
IPADDR='10.11.12.12'
...
Führen Sie zum Anzeigen der Parameter für eine gebündelte Schnittstelle, z. B. eth2 1, den folgenden
Befehl aus:
cat /etc/sysconfig/network-scripts/ifcfg-bond1
### BEGIN AUTOGENERATED CONFIG
BOOTPROTO='none'
MASTER='bond1'
SLAVE:'yes'
DEVICE='eth2'
...
Überprüfen des Status der Netzwerkschnittstelle
Sie können überprüfen, ob die gebündelten Netzwerkschnittstellen ordnungsgemäß unter der
Bündelungsschnittstelle ausgeführt werden, und welche der gebündelten Schnittstellen sich aktuell im
aktiven Status (Slave) befindet.
Führen Sie beispielsweise den folgenden Befehl für die Bündelungsschnittstelle bond1 aus:
cat /proc/net/bonding/bond1
### Ethernet Channel Bonding Driver: v. 3.7.1 (April 27, 2015) Bonding Mode: fault-tolerance
(active-backup)
Primary Slave: None
MII Status: up
62
Produkthandbuch
Systemkonfiguration
3
MII Polling Interval (ms): 600
Up Delay (ms): 0
Down Delay (ms): 0 Slave Interface: eth2
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW Addr: 00:0c:29:e0:a7:37
Slave Queue ID: 0 Slave Interface: eth3
MII Status: up
...
Bei der Routing-Konfiguration für Datenverkehr in Ihrem Netzwerk können Sie festlegen, dass sich das
Routing nach der Quell-IP-Adresse richten soll. Diese Methode wird als quellenbasiertes Routing
bezeichnet.
Mit dieser Methode können Sie den Verwaltungsdatenverkehr, der entsteht, wenn ein Administrator die
Benutzeroberfläche einer Web Gateway-Appliance aufruft, von dem Datenverkehr trennen, der
entsteht, wenn ein Administrator oder Endbenutzer auf das Internet zugreift. Die beiden Arten von
Datenverkehr können auch durch jeweils eine eigene Firewall geschützt werden.
Für die Implementierung dieser Methode lassen Sie Administratorzugriff auf die Benutzeroberfläche
nur durch eine bestimmte Netzwerkschnittstelle auf der Appliance zu. Diese Netzwerkschnittstelle ist
dann die Verwaltungsnetzwerkschnittstelle, und eine andere Netzwerkschnittstelle wird für den Zugriff
auf das Internet konfiguriert.
Sie können auch konfigurieren, dass Überwachungsinformationen, wie z. B. SNMP-Meldungen, die
Appliance über die Verwaltungsnetzwerkschnittstelle passieren müssen.
Nachdem der Datenverkehr die Verwaltungsschnittstelle passiert hat, kann er für das weitere Routing
anhand der Quell-IP-Adresse (d. h. der Adresse der Verwaltungsschnittstelle) identifiziert werden.
Die Routing-Konfiguration für diesen Datenverkehr umfasst zwei Schritte:
•
Konfigurieren einer Routing-Tabelle
•
Konfigurieren einer Route in dieser Tabelle
Die Quell-IP-Adresse wird in beiden Schritten angegeben, damit der Datenverkehr mit dieser Adresse
gemäß einer bestimmten Tabelle und Route geleitet wird.
Sie können verschiedene Routing-Tabellen konfigurieren und in eine Liste in Web Gateway eintragen
und für jede Tabelle verschiedene Routen konfigurieren.
Die Routen können je nach der in Ihrem Netzwerk verwendeten IP-Version für die Verwendung von
IPv4 oder IPv6 konfiguriert werden.
Konfigurieren des quellenbasierten Routings für eine
Verwaltungsnetzwerkschnittstelle
Mithilfe von quellenbasiertem Routing können Sie den von einer Verwaltungsnetzwerkschnittstelle
stammenden Datenverkehr von anderem Datenverkehr trennen.
Vorgehensweise
1
2
Wählen Sie in der Appliance-Struktur die Appliance aus, auf der Sie quellenbasiertes Routing
konfigurieren möchten.
Produkthandbuch
63
3
Systemkonfiguration
3
4
Konfigurieren Sie die Verwendung der Verwaltungsnetzwerkschnittstelle für Administratorzugriff auf
die Benutzeroberfläche.
a
Klicken Sie auf User Interface (Benutzeroberfläche).
b
Gehen Sie unter HTTP connector (HTTP-Konnektor) wie folgt vor.
•
Achten Sie darauf, dass Enable local user interface over HTTP (Lokale Benutzeroberfläche über HTTP
aktivieren) ausgewählt ist.
•
Geben Sie im Feld HTTP connector (HTTP-Konnektor) die IP-Adresse und den Listener-Port der
Verwaltungsnetzwerkschnittstelle ein.
Konfigurieren Sie die Verwendung der Verwaltungsnetzwerkschnittstelle für SNMP-Meldungen.
a
Klicken Sie auf SNMP.
b
Klicken Sie unter SNMP Port Settings (SNMP-Port-Einstellungen) in der Symbolleiste der Listener
address list (Listener-Adressliste) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add SNMP Listeners (SNMP-Listener hinzufügen).
c
Geben Sie im Feld Listener address (Listener-Adresse) die IP-Adresse und den Listener-Port der
Verwaltungsnetzwerkschnittstelle ein.
d
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Listener-Adresse wird in der Liste angezeigt.
5
Konfigurieren Sie quellenbasiertes Routing für Datenverkehr, der über die
Verwaltungsnetzwerkschnittstelle gesendet und empfangen wird.
a
Klicken Sie auf Static Routes (Statische Routen).
b
Wählen Sie abhängig von der in Ihrem Netzwerk verwendeten IP-Version unter Source-based routing
(Quellenbasiertes Routing) die Option Source-based routing for IPv4 (Quellenbasiertes Routing für
IPv4) oder Source-based routing for IPv6 (Quellenbasiertes Routing für IPv6) aus.
Nun werden zwei Listen zum Konfigurieren des quellenbasierten Routings angezeigt.
c
Klicken Sie auf der Symbolleiste der Liste Static source routing table number (Nummer der
Routing-Tabelle für statische Quellen) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add ApplianceSourceBasedRoutingTable
(ApplianceSourceBasedRoutingTable hinzufügen).
d
e
Konfigurieren Sie wie folgt einen Eintrag für die Routing-Tabelle.
•
Geben Sie im Feld Source information to look up routing table (Quellinformationen zur Suche in
Routing-Tabelle) die IP-Adresse der Verwaltungsnetzwerkschnittstelle ein.
•
Geben Sie im Feld Routing table number (Nummer der Routing-Tabelle) die Nummer der
Routing-Tabelle für den Datenverkehr ein, der über die Verwaltungsnetzwerkschnittstelle
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Routing-Tabelleneintrag wird in der Liste angezeigt.
f
Klicken Sie auf der Symbolleiste der Source-based routing list for IPv4 (Liste für quellenbasiertes
Routing für IPv4) (bzw. der Liste für IPv6) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add ApplianceSourceBasedRoutingIPv4
(ApplianceSourceBasedRoutingIPv4 hinzufügen) (bzw. das Fenster für IPv6).
64
Produkthandbuch
Systemkonfiguration
Systemdateien
g
h
3
Konfigurieren Sie wie folgt einen Routing-Eintrag.
•
Geben Sie im Feld Destination (Ziel) den IP-Adressbereich in CIDR-Notation für die Ziele des
Datenverkehrs ein, der über die Verwaltungsnetzwerkschnittstelle gesendet wird.
•
Geben Sie im Feld Routing table number (Nummer der Routing-Tabelle) die Nummer der
Routing-Tabelle für den Datenverkehr ein, der über die Verwaltungsnetzwerkschnittstelle
•
Geben Sie im Feld Gateway die IP-Adresse des Gateways für den Datenverkehr ein, der über
die Verwaltungsnetzwerkschnittstelle gesendet und empfangen wird.
•
Geben Sie im Feld Device (Gerät) den Namen der Netzwerkschnittstelle ein, die Sie als
Verwaltungsnetzwerkschnittstelle konfigurieren möchten.
•
Geben Sie im Feld Source IP (Quell-IP-Adresse) die IP-Adresse der Netzwerkschnittstelle ein,
die Sie als Verwaltungsnetzwerkschnittstelle konfigurieren möchten.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Routing-Eintrag wird in der Liste angezeigt.
6
Siehe auch
Einstellungen für Static Routes (Statische Routen) auf Seite 57
Systemdateien
Systemdateien enthalten Einstellungen für Funktionen des Appliance-Systems. Sie können diese
Einstellungen über den Datei-Editor bearbeiten.
Die in Systemdateien gespeicherten Einstellungen enthalten Einstellungen der Parameter, die das
Appliance-System für die Netzwerkkommunikation verwendet, z. B. IP-Adressen, die maximale
Meldungsgröße oder die maximale Anzahl an Meldungen in einer Warteschlange.
Weitere Einstellungen werden zur Konfiguration der Funktionen des Appliance-Systems verwendet,
z. B. Protokollierung, Zugriffseinschränkung usw.
Ein Beispiel für eine Systemdatei ist die Datei /etc/hosts, die Einträge für IP-Adressen und
Host-Namen enthält, einschließlich der lokalen IP-Adresse und dem Host-Namen der Appliance selber.
Mit dem Datei-Editor können Sie die Einstellungen in diesen Dateien bearbeiten. Auf diesen kann über
eine Registerkarte auf der Benutzeroberfläche zugegriffen werden.
Verwenden Sie zum Bearbeiten von Systemdateien nur den Datei-Editor. Wenn Sie diese Dateien
außerhalb des Datei-Editors zur manuellen Bearbeitung öffnen, werden Ihre Änderungen bei der
Durchführung eines Upgrades auf eine neue Version von Web Gateway überschrieben.
Siehe auch
Registerkarte „File Editor“ (Datei-Editor) auf Seite 66
Produkthandbuch
65
3
Systemkonfiguration
Auf der Registerkarte File Editor (Datei-Editor) können Sie Systemdateien einer Appliance bearbeiten.
Hauptelemente der Registerkarte „File Editor“ (Datei-Editor)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte File Editor (Datei-Editor)
beschrieben.
Tabelle 3-35 Hauptelemente der Registerkarte „File Editor“ (Datei-Editor)
Element
Beschreibung
Files (Dateien)
Verzeichnisstruktur von Appliances mit den Systemdateien
für die einzelnen Appliances
Editor
Symbolleiste mit Elementen zum Bearbeiten einer
Systemdatei und einem Inhaltsabschnitt zum Anzeigen der
Dateieinträge
(wird angezeigt, wenn unter Files
(Dateien) eine Systemdatei ausgewählt
ist)
Symbolleiste „Editor“
Die Symbolleiste „Editor“ bietet die folgenden Optionen.
66
Produkthandbuch
Systemkonfiguration
3
Tabelle 3-36 Symbolleiste „File Editor“ (Datei-Editor)
Option
Definition
Edit (Bearbeiten)
Öffnet ein Menü mit Optionen zum Bearbeiten des Texts in
Systemdatei-Einträgen.
• Cut (Ausschneiden): Schneidet den ausgewählten Text aus
• Copy (Kopieren): Kopiert den ausgewählten Text
• Paste (Einfügen): Fügt den kopierten oder ausgeschnittenen Text ein
• Delete (Löschen): Löscht den ausgewählten Text
• Select All (Alles auswählen): Wählt den gesamten Text aus
Discard Changes
(Änderungen verwerfen)
Verwirft am Text vorgenommene Änderungen.
Dabei wird ein Fenster angezeigt, in dem Sie das Verwerfen der Änderungen
Die Größe der logischen Volumes zum Web-Caching und Speichern temporärer Dateien und
Protokolldateien kann auf einer Appliance über einen Assistenten geändert werden.
Nach der Installation von Web Gateway auf einer Appliance ist das logische Volume für das
Web-Caching größer als das Volume zum Speichern temporärer Dateien sowie Protokolldateien. Mit
dem Assistenten für das Appliance-Volume können Sie dieses Größenverhältnis ändern und mehr Platz
zum Speichern von temporären Dateien und Protokolldateien schaffen.
Die Volume-Größe wird auf den Seiten des Assistenten in GB angezeigt. Vor der Größenänderung
könnten beispielsweise folgende Größen vorhanden sein:
•
Web-Cache-Volume: 197 GB
•
Volume für temporäre Dateien und Protokolldateien: 40 GB
Nach der Größenänderung kehrt sich das Verhältnis um:
•
Web-Cache-Volume: 40 GB
•
Volume für temporäre Dateien und Protokolldateien: 197 GB
Der Assistent führt Sie beim ersten Einrichten einer Web Gateway-Appliance durch den
Größenänderungsprozess. Nach dem Abschließen der Arbeit mit dem Konfigurationsassistenten für die
Systemersteinstellung startet die Appliance neu, und der Assistent wird angezeigt.
Wenn der Assistent unterbrochen wird, können Sie diesen über die Befehlszeile einer Systemkonsole
mit dem folgenden Befehl neu starten:
mwg-cache-wizard
Wenn der Befehl yum upgrade zum Einrichten einer Appliance verwendet wird, muss auch der
Assistent manuell gestartet werden.
Der Pfad mit dem Dateinamen für das Hauptprotokoll, das die Aktivitäten des Assistenten erfasst,
lautet /var/log/resize-cache.log.
Wenn die Größenänderung bereits auf einer Appliance durchgeführt wurde, wird im Assistenten eine
entsprechende Meldung angezeigt.
Produkthandbuch
67
3
Systemkonfiguration
Wenn Sie die Größe der Appliance-Volumes weiterhin ändern müssen, wenden Sie sich an den
McAfee-Support.
Informationen, die für die Verwendung beim Filterprozess aus externen Datenbanken abgerufen
werden, müssen gelegentlich aktualisiert werden.
Das Filtern von Web-Objekten auf einer Appliance erfolgt regelbasiert. Die Filterregeln benötigen über
diese Objekte Informationen, um entscheiden zu können, ob Aktionen, wie z. B. das Blockieren oder
Gewähren des Zugriffs auf ein Objekt, ausgelöst werden müssen. Diese Informationen erhalten die
Regeln von besonderen Modulen (auch als Engines bezeichnet).
Beispielsweise benötigt eine Regel zur Filterung von Viren und Malware das Modul „Anti-Malware“, um
zu bestimmen, ob ein Objekt mit einem Virus infiziert ist. Ein anderes Beispiel wäre eine Regel zur
URL-Filterung, die für Informationen über URL-Kategorien auf das Modul „URL Filter“ zurückgreift.
Die Module wiederum rufen solche Informationen, beispielsweise in DAT-Dateien gespeicherte
Virussignaturen, aus externen Datenbanken ab. Die Datenbankaktualisierungen auf einer Appliance
werden auch für diese Informationen durchgeführt.
Die Aktualisierung dieser Datenbankinformationen kann auf unterschiedliche Weise durchgeführt
werden.
•
Manual engine update (Manuelle Aktualisierung der Module): Für die Module auf der Appliance,
an der Sie zu diesem Zeitpunkt angemeldet sind, können Sie die Aktualisierung der
Datenbankinformationen manuell durchführen.
•
Automatic engine update (Automatische Aktualisierung der Module): Sie können für die Module
auf der Appliance, an der Sie zu diesem Zeitpunkt angemeldet sind, auch automatische
Aktualisierungen konfigurieren, die in regelmäßigen Abständen ausgeführt werden.
Diese Aktualisierungen rufen aus folgenden Quellen Informationen ab:
•
Aus dem Internet: Die benötigten Informationen werden aus den entsprechenden externen
Datenbanken heruntergeladen.
Unmittelbar nach der Ersteinrichtung einer Appliance wird die erste Aktualisierung der
Datenbankinformationen auf diese Weise durchgeführt.
•
Von anderen Knoten in einer Konfiguration mit zentraler Verwaltung: Die benötigten
Informationen werden von diesen Knoten heruntergeladen. Sie können für jeden Knoten separat
festlegen, ob das Hochladen von Informationen von diesem Knoten aus auf andere Knoten
zulässig ist.
Sie können diese Aktualisierungseigenschaften beim Einrichten einer Konfiguration mit zentraler
Verwaltung festlegen und dabei auch für jeden Knoten angeben, wie sich dieser bezüglich der
automatischen Aktualisierungen verhalten soll.
Manuelles Aktualisieren der Datenbankinformationen
Sie können Datenbankinformationen für die Module einer Appliance manuell aktualisieren.
Die Aktualisierung gilt für die Module der Appliance, bei der Sie angemeldet sind, und für die Module
anderer Appliances, die Sie als Knoten in eine Konfiguration mit zentraler Verwaltung einbezogen
haben.
68
Produkthandbuch
Systemkonfiguration
3
Vorgehensweise
1
2
Klicken Sie auf der Symbolleiste der Appliances auf Manual Engine Update (Manuelle
Modulaktualisierung).
Die Aktualisierung wird durchgeführt.
Planen automatischer Modul-Aktualisierungen
Sie können automatische Aktualisierungen der Datenbankinformationen für die Module einer Appliance
planen.
Wenn Sie in einer Konfiguration mit zentraler Verwaltung mehrere Appliances als Knoten ausführen,
können Sie Aktualisierungen für die Module (auch als Engines bezeichnet) auf den Knoten als Teil der
Konfigurationseinstellungen für diese Konfiguration planen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie automatische
Aktualisierungen planen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Scrollen Sie nach unten zu Automatic Engine Updates (Automatische Modul-Aktualisierungen), und
konfigurieren Sie die Aktualisierungseinstellungen nach Bedarf.
4
Web Gateway-Appliances können in Netzwerken betrieben und aktualisiert werden, in denen es aus
Sicherheits- oder anderen Gründen keine Internet-Verbindung gibt. Diese Netzwerke werden auch als
„geschlossene“ oder „isolierte“ Netzwerke bezeichnet.
Wenn in diesen Netzwerken ausgeführte Appliances aktualisiert werden müssen, können diese keine
Verbindung mit den üblichen McAfee-Aktualisierungs-Servern herstellen. Stattdessen muss die
Aktualisierung offline erfolgen.
Sie können auf einem McAfee-Portal ein für diesen Zweck bereitgestelltes Aktualisierungspaket
auswählen und herunterladen, es auf einem portablen Medium speichern und dann von dort aus auf
die Appliances im geschlossenen Netzwerk anwenden.
Aktualisierungspakete enthalten aktualisierte Informationen für Module sowie Malware-Muster, die
beim Filtern auf einer Appliance verwendet werden. Im Portal stehen nur vollständige Aktualisierungen
(keine inkrementellen Aktualisierungen) zur Verfügung.
Wenn Sie sich im Portal befinden, müssen Sie die Versionsnummer für Web Gateway auf der zu
aktualisierenden Appliance angeben und erhalten dann eine Liste der Funktionen, für die derzeit
aktualisierte Informationen verfügbar sind.
Entsprechend Ihrer Auswahl wird ein Aktualisierungspaket mit allen zur Aktualisierung erforderlichen
Dateien im ZIP-Format zum Herunterladen erstellt.
Produkthandbuch
69
3
Systemkonfiguration
Aktualisieren einer Appliance in einem geschlossenen Netzwerk
Um eine Appliance in einem Netzwerk ohne Internet-Verbindung zu aktualisieren, laden Sie ein
Aktualisierungspaket herunter, speichern Sie es auf einem tragbaren Medium, und führen Sie die
Aktualisierung über das Medium durch.
Vorgehensweise
1
Laden Sie ein Aktualisierungspaket herunter.
a
Navigieren Sie mit dem Browser zum Aktualisierungspaket des McAfee Content & Cloud Security
Portal unter:
https://contentsecurity.mcafee.com/update
b
Geben Sie auf der Aktualisierungsseite die Versionsnummer der zu aktualisierenden Appliance
ein.
Eine Liste der Funktionen, für die aktualisierte Informationen verfügbar sind, wird angezeigt.
c
Wählen Sie die Funktionen, die Sie aktualisieren möchten.
Nun wird ein Aktualisierungspaket entsprechend Ihrer Auswahl erstellt.
d
Laden Sie das Aktualisierungspaket auf Ihr System herunter.
2
Verwenden Sie ein tragbares Medium, z. B. ein USB-Laufwerk, um das Aktualisierungspaket vom
System, das Sie für den Download verwendet haben, auf Ihr Administrationssystem im
geschlossenen Netzwerk zu übertragen.
3
Gehen Sie für jede Appliance im geschlossenen Netzwerk, die Sie aktualisieren möchten, wie folgt
vor:
a
b
Klicken Sie auf Update Engines (Module aktualisieren), und wählen Sie Upload Update File
(Aktualisierungsdatei hochladen) aus.
Daraufhin öffnet sich das Fenster Engine Update by File Upload (Modulaktualisierung durch
Datei-Upload).
c
Klicken Sie auf Browse (Durchsuchen), wechseln Sie zum Speicherplatz auf dem
Administrationssystem, an dem Sie das Aktualisierungspaket gespeichert haben, und wählen Sie
die Aktualisierungspaketdatei aus.
d
Klicken Sie auf Update (Aktualisieren).
Die Appliance wird über die Informationen aus dem Aktualisierungspaket aktualisiert.
e
70
Klicken Sie auf Close (Schließen), um das Fenster zu schließen.
Produkthandbuch
4
Proxys
Mithilfe der Proxy-Funktionen fängt die Appliance den Web-Datenverkehr ab und überträgt ihn weiter,
wenn dies durch die Filterregeln zugelassen wird. Diese Funktionen können Sie so konfigurieren, dass
sie den Anforderungen in Ihrem Netzwerk entsprechen.
Hier die wichtigsten Einstellungen für Proxys:
•
Netzwerkmodus: Expliziter Proxy-Modus oder ein transparenter Modus
Für jeden Modus können spezifische Einstellungen konfiguriert werden.
•
Netzwerkprotokoll: HTTP, HTTPS, FTP, ICAP sowie Instant Messaging-Protokolle
Die Protokolleinstellungen gehören zu den allgemeinen Proxy-Einstellungen, die für jeden
Netzwerkmodus konfiguriert werden können.
Sie können auch andere allgemeine Proxy-Einstellungen konfigurieren und spezielle Proxy-Lösungen
implementieren, zum Beispiel eine Reverse-HTTPS-Proxy-Konfiguration oder eine automatische
Proxy-Konfiguration.
Inhalt
Konfigurieren von Proxys
Modus „Expliziter Proxy“
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus
Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration
Empfohlene Vorgehensweisen – Konfigurieren des Modus "Expliziter Proxy" mit WCCP
Transparenter Router-Modus
Transparenter Bridge-Modus
Paketgrößenverarbeitung
Secure ICAP
SOCKS-Proxy
Instant Messaging
XMPP-Proxy
Konfigurieren von allgemeinen Proxy-Einstellungen
Proxy-Einstellungen
Steuern ausgehender Quell-IP-Adressen
Verwenden von WCCP zum Umleiten von FTP-Datenverkehr
Verwenden der Raptor-Syntax für die FTP-Anmeldung
Protokolle für die Kommunikation zwischen Knoten
Verwendung von DNS-Servern in Abhängigkeit von Domänen
Austausch von Web-Sicherheitsinformationen mithilfe von DXL-Nachrichten
Empfohlene Vorgehensweisen – Arbeiten mit dem Benutzeragenten-Handler
Umgehen der Filterung für Office 365 und andere Microsoft-Dienste
Reverse-HTTPS-Proxy
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Verwenden des Helix-Proxys
Produkthandbuch
71
4
Proxys
Sie können die Proxy-Funktionen der Appliance passend für Ihr Netzwerk konfigurieren.
Führen Sie die folgenden allgemeinen Schritte aus.
Vorgehensweise
1
Überprüfen Sie die Proxy-Einstellungen.
Die folgenden Schlüsseleinstellungen sind standardmäßig konfiguriert:
2
•
Netzwerkmodus: Expliziter Proxy
•
Netzwerkprotokoll: HTTP
Ändern Sie diese Einstellungen gegebenenfalls.
Sie können beispielsweise Folgendes ausführen:
•
Konfigurieren Sie einen anderen Netzwerkmodus.
Sie können eine der folgenden Optionen auswählen:
•
•
Expliziter Proxy-Modus mit Hochverfügbarkeitsfunktionen
•
•
Konfigurieren Sie ein anderes Netzwerkprotokoll.
Sie können HTTP ein oder mehrere der folgenden Protokolle hinzufügen (oder die Protokolle
hinzufügen und HTTP deaktivieren):
•
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
Instant Messaging-Protokolle: Yahoo, ICQ, Windows Live Messenger, XMPP (für Jabber und
andere Dienste)
Ändern Sie weitere Proxy-Einstellungen, z. B. Zeitlimits und die höchstzulässige Anzahl von
Client-Verbindungen.
3
Konfigurieren Sie bei Bedarf eine spezielle Proxy-Lösung, z. B. einen HTTPS-Reverse-Proxy oder die
automatische Konfiguration von Proxys.
4
Speichern Sie die Änderungen.
Im Modus „Expliziter Proxy“ ist den Clients, deren Web-Datenverkehr auf der Appliance gefiltert wird,
bekannt, dass eine entsprechende Verbindung besteht. Sie müssen explizit so konfiguriert sein, dass
ihr Web-Datenverkehr an die betreffende Appliance weitergeleitet wird.
Wenn dies sichergestellt ist, kommt dem Umstand, an welcher Stelle die Appliance im Netzwerk
bereitgestellt ist, geringere Bedeutung zu. Normalerweise wird sie hinter einer Firewall platziert und
über einen Router mit ihren Clients und der Firewall verbunden.
72
Produkthandbuch
Proxys
4
Die folgende Abbildung veranschaulicht eine Konfiguration im Modus „Expliziter Proxy“.
Abbildung 4-1 Modus „Expliziter Proxy“
Konfigurieren des expliziten Proxy-Modus
Sie können die Proxy-Funktionen einer Appliance im expliziten Proxy-Modus konfigurieren, der den
Standardmodus für diese Funktionen darstellt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der explizite Proxy-Modus
konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) eine der beiden Optionen für den expliziten
Proxy-Modus aus.
•
Proxy: Für den expliziten Proxy-Modus
Dies ist der Proxy-Standardmodus.
Wenn dieser ausgewählt ist, werden spezifische Einstellungen zum Konfigurieren transparenter
Funktionen des expliziten Proxy-Modus unter den Einstellungen für Network Setup
(Netzwerkeinrichtung) angezeigt.
•
Proxy HA (Proxy-Hochverfügbarkeit): Für einen expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen
Wenn Sie diese Option ausgewählt haben, werden spezifische Einstellungen für Proxy HA
(Proxy-Hochverfügbarkeit) unter den Einstellungen für Network Setup (Netzwerkeinrichtung)
angezeigt.
4
Konfigurieren Sie für die ausgewählte Option spezifische und allgemeine Einstellungen nach Bedarf.
5
Produkthandbuch
73
4
Proxys
Siehe auch
Paketgrößenverarbeitung auf Seite 108
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite
82
Einstellungen für „Transparenter Proxy“ auf Seite 74
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 81
Einstellungen für „Transparenter Proxy“
Die Einstellungen für „Transparenter Proxy“ werden zur Konfiguration der transparenten Funktionen
des expliziten Proxy-Modus verwendet.
Transparenter Proxy
Einstellungen zur Konfiguration des expliziten Proxy-Modus mit transparenten Funktionen
Tabelle 4-1 Transparenter Proxy
Option
Definition
Supported client
redirection methods
(Unterstützte Methoden
zur Client-Umleitung)
Bietet Methoden, um den Web-Datenverkehr abzufangen und an eine Appliance
umzuleiten.
• WCCP: Wenn diese Option ausgewählt ist, werden unter dem IPv4-Protokoll an
Web-Server gesendete HTTP-Client-Anfragen von einem zusätzlichen
Netzwerkgerät abgefangen und über das WCCP-Protokoll an die Appliance
weitergeleitet.
Die Clients sind sich der Umleitung nicht bewusst, diese bleibt für sie
transparent, also unsichtbar.
Auf die gleiche Weise wie für Client-Anfragen werden Antworten der
Web-Server zurück an die Appliance geleitet.
Wenn Sie die WCCP-Umleitungsmethode verwenden, müssen Sie auf der
Appliance einen oder mehrere WCCP-Dienste konfigurieren, die die Umleitung
durchführen.
Zudem müssen Sie das Netzwerkgerät konfigurieren, das die Client-Anfragen
und Server-Antworten abfängt. Das Gerät kann als Router oder Switch mit
Router-Funktion konfiguriert werden.
Nach Auswahl dieser Option wird die Inline-Liste WCCP Services (WCCP-Dienste)
zum Konfigurieren und Hinzufügen von WCCP-Diensten angezeigt.
• L2 transparent: Wenn diese Option ausgewählt ist, werden unter den IPv4- und
IPv6-Protokollen an Web-Server gesendete Client-Anfragen von einem
zusätzlichen Netzwerkgerät abgefangen und über die
Layer 2-Umleitungsmethode an die Appliance weitergeleitet.
Bei dieser Methode werden Client-Anfragen auch dann auf der Appliance
akzeptiert, wenn ihre Ziel-IP-Adressen keine Adressen der Appliance sind. Die
Umleitung ist für die Geräte transparent, also unsichtbar.
Sie müssen die ursprünglichen Ports für die abzufangenden und umzuleitenden
Client-Anfragen in einer Liste auf der Appliance eingeben, zusammen mit den
Ports, an die diese Anfragen umgeleitet werden.
Das zusätzliche Netzwerkgerät muss entsprechend konfiguriert werden.
Wenn diese Option ausgewählt ist, können Anfragen nicht über eine
Verbindung im aktiven FTP-Modus übertragen werden. Es steht dann nur der
passive FTP-Modus zur Verfügung.
Nach Auswahl dieser Option wird die Inline-Liste Port Redirects
(Port-Umleitungen) zur Eingabe der Ports angezeigt.
74
Produkthandbuch
4
Proxys
Die folgenden beiden Tabellen beschreiben Listeneinträge in den Listen der WCCP-Dienste und
Port-Umleitungen.
Tabelle 4-2 WCCP-Dienste – Listeneintrag
Option
Definition
Service ID (Dienst-ID)
Gibt einen Dienst an, der Web-Datenverkehr unter dem
WCCP-Protokoll an eine Appliance weiterleitet.
WCCP router definition
(WCCP-Router-Definition)
Gibt die Multicast-IP-Adresse und den DNS-Namen eines Routers
(oder Switch mit Router-Funktion) an, der Web-Datenverkehr über
einen WCCP-Dienst an eine Appliance weiterleitet.
Sie können hier mehrere Router konfigurieren und die Einträge
durch Kommas voneinander trennen.
Ports to be redirected (Umzuleitende
Ports)
Führt die Ports beispielsweise der Web-Server auf, die in den
Adressinformationen der Pakete enthalten sein müssen, damit diese
umgeleitet werden.
Sie könne hier bis zu acht Port-Nummern angeben, durch Kommas
getrennt.
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
Gibt an, ob die umzuleitenden Ports Quell-Ports sind.
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
Gibt die IP-Adresse einer Appliance beim Ausgeben von
Client-Anfragen an.
Proxy listener port (Proxy-Listener-Port)
Gibt einen Port zum Reagieren auf Client-Anfragen an.
Beim Konfigurieren eines WCCP-Dienstes müssen Sie diese Option
auswählen, wenn der Dienst dazu verwendet wird, Antworten der
Web-Server zurück zur Appliance umzuleiten.
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
Legt ein Kennwort fest, das unter dem MD5-Algorithmus zum
Signieren und Verifizieren der Kontrolldatenpakete verwendet wird.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des
Kennworts zu öffnen.
Das Kennwort kann aus bis zu acht Zeichen bestehen.
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Liste nicht enthalten, wird in den
Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die
folgenden beiden Elemente beziehen sich auf das Element und
geben die Zuweisungsmethode an.
• Assignment by mask (Zuweisung nach Maske): Wenn diese Option
ausgewählt ist, wird die Maskierung der Quell- oder
Ziel-IP-Adressen zur Lastenverteilung verwendet.
• Assignment by hash (Zuweisung nach Hash): Wenn diese Option
ausgewählt ist, wird ein Hash-Algorithmus zur Lastenverteilung
verwendet.
Produkthandbuch
75
4
Proxys
Tabelle 4-2 WCCP-Dienste – Listeneintrag (Fortsetzung)
Option
Definition
Input for load distribution
(Eingabe für Lastenverteilung)
folgenden Elemente beziehen sich auf dieses Element und geben
an, was in einem Datenpaket als Kriterien zur Lastenverteilung
verwendet wird.
Abhängig davon, ob Sie die Zuweisung nach Maske oder nach Hash
ausgewählt haben, stehen verschiedene Elemente zur Verfügung.
Beim Ausführen mehrere Appliances, kann die Lastenverteilung für
die Proxys auf diesen konfiguriert werden. Datenpakete können
basierend auf ihren Quell- oder Ziel-IP-Adressen und
Port-Nummern an diese Proxys verteilt werden.
Wenn Quell- oder Ziel-IP-Adressen für die Lastenverteilung
verwendet werden, können diese maskiert werden, oder es kann
ein Hash-Algorithmus für diese angewendet werden. Siehe
Optionen unter Assignment method (Zuweisungsmethode).
Wenn Quell- oder Ziel-Ports verwendet werden, kann nur die
Hash-Algorithmusmethode ausgewählt werden.
Lastenverteilungsoptionen für die Zuweisung nach Maske:
• Source IP mask (Quell-IP-Maske): Gibt die Maske für eine
Quell-IP-Adresse an.
Der Standardmaskenwert ist 0x15.
• Destination IP mask (Ziel-IP-Maske): Gibt die Maske für eine
Ziel-IP-Adresse an.
76
Produkthandbuch
4
Proxys
Option
Definition
Der Standardmaskenwert ist 0x15.
Die Maske darf maximal 4 Ziffern lang sein, z. B. 0xa000.
Für beide Masken zusammen können 6 Bit als Maximum festgelegt
werden.
Wenn eine Maske auf 0x0 gesetzt ist, hat diese keinen Einfluss auf
die Lastenverteilung.
Wenn Sie also beispielsweise nur die Quell-IP-Adressen zur
Lastenverteilung verwenden möchten, müssen Sie die Maske für
Ziel-IP-Adressen auf diesen Wert setzen.
Lastenverteilungsoptionen für Zuweisung nach Hash:
• Source IP (Quell-IP): Wenn diese Option ausgewählt ist, basiert die
Lastenverteilung auf Quell-IP-Adressen.
• Destination IP (Ziel-IP): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Ziel-IP-Adressen.
• Source port (Quell-Port): Wenn diese Option ausgewählt ist, basiert
die Lastenverteilung auf Quell-Port-Nummern.
• Destination port (Ziel-Port): Wenn diese Option ausgewählt ist,
basiert die Lastenverteilung auf Ziel-Port-Nummern.
Wenn Sie einen WCCP-Dienst für die Verarbeitung von
Client-Anfragen und einen anderen für die Verarbeitung von
Web-Server-Antworten konfigurieren, müssen Sie Source IP
(Quell-IP) und Destination IP (Ziel-IP) entsprechend „über Kreuz“
auswählen.
Das heißt also, wenn Sie Source IP (Quell-IP) für den
Client-Anfragendienst auswählen, müssen Sie Destination IP (Ziel-IP)
für den Web-Server-Antwortendienst auswählen. Wenn Sie Source IP
(Quell-IP) für den Web-Server-Antwortendienst auswählen, müssen
Sie Destination IP (Ziel-IP) für den Client-Anfragendienst auswählen
usw.
Das Gleiche gilt für die Auswahl von Source port (Quell-Port) und
Destination port (Ziel-Port).
Assignment weight
(Zuweisungsgewichtung)
Legt einen Wert fest, um zu bestimmen, wie viel Last einem Proxy
zugewiesen ist.
Verwenden Sie diesen Wert, um einem Proxy auf einer Appliance
mit größerer CPU-Kapazität mehr Last zuzuweisen. 0 bedeutet,
dass keine Last an einen Proxy verteilt wird.
Forwarding method
(Weiterleitungsmethode)
folgenden beiden Elemente beziehen sich auf das Element und
geben die Weiterleitungsmethode an.
• GRE-encapsulated (GRE-gekapselt): Wenn diese Option ausgewählt
ist, werden Datenpakete vor der Umleitung durch den Router
gekapselt.
• L2-rewrite to local NIC (L2-Neuschreibung in lokalen NIC): Wenn diese
Option ausgewählt ist, werden Datenpakete an die Appliance
umgeleitet, indem die MAC-Adresse auf dem nächsten Gerät (auf
dem Weg zum Web-Server) durch die Adresse der Appliance
ersetzt wird.
Produkthandbuch
77
4
Proxys
Option
Definition
L2-redirect target (L2-Umleitung Ziel)
Gibt eine Netzwerkschnittstelle auf einer Appliance an, an die
Pakete umgeleitet werden
Magic (Mask assignment) (Magic
(Maskenzuweisung))
Ermöglicht das Festlegen eines unbekannten Felds in der Maske, die
eine Appliance an den Router sendet.
Diese Einstellung ist erforderlich, um die Kompatibilität mit
verschiedenen Versionen des Betriebssystems des Anbieters zu
gewährleisten, das für den Router verwendet wird.
Comment (Kommentar)
Bietet einen Kommentar im Nur-Text-Format zu einem
WCCP-Dienst.
Tabelle 4-3 Port-Umleitungen – Listeneintrag
Option
Definition
Original destination port (Ursprünglicher
Ziel-Port)
Gibt den Port an, an den die Datenpakete einer Client-Anfrage
ursprünglich gerichtet waren.
Destination proxy port (Ziel-Proxy-Port)
Gibt einen Port an, an den Pakete umgeleitet werden.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Erweiterte Einstellungen der ausgehenden Verbindung
Einstellungen zur Angabe von Methoden für den Umgang mit Informationen aus an Web-Server
gesendeten Client-Anfragen, die Voraussetzungen für die Netzwerkumgebung der Appliance sind
78
Produkthandbuch
4
Proxys
Tabelle 4-4 Erweiterte Einstellungen der ausgehenden Verbindung
Option
Definition
IP-Spoofing (HTTP,
HTTPS, FTP)
Wenn diese Option ausgewählt ist, behält die Appliance die Client-IP-Adresse aus
einer Client-Anfrage als Quell-Adresse bei und verwendet diese zur
Kommunikation mit dem angefragten Web-Server unter verschiedenen
Protokollen.
Wenn zum Abfangen des Web-Datenverkehrs und zur Umleitung an die Appliance
WCCP-Dienste verwendet werden, müssen Sie für jeden Port der Appliance, die
auf Client-Anfragen reagiert, zwei Dienste konfigurieren: einen für die Anfragen
des Clients und einen für die Antworten auf diese Anfragen, die von den
Web-Servern gesendet werden.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen Quell-Port und
verwendet diesen in dieser Kommunikation.
• IP spoofing for explicit proxy connections (IP-Spoofing für explizite Proxy-Verbindungen):
Wenn diese Option ausgewählt ist, verbleiben die Client-Adressen im expliziten
Proxy-Modus, in dem Web-Datenverkehr nicht durch ein zusätzliches Gerät
abgefangen wird.
• Use same source port as client for IP spoofing (Gleichen Quell-Port als Client für
IP-Spoofing verwenden): Wenn diese Option ausgewählt ist, werden
Client-Quell-Ports beibehalten und zusätzlich zu Client-Quell-Adressen für die
Kommunikation mit Web-Servers verwendet.
Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen zufälligen
Quell-Port und verwendet diesen in dieser Kommunikation.
HTTP: Host header
has priority over
original destination
address (transparent
proxy) (HTTP:
Host-Header hat
Priorität gegenüber
ursprünglicher
Zieladresse
(transparenter Proxy))
Wenn diese Option ausgewählt ist, wird die Zieladresse, die im HOST-Header-Teil
einer Client-Anfrage unter dem HTTP-Protokoll bereitgestellt wird, für die
Kommunikation mit dem angefragten Web-Server verwendet.
In einer transparenten Proxy-Konfiguration könnte für die Kommunikation mit
einem Web-Server auch die Zieladresse verwendet werden, die unter dem
TCP-Protokoll für die zur Übertragung einer Client-Anfrage dienenden Verbindung
angegeben wurde. Diese Adresse ist auch als die ursprüngliche Zieladresse
bekannt.
Beide Kommunikationsmethoden stehen einem transparenten Proxy auf einer
Appliance, die Client-Anfragen abfängt, oder einem WCCP-Dienst, der Anfragen
abfängt und an eine Appliance umleitet, zur Verfügung.
Die Verwendung der HOST-Header-Zieladresse ist die bevorzugte Methode, bei
einigen Konfigurationen kann es jedoch erforderlich sein, die Auswahl dieser
Option aufzuheben und die ursprüngliche Zieladresse für die Kommunikation mit
einem Web-Server zu verwenden.
• Wenn der Web-Datenverkehr auf mehreren Appliances verarbeitet wird, auf
denen transparente Proxys ausgeführt werden und an die Client-Anfragen
entsprechend den Zieladressen geleitet werden, muss sichergestellt werden,
dass die Proxys für die Verbindung mit den Web-Servern die ursprünglichen
Zieladressen verwenden.
• Dies gilt auch, wenn ein WCCP-Dienst unter Verwendung der Zieladressen zur
Lastenverteilung Client-Anfragen abfängt und an mehrere Appliances umleitet.
Beispiel-WCCP-Diensteinstellungen für IP-Spoofing
Beispieleinstellungen zur Konfiguration der WCCP-Dienste mit IP-Spoofing
Konfigurieren Sie diese Einstellungen nur, wenn Sie IP-Spoofing ausführen möchten. Normalerweise ist
es nicht erforderlich, zwei Dienste für die Umleitung des Web-Datenverkehrs an die Appliance unter
dem WCCP-Protokoll zu definieren.
Produkthandbuch
79
4
Proxys
Sie können IP-Spoofing in einer Konfiguration mit WCCP-Diensten verwenden, die Web-Datenverkehr
abfangen und an die Appliance umleiten. In diesem Fall müssen Sie zwei Dienste für alle Ports auf der
Appliance konfigurieren, die auf Anfragen reagieren.
Einer dieser Dienste gilt für die von Clients eingehenden Anfragen und der andere für die von den
Web-Servern gesendeten Antworten auf diese Anfragen.
Die folgende Tabelle zeigt Beispielparameterwerte für diese Dienste.
Tabelle 4-5 Beispielparameterwerte für zwei mit IP-Spoofing konfigurierte WCCP-Dienste
Option
Dienst für
Client-Anfragen
Dienst für
Web-Server-Antworten
51
52
WCCP router definition
(WCCP-Router-Definition)
10.150.107.254
10.150.107.254
Ports to be redirected (Umzuleitende Ports)
80, 443
80, 443
Ports to be redirected are source ports
(Umzuleitende Ports sind Quell-Ports)
false
true
Proxy listener IP address
(Proxy-Listener-IP-Adresse)
10.150.107.251
10.150.107.251
9090
9090
MD5 authentication key
(MD5-Authentifizierungsschlüssel)
*****
*****
Input for load distribution (Eingabe Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
für Lastenverteilung)
wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Source IP (Quell-IP)
true
false
Destination IP (Ziel-IP)
false
true
Source port (Quell-Port)
true
false
Destination port (Ziel-Port)
false
true
Assignment method
(Zuweisungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die folgenden vier Elemente beziehen sich auf dieses
Element
Assignment by mask (Zuweisung nach
Maske)
true
true
Assignment by hash (Zuweisung nach Hash)
false
false
Assignment weight (Zuweisungsgewichtung)
100
100
Forwarding method
(Weiterleitungsmethode)
Dieses Hauptelement ist in der Einstellungsliste nicht enthalten,
angezeigt. Die Elemente „GRE-encapsulated“ (GRE-gekapselt)
und „L2-rewrite to local NIC“ (L2-Neuschreibung in lokalen NIC)
beziehen sich auf dieses Element
GRE-encapsulated (GRE-gekapselt)
false
false
L2-rewrite to local NIC (L2-Neuschreibung in
lokalen NIC)
true
true
L2-redirect target (L2-Umleitung Ziel)
eth1
eth1
Magic (Mask assignment) (Magic
(Maskenzuweisung))
-1
-1
Comment (Kommentar)
80
Produkthandbuch
4
Proxys
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit)
Mit den Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) werden die Proxy-Funktionen der
Appliance im expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen konfiguriert.
Proxy HA (Proxy-Hochverfügbarkeit)
Einstellungen für den expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen
Tabelle 4-6 Proxy HA (Proxy-Hochverfügbarkeit)
Option
Definition
Port redirects
(Port-Umleitungen)
Stellt eine Liste zum Eingeben der Ports bereit, an die von Benutzern
gesendete Anfragen umgeleitet werden.
Director priority
(Weiterleitungspriorität)
Legt die Priorität (im Bereich von 0 bis 99) fest, die eine Appliance bei der
Weiterleitung von Datenpaketen befolgt.
Der größte Wert gibt die höchste Priorität an. 0 (null) bedeutet, dass die
Appliance Datenpakete nie weiterleitet, sondern diese nur filtert.
In einer Hochverfügbarkeitskonfiguration sind normalerweise zwei
Appliances als Master-Knoten mit einer höheren Priorität als 0 (null)
festgelegt, die Datenpakete weiterleiten und Failover-Funktionen für den
jeweils anderen Knoten bereitstellen.
Die übrigen Knoten sind mit einer Priorität von 0 (null) konfiguriert; sie
werden auch als Scan-Knoten bezeichnet.
Der Prioritätswert wird auf einem Schieberegler eingestellt.
Management IP
(Verwaltungs-IP-Adresse)
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden
von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle
IP-Adressen)
Stellt eine Liste von virtuellen IP-Adressen bereit.
Es wird dringend empfohlen, wenn Sie den expliziten Proxy-Modus mit
Hochverfügbarkeitsfunktionen („Proxy HA“) in Web Gateway konfiguriert
haben, keine virtuelle IP-Adresse beim Anmelden bei der
Benutzeroberfläche zu verwenden.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
Tabelle 4-7
Port redirects (Port-Umleitungen) – Listeneintrag
Option
Definition
Protocol name (Protokollname)
Gibt den Namen des Protokolls an, das beim Senden einer
Anfrage durch einen Benutzer für eingehende Datenpakete
verwendet wird.
Original destination ports (Ursprüngliche
Ziel-Ports)
Gibt die Ports an, an die umgeleitete Datenpakete ursprünglich
gesendet wurden.
Destination proxy port (Ziel-Proxy-Port)
Gibt den Port an, an den die an die obigen Ports gesendeten
Datenpakete ursprünglich umgeleitet wurden.
Optional 802.1Q VLANs (Optionale
802.1Q-VLANs)
Listet die IDs der konfigurierten Netzwerkschnittstellen für
VLAN-Datenverkehr auf.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer
Port-Umleitung.
Produkthandbuch
81
4
Proxys
Tabelle 4-8
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, die für
Heartbeats unter dem VRRP-Protokoll (Virtual Router Redundancy
Protocol) verwendet wird.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Empfohlene Vorgehensweisen – Konfigurieren des ProxyHochverfügbarkeitsmodus
Der in Web Gateway konfigurierbare Proxy-Hochverfügbarkeits-Netzwerkmodus ist ein expliziter
Proxy-Modus mit Hochverfügbarkeitsfunktionen. Er ermöglicht die Durchführung von Failover und
Lastausgleich ohne externe Lastausgleichsgeräte.
Es wird empfohlen, dieses Setup nur für Netzwerke mit bis zu 1000 Web Gateway-Benutzern zu
verwenden. Bei größeren Netzwerken empfiehlt sich die Verwendung externer Lastausgleichsgeräte.
Master-Knoten und Scan-Knoten
Eine der Appliances in einer Proxy-Hochverfügbarkeitskonfiguration wird als Master-Knoten
konfiguriert. Die anderen Appliances werden dann als Scan-Knoten konfiguriert. Die Rolle wird jeder
Appliance durch Konfigurieren eines Prioritätswerts zugewiesen.
Der Master-Knoten führt den Lastausgleich im Hochverfügbarkeits-Cluster durch, indem er die Last an
die Scan-Knoten verteilt. Normalerweise übernimmt der Master-Knoten auch die Funktion eines
Scan-Knotens. Die Scan-Knoten können als Sicherungsknoten eingesetzt werden, um einen
ausgefallenen Master-Knoten zu ersetzen. Sie können einen Knoten auch als einfachen Scan-Knoten
konfigurieren, der keine Sicherungsfunktionen übernimmt.
Der Knoten, der zu einem bestimmten Zeitpunkt die Rolle des Master-Knoten innehat, wird als aktiver
Master bezeichnet. Der aktive Master-Knoten verwendet eine virtuelle IP-Adresse (VIP) als
Alias-IP-Adresse für die Schnittstelle zur Kommunikation mit den Clients.
Es wird empfohlen, die Appliances, die in die Proxy-Hochverfügbarkeitskonfiguration aufgenommen
werden sollen, auch als Mitglieder einer Konfiguration mit zentraler Verwaltung einzurichten.
Diese Konfigurationen können auch unabhängig voneinander ordnungsgemäß ausgeführt werden.
Wenn die Appliances jedoch nicht durch eine zentrale Verwaltung gesteuert und synchronisiert werden,
ist es möglich, dass jede Appliance nach einer Weile anderen Web-Sicherheitsregeln folgt.
Lastausgleich
Beim Lastausgleich in einer Proxy-Hochgeschwindigkeitskonfiguration werden die
Ressourcenauslastung und die Anzahl aktiver Verbindungen berücksichtigt. Wenn also ein Scan-Knoten
überlastet ist, wird dies durch Verteilung des Datenverkehrs auf die anderen Knoten kompensiert.
Beim Lastausgleich werden Anfragen von einem bestimmten Client normalerweise immer an
denselben Scan-Knoten weitergeleitet.
Failover
Wenn der Master-Knoten ausfällt, übernimmt der Sicherungsknoten mit der höchsten Priorität die
Master-Rolle. Kehrt der ursprüngliche Master-Knoten dann wieder in den aktiven Status zurück,
übernimmt er wieder die Master-Rolle.
82
Produkthandbuch
Proxys
4
Zur Überprüfung der Verfügbarkeit von Knoten wird VRRP (Virtual Router Redundancy Protocol) für
Integritätsprüfungen verwendet. Sie müssen für VRRP auf jeder Appliance Folgendes konfigurieren,
um die Integritätsprüfungen zu aktivieren: eine VRRP-Schnittstelle und eine virtuelle Router-ID, die für
alle Mitglieder des Hochverfügbarkeits-Clusters gleich ist.
Jeder Knoten sendet ein Multicast-Paket pro Sekunde an die IP-Adresse 224.0.0.18. Wenn 3–
4 Sekunden lang kein Multicast-Paket vom aktiven Master empfangen wird, erfolgt ein Failover. Beim
Failover wird der Sicherungsknoten mit der höchsten Priorität zum Master-Knoten. Dieser Knoten wird
zum Inhaber der virtuellen IP-Adresse des Hochverfügbarkeits-Clusters und meldet den anderen
Knoten seine neue Master-Rolle.
Die ARP-Tabellen der teilnehmenden Clients und Router werden mithilfe von Gratuitous ARP (Address
Resolution Protocol) aktualisiert. („Gratuitous ARP“ bedeutet „unaufgefordertes ARP“, eine spezielle
Nutzung von ARP.) Jedes Mal, wenn die gemeinsame virtuelle IP-Adresse den Besitzer wechselt (d. h.
ein Failover erfolgt), sendet der neue Master-Knoten eine Gratuitous ARP-Nachricht. Alle
nachfolgenden TCP/IP-Pakete gelangen dann zu diesem Knoten.
Siehe auch
auf Seite 86
Konfigurieren des Proxy-Hochverfügbarkeitsmodus
Sie können den Proxy-Hochverfügbarkeitsmodus konfigurieren, damit Lastausgleich und Failover ohne
externe Lastausgleichsgeräte durchgeführt werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie in die
Proxy-Hochverfügbarkeitskonfiguration einbeziehen möchten, und klicken Sie dann auf Proxies (HTTP,
HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP, HTTP(S), FTP, SOCKS, ICAP ...)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) die Option Proxy HA (Proxy-Hochverfügbarkeit)
aus.
Nun werden sofort die Einstellungen für Proxy HA (Proxy-Hochverfügbarkeit) unter den Einstellungen
für Network Setup (Netzwerkeinrichtung) angezeigt.
4
Konfigurieren Sie in Web Gateway Folgendes für jede Appliance in der
Proxy-Hochverfügbarkeitskonfiguration:
a
Port redirects (Port-Umleitungen): Fügen Sie der Liste der Port-Umleitungen einen Eintrag mit den
folgenden Parametern hinzu.
•
Protocol name (Protokollname): HTTP
•
Original destination ports (Ursprüngliche Ziel-Ports): Proxy-Port, den die Benutzer in Ihrem
Netzwerk in ihren Browsern auswählen
•
Destination proxy port (Ziel-Proxy-Port): Von Web Gateway verwendeter Proxy-Port
Der vom Benutzer im Browser ausgewählte und der von Web Gateway verwendete
Proxy-Port können identisch sein, beispielsweise Port 9090.
Geben Sie in diesem Fall eine Port-Umleitung in die Liste ein, die beispielsweise Port 9090 zu
Port 9090 umleitet.
Produkthandbuch
83
4
Proxys
b
Director priority (Master-Priorität): Stellen Sie die Priorität bei der Übernahme der Master-Rolle
anhand einer Zahl ein.
•
Die höchste Priorität lautet beispielsweise 99: für den Master-Knoten
•
Geringere Prioritäten müssen über 0 liegen, z. B. 89: für einen Sicherungsknoten
Ein Sicherungsknoten kann einen Failover durchführen, um den Master-Knoten bei einem
Ausfall zu ersetzen, wenn kein anderer Knoten mit einer höheren Priorität verfügbar ist.
Ansonsten übernimmt der Sicherungsknoten die Funktion eines Scan-Knotens.
•
c
0: Für einen Knoten, der nur als Scan-Knoten fungiert
Management IP (Verwaltungs-IP-Adresse): Geben Sie die lokale IP-Adresse der Appliance an.
Anhand dieser IP-Adresse können Scan-Knoten automatisch erkannt werden. Für die
automatische Erkennung müssen sich alle Knoten in demselben Subnetz befinden.
d
Virtual IPs (Virtuelle IP-Adressen): Geben Sie die gemeinsame IP-Adresse für das
Hochverfügbarkeits-Cluster an.
Der aktive Master ist der Inhaber dieser Adresse, die auf allen Knoten identisch sein muss. Ihre
Benutzer müssen diese Adresse in ihrem Browser auswählen.
e
Konfigurieren Sie die Einstellungen für die VRRP-Integritätsprüfungen.
•
Virtual router ID (ID des virtuellen Routers): Dies ist die für VRRP-Integritätsprüfungen
verwendete ID.
Diese ID muss auf allen Knoten identisch sein. Der Standardwert lautet 51.
Sie können die Standard-ID beibehalten, sofern VRRP nicht bereits mit ID 51 in Ihrem
Netzwerk verwendet wird. In diesem Fall müssen Sie die ID hier ändern, da sie für die
Proxy-Hochverfügbarkeitskonfiguration eindeutig sein muss.
•
VRRP interface (VRRP-Schnittstelle): Dies ist die von VRRP für die Integritätsprüfungen
verwendete Schnittstelle.
Diese Schnittstelle lautet standardmäßig eth0.
Sie können die Standardschnittstelle beibehalten, es sei denn, Sie verwenden die
Schnittstelle "eth0" gar nicht auf Ihren Appliances oder Sie möchten mehrere Schnittstellen
verwenden.
5
Wenn die Größe der Datenpakete zwischen einer Web Gateway-Appliance und deren Clients anhand der
als Path MTU Discovery (Ermittlung der maximalen Paketgröße eines Übermittlungspfades)
bezeichneten Methode dynamisch gehandhabt wird, ist für den Proxy-Hochverfügbarkeitsmodus
zusätzliche Konfiguration erforderlich.
Siehe auch
Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 81
84
Produkthandbuch
Proxys
4
Beheben von Problemen bei einer ProxyHochverfügbarkeitskonfiguration
Zum Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration können mehrere
Maßnahmen ergriffen werden.
Überprüfen der VRRP-Zustandsprüfungsmeldungen
Meldungen zu den VRRP-Zustandsprüfungen werden auf dem Appliance-System im folgenden
Verzeichnis gespeichert:
/var/log/messages
In diesen Meldungen wird auch angegeben, ob sich eine Appliance im Master-Knoten- oder
Sicherungsknotenstatus befindet.
Ermitteln des Knotens, durch den eine Anfrage blockiert wurde
Sie können ermitteln, durch welchen der Knoten in einem Hochverfügbarkeits-Cluster eine Anfrage
blockiert wurde, indem Sie die Benutzermeldungsvorlage für Blockierungsaktionen bearbeiten. Fügen
Sie die Eigenschaft System.HostName ein.
Testen eines bestimmten Knotens
Sie können das Verhalten eines bestimmten Knotens testen, indem Sie in der Liste der
Port-Umleitungen einen neuen Proxy-Port nur für diesen Knoten eingeben, z. B. 9091.
Geben Sie dann im Browser auf dem zum Testen des Knotens verwendeten Client-System <IP-Adresse
von Web Gateway>:9091 ein.
Identifizieren des aktiven Master-Knotens
Sie können den aktiven Master-Knoten identifizieren, zu dem die virtuelle IP-Adresse des
Hochverfügbarkeits-Clusters gehört, indem Sie eine SSH-Sitzung mit den einzelnen Knoten einrichten.
Führen Sie dann auf jedem Knoten den Befehl ip addr show aus.
Untersuchen von Fehlern bei der Verteilung von Web-Datenverkehr
Wenn der gesamte Web-Datenverkehr auf dem Master-Knoten oder einem anderen einzelnen Knoten
verarbeitet wird, anstatt an andere Knoten verteilt zu werden, kann dies folgende Gründe haben:
•
Auf dem Master-Knoten sind keine Port-Umleitungen konfiguriert. Wenn keine Port-Umleitungen
vorhanden sind, leitet der Master-Knoten den Datenverkehr nicht an andere Knoten um, sondern
verarbeitet diesen lokal.
•
Der Master-Knoten erkennt die anderen Knoten nicht, da diese mit IP-Adressen konfiguriert sind,
die nicht zu demselben Subnetz gehören.
•
Der gesamte Datenverkehr stammt von derselben Quell-IP-Adresse, da ein Downstream-Proxy oder
ein NAT-Gerät verwendet wird. In diesem Fall ist das übliche Verhalten für den Lastausgleich,
diesen Datenverkehr immer an denselben Knoten weiterzuleiten.
Produkthandbuch
85
4
Proxys
Empfohlene Vorgehensweisen – Größenbeschränkungen für
Hochverfügbarkeitskonfiguration
Beim Konfigurieren des Proxy HA-Netzwerkmodus (High Availability, Hochverfügbarkeit) müssen Sie
die Anzahl der in die Konfiguration einzubindenden Web Gateway-Appliances berücksichtigen.
In den meisten Fällen werden mehrere Appliances in einem Netzwerk ausgeführt und sind als Knoten
konfiguriert, die über die Funktionen zur zentralen Verwaltung verwaltet werden.
Üblicherweise ist einer dieser Knoten als der Master-Knoten konfiguriert, der eingehenden
Datenverkehr an die anderen Knoten weiterleitet, die als Scan-Knoten bezeichnet werden, da sie für
das Scannen dieses Datenverkehrs zuständig sind.
Auf einer bestimmten Appliance werden Netzwerkschnittstellen üblicherweise in einer zweigleisigen
Lösung konfiguriert, die separate Schnittstellen für eingehenden und ausgehenden Datenverkehr
verwendet, oder in einer dreigleisigen Lösung, die eine zusätzliche Schnittstelle zur Kommunikation
der zentralen Verwaltung verwendet.
Ausgehend von einem auf diese Weise konfigurierten Netzwerk muss Folgendes berücksichtigt
werden:
•
Die Anzahl der Scan-Knoten muss so ausgewählt werden, dass der hinzugefügte maximale
Durchsatz nicht den maximalen Durchsatz verbraucht oder übersteigt, der vom Master-Knoten
erreicht werden kann, der standardmäßig 1 Gigabit pro Sekunde beträgt.
Dieser Wert ergibt sich aus den folgenden internen Beschränkungen: Die vom Master-Knoten
standardmäßig verwendete Netzwerkschnittstelle ist auf die Verarbeitung eines Datenvolumens von
1 Gigabit pro Sekunde eingeschränkt.
Zudem lässt der Kernel-Modustreiber des MLOS-Betriebssystems, das auf einer
Web Gateway-Appliance ausgeführt wird, nur eine Skalierung von bis zu 1 Gigabit pro Sekunde zu.
•
Es wird empfohlen, einen deutlichen Sicherheitsabschlag beim Konfigurieren der Anzahl der
Scan-Knoten zu lassen, die unter diesen Bedingungen theoretisch möglich wäre.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen
Scan-Knoten zehn Knoten möglich, empfohlen werden jedoch fünf.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde wären drei Knoten möglich, empfohlen
werden jedoch zwei.
Der maximale Durchsatz auf einem Scan-Knoten variiert mit dem Appliance-Modell, das als Knoten
verwendet wird, und mit der Art und Weise der Knotenkonfiguration, ob beispielsweise die
Malware-Schutz-Filterung oder der Web-Cache aktiviert ist. Diesen Wert für einen Knoten können Sie
mithilfe eines Größenrechners ermitteln.
Die Berechnungen sehen anders aus, wenn eine 10G-Netzwerkschnittstelle von einem Master-Knoten
anstelle der standardmäßigen 1G-Netzwerkschnittstelle verwendet wird oder wenn IP-Spoofing in
einer Konfiguration aktiviert ist. Dies wird nachfolgend erläutert.
86
Produkthandbuch
4
Proxys
10G-Netzwerkschnittstellen
Wenn eine 10G-Netzwerkschnittstelle auf einer als Master-Knoten konfigurierten Appliance installiert
ist, erhöht sich der maximale Durchsatz für diesen Knoten. Jedoch darf die maximale Skalierung des
MLOS-Kernel-Modustreibers weiterhin nicht ausgelastet oder überschritten werden.
•
Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
mehr als fünf Knoten möglich, es wird jedoch weiterhin empfohlen, die Anzahl nicht auf zehn zu
erhöhen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde sind drei Knoten möglich, es wird empfohlen,
nicht mehr zu verwenden.
IP-Spoofing
Wenn IP-Spoofing konfiguriert ist, durchlaufen Datenpakete den Master-Knoten zweimal. Einmal, wenn
der Master-Knoten die Pakete an die Scan-Knoten weiterleitet, und ein weiteres Mal, wenn die Pakete
von den Scan-Knoten an den Master-Knoten zurückgegeben werden, da dieser Knoten die
Datenpakete an ihre ursprünglichen IP-Adressen weiterleitet.
Das bedeutet, dass der maximale Durchsatz auf dem Master-Knoten lediglich 500 Megabits pro
Sekunde beträgt, wenn eine 1G-Netzwerkschnittstelle verwendet wird, während die maximale
Skalierung des MLOS-Kernel-Modustreibers unverändert bleibt.
Die Anzahl der Scan-Knoten muss entsprechend angepasst werden.
•
Beispielsweise müsste bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten
und einen Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, die Anzahl der
Scan-Knoten weniger als fünf sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle kann die Anzahl der Scan-Module höher sein, es
werden jedoch trotzdem fünf empfohlen.
•
Bei einem Durchsatz von 300 Megabits pro Sekunde für einen Scan-Knoten und einen
Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, darf nur ein Scan-Knoten vorhanden
sein.
Bei Verwendung einer 10G-Netzwerkschnittstelle wird empfohlen, nicht mehr als drei San-Knoten
zu konfigurieren.
Siehe auch
Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite
82
Empfohlene Vorgehensweisen – Konfigurieren des Modus
"Expliziter Proxy" mit WCCP
Beim Implementieren des Modus "Expliziter Proxy" auf einer Web Gateway-Appliance können Sie die
Umleitung des Web-Datenverkehrs an Web Gateway unter WCCP (Web Cache Communication
Protocol) konfigurieren. Durch die Verwendung dieses Protokolls funktionieren Lastausgleich und
Failover erheblich effizienter.
Für die Umleitung unter WCCP muss ein geeigneter Router zwischen den Client-Systemen der
Benutzer in Ihrem Netzwerk und dem Internet installiert sein. Der Router leitet Web-Zugriffsanfragen
der Clients, die an bestimmte Ports gerichtet sind, an die Web Gateway-Appliance um.
Der Router wird auch als WCCP-Gerät bezeichnet. Anstelle eines Routers können Sie auch einen
Switch als WCCP-Gerät verwenden.
Produkthandbuch
87
4
Proxys
Auf der Appliance muss ein WCCP-Dienst konfiguriert werden. Dabei müssen Sie u. a. eine Dienst-ID,
die IP-Adresse des Routers und die Ports angeben, von denen die Anfragen umgeleitet werden.
Für Lastausgleich und Failover können mehrere Appliances mit demselben Router unter WCCP
verbunden werden. Dabei müssen die Appliances als Knoten in einer Konfiguration mit zentraler
Verwaltung konfiguriert werden, und auf jeder Appliance muss ein WCCP-Dienst konfiguriert werden.
Die Umleitung erfolgt transparent, d. h. die Benutzer bemerken die Umleitung ihrer Anfragen nicht.
Wenn die Antwort auf eine Anfrage von einem Web-Server empfangen wird, leitet Web Gateway sie
unter Verwendung der IP-Adresse des Web-Servers ("Spoofing") an den Client weiter.
Der Router muss zunächst von Web Gateway abonniert werden, erst dann kann er Web Gateway
erkennen. Es müssen keine Einstellungen auf dem Router konfiguriert werden, damit Web Gateway ihn
erkennt.
Kommunikation zwischen Web Gateway und dem Router
Unter WCCP werden Datenpakete zum Abonnieren, Aushandeln der Einstellungen und zu
Diagnosezwecken ausgetauscht. Web Gateway sendet ein "Hier bin ich"-Paket an den Router und leitet
die konfigurierten Einstellungen weiter. Diese umfassen u. a. die Ports für die Umleitung, die ID des
WCCP-Dienstes und die IP-Adresse, an die der Datenverkehr umgeleitet werden soll.
Der Router bestätigt das Abonnement mit einem "Ich sehe dich"-Paket und schließt die Router-ID ein,
bei der es sich um die höchste Schnittstellen-IP-Adresse auf dem Router handelt.
Wenn ein Router seit mehr als 25 Sekunden kein "Hier bin ich"-Paket mehr empfangen hat, sendet er
eine Löschabfrage, in der eine sofortige Rückmeldung von Web Gateway angefragt wird. Wenn nach
weiteren fünf Sekunden keine Antwort empfangen wird, wird Web Gateway als offline eingestuft und
aus dem WCCP-Partner-Pool entfernt.
Lastausgleich und Failover
In einer WCCP-Konfiguration mit mehreren Web Gateway-Appliances verteilt die erste Appliance, die
eine Verbindung mit dem Router herstellt, Arbeitslast an die anderen Appliances. Diese verteilten
Arbeitslastanteile werden im Zusammenhang mit WCCP auch als "Buckets" (engl. für "Eimer")
bezeichnet.
Wenn eine Appliance offline oder wieder online geschaltet wird, werden die Buckets sofort neu
zugewiesen. Wenn die Appliance, die gerade die Buckets verteilt, offline geschaltet wird, übernimmt
eine andere Appliance diese Funktion.
Die Verwendung von WCCP wird nicht empfohlen, wenn der Router, die Client-Systeme oder die Web
Gateway-Appliances durch ein Gerät getrennt werden, das für die Verarbeitung des
Client-Datenverkehrs Source-NAT (Umschreibung der Computer-Adresse) verwendet. Diese Methode
beeinträchtigt die Lastausgleichsleistung unter WCCP und verhindert zudem die Konfiguration von
Regeln für die Benutzerauthentifizierung, die auf der Zeit oder der Client-IP-Adresse beruhen.
Fail-Open- und Fail-Closed-Strategie
Wenn auf dem Router die Verwendung von WCCP konfiguriert ist und keine Web Gateway-Appliance
verfügbar ist, lässt der Router Web-Zugriffsanfragen ohne Umleitung passieren. Dieses Verhalten wird
als Fail-Open-Strategie bezeichnet.
Wenn sich in Ihrem Netzwerk eine Firewall befindet, müssen Sie sie für diese Strategie so
konfigurieren, dass Web-Zugriffsanfragen mit einer beliebigen Quell-IP-Adresse zugelassen werden.
Anfragen können dann direkt ins Internet geleitet werden.
88
Produkthandbuch
4
Proxys
Bei einer Fail-Closed-Strategie werden hingegen alle Anfragen blockiert, wenn keine Web
Gateway-Appliance verfügbar ist, an die sie umgeleitet werden können. Zur Implementierung dieser
Strategie müssen Sie die Firewall so konfigurieren, dass nur Anfragen mit Quell-IP-Adressen
zugelassen werden, die zu Web Gateway gehören.
Verwendung von WCCP als alleinige Lösung oder als Alternativlösung
Sie können den Modus "Expliziter Proxy" mit WCCP als einzigen Netzwerkmodus verwenden, sodass
der gesamte Web-Datenverkehr in diesem Modus verarbeitet wird. Sie können ihn aber auch als
Alternativlösung für Sonderfälle in einer Konfiguration im Modus "Expliziter Proxy" einsetzen, z. B. für
die Handhabung von Anwendungen, die keine Proxy-Einstellungen erkennen, oder für die Verarbeitung
von Web-Datenverkehr in einem WLAN-Netzwerksegment, in dem Benutzer ihre eigenen Geräte
verwenden können.
Als bewährte Vorgehensweise wird die Verwendung von zwei verschiedenen Proxy-Ports empfohlen.
Konfigurieren Sie einen Port für die Verarbeitung von Web-Datenverkehr im Modus "Expliziter Proxy"
mit WCCP und einen Port für die Verarbeitung von Web-Datenverkehr ohne WCCP. Auf diese Weise
können Sie die Eigenschaft für Proxy-Ports in den Kriterien der Web-Sicherheitsregeln verwenden.
Konfigurieren der Verwendung von WCCP
Für die Verwendung von WCCP müssen Sie einen Router und mindestens eine Web Gateway-Appliance
zur Verarbeitung des Web-Datenverkehrs gemäß diesem Protokoll konfigurieren.
Vorgehensweise
1
Konfigurieren Sie einen Router zur Verarbeitung des Web-Datenverkehrs gemäß WCCP.
Hierfür muss hauptsächlich die ID des WCCP-Dienstes angegeben werden. Weitere Informationen
hierzu finden Sie in der Dokumentation zum Router.
2
Konfigurieren Sie eine Web Gateway-Appliance zur Verarbeitung des Web-Datenverkehrs gemäß
WCCP.
Hierfür muss hauptsächlich der WCCP-Dienst auf der Appliance eingerichtet werden.
a
b
Wählen Sie die Appliance aus, die Sie für die Verwendung von WCCP konfigurieren möchten,
und klicken Sie auf Proxies (HTTPS, FTP, SOCKS, ICAP ...) (Proxys (HTTPS, FTP, SOCKS, ICAP ...)).
c
Achten Sie darauf, dass unter Network Setup (Netzwerkeinrichtung) Proxy (optional WCCP) (Proxy
(optionale WCCP-Dienste)) ausgewählt ist. Wählen Sie unter Transparent Proxy (Transparenter
Proxy) WCCP aus.
Daraufhin wird die Liste WCCP services (WCCP-Dienste) angezeigt.
d
Klicken Sie in der Symbolleiste der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add WCCP Service (WCCP-Dienst hinzufügen).
e
Geben Sie zum Hinzufügen eines Dienstes Werte für die Dienstparameter an. Klicken Sie
abschließend auf OK.
Der neue Dienst wird in der Liste WCCP services (WCCP-Dienste) angezeigt.
f
Produkthandbuch
89
4
Proxys
Eine WCCP-Konfiguration kann mehrere Appliances enthalten. Sie müssen dann auf jeder Appliance
einen WCCP-Dienst konfigurieren.
Wenn Sie den Modus "Expliziter Proxy" mit WCCP konfigurieren, nachdem Sie zuvor einen
anderen Netzwerkmodus verwendet haben (Proxy-Hochverfügbarkeitsmodus, Modus
"Transparenter Router" oder "Transparente Bridge"), müssen Sie die Appliance neu
starten.
Beim Neustart wird der Netzwerktreiber entladen, der für das transparente Abfangen und
die Umleitung des Web-Datenverkehrs zuständig ist. Es ist nur ein Neustart erforderlich.
Später kann die Verwendung von WCCP ohne Neustart aktiviert und deaktiviert werden.
Siehe auch
Einstellungen für einen WCCP-Dienst auf Seite 90
Einstellungen für einen WCCP-Dienst
Beim Konfigurieren der Einstellungen für einen WCCP-Dienst geben Sie Werte für verschiedene
Dienstparameter an.
Dabei sollten Sie die folgenden empfohlenen Vorgehensweisen berücksichtigen.
Die Dienst-ID bezeichnet den WCCP-Dienst. Der Dienst ist auch in der Konfiguration des Routers
enthalten, in der die ID für diesen Dienst identisch sein muss.
Die Dienst-IDs 0–50 sind unter WCCP statisch und für bekannte Dienste mit Standardkonfigurationen
reserviert. Die Dienst-IDs 51-255 sind dynamisch und werden zwischen den Partnern einer
WCCP-Konfiguration ausgehandelt. Für den von Ihnen konfigurierten WCCP-Dienst wird ein Wert
von 51 bis 98 empfohlen.
WCCP router definition (WCCP-Router-Definition)
Die IP-Adresse des in der WCCP-Konfiguration verwendeten Routers ist in der Router-Definition
angegeben. Sie können auch den Namen angeben, in den diese IP-Adresse durch einen DNS-Server
aufgelöst wird.
Sie können mehrere Router konfigurieren, indem Sie für jeden Router eine IP-Adresse bzw. einen
DNS-Namen angeben oder eine Multicast-IP-Adresse verwenden. Die Verwendung einer IP-Adresse als
Multicast-IP-Adresse für mehrere Router wird in der Konfiguration der entsprechenden Router durch
Angabe der Schlüsselwörter group-address und group-listen gekennzeichnet.
Ports to be redirected (Umzuleitende Ports)
Hier sind die Ports aufgeführt, von denen Web-Datenverkehr an den Web Gateway-Proxy-Port
umgeleitet wird.
Die Umleitung funktioniert für HTTP- und für HTTPS-Datenverkehr. Die Umleitung von
FTP-Datenverkehr oder Datenverkehr unter einem anderen Protokoll wird nicht unterstützt. Es muss
sich also bei allen hier aufgeführten Ports um Ports für HTTP- und HTTPS-Datenverkehr handeln.
Port 80 für HTTP-Datenverkehr und Port 443 für HTTPS-Datenverkehr sind standardmäßig in der Liste
enthalten.
90
Produkthandbuch
4
Proxys
Wenn Sie weitere Ports für HTTPS-Datenverkehr hinzufügen, müssen Sie diese ebenfalls als Ports
hinzufügen, die in der HTTP-Proxy-Konfiguration als SSL zu behandeln sind.
Bei Verwendung von Version 1 von WCCP wird nur Datenverkehr für Port 80 umgeleitet. Für die
Umleitung können keine anderen Ports hinzugefügt werden.
Proxy listener address (Proxy-Listener-Adresse)
Die Proxy-Listener-Adresse ist die physische IP-Adresse der Netzwerkkarte auf einer Web
Gateway-Appliance, an die der Web-Datenverkehr umgeleitet wird.
Der Proxy-Listener-Port ist der Port auf Web Gateway, der auf die umgeleiteten Anfragen überwacht.
Für die ordnungsgemäße Umleitung müssen Sie den Proxy-Listener-Port an die IP-Adresse 0.0.0.0
binden. Wenn Sie beispielsweise den Standard-Port 9090 verwenden, binden Sie diesen durch Angabe
von 0.0.0.0:9090.
Der Port darf weder (durch Angabe von localhost) an die IP-Adresse der Appliance, auf der Sie
arbeiten, noch an eine andere IP-Adresse gebunden werden. Andernfalls funktioniert die Umleitung
nicht, und der Datenverkehr wird nicht verarbeitet.
Assignment method (Zuweisungsmethode)
Dies ist die Methode zum Zuweisen von "Buckets" (Job-Verarbeitung) an verschiedene Web
Gateway-Appliances unter WCCP, wenn eine Konfiguration mehrere Appliances umfasst. Die
Zuweisung kann anhand einer Maske oder eines Hashs erfolgen. Einige Router unterstützen nur die
Zuweisung anhand einer Maske. Weitere Informationen hierzu finden Sie in der Dokumentation zum
Router.
Input for load distribution (Eingabe für Lastenverteilung)
Die Lastverteilung kann auf der Quell- oder Ziel-IP-Adresse oder dem Quell- oder Ziel-Port einer
Anfrage basieren. Es wird empfohlen, die Lastverteilung basierend auf der Quell-IP-Adresse zu
konfigurieren, da dann immer dieselbe Appliance für die Anfragen verwendet wird, die ein Benutzer
von einem bestimmten Client-System sendet. Sie vermeiden damit abgebrochene Sitzungen.
Assignment weight (Zuweisungsgewichtung)
Die Gewichtung regelt die Zuweisung der Datenverkehrslast zu verschiedenen Web
Gateway-Appliances in einer WCCP-Konfiguration. Wenn auf allen Appliances der Standardwert 1000
eingestellt ist, wird die Last gleichmäßig verteilt.
Wenn die Leistung einer Appliance in der Konfiguration besser als die Leistung der anderen ist, können
Sie einen höheren Wert auf dieser Appliance und niedrigere Werte auf den anderen konfigurieren.
Wenn die Leistung aller Appliances gleich gut ist, wird empfohlen, die jeweiligen Standardwerte nicht
zu verändern.
GRE-encapsulated (GRE-gekapselt)
Wenn die GRE-Methode (Generic Routing Encapsulation) zum Senden von Datenpaketen verwendet
wird, wird ein ursprüngliches Datenpaket innerhalb eines neuen Pakets mit zusätzlichen Headern
gekapselt. Das neue Paket wird dann vom Router über eine als GRE-Tunnel bezeichnete Verbindung an
Web Gateway gesendet. Diese Methode ist aufwändiger, hat jedoch den Vorteil, dass sie über
Subnetze hinweg funktioniert.
Produkthandbuch
91
4
Proxys
L2-rewrite to local NIC (L2 neu in lokale Netzwerkkarte schreiben)
Wenn die L2-Neuschreibungsmethode (Layer 2-Neuschreibung) zum Senden von Datenpaketen
verwendet wird, wird die Ziel-MAC-Adresse als MAC-Adresse des Proxys neu geschrieben. Die Pakete
werden dann an eine Netzwerkschnittstelle auf einer Appliance umgeleitet. Diese Methode funktioniert
nur, wenn sich der Router und die Appliance in demselben Subnetz befinden.
L2-redirect target (Ziel der L2-Umleitung)
Das Ziel für die Umleitung von Datenpaketen unter der L2-Neuschreibungsmethode ist die
Netzwerkschnittstelle einer Netzwerkkarte auf der Appliance, auf der Sie arbeiten. Die Schnittstelle
wird durch Auswahl des Schnittstellennamens, z. B. etho, ausgewählt.
Fehlerbehebung bei Problemen mit WCCP
Die zu WCCP gehörigen Daten können Sie auf dem Dashboard der Appliance überprüfen oder durch
Ausführen geeigneter Befehle in der Befehlszeile einer Systemkonsole abrufen, die mit der Appliance
verbunden ist.
Überprüfen WCCP-bezogener Informationen auf dem Dashboard
Anhand der WCCP-bezogenen Informationen auf dem Dashboard können Sie überprüfen, ob
Fehlerbehebungsmaßnahmen erforderlich sind.
Vorgehensweise
1
Wählen Sie Dashboard | Charts and Tables (Dashboard | Diagramme und Tabellen) aus.
2
Klicken Sie im Navigationsbereich auf System Summary (Systemzusammenfassung), und blättern Sie
nach unten zur Tabelle WCCP Service Current Status Report (Aktueller Statusbericht für WCCP-Dienst).
Die Tabelle zeigt Werte für mehrere WCCP-Parameter an, z. B. die ID des WCCP-Dienstes, den die
Appliance abonniert hat, die IP-Adresse des Routers, Weiterleitungs- und Rückgabemethoden sowie
zugewiesene Buckets.
Zudem zeigt sie die Zeitstempel der letzten "Hier bin ich"- und "Ich sehe dich"-Datenpakete an,
anhand derer Sie überprüfen können, ob die Systemdiagnose funktioniert.
Abrufen WCCP-bezogener Informationen mithilfe der Befehlszeile
Sie können WCCP-bezogene Informationen mithilfe verschiedener Befehle über die Befehlszeile
abrufen.
Geben Sie den folgenden Befehl ein, um zu überprüfen, ob Web-Datenverkehr an den konfigurierten
Port auf einer Web Gateway-Appliance umgeleitet wird.
iptables -t mangle -L
Es könnte dann beispielsweise ein Eintrag für chain WCCP0 mit einer Zeile angezeigt werden, die
redirect 10.10.73.72:9090 enthält.
10.10.73.72 ist die IP-Adresse der Netzwerkschnittstelle der Netzwerkkarte auf der Web
Gateway-Appliance, die Sie als Ziel des umgeleiteten Datenverkehrs konfiguriert haben. 9090 ist der
konfigurierte Port.
Sie können überprüfen, ob die Appliance die "Hier bin ich"- und "Ich sehe dich"-Datenpakete sendet.
Geben Sie den folgenden Befehl ein:
tcpdump -npi eth0 port 2048
92
Produkthandbuch
4
Proxys
Überprüfen Sie in den angezeigten Datenpaketen, dass Folgendes zutrifft:
•
Bei der für den Web-Cache angezeigten IP-Adresse handelt es sich um die IP-Adresse der Web
Gateway-Appliance.
•
Die Bucket-Zuweisungsmethode entspricht der auch für Web Gateway konfigurierten Methode.
•
Die Umleitungsmethode entspricht der auch für Web Gateway konfigurierten Methode.
Sie können überprüfen, ob die GRE-gekapselten oder auf L2 neugeschriebenen Datenpakete auf der
Web Gateway-Appliance empfangen werden.
•
Geben Sie für die GRE-Kapselung den folgenden Befehl ein:
tcpdump -npi eth0 ip proto 47
Vergewissern Sie sich, dass es sich bei der Quell-IP-Adresse der Datenpakete um die IP-Adresse
handelt, die für den Router auf Web Gateway konfiguriert ist.
•
Geben Sie für die L2-Neuschreibung den folgenden Befehl ein:
tcpdump -npi eth0 not host <IP-Adresse der Web Gateway-Appliance>
Vergewissern Sie sich, dass es sich bei der Quell-IP-Adresse der Datenpakete um die IP-Adresse
des Clients handelt, der die Anfrage gesendet hat.
Sie können auch den Befehl ifconfig eingeben, um zu überprüfen, ob umgeleitete Datenpakete bei Web
Gateway ankommen.
Der transparente Router-Modus ist einer der beiden transparenten Modi, die Sie für die
Proxy-Funktionen einer Web Gateway-Appliance konfigurieren können, wenn Sie keinen expliziten
Modus verwenden möchten.
Im transparenten Router-Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur
Weiterleitung ihres Web-Datenverkehrs an die Appliance konfiguriert werden müssen.
Die Appliance wird als Router direkt hinter der Firewall platziert. Die Appliance kann über einen Switch
mit ihren Clients verbunden werden. Zum Weiterleiten des Datenverkehrs wird eine Routing-Tabelle
verwendet.
Master- und Scan-Knoten
Wenn mehrere Appliances als Knoten in einer komplexen Konfiguration ausgeführt werden, z. B. in
einem Cluster mit zentraler Verwaltung, wird normalerweise ein Knoten als Master-Knoten
konfiguriert, während die anderen Knoten als Scan-Knoten konfiguriert werden.
Der Master-Knoten empfängt Web-Datenverkehr von den Clients und leitet ihn an die Scan-Knoten
weiter, die den Datenverkehr entsprechend den implementierten Regeln filtern. Die weitere
Verarbeitung des Datenverkehrs durch den Master-Knoten oder die Scan-Knoten hängt von der
jeweiligen Konfiguration ab.
Der Master-Knoten kann auch Filteraktivitäten durchführen. Sie sollten mindestens zwei
Master-Knoten konfigurieren, damit keine Probleme entstehen, falls einer ausfällt.
Wenn in Ihrem Netzwerk nur eine Web Gateway-Appliance ausgeführt wird und Sie diese im
transparenten Router-Modus konfigurieren möchten, müssen Sie dafür trotzdem die Master-Rolle
konfigurieren, damit der Web-Datenverkehr empfangen, gefiltert und weitergeleitet werden kann.
Produkthandbuch
93
4
Proxys
Konfigurieren des Modus "Transparenter Router"
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im Modus
"Transparenter Router" zu konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, für die der Modus "Transparenter Router"
konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) Transparent Router (Transparenter Router) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Router
(Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie auf jedem dieser Knoten den Modus "Transparenter Router" konfigurieren.
bezeichneten Methode dynamisch gehandhabt wird, ist für den Modus "Transparenter Router"
zusätzliche Konfiguration erforderlich.
Siehe auch
Einstellungen für „Transparenter Router“ auf Seite 97
Konfigurieren von Knoten im transparenten Router-Modus
Sie können den transparenten Router-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen konfiguriert werden.
Aufgaben
94
•
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 95
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus auf Seite 95
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Router-Modus auf Seite 96
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie
mindestens eine Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren.
Konfigurieren Sie die Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in
diesem Modus, mit Ausnahme der Scan-Rolle.
Produkthandbuch
4
Proxys
Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten
im transparenten Router-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie
Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für eingehenden und eine Schnittstelle für
ausgehenden Web-Datenverkehr.
4
Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet.
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Router-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
(HTTP(S), FTP, ICAP und IM)).
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
Produkthandbuch
95
4
Proxys
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, aktivieren Sie den Regelsatz
„SSL Scanner“, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt wird,
jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) eine IP-Adresse für jeden Scan-Knoten
ein, mit denen der Master Verbindungen herstellen können soll.
7
Konfigurieren Sie unter Virtual IPs (Virtuelle IP-Adressen) virtuelle IP-Adressen für die eingehende
und die ausgehende Netzwerkschnittstelle; geben Sie hierbei freie IP-Adressen an.
8
Behalten Sie die Zahl unter Virtual router ID (ID für virtuellen Router) unverändert bei.
9
Wählen Sie in der Liste VRRP interface (VRRP-Schnittstelle) die Schnittstellen für Heartbeats unter
diesem Protokoll aus.
10 Konfigurieren Sie ggf. das IP-Spoofing.
11 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
12 Klicken Sie auf Save Changes (Änderungen speichern).
Konfigurieren eines Scan-Knotens im transparenten Router-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie mindestens eine
Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren. Konfigurieren Sie die
96
Produkthandbuch
4
Proxys
Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in diesem Modus, mit Ausnahme
der Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Scan-Knoten
konfigurieren möchten, und klicken Sie auf Network Interfaces (Netzwerkschnittstellen).
3
Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf.
Sie benötigen mindestens eine Schnittstelle für ausgehenden Web-Datenverkehr.
4
5
6
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren
möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP,
SOCKS, ICAP ...)).
7
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter
Router) aus.
Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den
8
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
9
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
10 Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
11 Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
Wenn mehrere Scan-Knoten im Modus „Transparenter Router“ ausgeführt werden sollen, konfigurieren
Sie weitere Appliances auf die gleiche Weise.
Einstellungen für „Transparenter Router“
Die Einstellungen für „Transparenter Router“ sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im Modus „Transparenter Router“.
Transparenter Router
Einstellungen zum Konfigurieren des Modus „Transparenter Router“
Produkthandbuch
97
4
Proxys
Tabelle 4-9 Transparenter Router
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim
Weiterleiten der in einer Anfrage gesendeten Datenpakete hat.
Wenn mehrere Appliances als Knoten in einer komplexen
Konfiguration ausgeführt werden, z. B. in einem Cluster mit
zentraler Verwaltung, ist der Knoten mit dem höchsten Wert der
Master-Knoten, während die anderen Knoten als Scan-Knoten
konfiguriert werden, die nur Filteraktivitäten ausführen.
Der Master-Knoten empfängt Datenpakete, verteilt sie zum Filtern
an die anderen Knoten und leitet die nicht ausgefilterten
Datenpakete an das Web weiter.
Setzen Sie in einer komplexen Konfiguration den Master-Knoten auf
einen Wert größer null und die Scan-Knoten auf null.
Wenn in Ihrem Netzwerk nur eine Web Gateway-Appliance
ausgeführt wird und Sie diese im transparenten Router-Modus
konfigurieren möchten, müssen Sie die Priorität dafür trotzdem auf
einen Wert größer null setzen, damit die Datenpakete empfangen,
gefiltert und weitergeleitet werden können.
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
Virtual IPs (Virtuelle IP-Adressen)
Stellt eine Liste zur Eingabe virtueller IP-Adressen bereit.
Virtual router ID (ID des virtuellen
Routers)
Gibt einen virtuellen Router an.
VRRP interface (VRRP-Schnittstelle)
Gibt die Netzwerkschnittstelle auf einer Appliance zum Senden und
Empfangen von Heartbeat-Meldungen an.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet
diese zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem
Host-Namen der Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing
(FTP))
Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise
wie unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen.
Diese Option muss für ein aktives FTP aktiviert sein.
In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects)
und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben.
Tabelle 4-10
98
Port-Umleitungen – Listeneintrag
Option
Definition
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die Anfragen ursprünglich gesendet werden
müssen, wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Produkthandbuch
Proxys
Tabelle 4-10
4
Port-Umleitungen – Listeneintrag (Fortsetzung)
Option
Definition
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
• Für jede IP-Adresse muss auch eine Netzmaske angegeben werden.
• Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese
von keiner der implementierten Filterregeln verarbeitet.
• Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um
von vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Verarbeitung auf Web Gateway überspringen zu lassen, oder zur
Fehlerbehebung bei Verbindungsproblemen.
Destination IP based exceptions
(Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
an vertrauenswürdige Ziele gesendeten Anfragen die weitere
Optional 802.1Q VLANs
(Optionale 802.1Q-VLANs) VLAN-Datenverkehr auf.
Comment (Kommentar)
Tabelle 4-11
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag
Option
Definition
Virtual IP address (Virtuelle IP-Adresse)
Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an.
Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, der die hier
konfigurierte virtuelle IP-Adresse zugewiesen wird.
Diese virtuelle IP-Adresse wird nur dann der Schnittstelle
zugewiesen, wenn der aktuelle Knoten die Rolle des aktiven
Weiterleitungsknotens annimmt.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen
IP-Adresse.
Der transparente Bridge-Modus ist einer der transparenten Modi, die Sie für die Proxy-Funktionen der
Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden möchten.
In diesem Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur Weiterleitung ihres
Web-Datenverkehrs an die Appliance konfiguriert werden müssen. Die Appliance befindet sich
üblicherweise zwischen einer Firewall und einem Router, wo sie als unsichtbare Bridge dient.
Produkthandbuch
99
4
Proxys
Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Bridge-Modus.
Abbildung 4-2 Transparenter Bridge-Modus
Konfigurieren des transparenten Bridge-Modus
Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im
transparenten Bridge-Modus zu konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente
Bridge-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente
Bridge) aus.
Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Bridge
(Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt.
Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum
Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen.
4
Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf.
5
Starten Sie die Appliance neu.
Beim Neustart werden auch die Netzwerktreiber neu geladen. Dadurch wird sichergestellt, dass die
geeigneten Treiber für diesen Netzwerkmodus angewendet werden.
Auch nach einem Wechsel vom Modus "Transparente Bridge" in einen anderen Netzwerkmodus wird
ein Neustart der Appliance empfohlen.
6
Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt
werden, können Sie auf jedem dieser Knoten den transparenten Bridge-Modus konfigurieren.
bezeichneten Methode dynamisch gehandhabt wird, ist für den transparenten Bridge-Modus zusätzliche
Konfiguration erforderlich.
100
Produkthandbuch
4
Proxys
Siehe auch
Einstellungen für die transparente Bridge auf Seite 106
Konfigurieren von Knoten im transparenten Bridge-Modus
Sie können den transparenten Bridge-Modus für zwei oder mehr Appliances konfigurieren, die Knoten
in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die
Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden.
Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen sowie Einstellungen für die
zentrale Verwaltung konfiguriert werden.
Aufgaben
•
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die zentrale Verwaltung für
einen Weiterleitungsknoten im transparenten Bridge-Modus auf Seite 101
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren
IP-Adresse für die Verwendung bei der Kommunikation mit der zentralen Verwaltung
freigeben.
•
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus auf Seite 102
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten
sowie Port-Umleitungen und Proxy-Ports konfigurieren.
•
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus auf Seite 104
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie
dieselben Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit
Ausnahme der Scan-Rolle.
Konfigurieren von Netzwerkeinstellungen und Einstellungen für die
zentrale Verwaltung für einen Weiterleitungsknoten im transparenten
Bridge-Modus
Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine
Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren IP-Adresse
für die Verwendung bei der Kommunikation mit der zentralen Verwaltung freigeben.
Vorgehensweise
1
2
konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
3
Bereiten Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge vor.
a
Wählen Sie eine bisher nicht verwendete Netzwerkschnittstelle auf der Appliance aus, aktivieren
Sie diese jedoch noch nicht.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
Produkthandbuch
101
4
Proxys
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
e
4
Konfigurieren Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. Wählen Sie anschließend
erneut die Appliance aus, und klicken Sie auf Network interfaces (Netzwerkschnittstellen).
Daraufhin wird eine weitere Netzwerkschnittstelle mit dem Namen ibr0 verfügbar.
5
b
Wählen Sie die Schnittstelle ibr0 aus.
c
Konfigurieren Sie auf der Registerkarte IPv4 eine IP-Adresse, eine Subnetz-Maske und eine
Standardroute für diese Schnittstelle.
d
Aktivieren Sie das Kontrollkästchen neben der Schnittstelle, um diese zu aktivieren.
Konfigurieren Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle als
Netzwerkschnittstelle für die Funktionen der transparenten Bridge.
a
Wählen Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle aus.
b
Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert)
aus.
c
Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein.
d
Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4
(IPv4 deaktivieren) aus.
6
Aktivieren Sie die Netzwerkschnittstelle ibr0, die Sie in Schritt 3 aus den bisher nicht verwendeten
Netzwerkschnittstellen ausgewählt haben.
7
Konfigurieren Sie die Einstellungen für die zentrale Verwaltung.
8
a
Wählen Sie Central Management (Zentrale Verwaltung) aus.
b
Fügen Sie unter Central Management Settings (Einstellungen für zentrale Verwaltung) der
bereitgestellten Liste die IP-Adresse hinzu, die Sie für die Netzwerkschnittstelle ibr0 festgelegt
haben.
Wenn mehrere Netzwerkschnittstellen für den transparenten Bridge-Modus verwendet werden sollen,
konfigurieren Sie weitere nicht verwendete Netzwerkschnittstellen einer Appliance auf dieselbe Weise.
Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im
transparenten Bridge-Modus
Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten
Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und
Proxy-Ports konfigurieren.
Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird.
102
Produkthandbuch
4
Proxys
Vorgehensweise
1
2
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
4
Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients
gesendete Anfragen an einen bestimmten Port umgeleitet werden.
a
b
Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw.
HTTPS-Verbindungen gilt:
•
Protocol name (Protokollname) – http
http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab.
•
Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443
Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch
HTTPS-Verbindungen ab.
Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, müssen Sie den Regelsatz „SSL
Scanner“ aktivieren, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt
wird, jedoch nicht aktiviert ist.
•
Destination proxy port (Ziel-Proxy-Port) – 9090
9090 ist der standardmäßige Proxy-Port auf einer Appliance.
Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden
müssen, ändern Sie ggf. diese Einstellungen.
Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll
aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern.
5
Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest.
6
Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) die IP-Adresse ein, die Sie beim
Konfigurieren der Netzwerkeinstellungen für ibr0 angegeben haben.
7
Konfigurieren Sie ggf. das IP-Spoofing.
8
Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy
(HTTP-Proxy aktivieren) ausgewählt ist.
Produkthandbuch
103
4
Proxys
Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition
List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert.
9
•
Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add
HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen
können.
•
Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die
Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121
und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen)
vorkonfiguriert.
Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus
Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie dieselben
Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit Ausnahme der
Scan-Rolle.
Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren
SOCKS, ICAP ...)).
3
Bridge) aus.
Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den
4
Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten.
5
Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest.
6
Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten.
7
Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten.
8
Wenn mehrere Scan-Knoten im Modus „Transparente Bridge“ ausgeführt werden sollen, konfigurieren
Sie weitere Appliances auf die gleiche Weise.
Empfohlene Vorgehensweisen – Feineinstellungen für den
Modus "Transparente Bridge"
Beim Konfigurieren von Web Gateway im Modus "Transparente Bridge" können Sie zur Optimierung
der Konfiguration zusätzlich zu den grundlegenden Einstellungen noch verschiedene weitere Schritte
durchführen.
Folgende zusätzliche Einstellungen sind möglich:
104
•
Konfigurieren von Port-Umleitungen
•
Einrichten von mehreren Appliances
•
Geeignete Handhabung von STP
Produkthandbuch
4
Proxys
Konfigurieren von Port-Umleitungen
Web Gateway ist standardmäßig so konfiguriert, dass Web-Zugriffsanfragen, die an den Ports 80 und
443 eintreffen, gescannt und gefiltert werden. Alle auf den anderen Ports eintreffenden Anfragen
werden ungefiltert an das Web weitergegeben, sofern keine zusätzlich zu filternden Ports festgelegt
sind.
Sie können auch Port-Umleitungen für Anfragen von einer bestimmten Client-IP-Adresse bzw. an eine
bestimmte Ziel-IP-Adresse als Ausnahmen konfigurieren. Diese werden dann ebenfalls ungefiltert an
das Web weitergeleitet.
Einrichten von mehreren Appliances
Wenn Sie Web Gateway im Modus "Transparente Bridge" konfigurieren, empfiehlt es sich, mindestens
zwei Appliances einzurichten.
Eine in diesem Modus konfigurierte Web Gateway-Appliance nimmt im Netzwerk eine zentrale Position
ein. Dies bedeutet, dass der gesamte Datenverkehr physisch über diese Appliance geleitet wird, auch
wenn keine Ports für den Empfang und die Filterung des Datenverkehrs konfiguriert sind. Wenn nur
eine Appliance eingerichtet ist, würde es im Fehlerfall zu einem vollständigen Ausfall kommen.
Wenn hingegen mindestens eine zweite Appliance eingerichtet wird, kann diese als Failover-Gerät
dienen. Abgesehen von den Failover-Funktionen kann die zusätzliche Appliance jedoch auch Aufgaben
hinsichtlich des Lastausgleichs, des Empfangs und der Verarbeitung von Web-Datenverkehr
übernehmen.
Vermeiden des Schließens von Ports unter STP
Wenn die Web Gateway-Appliances im Netzwerk direkt mit Switches verbunden sind, die STP
(Spanning Tree Protocol) verwenden, werden Ports, die für die Lastausgleichskommunikation
notwendig sind, unter diesem Protokoll möglicherweise geschlossen.
Bei den meisten Netzwerk-Switches wird STP zur Vermeidung von Schleifen und zur Bereitstellung
eines zentralen Kommunikationspfads eingesetzt. Daher werden redundante Ports, die die genannten
Schleifen verursachen, geschlossen.
Das Protokoll wird jedoch auch dann verwendet, wenn zwei oder mehr Web Gateway-Appliances im
Modus "Transparente Bridge" konfiguriert sind. Eine der Appliances übernimmt dann die
Leitungsfunktion und leitet den anfallenden Web-Datenverkehr zur Verarbeitung an die anderen
Appliances weiter.
Hier wird STP zur Kommunikation dieser Leitungsfunktion sowie der zwischen den Appliances
erforderlichen Lastausgleichsmaßnahmen eingesetzt.
Wenn nun Netzwerk-Switches mit konfiguriertem STP direkt mit den Web Gateway-Appliances
verbunden sind, ist es sehr wahrscheinlich, dass Ports, die eigentlich für die entsprechende
Lastausgleichskommunikation benötigt werden, geschlossen werden.
Zur Vermeidung fälschlicherweise geschlossener Ports können Sie eine der folgenden Maßnahmen
anwenden:
•
Deaktivieren Sie STP auf jedem Switch, der direkt mit einer Web Gateway-Appliance verbunden ist.
Verwenden Sie diese Methode jedoch nicht, wenn andere Komponenten des Netzwerks von diesen
Switches und STP abhängen.
Produkthandbuch
105
4
Proxys
•
Installieren Sie zwischen jeder Web Gateway-Appliance und jedem Switch mit konfiguriertem STP,
mit dem die Appliance eigentlich verbunden sein würde, einen Switch ohne STP.
Bei dieser Netzwerkeinrichtung wird der Lastausgleich auf den Web Gateway-Appliances und
anderen Netzwerkkomponenten, die von Switches mit konfiguriertem STP abhängen, nicht
beeinträchtigt.
Siehe auch
Konfigurieren des transparenten Bridge-Modus auf Seite 100
Konfigurieren von Port-Umleitungen für den Modus "Transparente Bridge"
Sie können Port-Umleitungen für den Modus "Transparente Bridge" konfigurieren, damit bestimmte
Web-Anfragen ungefiltert weitergeleitet werden.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie Port-Umleitungen konfigurieren
SOCKS, ICAP ...)).
3
Bridge) aus.
Nun werden unter den Einstellungen für Network Setup (Netzwerkeinrichtung) die Einstellungen für
Transparent Bridge (Transparente Bridge) angezeigt.
4
Geben Sie in der Liste unter Port redirects (Port-Umleitungen) für jede gewünschte Port-Umleitung
eine IP-Adresse und eine Subnetzmaske an.
5
Einstellungen für die transparente Bridge
Die Einstellungen für die transparente Bridge sind spezielle Einstellungen zur Konfiguration der
Proxy-Funktionen einer Appliance im transparenten Bridge-Modus.
Transparente Bridge
Einstellungen zum Konfigurieren des transparenten Bridge-Modus
106
Produkthandbuch
4
Proxys
Tabelle 4-12 Transparente Bridge
Option
Definition
Port redirects (Port-Umleitungen)
Bietet eine Liste zur Eingabe der Ports, an die von den Benutzern
gesendete Web-Zugriffsanfragen umgeleitet werden.
Director priority
Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim Weiterleiten
der in einer Anfrage gesendeten Datenpakete hat.
Der größte Wert gibt die höchste Priorität an. 0 bedeutet, dass es sich bei
einer Appliance um einen so genannten Scan-Knoten handelt, der
Datenpakete nur filtert und nie weiterleitet.
Sie können diese Option nur zum Konfigurieren eines Knotens
als Scan-Knoten (Priorität = 0) oder als Master-Knoten
(Priorität > 0) verwenden.
Unterschiede in der Knotenprioritäten größer als 0 werden nicht
ausgewertet.
Nach dem Konfigurieren von Knotenprioritäten größer als 0 für
mehrere Appliances im transparenten Bridge-Modus müssen Sie
deren Verhalten beobachten, um herauszufinden, welche
tatsächlich zum Master-Knoten wurde und die Datenpakete
weiterleitet.
Management IP
Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim
Senden von Heartbeat-Meldungen an andere Appliances weiterleitet.
IP spoofing (HTTP, HTTPS)
(IP-Spoofing (HTTP, HTTPS))
Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage
gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese
zur Kommunikation mit dem angefragten Web-Server unter
verschiedenen Protokollen.
Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen der
Anfrage übereinstimmt.
IP spoofing (FTP) (IP-Spoofing
(FTP))
Bei Auswahl dieser Option kommuniziert die Appliance mit einem
Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie
unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing
durchzuführen
Diese Option muss für ein aktives FTP aktiviert sein.
In der folgenden Tabelle wird ein Eintrag in der Liste der Port-Umleitungen erläutert.
Tabelle 4-13
Port-Umleitungen – Listeneintrag
Option
Definition
Gibt den Namen des Protokolls an, das zum Senden und Empfangen von
Anfragen verwendet wird.
Original destination ports
(Ursprüngliche Ziel-Ports)
Gibt die Ports an, an die umgeleitete Anfragen ursprünglich gesendet
werden müssen, wenn diese umzuleiten sind.
Destination proxy port
(Ziel-Proxy-Port)
Gibt den Port an, an den Anfragen umgeleitet werden.
Produkthandbuch
107
4
Proxys
Tabelle 4-13
Port-Umleitungen – Listeneintrag (Fortsetzung)
Option
Definition
Source IP based exceptions
(Quell-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die von Clients mit den
angegebenen IP-Adressen erhalten wurden.
von vertrauenswürdigen Quellen eingegangene Anfragen die weitere
Destination IP based exceptions
(Ziel-IP-basierte
Ausnahmen)
Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der
angegebenen IP-Adresse gesendet werden.
an vertrauenswürdige Ziele gesendete Anfragen die weitere
Verarbeitung überspringen zu lassen
Optional 802.1Q VLANs
(Optionale 802.1Q-VLANs)
VLAN-Datenverkehr auf.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung.
Wenn die Kommunikation zwischen Web Gateway auf einer Appliance und den zugehörigen Clients
erfordert, dass die Größe der Datenpakete dynamisch gehandhabt wird, kann nur der explizite
Proxy-Modus wie üblich konfiguriert werden.
Die folgenden Modi erfordern in diesem Fall eine zusätzliche Konfiguration:
•
Proxy-Hochverfügbarkeitsmodus
•
•
Die Größe der Datenpakete wird durch den MTU-Parameter (Maximum Transmission Unit,
Maximalgröße des zu übermittelnden Pakets) gemessen, der die Anzahl an Bytes beschränkt, die in
einem Paket gesendet werden können.
Die Methode zur Aushandlung des Werts für diesen Parameter zwischen Kommunikationspartnern wird
auch als Path MTU Discovery (Ermittlung der maximalen Paketgröße eines Übermittlungspfades)
bezeichnet. Diese ist für die drei oben aufgeführten Modi nicht verfügbar.
Wenn beispielsweise Web Gateway ein Datenpaket an einen Client sendet, mit dem es über einen
VPN-Tunnel (Virtual Private Network, virtuelles privates Netzwerk) verbunden ist, kann die MTU
(Maximum Transmission Unit, Maximalgröße des zu übermittelnden Pakets), die der VPN-Tunnel
verarbeiten kann, 1412 sein, wohingegen die MTU der Datenpakete 1500 ist.
108
Produkthandbuch
Proxys
Secure ICAP
4
Das VPN-Gateway sendet dann unter dem ICMP-Protokoll eine Meldung, um seinen Partner über die
erforderliche Größe zu informieren, diese Meldung kann jedoch nur dann verarbeitet werden, wenn es
sich bei dem konfigurierten Netzwerkmodus um den expliziten Proxy-Modus handelt.
Um dieses Problem für die anderen Modi zu beheben, reduzieren Sie den Wert des Parameters „MTU“
(Maximum Transmission Unit, Maximalgröße des zu übermittelnden Pakets) für die
Netzwerkschnittstelle in Web Gateway, die zur Kommunikation verwendet wird, in diesem Fall die
Kommunikation mit Clients hinter einem VPN-Tunnel. Setzen Sie den Parameter auf den erforderlichen
Wert, z. B. 1412.
Der Parameter "MTU" (Maximum Transmission Unit, Maximalgröße des zu übermittelnden Pakets) wird
auf der Benutzeroberfläche in den Einstellungen für Network interfaces (Netzwerkschnittstellen) für IPv4
oder IP6 konfiguriert, auf die über Configuration | Appliances (Konfiguration | Appliances) zugegriffen
werden kann.
Secure ICAP
Wenn eine Appliance unter dem ICAP-Protokoll die Server- und Client-Rolle übernimmt, kann die
Kommunikation im SSL-gesicherten Modus erfolgen.
Um diesen Modus verwenden zu können, müssen Sie ein Server-Zertifikat für jeden ICAP-Port der
Appliance importieren, bei der SSL-gesicherte Anfragen der Clients eingehen. Die Clients sind zum
Übermitteln der Zertifikate nicht erforderlich.
Anfragen, die von der Appliance in ihrer Rolle als ICAP-Client an den ICAP-Server weitergeleitet
werden, müssen ICAPS als Spezifikation in der Server-Adresse enthalten, um die SSL-gesicherte
Kommunikation mit dem Server zu ermöglichen.
Die Appliance sendet kein Client-Zertifikat an den ICAP-Server.
SOCKS-Proxy
Sie können Web Gateway als Proxy konfigurieren, der den Web-Datenverkehr über das
SOCKS-Protokoll (Sockets-Protokoll) weiterleitet.
Web-Datenverkehr über das SOCKS-Protokoll folgt außerdem auch einem eingebetteten Protokoll, bei
dem es sich z. B. um HTTP oder HTTPS handeln kann.
Das eingebettete Protokoll kann in Web Gateway erkannt werden, und wenn die Filterung für den
Web-Datenverkehr unter diesem Protokoll unterstützt wird, können die konfigurierten Filterregeln für
diesen Datenverkehr verarbeitet werden. Wenn die Filterung nicht unterstützt wird, kann der
Datenverkehr durch eine passende Regel blockiert werden.
Bezüglich der Verwendung des SOCKS-Protokolls für die Proxy-Funktionen in Web Gateway gelten
einige Einschränkungen:
•
Die SOCKS-Protokollversion muss 5, 4 oder 4a sein.
•
Die BIND-Methode wird zum Einrichten von Verbindungen unter dem SOCKS-Protokoll nicht
unterstützt.
Web-Datenverkehr, der von einem Proxy am nächsten Hop unter dem SOCKS-Protokoll weitergeleitet
wird, kann mit Stufe 1 oder 2 der Kerberos-Authentifizierungsmethode geschützt werden.
In diesem Fall kann jedoch keine SSL-Verschlüsselung auf den Datenverkehr angewendet werden,
sodass auch kein SSL-Scan erforderlich ist. Der Standardregelsatz „SSL Scanner“ enthält daher einen
Kriterienabschnitt, der dafür sorgt, dass dieser Datenverkehr beim SSL-Scan übersprungen wird.
Produkthandbuch
109
4
Proxys
SOCKS-Proxy
Konfigurieren eines SOCKS-Proxys
Zum Konfigurieren von Web Gateway als SOCKS-Proxy müssen Sie verschiedene Aktionen
durchführen.
•
Den SOCKS-Proxy aktivieren.
•
Einen oder mehrere Proxy-Ports angeben, die auf SOCKS-Proxy-Clients überwachen, die Anfragen
an Web Gateway senden.
Diese Ports werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway angegeben.
•
Regeln erstellen, die das Verhalten des SOCKS-Proxys steuern.
Diese Einstellungen werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway
konfiguriert.
Verwenden von Eigenschaften und eines Ereignisses in Regeln
für einen SOCKS-Proxy
Es stehen zwei Eigenschaften und ein Ereignis zum Erstellen von Regeln zur Verfügung, mit denen das
Verhalten von Web Gateway bei Ausführung als SOCKS-Proxy gesteuert werden kann.
Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter
SOCKS-Proxy-Regelsatz verfügbar. Wenn Sie solche Regeln verwenden möchten, müssen Sie diese
erstellen und in einen bestehenden Regelsatz einfügen oder einen Regelsatz für die Regeln erstellen.
•
ProtocolDetector.DetectedProtocol: Mit dieser Eigenschaft kann das eingebettete Protokoll erkannt
werden, das bei Web-Datenverkehr unter dem SOCKS-Protokoll befolgt wird, z. B. HTTP oder
HTTPS.
Der Wert ist der Protokollname im Zeichenfolgeformat. Wenn das eingebettete Protokoll nicht
erkannt werden kann, ist die Zeichenfolge leer.
•
ProtocolDetector.ProtocolFilterable: Mit dieser Eigenschaft kann ermittelt werden, ob die Filterung
für Web-Datenverkehr, der das erkannte eingebettete Protokoll befolgt, unterstützt wird.
Der Wert ist true, wenn dieser Datenverkehr gefiltert wird, andernfalls ist er false.
Wenn diese Eigenschaft in einer Regel verarbeitet wird, wird der Eigenschaft
ProtocolDetector.DetectedProtocol ebenfalls ein Wert zugewiesen. Wenn dieser Wert eine leere
Zeichenfolge für letztere Eigenschaft ist, das eingebettete Protokoll also nicht erkannt wurde, wird
der Wert der Eigenschaft ProtocolDetector.ProtocolFilterable entsprechend auf false gesetzt.
•
ProtocolDetector.ApplyFiltering: Mit diesem Ereignis kann die Verarbeitung weiterer Regeln aktiviert
werden, die in Web Gateway zum Filtern von Web-Datenverkehr unter dem erkannten Protokoll
konfiguriert wurden.
Entsprechend aktiviert die folgende Regel die Verarbeitung anderer Regeln zum Filtern des
Web-Datenverkehrs unter dem SOCKS-Protokoll, wenn ein eingebettetes Protokoll erkannt wurde, das
sich filtern lässt.
Name
Enable filtering for SOCKS traffic following an embedded protocol that is filterable
Criteria (Kriterium)
ProtocolDetector.ProtocolFilterable is true
Action (Aktion)
–> StopCycle
Event (Ereignis)
ProtocolDetector.ApplyFiltering
Die folgende Regel blockiert SOCKS-Datenverkehr, wenn kein eingebettetes Protokoll erkannt wird.
110
Produkthandbuch
4
Proxys
SOCKS-Proxy
Name
Block SOCKS traffic if no embedded protocol can be detected
ProtocolDetector.DetectedProtocol equals " "
Action (Aktion)
–>
Block
Wenn keine Regel konfiguriert ist, die das Filtern des SOCKS-Datenverkehrs aktivieren oder diesen
blockieren würde, wenn kein eingebettetes Protokoll erkannt wird, ist dieser Datenverkehr zulässig.
Wenn also eine Web-Zugriffsanfrage von einem SOCKS-Client auf Web Gateway eingeht, wird diese
ohne weitere Verarbeitung an den angefragten Web-Server weitergeleitet.
Konfigurieren von SOCKS-Proxy-Einstellungen
Sie können Einstellungen für einen SOCKS-Proxy im Rahmen der allgemeinen Proxy-Einstellungen in
Web Gateway konfigurieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als SOCKS-Proxy
Nun werden die Einstellungen zum Konfigurieren von Proxy-Funktionen im Konfigurationsbereich
angezeigt.
3
Führen Sie einen Bildlauf nach unten zu den Einstellungen für SOCKS Proxy (SOCKS-Proxy) aus.
4
5
Siehe auch
Verwenden von UDP unter SOCKS
Sie können UDP (User Datagram Protocol) konfigurieren, wenn Web Gateway als Proxy unter dem
SOCKS-Protokoll ausgeführt wird.
Wenn Datenverkehr unter dem SOCKS-Protokoll von den Proxy-Funktionen in Web Gateway
verarbeitet wird, kann Datenverkehr unter UDP ebenfalls erkannt und weitergeleitet werden. Dieser
Datenverkehr wird nicht gefiltert, sondern direkt weitergeleitet.
Um diese Art der Verarbeitung für UDP-Datenverkehr zuzulassen, müssen Sie die folgenden
Konfigurationsschritte ausführen.
•
Legen Sie den Port-Bereich fest, der auf UDP-Datenverkehr überwacht.
•
Legen Sie ein Verbindungszeitlimit für UDP-Datenverkehr fest.
Die Verarbeitung von UDP-Datenverkehr ist standardmäßig aktiviert und muss daher nicht explizit
aktiviert werden.
Wenn ein Web Gateway-Client eine Anfrage zur Herstellung einer UDP-Verbindung unter SOCKS
sendet, wird der mit der Anfrage gesendete Befehlsname als Wert einer Eigenschaft gespeichert.
Produkthandbuch
111
4
Proxys
SOCKS-Proxy
Der Name der Eigenschaft lautet Command.Name, und ihr Wert ist dann SOCKSUDPASSOCIATE. Sie
können diese Eigenschaft in einer Regel für die Überwachung oder für andere Zwecke verwenden.
Außerdem können Sie diese Eigenschaft in einer Regel zum Deaktivieren der Verarbeitung von
UDP-Datenverkehr in Web Gateway verwenden.
Die Verwendung von UDP wird auch im Dashboard unter SOCKS Traffic Summary
(SOCKS-Datenverkehrszusammenfassung) überwacht und angezeigt.
Konfigurieren von Einstellungen für UDP unter SOCKS
Konfigurieren Sie die Einstellungen für UDP, um das Filtern von Datenverkehr unter diesem Protokoll
zu ermöglichen, wenn Web Gateway als Proxy unter dem SOCKS-Protokoll ausgeführt wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie UDP-Einstellungen
konfigurieren möchten, und klicken Sie dann auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S),
FTP, SOCKS, ICAP ...)).
3
Scrollen Sie im Konfigurationsbereich nach unten zu SOCKS Proxy (SOCKS-Proxy). Legen Sie unter
Port range for UDP (Port-Bereich für UDP) den Bereich der Ports fest, die auf UDP-Datenverkehr
überwachen.
4
Scrollen Sie weiter nach unten zu Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits für HTTP(S),
FTP, ICAP, SOCKS und UDP). Legen Sie unter UDP timeout (UDP-Zeitlimit) das Zeitlimit für
UDP-Verbindungen fest.
5
Siehe auch
SOCKS Proxy (SOCKS-Proxy) auf Seite 122
Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits für HTTP(S), FTP, ICAP, SOCKS
und UDP) auf Seite 123
SOCKS Proxy (Regelsatz)
Der Regelsatz „SOCKS Proxy“ ist ein Bibliotheks-Regelsatz für die Filterung von Datenverkehr, der
unter dem SOCKS-Protokoll ausgeführt wird.
Bibliotheks-Regelsatz – SOCKS Proxy
Criteria – Always
Cycles – Requests (and IM) and responses
Der Regelsatz enthält die folgenden Regeln.
Filter traffic under the SOCKS protocol with filterable embedded protocol
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle —
ProtocolDetector.ApplyFiltering
Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.ProtocolFilterable, ob das in den
SOCKS-Datenverkehr eingebettete Protokoll in Web Gateway gefiltert werden kann. HTTP- und
HTTPS-Protokolle können gefiltert werden.
Wenn eines dieser beiden Protokolle erkannt wird, wird die Filterung durch das Regelereignis
aktiviert. Wenn kein eingebettetes Protokoll erkannt wird, wird die Regel nicht angewendet, und die
Verarbeitung wird mit der zweiten Regel fortgesetzt.
112
Produkthandbuch
4
Proxys
Instant Messaging
Block traffic under the SOCKS protocol if no embedded protocol is detected
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block <Default>
Die Regel blockiert Anfragen, wenn kein eingebettetes Protokoll erkannt wird.
Block traffic under the SOCKS protocol if detected protocol is not on whitelist
ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol Whitelist –>
Block <Default>
Die Regel blockiert Anfragen, wenn ein eingebettetes Protokoll erkannt wird, das sich jedoch nicht in
einer bestimmten Whitelist befindet.
Die Regel ist standardmäßig nicht aktiviert.
Instant Messaging
Instant Messaging-Proxys können auf einer Appliance zum Filtern von Instant Messaging-Chats
und -Dateiübertragungen eingesetzt werden.
Wenn Benutzer Ihres Netzwerks an einer Instant Messaging-Kommunikation teilnehmen, senden diese
beispielsweise Chat-Nachrichten an einen Instant Messaging-Server, erhalten Antworten auf ihre
Nachrichten oder senden und empfangen Dateien. Ein Instant Messaging-Proxy auf einer Appliance
kann diesen Datenverkehr entsprechend den implementierten Filterregeln abfangen und filtern. Zu
diesem Zweck wird der Instant Messaging-Datenverkehr an die Appliance umgeleitet.
Folgende Netzwerkkomponenten sind am Filterprozess beteiligt:
•
Instant Messaging-Proxys: Proxys können auf Appliances zum Filtern des Instant Messagings
unter verschiedenen Protokollen eingesetzt werden, z. B. ein Yahoo-Proxy, ein Windows Live
Messenger-Proxy usw.
•
Instant Messaging-Clients: Diese Clients werden auf den Systemen der Benutzer in Ihrem
Netzwerk ausgeführt, um die Kommunikation mit Instant Messaging-Servern zu ermöglichen.
•
Instant Messaging-Server: Dies sind die Ziele, an die sich der Client aus dem Netzwerk heraus
richtet.
•
Weitere Komponenten Ihres Netzwerks: Weitere am Filtern des Instant Messagings beteiligte
Komponenten können beispielsweise eine Firewall oder ein lokaler DNS-Server sein, der den
Instant Messaging-Datenverkehr an eine Appliance umleitet.
Beim Konfigurieren der Instant Messaging-Filterung müssen Sie Konfigurationsaktivitäten für den
Proxy oder die Proxys des Instant Messagings ausführen, um sicherzustellen, dass diese den Instant
Messaging-Datenverkehr abfangen und filtern.
Zudem müssen Sie sicherstellen, dass der Instant Messaging-Datenverkehr an die Instant
Messaging-Proxys umgeleitet wird. Diese Konfigurationsaktivitäten erfolgen jedoch nicht auf den
Clients, sondern auf anderen Komponenten Ihres Netzwerks. Beispielsweise werden DNS-Umleitungen
oder Firewall-Regel auf entsprechende Weise konfiguriert.
Ein Instant Messaging-Proxy auf einer Appliance ist hauptsächlich für den Einsatz zusammen mit der
verfügbaren IM-Client-Software des Anbieter vorgesehen, z. B. Yahoo, Microsoft, ICQ oder Google.
Diese Client-Software kann dennoch ihre Verhaltensweise ändern und beispielsweise einen neuen
Anmelde-Server ohne Vorwarnung nach einer versteckten Aktualisierung verwenden.
Produkthandbuch
113
4
Proxys
Instant Messaging
Bei der Verwendung von Client-Software eines Drittanbieters sollten Sie sich generell bewusst sein,
dass Anmelde-Server, Protokollversionen oder Authentifizierungsmethoden im Vergleich zur
ursprünglichen Client-Software möglicherweise verändert wurden, was einen Instant Messaging-Proxy
auf einer Appliance daran hindern kann, den Instant-Messaging-Datenverkehr abzufangen und zu
filtern.
Konfigurieren eines Instant Messaging-Proxys
Zum Konfigurieren eines Instant Messaging-Proxys auf einer Appliance müssen Sie die relevanten Teile
der Einstellungen für Proxies (Proxys) im übergeordneten Menü Configuration (Konfiguration)
konfigurieren.
Diese Einstellungen gelten hauptsächlich für:
•
Aktivierung eines Instant Messaging-Proxys
•
IP-Adressen und Ports, die auf von Instant Messaging-Clients gesendete Anfragen reagieren
•
Einstellungen für Instant Messaging-Server
•
Zeitlimits für die Instant Messaging-Kommunikation
Die Standardwerte für alle diese Einstellungen werden nach der Ersteinrichtung einer Appliance
vorkonfiguriert.
Instant Messaging unter den folgenden Protokollen kann gefiltert werden:
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP, ein Protokoll, das für Google Talk, Facebook Chat, Jabber und andere Instant
Messaging-Dienste verwendet wird
Die Regeln, die auf einer Appliance zum Filtern des Instant Messaging-Datenverkehrs verarbeitet
werden, sind die, bei denen in den Einstellungen der Regelsätze Requests (and IM) als
Verarbeitungszyklus definiert ist.
Der Responses-Zyklus kann jedoch auch beteiligt sein, wenn Instant Messaging unter dem
Yahoo-Protokoll gefiltert wird. Unter diesem Protokoll wird eine angefragte Datei in einer Antwort an
einen Client übertragen, die der Antwort entspricht, die bei der Übertragung von Dateien in normalem
Web-Datenverkehr verwendet wird. Die Datei wird auf einem Server gespeichert und vom Client unter
HTTP abgerufen, z. B. anhand einer geeigneten URL.
Wenn bei der Kommunikation zwischen dem Instant Messaging-Client und Proxy unter einem
bestimmten Protokoll Probleme auftreten, kann der Client auch zu einem anderen Protokoll wechseln
und somit den Proxy umgehen. Der Client kann sogar ein Protokoll für normalen Web-Datenverkehr
verwenden. Im Dashboard einer Appliance würde dies bei der Anzeige zu einer Abnahme des
IM-Datenverkehrs und einem Anstieg des Web-Datenverkehrs führen.
Sitzungsinitialisierung
Während der Initialisierung einer Instant Messaging-Sitzung zwischen Client und Server können
Client-Anfragen auf einer Appliance nur empfangen werden. Das Senden einer Antwort ist nicht
möglich. Solange dies der Fall ist, hat die IM.Message.CanSendBack-Eigenschaft den Wert false, wenn
diese in einer Regel verwendet wird.
114
Produkthandbuch
4
Proxys
Instant Messaging
Wir empfehlen, Blockierungsregeln hinsichtlich der Sitzungsinitialisierung nur dann zu implementieren,
wenn Sie Instant Messaging-Datenverkehr vollständig blockieren möchten. Sie sollten auch benötigte
Hilfsverbindungen zulassen. Dabei handelt es sich üblicherweise um DNS-Anfragen oder
HTTP-Übertragungen.
Von Ihnen implementierte Beschränkungen, die beispielsweise nur authentifizierte Benutzer zulassen,
sollten eher für Datenverkehr gelten, der während der Sitzung selber auftritt, z. B. Chat-Nachrichten
und Dateiübertragungen.
Konfigurieren anderer Netzwerkkomponenten für die Instant Messaging-Filterung
Der Zweck der Konfiguration weiterer Netzwerkkomponenten für die Instant Messaging-Filterung ist
es, den zwischen Clients und Servern auftretenden Instant Messaging-Datenverkehr an eine Appliance
umzuleiten, auf der ein oder mehrere Instant Messaging-Proxys ausgeführt werden.
Beispielsweise senden Clients unter dem ICQ-Protokoll ihre Anfragen an einen Server mit dem
Host-Namen api.icq.net. Für die Instant Messaging-Filterung müssen Sie eine DNS-Umleitungsregel
erstellen, sodass dieser Host-Name nicht für die IP-Adresse des ICQ-Servers, sondern für die der
Appliance aufgelöst wird.
Auf ähnliche Weise können Firewall-Regeln erstellt werden, um Instant Messaging-Datenverkehr an
eine Appliance und nicht an einen Instant Messaging-Server weiterzuleiten.
Filtern des Instant Messaging-Datenverkehrs unter Windows Live Messenger
Beim Konfigurieren der Filterung des unter dem Windows Live Messenger-Protokolls laufenden Instant
Messaging-Datenverkehrs sollte Folgendes beachtet werden.
Der Host-Name des Instant Messaging-Servers ist messenger.hotmail.com. Dies ist der Host-Name,
der in einer Umleitungsregel von der IP-Adresse einer Appliance mit einem Instant Messaging-Proxy
aufgelöst werden muss.
Manchmal stellt ein Client eine Verbindung mit einem Server her, ohne den in einer DNS-Suche
aufzulösenden Host-Namen anzufragen. In diesem Fall kann es helfen, in den Client-Einstellungen den
folgenden Registrierungseintrag zu suchen und zu entfernen:
geohostingserver_messenger.hotmail.com:1863, REG_SZ
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgende URL zugreifen können:
http://login.live.com
Aus diesem Grund müssen Sie diese URL in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
Filterung des Instant Messaging-Datenverkehrs unter ICQ
Beim Konfigurieren der Filterung des unter dem ICQ-Protokoll laufenden Instant
Die Host-Namen der Instant Messaging-Server lauten wie folgt:
•
api.icq.net (Service-Anfrage-Server: neu seit Trennung von AOL)
•
ars.icq.com (Dateiübertragungs-Proxy: neu seit Trennung von AOL)
•
api.oscar.aol.com (alter Service-Anfrage-Server)
•
ars.oscar.aol.com (alter Dateiübertragungs-Proxy)
Produkthandbuch
115
4
Proxys
Instant Messaging
•
login.icq.com (Für neues Anmeldeverfahren)
•
login.oscar.aol.com (für altes Anmeldeverfahren)
Die Anmeldung der ICQ-Clients an einem Server erfolgt mit einem verschlüsselten Prozess, der vom
Instant Messaging-Proxy auf einer Appliance nicht abgefangen werden kann.
Anschließend fragt der ICQ-Client jedoch unter Verwendung des nach der Anmeldung erhaltenen
Magic-Tokens beim Service-Anfrage-Server nach Informationen zum Sitzungs-Server. Hier fängt der
Instant Messaging-Proxy den Datenverkehr ab. Der Filterungsprozess verwendet dann ein anderes
Anmeldeverfahren, nachdem der Client-Name in der Kommunikation mit dem Sitzungs-Server bekannt
gegeben wurde.
Im Gegensatz zum Yahoo-Client ignoriert der ICQ-Client jegliche Verbindungseinstellungen von
Internet Explorer.
Filterung des Instant Messaging-Datenverkehrs unter Yahoo
Beim Konfigurieren der Filterung des unter dem Yahoo-Protokoll laufenden Instant
Die Liste der Instant Messaging-Server, an die Anfragen gesendet werden, kann sehr lang sein. Die
nachfolgende Liste zeigt die Host-Namen der Server, die verwendet werden oder wurden.
Möglicherweise sind in der Zwischenzeit neue Server dazugekommen, die der Liste hinzugefügt
werden müssen.
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
•
scsd.msg.yahoo.com
•
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die
folgenden URLs zugreifen können:
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
Aus diesem Grund müssen Sie diese URLs in die Whitelists einfügen, die von den implementierten
Web-Filterungsregeln auf einer Appliance verwendet werden.
116
Produkthandbuch
4
Proxys
XMPP-Proxy
Auch wenn die Option Connect directly to the Internet (Direktverbindung mit dem Internet) in den
Einstellungen eines Yahoo-Clients aktiviert wurde, werden möglicherweise weiterhin die
Verbindungseinstellungen des Internet Explorers verwendet. Dies kann dazu führen, dass die
Anmeldung zu einem späteren Zeitpunkt des Prozesses fehlschlägt. Wir empfehlen daher, auch die
URL *login.yahoo.com* in einer Whitelist einzufügen.
Probleme bei der Instant Messaging-Filterung
Probleme mit der Instant Messaging-Filterung können beispielsweise bei der Verbindung zwischen
Client und Server oder bei der Anwendung der implementierten Filterregeln auftreten.
Keep-Alive-Datenpakete werden in regelmäßigen Abständen als Bestandteil des Instant
Messaging-Datenverkehrs gesendet, um anzuzeigen, dass die Kommunikationspartner weiterhin
verbunden sind und antworten. Die Abstände variieren je nach IM-Protokoll und Client-Software
zwischen 20 und 80 Sekunden. Diese Datenpakete werden von den auf einer Appliance
implementierten Filterregeln nicht verarbeitet.
Wenn Sie solche Datenpakete in einer Fehlerbehebungssituation erkennen, können Sie mithilfe der
Regelmodulverfolgung die Regeln sehen, die weiterhin aktiv sind.
Wenn ein Client eine Anfrage zur Anmeldung an den Server sendet, erfolgt eine Umleitung an die
Appliance, sofern Sie die entsprechenden Einstellungen konfiguriert haben. Ein Client kann jedoch
gleichzeitig versuchen, sich bei einem anderen Server anzumelden, der eine SSL-verschlüsselte
Authentifizierung erfordert. Wenn dies fehl schlägt, kann auch die Verbindung dieses Clients mit der
Appliance getrennt werden.
Einige Clients bieten Optionen zur Durchführung grundlegender Fehlerbehebungstests nach einer
fehlgeschlagenen Anmeldung am Server.
XMPP-Proxy
Beim Filtern der Instant Messaging-Kommunikation auf einer Appliance ist eine der möglichen
Methoden das Einrichten eines Proxys unter XMPP (Extensible Messaging and Presence Protocol).
Dieses Protokoll ist auch unter dem Namen Jabber bekannt. Es wird beispielsweise zur Teilnahme an
Facebook-oder Google Talk-Chats zwischen einem XMPP-Client und dem Server verwendet.
Sie können Einstellungen für den XMPP-Proxy auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) konfigurieren.
Wenn der SSL-Scanner-Regelsatz auf einer Appliance nicht aktiviert ist, wird der Datenverkehr
zwischen einem XMPP-Client und dieser Appliance nicht verschlüsselt, jedoch mit allen Regeln gefiltert,
die auf der Appliance aktiviert sind. Wenn der Client unverschlüsselten Datenverkehr nicht annimmt,
wird die Verbindung geschlossen.
Wenn der SSL-Scanner-Regelsatz aktiviert ist, wird der Datenverkehr verschlüsselt und durch
SSL-Scanning untersucht, um diesen zur Filterung durch andere Regeln auf der Appliance zur
Verfügung zu stellen.
Produkthandbuch
117
4
Proxys
Sie können neben den speziellen Einstellungen für einen Netzwerkmodus allgemeine
Proxy-Einstellungen konfigurieren. Zu den allgemeinen Proxy-Einstellungen zählen Einstellungen für
die verschiedenen Typen von Proxys, die in Web Gateway konfiguriert werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie allgemeine
Proxy-Einstellungen konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM)
(Proxys (HTTP(S), FTP, ICAP und IM)).
3
4
Proxy-Einstellungen
Mit den Proxy-Einstellungen werden spezifische Parameter für die verschiedenen Netzwerkmodi
konfiguriert, die in Web Gateway implementiert werden können, sowie die gemeinsamen Parameter,
die für jeden dieser Modi gelten. Die regelmäßige Auslösung des Regelmoduls kann ebenfalls
Network Setup (Netzwerkeinrichtung)
Einstellungen für das Implementieren eines Netzwerkmodus
Bei Auswahl eines Netzwerkmodus werden unter diesen Einstellungen spezifische Einstellungen für den
betreffenden Netzwerkmodus angezeigt.
Tabelle 4-14 Network Setup (Netzwerkeinrichtung)
Option
Definition
Proxy (optional WCCP) (Proxy (optional
WCCP))
Bei Auswahl dieser Option wird der Modus "Expliziter Proxy"
verwendet, und WCCP-Dienste können Web-Datenverkehr
an eine Appliance umleiten.
Proxy HA (Proxy-Hochverfügbarkeit)
Bei Auswahl dieser Option wird der Modus "Expliziter Proxy"
mit Hochverfügbarkeitsfunktionen verwendet.
Transparent router (Transparenter Router)
Bei Auswahl dieser Option wird der Modus "Transparenter
Router" verwendet.
Transparent bridge (Transparente Bridge)
Bei Auswahl dieser Option wird der Modus "Transparente
Bridge" verwendet.
HTTP Proxy (HTTP-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter HTTP
Dieses Protokoll wird zum Übertragen von Webseiten und anderen Daten verwendet und stellt zudem
SSL-Verschlüsselung für verstärkte Sicherheit bereit.
118
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Tabelle 4-15 HTTP Proxy (HTTP-Proxy)
Option
Definition
Enable HTTP proxy (HTTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der Appliance
unter HTTP ausgeführt.
HTTP Port Definition list (Liste von
HTTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports auf
einer Appliance bereit, die auf Client-Anfragen überwachen.
Anonymous login for FTP over HTTP (Anonyme
Anmeldung für FTP über HTTP)
Hier wird der Benutzername für die Anmeldung als
anonymer Benutzer angegeben, wenn Anfragen über einen
HTTP-Proxy auf einer Appliance an einen FTP-Server
übertragen werden.
Password for anonymous login for FTP over HTTP
(Kennwort für anonyme Anmeldung für
FTP über HTTP)
Hier wird ein Kennwort für einen Benutzernamen
festgelegt.
Add Via HTTP header (Via-HTTP-Header
hinzufügen)
Bei Auswahl dieser Option wird einer Anfrage, die auf einer
Appliance verarbeitet wird, ein Via-HTTP-Header
hinzugefügt.
Diese Option ist standardmäßig ausgewählt.
Adjust content-type header for requests to archives
(depending on the content encoding)
(Inhaltstyp-Header für Anfragen an
Archive anpassen (abhängig von der
Inhalts-Codierung))
Bei Auswahl dieser Option wird ein Inhaltstyp-Header in
einer Anfrage bezüglich des Zugriffs auf eine Archivdatei
angepasst, wenn dieser Header nicht mit der für das Archiv
erkannten Inhalts-Codierung übereinstimmt.
Host header has priority over original destination
address (transparent proxy) (Host-Header hat
Priorität gegenüber ursprünglicher
Zieladresse (transparenter Proxy))
Bei Auswahl dieser Option werden Anfragen, die an den
Proxy auf einer Appliance im Modus "Transparenter Proxy"
gesendet werden, als Datenverkehr im Modus "Expliziter
Proxy" erkannt und entsprechend verarbeitet.
Anfragen können beispielsweise von einer Appliance im
Modus "Transparenter Proxy" empfangen werden, wenn
diese von einem Lastausgleich-Server weitergeleitet
wurden. Wenn der Proxy die Anfragen nicht als
Datenverkehr im Modus "Expliziter Proxy" erkennt, werden
diese ungefiltert an das Web weitergeleitet.
Diese Option ist nur verfügbar, wenn der Modus "Expliziter
Proxy" auf einer Appliance noch nicht konfiguriert wurde.
Wenn die Option verfügbar ist, ist sie standardmäßig
ausgewählt.
FTP Proxy (FTP-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter FTP
Dieses Protokoll wird zum Übertragen von Dateien verwendet, wobei separate Verbindungen für
Steuerungsfunktionen und Datenübertragung genutzt werden.
Wenn eine Datei von einem FTP-Client in das Web hochgeladen und in Web Gateway
verarbeitet wird, können Sie Fortschrittsanzeigen an den Client senden, indem Sie das
Ereignis FTP Upload Progress Indication in eine geeignete Regel einfügen.
Dadurch wird ein Abbruch aufgrund einer Überschreitung des Zeitlimits auf dem Client
vermieden, wenn die Verarbeitung der Datei z. B. wegen des Scans auf Viren- und sonstige
Malware-Infektionen länger dauert.
Produkthandbuch
119
4
Proxys
Proxy-Einstellungen
Tabelle 4-16 FTP Proxy (FTP-Proxy)
Option
Definition
Enable FTP proxy (FTP-Proxy aktivieren)
Bei Auswahl dieser Option wird ein Proxy auf der
Appliance unter FTP ausgeführt.
FTP port definition list (Liste der
FTP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der
Ports auf einer Appliance bereit, die auf
Client-Anfragen überwachen.
Allow character @ in FTP server user name (Authentication
using USER ftpserveruser@ftpserver) (@-Zeichen in
FTP-Server-Benutzernamen zulassen
(Authentifizierung mit BENUTZER
ftpserveruser@ftpserver))
Bei Auswahl dieser Option ist das @-Zeichen in
Benutzernamen zulässig.
Enable authentication using USER
proxyuser@ftpserveruser@ftpserver (Authentifizierung
mit BENUTZER
proxyuser@ftpserveruser@ftpserver aktivieren)
Bei Auswahl dieser Option ist die angegebene
Syntax für einen Benutzernamen zulässig.
Enable authentication using USER
ftpserveruser@proxyuser@ftpserver (Authentifizierung
mit BENUTZER
ftpserveruser@proxyuser@ftpserver aktivieren)
Bei Auswahl dieser Option ist die angegebene
Syntax für einen Benutzernamen zulässig.
Enable customized welcome message (Benutzerdefinierte Bei Auswahl dieser Option können Sie die
Begrüßungsnachricht aktivieren)
Begrüßungsnachricht bearbeiten, die einem
Benutzer angezeigt wird, der eine Anfrage für
Web-Zugriff über FTP sendet.
Geben Sie die Begrüßungsnachricht im Textfeld
Customized welcome message (Individuelle
Begrüßungsnachricht) ein, und verwenden Sie
dabei die entsprechenden Werte für die in der
Nachricht enthaltenen Variablen.
Willkommen bei §MWG-ProductName$
$MWG-Version$ – Build
$MWG.BuildNumber$
Ausgeführt auf $System.HostName$ –
$System.UUID$
$Proxy.IP$:$Proxy.Port$
Select the command to be used for next-hop proxy login
(Befehl für Anmeldung bei Proxy am nächsten
Hop auswählen)
Hier können Sie den Befehl auswählen, den Web
Gateway zur Anmeldung sendet, wenn eine
Verbindung mit einem Proxy am nächsten Hop
über FTP hergestellt wird.
Die folgenden Befehle stehen zur Auswahl:
• SITE
• OPEN
• USER@Host
In der folgenden Tabelle wird ein Eintrag in der FTP port definition list (Liste der FTP-Port-Definitionen)
beschrieben.
120
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Tabelle 4-17 FTP port definition list (Liste von FTP-Port-Definitionen) – Listeneintrag
Option
Definition
Listener address (Listener-Adresse)
Gibt die IP-Adresse und Port-Nummer für einen Port an,
der auf FTP-Anfragen überwacht.
Data port (Daten-Port)
Gibt die Port-Nummer für einen Port an, der für das
Verarbeiten der Datenübertragung über FTP verwendet
wird.
Port range for client listener (Port-Bereich für
Client-Listener)
Hiermit wird ein Bereich von Nummern für Ports
konfiguriert, die auf von Clients empfangene FTP-Anfragen
überwachen.
Der Bereich wird durch Angabe der ersten und der letzten
Port-Nummer konfiguriert.
Port range for server listener (Port-Bereich für
Server-Listener)
Hiermit wird ein Bereich von Nummern für Ports
konfiguriert, die auf FTP-Antworten überwachen, die von
Web-Servern empfangen werden, an die Anfragen
weitergeleitet wurden.
Allow clients to use passive FTP connections
(Clients das Verwenden von passiven
FTP-Verbindungen gestatten)
Bei Auswahl dieser Option können Anfragen von Clients
über passive Verbindungen über FTP gesendet werden.
McAfee Web Gateway uses same connections
(active/passive) as clients does (McAfee Web
Gateway verwendet die gleichen
Verbindungen (aktiv/passiv) wie Clients)
Bei Auswahl dieser Option verwendet Web Gateway zum
Weiterleiten des Web-Datenverkehrs denselben
Verbindungstyp wie ein Client, der eine Anfrage an Web
Gateway gesendet hat.
McAfee Web Gateway uses passive FTP connections Bei Auswahl dieser Option kann Web Gateway
(McAfee Web Gateway verwendet
Web-Datenverkehr über passive Verbindungen über FTP
passive FTP-Verbindungen)
weiterleiten.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Port,
der auf FTP-Anfragen überwacht.
ICAP Server (ICAP-Server)
Einstellungen zum Ausführen eines ICAP-Servers auf einer Appliance, die Anfragen und Antworten bei
der Kommunikation mit ICAP-Clients modifiziert
Tabelle 4-18 ICAP Server (ICAP-Server)
Option
Definition
Enable ICAP server (ICAP-Server
aktivieren)
Bei Auswahl dieser Option wird ein ICAP-Server auf einer
Appliance ausgeführt.
ICAP Port Definition list (Liste der
ICAP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports auf
einer Appliance bereit, die Anfragen von ICAP-Clients
empfangen.
Wenn mehrere ICAP-Server auf verschiedenen Appliances im
Netzwerk konfiguriert sind, werden Anfragen von ICAP-Clients
im Round-Robin-Modus (Rundlaufmodus) an diese Server
verteilt.
IFP Proxy (IFP-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter IFP
Dieses Protokoll wird zum Übertragen von Webseiten genutzt.
Produkthandbuch
121
4
Proxys
Proxy-Einstellungen
Tabelle 4-19 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Appliance unter IFP ausgeführt.
IFP port definition list (Liste der
IFP-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die auf Client-Anfragen für
den IFP-Proxy überwachen.
Maximum number of concurrent IFP requests allowed
(Höchstzulässige Anzahl gleichzeitiger
IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Mit dieser Einstellung können Sie eine Überlastung des
IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der IFP port definition list (Liste der IFP-Port-Definitionen)
beschrieben.
Tabelle 4-20 IFP port definition list (Liste der IFP-Port-Definitionen) – Listeneintrag
Option
Definition
Gibt die IP-Adresse und Port-Nummer für einen Port an, der auf
IFP-Anfragen überwacht.
Send error message as redirect
(Fehlermeldung durch Umleitung
senden)
Beim Wert "true" wird ein Benutzer, der eine Anfrage gesendet
hat, durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht über IFP gesendet.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Port, der
auf IFP-Anfragen überwacht.
SOCKS Proxy (SOCKS-Proxy)
Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem SOCKS-Protokoll
(Sockets)
Tabelle 4-21 SOCKS Proxy (SOCKS-Proxy)
Option
Definition
Enable SOCKS proxy (SOCKS-Proxy aktivieren)
Appliance unter dem SOCKS-Protokoll ausgeführt.
SOCKS port definition list (Liste von
SOCKS-Port-Definitionen)
Diese Option stellt eine Liste für die Eingabe der Ports
auf einer Appliance bereit, die auf Client-Anfragen für
den SOCKS-Proxy überwachen.
In der folgenden Tabelle wird ein Eintrag in der SOCKS port definition list (Liste der
SOCKS-Port-Definitionen) beschrieben.
Tabelle 4-22 SOCKS port definition list (Liste der SOCKS-Port-Definitionen) – Listeneintrag
Option
Definition
Gibt die IP-Adresse und Port-Nummer eines Ports an, der auf
SOCKS-Anfragen überwacht.
Port range for UDP (Port-Bereich für UDP) Legt bei der Konfiguration eines SOCKS-Proxys den Bereich
der Listener-Ports für Anfragen fest, die unter UDP gesendet
werden.
Comment (Kommentar)
122
Enthält einen Kommentar im Klartextformat zu einem Port,
der auf SOCKS-Anfragen überwacht.
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Data Exchange Layer
Einstellungen zur Verwendung der DXL-Technologie (Data Exchange Layer) zum Austauschen von
Informationen zwischen verschiedenen Sicherheitsprodukten
Tabelle 4-23 Data Exchange Layer
Option
Definition
Subscription Topics
(Abonnementthemen)
Bietet eine Liste mit Themen, die ein Sicherheitsprodukt
abonnieren kann, um Nachrichten bezüglich dieser Themen zu
erhalten.
Services (Dienste)
Bietet eine Liste an Diensten, die Nachrichten bezüglich
Themen an Sicherheitsprodukte senden.
Die folgenden Tabellen beschreiben Einträge in den Listen Subscription Topics (Abonnementthemen) und
Services (Dienste).
Tabelle 4-24 Subscription Topics (Abonnementthemen) – Listeneintrag
Option
Definition
String (Zeichenfolge)
Gibt den Host-Namen eines Themas an.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Thema.
Tabelle 4-25 Services (Dienste) – Listeneintrag
Option
Definition
Service (Dienst)
Gibt den Namen eines Dienstes an, der Nachrichten zu Themen sendet.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einem Dienst.
Web Cache (Web-Cache)
Einstellung zum Aktivieren des Web-Cache auf einer Appliance
Neben dem Aktivieren des Web-Cache müssen Sie einen Regelsatz zum Steuern der Lese- und
Schreibvorgänge im Cache implementieren.
Tabelle 4-26 Web Cache (Web-Cache)
Option
Definition
Enable cache (Cache aktivieren) Bei Auswahl dieser Option wird der Web-Cache auf einer Appliance
aktiviert.
Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits
für HTTP(S), FTP, ICAP, SOCKS und UDP)
Zeitlimit-Einstellungen für Kommunikationsverbindungen unter den Protokollen HTTP, HTTPS, FTP,
ICAP, SOCKS und UDP
Tabelle 4-27 Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits für HTTP(S),
FTP, ICAP, SOCKS und UDP)
Option
Definition
Initial connection timeout (Anfängliches
Verbindungszeitlimit)
Legt den Zeitraum (in Sekunden) fest, nach dessen Ablauf
eine neu geöffnete Verbindung geschlossen wird, wenn keine
Anfrage empfangen wird.
Connection timeout (Verbindungszeitlimit)
Legt den Zeitraum (in Sekunden) fest, nach dessen Ablauf
eine Verbindung geschlossen wird, wenn ein Client oder
Web-Server bei einer nicht abgeschlossenen
Verbindungsanfragekommunikation nicht reagiert.
Produkthandbuch
123
4
Proxys
Proxy-Einstellungen
Tabelle 4-27 Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP (Zeitlimits für HTTP(S),
FTP, ICAP, SOCKS und UDP) (Fortsetzung)
Option
Definition
Client connection timeout
(Client-Verbindungszeitlimit)
Legt den Zeitraum (in Sekunden) zwischen zwei Anfragen
fest, nach dessen Ablauf eine Verbindung von einer
Appliance zu einem Client geschlossen wird.
Maximum idle time for unused HTTP server
connections (Maximale Leerlaufzeit für
ungenutzte
HTTP-Server-Verbindungen)
fest, nach dessen Ablauf eine Verbindung unter HTTP von
einer Appliance zu einem Server geschlossen wird.
UDP timeout (inactivity timeout)
(UDP-Zeitlimit (Inaktivitätslimit))
fest, nach dessen Ablauf eine Verbindung unter UDP von
einer Appliance zu einem Client geschlossen wird.
DNS Settings (DNS-Einstellungen)
Einstellungen für die Kommunikation mit einem DNS-Server (Domain Name System)
Tabelle 4-28 DNS Settings (DNS-Einstellungen)
Option
Definition
IP protocol version preference
(Voreinstellung für
IP-Protokollversion)
Hiermit können Sie die zur Kommunikation verwendete IP-Version
auswählen.
• (Versionsoptionen)
• Same as incoming connection (Gleiche Version wie eingehende
Verbindung): Bei Auswahl dieser Option wird die
Protokollversion verwendet, die bereits für die eingehende
Verbindung verwendet wird.
• IP4: Bei Auswahl dieser Option wird IP-Version 4 verwendet.
• IP6: Bei Auswahl dieser Option wird IP-Version 6 verwendet.
• Use other protocol version as fallback (Andere Protokollversion als
Alternative verwenden): Bei Auswahl dieser Version wird die
jeweils andere Protokollversion verwendet, wenn eine der beiden
Versionen nicht verfügbar ist.
Minimal TTL for DNS cache (Minimale Legt die Mindestdauer (in Sekunden) fest, für die Daten im Cache
verbleiben müssen, bevor sie gelöscht werden.
TTL für DNS-Cache)
Maximal TTL for DNS cache (Max.
TTL für DNS-Cache)
Legt die Höchstdauer (in Sekunden) fest, für die Daten im Cache
verbleiben können, bevor sie gelöscht werden.
Yahoo
Einstellungen für das Ausführen eines Instant Messaging-Proxys unter dem Yahoo-Protokoll auf einer
Appliance
Tabelle 4-29 Yahoo
124
Option
Definition
Enable Yahoo proxy (Yahoo-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein
Proxy für Instant Messaging unter dem Yahoo-Protokoll
ausgeführt.
Gibt die IP-Adresse eines Proxys und die Nummer des
Ports an, der auf Client-Anfragen überwacht.
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Tabelle 4-29 Yahoo (Fortsetzung)
Option
Definition
Support file transfer over 0.0.0.0:80
(Dateiübertragung über 0.0.0.0:80
unterstützen)
Bei Auswahl dieser Option können diese IP-Adresse und
dieser Port für Anfragen zur Dateiübertragung verwendet
werden.
Login server (Anmelde-Server)
Gibt den Host-Namen und die Port-Nummer des Servers
an, bei dem sich Benutzer anmelden, bevor sie Anfragen
senden.
Relay server (Japan) (Relay-Server (Japan))
Gibt den Host-Namen und die Port-Nummer des Servers
an, der als Relay-Station für Dateiübertragungen
verwendet wird.
Yahoo client connection timeout (Zeitlimit für
Yahoo-Client-Verbindungen)
Legt die Dauer (in Sekunden) fest, nach der eine inaktive
Verbindung vom Instant Messaging-Proxy mit einem
Client geschlossen wird.
Yahoo server connection timeout (Zeitlimit für
Yahoo-Server-Verbindungen)
Server geschlossen wird.
ICQ
Einstellungen für das Ausführen eines Instant Messaging-Proxys unter dem OSCAR-Protokoll (Open
System for Communication in Real Time) auf einer Appliance
Tabelle 4-30 ICQ
Option
Definition
Enable ICQ proxy (ICQ-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy
für Instant Messaging unter dem OSCAR-Protokoll ausgeführt.
Login and file transfer proxy port
(Proxy-Port für Anmeldung und
Dateiübertragung)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports
für die Verarbeitung von Anmeldung und Dateiübertragung.
• Enable additional file transfer proxy port (Zusätzlichen Proxy-Port für
Dateiübertragung aktivieren): Bei Auswahl dieser Option
kann für das Verarbeiten von Dateiübertragungen ein
zusätzlicher Port verwendet werden.
• Additional file transfer proxy port (Zusätzlicher Proxy-Port für
Dateiübertragungen): Gibt eine zusätzliche IP-Adresse und
Port-Nummer für das Verarbeiten von Dateiübertragungen
an.
BOS listener port (BOS-Listener-Port)
Gibt die IP-Adresse einer Appliance an, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des
Ports, der auf BOS-Anfragen (Basic OSCAR Service)
überwacht.
Bei diesen Anfragen handelt es sich um Anfragen zum Senden
von Chat-Nachrichten und nicht beispielsweise um Anfragen
für Dateiübertragungen.
ICQ login server (ICQ-Anmelde-Server)
Gibt den Host-Namen und die Port-Nummer des Servers an,
bei dem sich Benutzer anmelden, bevor sie Anfragen senden.
ICQ service request server (Server für
ICQ-Dienstanfragen)
der Anfragen verarbeitet.
ICQ file transfer proxy (ICQ-Proxy für
Dateiübertragungen)
der Dateiübertragungen verarbeitet.
Produkthandbuch
125
4
Proxys
Proxy-Einstellungen
Tabelle 4-30 ICQ (Fortsetzung)
Option
Definition
ICQ client connection timeout (Zeitlimit für
ICQ-Client-Verbindungen)
Verbindung vom Instant Messaging-Proxy mit einem Client
geschlossen wird.
ICQ server connection timeout (Zeitlimit für Legt die Dauer (in Sekunden) fest, nach der eine inaktive
Verbindung vom Instant Messaging-Proxy mit einem Server
ICQ-Server-Verbindungen)
geschlossen wird.
Windows Live Messenger
Einstellungen für das Ausführen eines Instant Messaging-Proxys unter dem Windows Live
Messenger-Protokoll auf einer Appliance
Tabelle 4-31 Windows Live Messenger
Option
Definition
Enable Windows Live Messenger proxy (Windows Live Bei Auswahl dieser Option wird auf einer Appliance
ein Proxy für Instant Messaging unter Windows Live
Messenger-Proxy aktivieren)
Messenger ausgeführt.
Windows Live Messenger NS proxy listener 1 (Windows Gibt die IP-Adresse einer Appliance an, auf der ein
Instant Messaging-Proxy ausgeführt wird, sowie die
Live Messenger-NS-Proxy-Listener 1)
Nummer des ersten Ports, der auf Client-Anfragen im
NS-Modus (Notification Server,
Benachrichtigungs-Server) überwacht.
Windows Live Messenger NS proxy listener 2 (Windows Gibt die IP-Adresse einer Appliance an, auf der ein
Live Messenger-NS-Proxy-Listener 2)
Nummer des zweiten Ports, der auf Client-Anfragen
im NS-Modus (Notification Server,
Benachrichtigungs-Server) überwacht.
Windows Live Messenger SB proxy port (Windows Live Gibt die IP-Adresse einer Appliance an, auf der ein
Messenger-SB-Proxy-Port)
Nummer des Ports, der auf im SB-Modus
(Switchboard, Telefonzentrale) gesendete
Client-Anfragen überwacht.
Windows Live Messenger client connection timeout
(Zeitlimit für Windows Live
Messenger-Client-Verbindungen)
Legt die Dauer (in Sekunden) fest, nach der eine
inaktive Verbindung vom Instant Messaging-Proxy mit
einem Client geschlossen wird.
Windows Live Messenger server connection timeout
(Zeitlimit für Windows Live
Messenger-Server-Verbindungen)
Legt die Dauer (in Sekunden) fest, nach der eine
inaktive Verbindung vom Instant Messaging-Proxy mit
einem Server geschlossen wird.
XMPP
Einstellungen für das Ausführen eines Instant Messaging-Proxys unter XMPP (Extensible Messaging
and Presence Protocol) auf einer Appliance
Dieses Protokoll wird für eine Reihe von Instant Messaging-Diensten verwendet, u. a. für Jabber,
Google Talk und Facebook-Chat.
Tabelle 4-32 XMPP
126
Option
Definition
Enable XMPP proxy (XMPP-Proxy aktivieren)
Bei Auswahl dieser Option wird auf einer Appliance ein
Proxy für Instant Messaging unter XMPP ausgeführt.
Proxy port (Proxy-Port)
IP-Adresse einer Appliance, auf der ein Instant
Messaging-Proxy ausgeführt wird, sowie die Nummer des
Ports, der auf unter XMPP gesendete Anfragen überwacht.
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Tabelle 4-32 XMPP (Fortsetzung)
Option
Definition
Client connection timeout
(Client-Verbindungszeitlimit)
Verbindung vom Instant Messaging-Proxy mit einem Client
geschlossen wird.
Server connection timeout (Zeitlimit für
Server-Verbindungen)
Server geschlossen wird.
Einstellungen für erweiterte Proxy-Funktionen
Option
Definition
Maximum number of client connections
(Höchstanzahl von
Client-Verbindungen)
Hiermit wird die Anzahl der Verbindungen zwischen einem Proxy
auf der Appliance und dessen Clients beschränkt.
Compress content to client (Inhalte für
Client komprimieren)
Bietet Optionen zur Komprimierung des Textinhalts der Antwort
eines Web-Servers, die von Web Gateway an einen Client
weitergeleitet wird.
Wenn Sie 0 angeben, ist die Anzahl nicht begrenzt.
• Never (Nie): Der Inhalt der Server-Antwort wird bei
Weiterleitung an den Client grundsätzlich nicht komprimiert.
• If server's response is compressed (Wenn Server-Antwort
komprimiert ist): Der Inhalt wird nur dann komprimiert, wenn
er bereits in der Antwort des Servers komprimiert war.
• If client supports compression (Wenn Client Komprimierung
unterstützt): Der Inhalt wird nur dann komprimiert, wenn der
Client, an den die Weiterleitung erfolgt, die Komprimierung
unterstützt.
Handle compressed requests from client
(Komprimierte Client-Anfragen
verarbeiten)
Bietet Optionen zum Verarbeiten von eingehenden Anfragen, die
von einem Client von Web Gateway im komprimierten Format
gesendet wurden.
• Ignore (Ignorieren): Der komprimierte Inhalt wird nicht
extrahiert und gefiltert, und die Anfrage wird im
komprimierten Zustand an den Web-Server weitergeleitet.
• Extract (Extrahieren): Der Inhalt wird für die Filterung
extrahiert, jedoch bis zur späteren Weiterleitung an den
Web-Server nicht wieder komprimiert.
• Extract and compress again (Extrahieren und erneut
komprimieren): Der Inhalt wird für die Filterung extrahiert
und vor der späteren Weiterleitung an den Web-Server erneut
komprimiert.
Number of working threads (Anzahl der
Arbeits-Threads)
Gibt die Anzahl der Threads an, die bei Ausführung eines Proxys
auf einer Appliance zum Filtern und Übertragen von
Web-Objekten verwendet werden.
Number of threads for AV scanning (Anzahl Gibt die Anzahl der Threads an, die bei Ausführung eines Proxys
auf einer Appliance zum Scannen von Web-Objekten auf Virender Threads für Antiviren-Scans)
und sonstige Malware-Infektionen verwendet werden.
Produkthandbuch
127
4
Proxys
Proxy-Einstellungen
Tabelle 4-33 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung)
Option
Definition
Use TCP no delay (TCP ohne
Verzögerung verwenden)
Bei Auswahl dieser Option werden Verzögerungen in einer
Proxy-Verbindung vermieden, indem nicht der
Nagle-Algorithmus zum Zusammenstellen von Datenpaketen
verwendet wird.
Dieser Algorithmus erzwingt, dass Pakete erst dann gesendet
werden, wenn eine bestimmte Datenmenge gesammelt wurde.
Maximum TTL for DNS cache in seconds
(Max. TTL für DNS-Cache in
Sekunden)
Hiermit legen Sie die Höchstdauer (in Sekunden) fest, für die
Host-Nameninformationen im DNS-Cache gespeichert werden.
Timeout for errors for long running
connections (Zeitlimit für Fehler bei
lange andauernden Verbindungen)
Legt die Höchstdauer (in Stunden) fest, für die eine lange
andauernde Verbindung mit einer anderen
Netzwerkkomponente inaktiv bleiben darf, bevor Web Gateway
die Verbindung schließt.
Die Standarddauer beträgt 24 Stunden.
Diese Einstellung verhindert, dass die Leistung einer Web
Gateway-Appliance durch besonders lange andauernde
Verbindungen beeinträchtigt wird.
Die Dauer wird für die verschiedenen Verbindungsprotokolle wie
folgt gemessen, um zu ermitteln, ob das Zeitlimit erreicht
wurde.
• HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche
Protokolle: Die Dauer wird für jede über eine Verbindung
gesendete Anfrage gemessen.
• SOCKS (wenn das integrierte Protokoll nicht befolgt wird),
getunneltes HTTP, HTTPS (ohne Inhaltsprüfung) und ähnliche
Protokolle: Die Dauer wird für eine Verbindung als Ganzes
gemessen.
• FTP: Die Dauer wird für die Steuerungsverbindung gemessen.
Beim Schließen der Verbindung wird ein Fehler generiert, der
von den Regeln in einem der "Error Handler"-Regelsätze
verarbeitet werden kann.
Check interval for long running connections
(Intervall für Überprüfung lange
andauernder Verbindungen)
128
Hiermit wird der Zeitabstand (in Minuten) zwischen den
Prüfungsmeldungen festgelegt, die während einer lange
andauernden Verbindung gesendet werden.
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Option
Definition
Maximum amount of data per connection or
request (Maximale Datenmenge pro
Verbindung oder Anfrage)
Hiermit wird die Datenmenge (in MB) festgelegt, die während
einer lange andauernden Verbindung an eine andere
Netzwerkkomponente gesendet werden kann, bevor Web
Gateway die Verbindung schließt.
Die Standardmenge beträgt 10.240 MB.
Diese Einstellung verhindert, dass die Leistung einer Web
Gateway-Appliance durch lange andauernde Verbindungen mit
hohem Datenvolumen beeinträchtigt wird.
Die Datenmenge wird für die verschiedenen
Verbindungsprotokolle wie folgt gemessen, um zu ermitteln, ob
die Höchstmenge erreicht wurde.
• HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche
Protokolle: Die Datenmenge wird für jede über eine
Verbindung gesendete Anfrage gemessen.
• SOCKS (wenn das zugrunde liegende Protokoll nicht befolgt
wird), getunneltes HTTP, HTTPS (ohne Inhaltsprüfung) und
ähnliche Protokolle: Die Datenmenge wird für eine Verbindung
als Ganzes gemessen.
• FTP: Die Datenmenge wird für die Datenverbindung
gemessen.
Beim Schließen der Verbindung wird ein Fehler generiert, der
von den Regeln in einem der "Error Handler"-Regelsätze
verarbeitet werden kann.
Die folgenden Eigenschaften werden dann auf den Wert der
gemessenen Daten gesetzt und sind für die
Fehlerbehandlungsregeln verfügbar: Bytes.ToClient,
Bytes.ToServer, Bytes.FromClient und Bytes.FromServer.
Volume interval for connections
(Volumenintervall für
Verbindungen)
Hiermit wird das Volumenintervall für lange andauernde
Verbindungen festgelegt.
Internal path ID (Interne Pfad-ID)
Gibt den Pfad an, über den die Appliance interne Anfragen
(Anfragen, die nicht von Clients empfangen wurden)
weiterleitet, z. B. Anfragen für Stylesheets zum Anzeigen von
Fehlermeldungen.
Bypass RESPmod for responses that must
not contain a body (RESPmod bei
Antworten umgehen, die keinen
Textteil enthalten dürfen)
Bei Auswahl dieser Option werden unter ICAP gesendete
Antworten nicht entsprechend dem RESPMOD-Mode geändert,
wenn sie keinen Textteil enthalten.
Call log handler for progress page updates
and objects embedded in error templates
(Protokoll-Handler für
Aktualisierungen von
Fortschrittsseiten und in
Fehlermeldungsvorlagen
eingebettete Objekte aufrufen)
Bei Auswahl dieser Option werden die Regeln im auf der
Appliance implementierten Protokoll-Handler-Regelsatz
verarbeitet, um die angegebenen Aktualisierungen und Objekte
zu behandeln.
Allow connections to use local ports using
Bei Auswahl dieser Option können lokale Ports für Anfragen auf
proxy (Verbindungen das Verwenden einer Appliance verwendet werden, auf der der Proxy
ausgeführt wird.
lokaler Ports über den Proxy
gestatten)
Produkthandbuch
129
4
Proxys
Proxy-Einstellungen
Option
Definition
Use virtual IP as the Proxy.IP property value
(Virtuelle IP-Adresse als Wert der
Eigenschaft "Proxy.IP" verwenden)
Bei Auswahl dieser Option ist der Wert für die Eigenschaft
"Proxy.IP" im Hochverfügbarkeitsmodus eine virtuelle
IP-Adresse für alle Knoten in einer Konfiguration.
Dabei handelt es sich um die virtuelle Adresse, mit der Clients
Verbindungen mit dem Proxy herstellen.
Wenn der Master-Knoten eine Anfrage eines Clients an einen
Scan-Knoten umleitet, ist diese Adresse auch auf dem
Scan-Knoten der Wert der Eigenschaft Proxy.IP (und nicht die
physische Adresse des Scan-Knotens).
HTTP(S): Remove all hop-by-hop headers
(HTTP(S): Alle Hop-by-Hop-Header
entfernen)
Bei Auswahl dieser Option werden Hop-by-Hop-Header aus
Anfragen entfernt, die auf einer Appliance empfangen werden,
auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt wird.
HTTP(S): Inspect via headers to detect proxy
loops (HTTP(S): Via-Header auf
Proxy-Schleifen überprüfen)
Bei Auswahl dieser Option werden Via-Header in Anfragen, die
auf einer Appliance empfangen werden, auf der ein HTTP- bzw.
HTTPS-Proxy ausgeführt wird, auf Schleifen überprüft.
HTTP(S): Host from absolute URL has priority Bei Auswahl dieser Option haben Host-Namen, die absoluten
over host header (Host von absoluter
URLs in Anfragen entsprechen und auf einer Appliance
URL hat Priorität vor Host-Header) empfangen werden, auf der ein HTTP- bzw. HTTPS-Proxy
ausgeführt wird, Vorrang vor den Host-Namen in den
Anfrage-Headern.
Encode own IP address in progress page ID
Bei Auswahl dieser Option wird die eigene IP-Adresse in der
to enable non-sticky load balancers (Eigene Fortschrittsseiten-ID codiert.
IP-Adresse zur Ermöglichung von
flexiblem Lastausgleich in
Fortschrittsseiten-ID codieren)
HTTP(S): Maximum size of a header
Beschränkt die Header-Größe (in MB) für Anfragen oder
(HTTP(S): Maximale Header-Größe) Antworten, die als HTTP(S)-Datenverkehr gesendet werden.
Die Standardgröße beträgt 10 MB.
Listen backlog
(Überwachungs-Backlog)
Gibt einen Wert für das Überwachungs-Backlog an, d. h. die
Anzahl gleichzeitiger Verbindungen, die sich in der
Warteschlange befinden dürfen.
Der Standardwert beträgt 128.
Limit for working threads doing IO in web
Beschränkt die Anzahl von Arbeits-Threads für den Web-Cache.
cache (Limit für E/A-Arbeits-Threads
Die Standardanzahl beträgt 25.
im Web-Cache)
Progress page limit (Größenlimit für
Fortschrittsseite)
130
Beschränkt die Größe (in KB) der Fortschrittsseite.
Die Standardgröße beträgt 40.000 KB.
Produkthandbuch
4
Proxys
Proxy-Einstellungen
Option
Definition
Enable TCP window scaling (Skalierung
des TCP-Fensters aktivieren)
Bei Auswahl dieser Option wird das Fenster zum Empfangen von
Datenpaketen auf TCP-Kommunikationsebene um den
Skalierungsfaktor vergrößert, den Sie unter TCP window scale
(Skalierung des TCP-Fensters) angeben.
Diese Option ist standardmäßig aktiviert.
Wenn Sie diese Option deaktivieren, wird das Fenster
nicht skaliert. Sie sollten diese Option nur deaktivieren,
wenn Sie das Empfangsfenster wirklich auf diese Weise
konfigurieren möchten.
TCP window scale (format: 0–14)
(Skalierung des TCP-Fensters
(Format: 0–14))
Legt die Größe des Fensters für den Empfang von Datenpaketen
auf TCP-Kommunikationsebene fest.
Die ursprüngliche Größe des Empfangsfensters kann mithilfe
eines Skalierungsfaktors skaliert werden, der durch Potenzieren
der Basis 2 mit der hier von Ihnen angegebenen Zahl berechnet
wird.
Wenn Sie beispielsweise 1 angeben, beträgt der
Skalierungsfaktor 2^1 = 2. Dies bedeutet, dass die
Fenstergröße verdoppelt wird.
Sie können einen Wert im Bereich von 0–14 angeben.
Die Angabe von 0 bedeutet den Skalierungsfaktor 1, d. h., die
ursprüngliche Größe des Empfangsfensters wird beibehalten.
Die Skalierungsfunktion kann jedoch trotzdem für das
Empfangsfenster des Kommunikationspartners verwendet
werden.
Der Standardwert beträgt 2.
Produkthandbuch
131
4
Proxys
Periodic Rule Engine Trigger List (Liste der regelmäßigen
Regelmodul-Auslöser)
Einstellungen für das Herstellen von Verbindungen mit Web-Servern, das Aufrufen des Regelmoduls
und das Herunterladen von Daten
Tabelle 4-34 Periodic Rule Engine Trigger List (Liste der regelmäßigen
Regelmodul-Auslöser)
Option
Definition
Enable Periodic Rule Engine Trigger List Bei Auswahl dieser Option werden regelmäßig Verbindungen mit den
(Liste der regelmäßigen
in der URL definition list (Liste der URL-Definitionen) aufgeführten
Regelmodul-Auslöser
Web-Servern hergestellt.
aktivieren)
Außerdem werden in der Liste auch die Zeitabstände für die
einzelnen Web-Server-Verbindungen angegeben.
Nach Ablauf des festgelegten Zeitraums wird das
Regelverarbeitungsmodul auf einer Appliance aufgerufen und eine
Verbindung mit dem Web-Server hergestellt. Anschließend werden
die Daten vom Web-Server heruntergeladen und zur Verarbeitung
an das Regelmodul übermittelt.
Daten werden nur über HTTP und HTTPS heruntergeladen.
Zu den Web-Servern, mit denen auf diese Weise Verbindungen
hergestellt werden, zählen Proxy-Server am nächsten Hop und
sonstige Server, die spezielle Dienste im Web bereitstellen.
URL definition list (Liste der
URL-Definitionen)
Stellt eine Liste von Web-Servern bereit, mit denen eine Verbindung
hergestellt werden kann.
In der folgenden Tabelle wird ein Eintrag in der URL definition list (Liste der URL-Definitionen)
beschrieben.
Tabelle 4-35 URL definition list (Liste der URL-Definitionen) – Listeneintrag
Option
Definition
Host
Gibt die IP-Adresse und Port-Nummer oder die URL eines
Web-Servers an, mit dem eine Verbindung hergestellt werden kann.
Trigger interval (Auslöserintervall) Gibt den Zeitraum (in Sekunden) an, nach dessen Ablauf erneut
versucht wird, eine Verbindung mit einem Web-Server herzustellen.
Comment (Kommentar)
Enthält einen Kommentar im Klartextformat zu einer Verbindung mit
einem Web-Server.
Die Verwendung verschiedener Quell-IP-Adressen für ausgehende Verbindungen von Web Gateway an
Web-Server oder Proxys am nächsten Hop kann Verbindungsprobleme verursachen. Um diese
Probleme zu vermeiden, können Sie diese Adressen durch eine einheitliche Adresse ersetzen.
Die Verwendung verschiedener Quell-IP-Adressen ist beispielsweise bei der Konfiguration von
Lastausgleich für mehrere Web Gateway-Appliances erforderlich. Lastausgleich kann zu
Verbindungsproblemen auf der Seite der beteiligten Web-Server oder Proxys am nächsten Hop führen.
Beispielsweise können Probleme entstehen, wenn sich Quell-IP-Adressen während eines
Sitzungszeitraums ändern.
Um diese Probleme zu vermeiden, können Sie eine Regel konfigurieren, die sich ändernde
Quell-IP-Adressen durch eine einheitliche Adresse ersetzt.
132
Produkthandbuch
4
Proxys
Dies muss keine feste Adresse sein. Sie können eine Liste von IP-Adressen anlegen und anhand einer
Regel eine Adresse an einer bestimmten Position auf der Liste auswählen. Die Adresse, die die
anderen Adressen ersetzt, entspricht dann dem jeweiligen Eintrag an dieser Position.
Netzwerkeinrichtung zur Steuerung der ausgehenden Quell-IP-Adressen
Die Steuerung der ausgehenden Quell-IP-Adressen wird unterstützt für Netzwerkeinrichtungen mit:
•
IPv4 oder IPv6
•
HTTP-, HTTPS-, FTP- oder SOCKS-Proxy
Instant Messaging wird nicht unterstützt.
•
Proxy-Modus (mit optionalem WCCP)
Der Modus „Transparenter Router“ wird unterstützt, wenn die Quell-IP-Adressen, die zum Ersetzen
anderer Adressen verwendet werden, als Aliasse konfiguriert sind.
Die Modi „Proxy-Hochverfügbarkeit“ und „Transparente Bridge“ werden nicht unterstützt.
Die Steuerung der ausgehenden Quell-IP-Adressen kann auch über die regelmäßige Auslösung eines
Regelmoduls erfolgen.
Beispielregel zur Steuerung der ausgehenden Quell-IP-Adressen
Eine Regel, die ausgehende Quell-IP-Adressen durch eine einheitliche Adresse ersetzt, wenn
beispielsweise Verbindungen mit Proxys am nächsten Hop eingerichtet wurden, könnte wie folgt
aussehen:
Name
Use proxy depending on the destination
Action (Aktion) Events (Ereignisse)
URL.Destination.IP is in range list Next –> Continue
Hop Proxy IP Range List
ODER
Enable Next Hop Proxy<Internal Proxy>
Enable Outbound Source IP
Override(Proxy.OutboundIP(2))
URL.Destination.IP is in list Next Hop
Proxy IP List
Das Regelkriterium gibt an, wann ein Proxy am nächsten Hop verwendet wird. Das erste der beiden
Ereignisse stellt eine Verbindung mit einem Proxy am nächsten Hop her.
Das zweite Ereignis, Enable Outbound Source IP Override, steuert die ausgehenden Quell-IP-Adressen.
Es ersetzt („überschreibt“) alle durch eine Anfrage übermittelten Quell-IP-Adressen durch eine
IP-Adresse, die aus einer Liste übernommen wird.
Diese IP-Adresse wird durch einen Ereignisparameter angegeben, der selbst eine Eigenschaft ist. Der
Name der Eigenschaft lautet Proxy.OutboundIP. Der Wert ist die IP-Adresse in der vom
Eigenschaftsparameter bestimmten Listenposition.
Liste von IP-Adressen zur Steuerung der ausgehenden Quell-IP-Adressen
Die Liste der IP-Adressen, die Sie zum Ersetzen der ausgehenden Quell-IP-Adressen verwenden
können, gehört zu den Einstellungen für Proxies (Proxys). Sie finden sie dort unter Advanced Outgoing
Connection Settings (Erweiterte Einstellungen für ausgehende Verbindung). Der Name lautet
Outbound Source IP list (Liste ausgehender Quell-IP-Adressen).
Produkthandbuch
133
4
Proxys
Bezüglich der Position einer IP-Adresse in der Liste gilt Folgendes:
•
Der Listenindex beginnt bei 0. Wenn Sie für die Eigenschaft Proxy.OutboundIP beispielsweise „2“
als Parameter angeben, um eine Position zu bestimmen, wird die dritte IP-Adresse in der Liste
ausgewählt.
•
Wenn Sie einen Parameterwert angeben, der die Anzahl der Listeneinträge übersteigt, wird die
Position wie folgt berechnet: <Parameterwert> Modulo <Anzahl der Listeneinträge>.
Wenn Sie zum Beispiel „5“ für eine Liste angeben, die nur drei Einträge besitzt, lautet das Ergebnis
der Modulo-Berechnung „2“. Demzufolge wird die dritte IP-Adresse auf der Liste ausgewählt.
Netzwerk-Routing und IP-Adress-Spoofing
Die IP-Adressen, die vom Ereignis Enable Outbound Source IP Override in Datenpakete eingefügt
werden, sind nicht lokale Quell-IP-Adressen. Daher müssen Sie das Netzwerk-Routing entsprechend
konfigurieren.
Datenpakete, die von einem Web-Server an einen Client zurückgesendet werden, müssen zum Proxy
in Web Gateway weitergeleitet werden. Für das Weiterleiten der Datenpakete können Sie statische
Routen verwenden.
Wenn das Ereignis Enable Outbound Source IP Override ausgelöst wird und IP-Adress-Spoofing
aktiviert ist, überschreibt das Ereignis auch diese Einstellung.
Protokollierung der Verwendung ausgehender IP-Quelladressen
Es sind mehrere Eigenschaften zur Protokollierung von Daten bezüglich ausgehender Verbindungen
verfügbar, darunter die Quell-IP-Adresse und der Port, den Web Gateway bei der Verbindung mit
Web-Servern oder Proxys am nächsten Hop verwendet.
Diese Eigenschaften werden, unabhängig davon, ob Sie eine einzelne Quell-IP-Adresse konfiguriert
haben, anhand des Ereignisses Enable Outbound Source IP Override auf bestimmte Werte gesetzt. Sie
können sie jedoch auch in diesem Fall verwenden.
•
Proxy.Outbound.IP: Speichert die Quell-IP-Adresse, die Web Gateway zum Herstellen einer
Verbindung mit Web-Servern und Proxys am nächsten Hop verwendet.
Diese Eigenschaft darf nicht mit Proxy.OutboundIP verwechselt werden, bei der kein Punkt vor IP
steht und die zusammen mit dem Ereignis Enable Outbound Source IP Override zur Auswahl einer
einzelnen Quell-IP-Adresse aus einer Liste verwendet wird.
•
Proxy.Outbound.Port: Speichert den Quell-Port, den Web Gateway zum Herstellen einer Verbindung
mit Web-Servern oder Proxys am nächsten Hop verwendet.
•
Proxy.Outbound.IPList: Speichert die Liste der Quell-IP-Adressen, aus der Web Gateway beim
Herstellen einer Verbindung mit Web-Servern und Proxys am nächsten Hop eine Adresse auswählen
kann.
Die Liste wird als Teil der Einstellungen für Proxies (Proxys) unter Advanced Outgoing Connection
Settings (Erweiterte Einstellungen der ausgehenden Verbindung) konfiguriert. Der Name lautet
Outbound Source IP list (Liste ausgehender Quell-IP-Adressen). Wenn eine einzelne
Quell-IP-Adresse für ausgehende Verbindungen konfiguriert ist, wird diese Adresse aus dieser Liste
entnommen.
134
Produkthandbuch
4
Proxys
Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen
Sie können verschiedene ausgehende Quell-IP-Adressen durch eine bestimmte Adresse ersetzen, um
Verbindungsprobleme zu vermeiden.
Vorgehensweise
1
2
Wählen Sie eine Appliance zum Konfigurieren der IP-Adress-Ersetzung aus, wählen Sie Proxies
(HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)) aus, und scrollen Sie nach unten
bis zu Advanced Outgoing Connection Settings (Erweiterte Einstellungen der ausgehenden Verbindung).
3
Fügen Sie unter Outbound source IP list (Liste ausgehender Quell-IP-Adressen) eine oder mehrere
IP-Adressen zur Liste der Quell-IP-Adressen für ausgehende Anfragen hinzu.
4
Fügen Sie das folgende Ereignis zu einer bestehenden Regel für Verbindungen mit Web-Servern
oder Proxys am nächsten Hop hinzu: Enable Outbound Source IP Override mit der Eigenschaft
Proxy.OutboundIP als Parameter.
Die Regel verwendet nun die Liste, die Sie zum Auswählen einer IP-Adresse, die verschiedene
ausgehende Quell-IP-Adressen ersetzen soll, konfiguriert haben.
Anfragen, die von Web Gateway-Clients über das FTP-Protokoll an Server gesendet werden, können
mithilfe der WCCP-Umleitungsmethode (Web Cache Control Protocol) an Web Gateway umgeleitet
werden.
Web Gateway-Clients öffnen zum Senden einer Anfrage an einen Server über das FTP-Protokoll
zunächst die anfängliche FTP-Verbindung. Hierfür wird die IP-Adresse des Servers verwendet. Damit
Web Gateway als Proxy fungieren kann, wird die Anfrage an die IP-Adresse der Appliance umgeleitet,
auf der Web Gateway ausgeführt wird.
Unter den Standardeinstellungen stuft der Client diese Umleitung als Sicherheitsrisiko ein und bricht
das Öffnen der FTP-Datenverbindung daher ab. Bei der Umleitung über das WCCP-Protokoll können
Sie dieses Problem jedoch umgehen, indem Sie an den Einstellungen folgende Änderungen
vornehmen:
•
Verwenden des aktiven FTP-Modus für die Verbindung vom Client zum Proxy
Clients sind standardmäßig zur Nutzung des passiven FTP-Modus berechtigt. Durch Deaktivieren
einer Option der Proxy-Einstellungen auf der Web Gateway-Benutzeroberfläche können Sie jedoch
den aktiven FTP-Modus erzwingen.
•
Konfigurieren eines Ports für die Umleitung zum Proxy
Dieser Port muss in die Liste der Ports eingetragen werden, bei denen Umleitungen über WCCP
erfolgen.
•
Einstellen der IP-Adresse des FTP-Servers für den Proxy (anstelle der eigenen IP-Adresse)
Sie können durch Setzen eines bestimmten Parameters sicherstellen, dass der Proxy genau diese
Adresse verwendet.
Produkthandbuch
135
4
Proxys
Wenn die Einstellungen auf die genannte Weise geändert wurden, verwendet der entsprechende Client
nun den aktiven FTP-Modus. Er sendet dem Proxy eine IP-Adresse sowie eine Port-Nummer zum
Aufbau einer Verbindung. Daraufhin antwortet der Proxy mit einer Synchronisierungsnachricht. In
dieser Nachricht wird die IP-Adresse des FTP-Servers als Quell-IP-Adresse des Proxys verwendet. Die
Port-Nummer lautet 21 bzw. 2020.
Die Antwort des Clients enthält die IP-Adresse des FTP-Servers als Ziel-IP-Adresse sowie die gleiche
Port-Nummer. Anfragen vom Client an den FTP-Server werden dann über das WCCP-Protokoll an den
Proxy umgeleitet.
Im Modus „Transparente Bridge“ oder „Transparenter Router“ kann die WCCP-Umleitungsmethode für
FTP-Datenverkehr allerdings nicht verwendet werden.
Konfigurieren der Verwendung von WCCP zum Umleiten des
FTP-Datenverkehrs
Konfigurieren Sie die Proxy-Einstellungen wie folgt, um die WCCP-Umleitungsmethode für Anfragen zu
aktivieren, die Clients über das FTP-Protokoll an Server senden.
Vorgehensweise
1
Erzwingen Sie die Verwendung des aktiven FTP-Modus durch die Clients.
a
b
Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie die Verwendung der
WCCP-Umleitungsmethode aktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, SOCKS,
ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)).
c
Scrollen Sie zu FTP Proxy (FTP-Proxy), und vergewissern Sie sich, dass Enable FTP proxy (FTP-Proxy
aktivieren) ausgewählt ist.
d
Wählen Sie einen Eintrag in der FTP port definition list (Liste von FTP-Port-Definitionen) aus, klicken
Sie auf Edit (Bearbeiten), und deaktivieren Sie unter FTP Proxy Port (FTP-Proxy-Port) die Option
Allow clients to use passive connections (Clients das Verwenden von passiven Verbindungen gestatten).
Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste.
2
Fügen Sie die Ports 21 und 2020 zur Liste der Ports hinzu, die für die Umleitung über WCCP
verwendet werden.
a
Scrollen Sie in den Einstellungen für Proxies (Proxys) zu Transparent Proxy (Transparenter Proxy),
und vergewissern Sie sich, dass unter Supported redirection methods (Unterstützte
Umleitungsmethoden) die Option WCCP ausgewählt ist.
b
Wählen Sie einen Eintrag in der Liste WCCP services (WCCP-Dienste) aus, klicken Sie auf Edit
(Bearbeiten), und geben Sie unter Ports to be redirected (Umzuleitende Ports) die
Nummern 21,2020 ein.
Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste.
3
4
Setzen Sie in den relevanten Einstellungen den Parameter ftp.match.client.data auf yes.
Dadurch wird sichergestellt, dass Web Gateway bei Antworten an den Client die IP-Adresse
verwendet, die vom Client als Quell-IP-Adresse empfangen wurde.
Diese Adresse ist die IP-Adresse des fraglichen FTP-Servers, nicht die IP-Adresse der Web
Gateway-Appliance. Der Client vermutet daher kein Sicherheitsrisiko.
136
Produkthandbuch
4
Proxys
Anfragen, die von einem Client über das FTP-Protokoll an einen Server gesendet werden, werden nun
mithilfe der WCCP-Umleitungsmethode an Web Gateway umgeleitet und problemlos verarbeitet.
Wenn Web Gateway so konfiguriert ist, dass es als FTP-Proxy ausgeführt wird, kann die Raptor-Syntax
zur Anmeldung am FTP-Server mit Web Gateway als Proxy verwendet werden.
Um diese Anmeldung durchzuführen, kann der Benutzer, der auf den FTP-Server zugreifen möchte, die
Befehle USER, PASS und ACCEPT über einen passenden FTP-Client ausführen. Unter Verwendung
dieser Befehle wird der FTP-Server zusammen mit Benutzernamen und Kennwörtern für den
FTP-Server und den Web Gateway-Proxy angegeben.
Die Befehlssyntax lautet wie folgt:
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
In der folgenden Tabelle werden die Bedeutungen der Befehlsparameter beschrieben.
Tabelle 4-36 Befehlsparameter für die FTP-Anmeldung
Option
Definition
ftpserver
FTP-Server, für den Zugriff angefragt wird
ftpuser
Benutzername für den FTP-Server
ftpuserpass
Kennwort für den FTP-Server
proxyuser
Benutzername für den Web Gateway-Proxy
proxyuserpass
Kennwort für den Web Gateway-Proxy
Protokolle für die Kommunikation zwischen Knoten
Wenn Web Gateway-Appliances in einer Konfiguration mit zentraler Verwaltung als Master- und
Scan-Knoten ausgeführt werden, erfolgt die Kommunikation zwischen den Knoten über das Virtual
Router Redundancy Protocol (VRRP) und das MWG-Verwaltungsprotokoll.
Die Verwendung der Protokolle hängt von den Proxy-Einstellungen ab, die Sie auf den als Knoten
ausgeführten Appliances konfiguriert haben. Die Protokolle decken unterschiedliche Aktivitäten von
Master- und Scan-Knoten ab.
Virtual Router Redundancy Protocol
Das Virtual Router Redundancy Protocol wird verwendet, wenn Sie Web Gateway als Proxy im Modus
„Transparenter Router“ oder im Proxy-Modus „Hohe Verfügbarkeit“ konfiguriert haben.
Unter diesem Protokoll werden aktiven Master-Knoten und Backup-Master-Knoten virtuelle
IP-Adressen zugewiesen. Das Protokoll bestimmt auch, welcher Master-Knoten die aktive Master-Rolle
übernimmt.
Produkthandbuch
137
4
Proxys
MWG-Verwaltungsprotokoll
Das MWG-Verwaltungsprotokoll wird im Proxy-Modus „Transparenter Router“, „Transparente Bridge“
und „Hohe Verfügbarkeit“ verwendet. Unter diesem Protokoll werden Scan-Knoten erkannt, die für die
Verarbeitung des Web-Verkehrs zur Verfügung stehen.
Der Knoten, der die aktive Master-Rolle übernimmt, sendet über die IP-Adressen, die Sie unter
Management IP (Verwaltungs-IP) der jeweiligen Proxy-Einstellungen als IP-Quelladresse konfiguriert
haben, Broadcast-Nachrichten an die Scan-Knoten.
Das Protokoll sorgt dafür, dass die innerhalb eines Netzwerksegments verfügbaren Scan-Knoten in
regelmäßigen Abständen auf die Erkennungsnachrichten des Master-Knotens antworten.
Sicherheitsüberlegungen
Die Sicherheitsmerkmale des Virtual Router Redundancy Protocol und des MWG-Verwaltungsprotokolls
sind denen des Address Resolution Protocol (ARP) sehr ähnlich.
Das Virtual Router Redundancy Protocol verwendet Multicast mit einer IP-Adresse, die nicht über die
lokale Broadcast-Domäne hinaus geroutet wird. Das MWG-Verwaltungsprotokoll verwendet
Broadcast-Nachrichten.
Wenn ein bösartiger Knoten im gleichen Netzwerksegment VRRP-Nachrichten sendet, gibt er sich als
aktiven Master-Knoten und Inhaber der jeweiligen virtuellen IP-Adresse zu erkennen. Wenn dieser
Knoten plötzlich alle Datenpakete für die virtuelle IP-Adresse verweigert, wird die Netzwerkverbindung
für die mit dem Web Gateway-Proxy verbundenen Clients beendet.
Damit bösartige Knoten den Betrieb des Web Gateway-Proxys nicht stören, wird bei der Konfiguration
der Proxy-Einstellungen gemäß Virtual Router Redundancy Protocol und MWG-Verwaltungsprotokoll die
Verwendung von IP-Adressen aus einem geschützten Netzwerksegment empfohlen.
Die Verwendung von DNS-Servern (Domain Name Service) zur Auflösung von über URLs
bereitgestellten Domäneninformationen in IP-Adressen, wenn Web-Zugriffsanfragen auf Web Gateway
verarbeitet werden, kann gemäß den Domänen der angeforderten Ziele konfiguriert werden.
Diese Verwendung von DNS-Servern wird auch als bedingte DNS-Weiterleitung bezeichnet.
Domänen, z. B. testnet.webwasher.com, werden in eine Liste eingegeben, zusammen mit der
IP-Adresse des DNS-Servers, der zum Auflösen der URL-Informationen verwendet wird. Auf diese
Weise kann für eine Domäne mehr als ein DNS-Server angegeben werden.
Wenn eine Anfrage an ein bestimmtes Ziel im Web an Web Gateway gesendet wird, wird diese gemäß
dieser Liste an einen DNS-Server weitergeleitet.
Die Verwendung eines bestimmten DNS-Servers kann dynamisch über DHCP (Dynamic Host
Configuration Protocol) konfiguriert werden. Dies ist auch die Standardeinstellung nach der
Erstkonfiguration einer Web Gateway-Appliance.
Wenn beide Konfigurationen mit DHCP sowie bedingter DNS-Weiterleitung konfiguriert sind, hat DHCP
Vorrang, und die bedingte DNS-Weiterleitung wird umgangen.
Wenn ein BIND-Server als DNS-Server konfiguriert ist, werden die in einer Konfigurationsdatei auf
Web Gateway gespeicherten DNS-Server-Einstellungen überschrieben. Um die Einstellungen für die
Auflösung des Domänennamens beizubehalten, müssen Sie diese manuell erneut eingeben.
138
Produkthandbuch
4
Proxys
Konfigurieren Sie die Verwendung von DNS-Servern
entsprechend Domänen
Konfigurieren Sie die Domain Name Service-Einstellungen in geeigneter Weise, um die Verwendung
von DNS-Servern entsprechend den Ziel-Domänen im Web zu ermöglichen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Verwendung von
DNS-Servern konfigurieren möchten, und klicken Sie auf Domain Name Service.
3
Konfigurieren Sie die Einstellungen im Abschnitt Conditional DNS Forwarder Configuration (Konfiguration
von bedingten DNS-Weiterleitungen) nach Bedarf.
4
Einstellungen für den Domain Name Service
Die Einstellungen für den Domain Name Service werden zum Konfigurieren der DNS-Server
verwendet. Dies gilt auch für die Nutzung von DNS-Servern in Abhängigkeit von bestimmten
Domänen, was auch als bedingte DNS-Weiterleitung bezeichnet wird.
Domain Name Service Settings (Einstellungen des Domain Name Service)
Einstellungen für DNS-Server
Tabelle 4-37 Domain Name Service Settings (Einstellungen des Domain Name Service)
Option
Definition
Primary domain name server (Primärer Domänennamen-Server)
Gibt die IP-Adresse des ersten Servers an.
Secondary domain name server (Sekundärer Domänennamen-Server)
Gibt die IP-Adresse des zweiten Servers an.
Tertiary domain name server (Tertiärer Domänennamen-Server)
Gibt die IP-Adresse des dritten Servers an.
Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Einstellungen für die Verwendung von DNS-Servern in Abhängigkeit von Domänen
Produkthandbuch
139
4
Proxys
Tabelle 4-38 Conditional DNS Forwarder Configuration (Konfiguration für bedingte
DNS-Weiterleitung)
Option
Definition
Enable conditional forwarding
(Bedingte Weiterleitung aktivieren)
Bei Auswahl dieser Option löst ein DNS-Server aus der Liste Conditional
Forwarder List (Liste für bedingte Weiterleitung) die in einer Anfrage an
Web Gateway gesendete Domäneninformation in eine IP-Adresse auf.
• In Abhängigkeit von der Domäne des angefragten Ziels wird ein
DNS-Server aus der Liste ausgewählt.
• Die DNS-Server sind in der Liste mit ihren IP-Adressen aufgeführt.
• Für eine Domäne können bis zu fünf DNS-Server angegeben
werden.
Wenn diese Option ausgewählt ist, kann auch auf die folgenden fünf
Optionen zugegriffen werden.
Default resolver(s)
(Standard-DNS-Server)
Gibt die IP-Adressen des bzw. der Server an, die standardmäßig zur
Auflösung der Domäneninformationen verwendet werden.
Hier können IP-Adressen für bis zu fünf DNS-Server angegeben
werden.
TTL for positive answer
(Speicherdauer für positive
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den positive Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 604800 Sekunden.
TTL for negative answer
(Speicherdauer für negative
Antworten)
Gibt den Zeitraum (in Sekunden) vor, für den negative Antworten
bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert
werden.
• Zulässige Zeiträume sind 1 bis 604800 Sekunden.
• Die Standardeinstellung beträgt 10800 Sekunden.
Conditional Forwarder List (Liste für
bedingte Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
für die bedingte Weiterleitung genutzt werden.
Conditional Forwarder Reverse
Lookup List (Liste für umgekehrte
Suche in bedingter Weiterleitung)
Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die
verwendet werden, wenn bei der bedingten Weiterleitung eine
umgekehrte Suche durchgeführt wird.
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder List“ (Liste für bedingte
Weiterleitung) erläutert.
Tabelle 4-39 Liste für bedingte Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt einen Domänennamen an.
Beim Senden einer Anfrage für ein Ziel auf einer bestimmten Domäne
an Web Gateway wird für die Suche der DNS-Server (bzw. die
DNS-Server) verwendet, der für diese Domäne angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
140
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Produkthandbuch
4
Proxys
In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder Reverse Lookup List“
(Liste für umgekehrte Suche in bedingter Weiterleitung) erläutert.
Tabelle 4-40 Liste für umgekehrte Suche in bedingter Weiterleitung – Listeneintrag
Option
Definition
Forward zone (Weiterleitungsbereich) Gibt die IP-Adresse einer Domäne an.
• Die Angabe der IP-Adresse erfolgt in der CIDR-Notation.
• Bei der Durchführung einer umgekehrten Suche nach einer
IP-Adresse wird der DNS-Server (bzw. die DNS-Server) verwendet,
der für diese Adresse angegeben ist.
DNS server(s) (DNS-Server)
Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der
IP-Adresse(n) an.
werden.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu der bedingten
DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird.
Austausch von Web-Sicherheitsinformationen mithilfe von DXLNachrichten
Mithilfe der DXL-Technologie können Sie Informationen an Web-Sicherheitsprodukte senden, die mit
Web Gateway in einer gemeinsamen Sicherheitsarchitektur verbunden sind, und von diesen
empfangen.
®
McAfee Data Exchange Layer (DXL) ist eine Messaging-Technologie für den Informationsaustausch in
Echtzeit. Mit dieser Technologie können sicherheitsbezogene Informationen ausgetauscht werden,
beispielsweise Datei-Reputationsfaktoren zwischen Web Gateway und anderen verbundenen
Web-Sicherheitsprodukten.
Diese Art von Informationsaustausch erfolgt im Rahmen der von McAfee bereitgestellten
Sicherheitsarchitektur, die auch als Security Connected bezeichnet wird.
Der Informationsaustausch unter DXL erfolgt hauptsächlich in zwei Szenarios: Im ersten Szenario wird
eine Nachricht zu einem Sicherheitsthema in einem Ereignis veröffentlicht, und diese Nachricht wird
nach dem Abonnieren dieses Themas empfangen. Im zweiten Szenario wird eine Abfrage für
Informationen zu einem Sicherheitsthema an einen Dienst gesendet, und es wird eine Antwort von
diesem Dienst empfangen.
Die miteinander verbundenen Web-Sicherheitsprodukte, darunter Web Gateway, übernehmen dabei
die zu diesen Szenarios gehörigen verschiedenen Rollen. Produkte können Nachrichten veröffentlichen
und abonnieren, Abfragen senden und auch als Dienste fungieren, an die Abfragen gesendet werden.
Wenn ein Herausgeber DXL-Nachrichten an die Abonnenten sendet, senden diese keine Antworten
zurück. Wird eine DXL-Nachricht als Abfrage über sicherheitsbezogene Informationen an einen Dienst
gesendet, dann sendet der Dienst eine Antwort mit den Informationen über das in der Abfrage
angegebene Thema.
Web Gateway unterstützt das Senden von DXL-Nachrichten in Ereignissen und als Abfragen an einen
Dienst. Es kann auch DXL-Nachrichten empfangen und als Dienst fungieren, der Informationen über
ein Web-Sicherheitsthema bereitstellt.
Produkthandbuch
141
4
Proxys
Konfigurieren von Einstellungen für den Austausch von
Web-Sicherheitsinformationen
Sie müssen verschiedene Einstellungen konfigurieren, um den Austausch von Informationen zu
Web-Sicherheitsthemen in Web Gateway zu aktivieren. Es müssen Anmeldeinformationen für einen
McAfee ePO-Server konfiguriert werden, da Teile der DXL-Architektur über diese Verwaltungs-Software
verarbeitet werden.
Themen und Dienste werden im Rahmen der Einstellungen für die Proxy-Funktionen von Web Gateway
konfiguriert.
DXL-Nachrichten können auch für die Fehlerbehebung verfolgt werden, nachdem Sie die
entsprechende Option in den Einstellungen für Troubleshooting (Fehlerbehebung) aktiviert haben.
Beispielregel für das Senden einer DXL-Nachricht in einem Ereignis
In der folgenden Beispielregel wird eine Nachricht zu einem Thema in einem Ereignis an die
Abonnenten gesendet.
Die Nachricht wird gesendet, wenn die Verarbeitung einer Web-Zugriffsanfrage von einem Web
Gateway-Client zeigt, dass die angefragte URL zu einer unangemessenen Kategorie gehört. Das
Ereignis sendet dann die IP-Adresse des Clients an alle Abonnenten des Themas "Bad Client", um
Informationen über Clients mit unangemessenen Inhalten weiterzuleiten.
Für das Erstellen einer derartigen Regel ist das Ereignis DXL.Event verfügbar. Das Ereignis enthält zwei
Parameter, nämlich "topic" (Thema) und "information" (Informationen), die mit dem Thema
zusammenhängen.
Die Regel sieht wie folgt aus:
Name
Use an event to send a DXL message to the subscribers
Criteria
URL.Categories<Default> at least one in list Bad Categories
Action
Event
–> Continue DXL.Event ("Bad Client", "IP.ToString(Client.IP))
Beispielregel für das Senden einer DXL-Nachricht als Abfrage an einen Dienst
Die folgende Beispielregel ruft den Reputationsfaktor für eine angefragte Datei ab und blockiert die
Anfrage, wenn der Reputationsfaktor einen bestimmten Wert besitzt.
Die Regel verwendet in den Kriterien die Eigenschaft DXL.Query. Diese Eigenschaft stellt einen
Reputationsfaktor bereit, der durch das Senden einer DXL-Nachricht als Abfrage an einen Dienst
abgerufen wurde. Das Web-Sicherheitsprodukt, das die Rolle des Dienstes übernimmt, ist ein McAfee
Threat Intelligence Exchange (TIE)-Server.
®
Einer der Eigenschaftsparameter ist das Thema der Abfrage. Der andere Parameter besteht aus den
Informationen zum von der Abfrage abgerufenen Thema. Diese Informationen wurden als Antwort von
dem Dienst empfangen, an den die Abfrage gesendet wurde.
Wenn die Abfrage an einen TIE-Server gesendet wurde, werden die Informationen, die als Antwort von
diesem Server empfangen wurden, mithilfe der Eigenschaft TIE.Filereputation gespeichert.
Die Regel sieht wie folgt aus:
Name
Send a DXL message as a query to a service
Criteria
142
Action
Produkthandbuch
4
Proxys
DXL.Query ("File Reputation", TIE.Filereputation) matches *reputation=15*
–>
Block <FileReputation>
Konfigurieren der Einstellungen für den Datenaustausch mit
DXL
Zur Aktivierung des Datenaustauschs mit DXL müssen Sie die Anmeldeinformationen für die
Kommunikation mit einem McAfee ePO-Server sowie die Themen und Dienste konfigurieren, die in den
DXL-Nachrichten enthalten sein sollen.
Vorgehensweise
1
Konfigurieren Sie die Anmeldeinformationen, die Web Gateway beim Herstellen einer Verbindung
mit einem McAfee ePO-Server übermittelt, um die DXL-Nachrichtenübermittlung zu aktivieren.
a
b
Wählen Sie in der Appliances-Struktur die Appliance aus, auf der Sie den Datenaustausch
konfigurieren möchten, und klicken Sie auf ePolicy Orchestrator.
c
Konfigurieren Sie unter ePO DXL Settings (ePO DXL-Einstellungen) einen Host-Namen, ein
Benutzerkonto und ein Kennwort. Diese Angaben werden von Web Gateway beim Herstellen
einer Verbindung mit einem McAfee ePO-Server verwendet.
2
Klicken Sie auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)), und
blättern Sie im Konfigurationsbereich nach unten zu Data Exchange Layer.
3
Konfigurieren Sie Themen für DXL-Nachrichten:
a
Klicken Sie auf der Symbolleiste der Liste Subscription Topics (Abonnementthemen) auf das Symbol
Add (Hinzufügen) oder Multiple Add (Mehrere hinzufügen).
b
Geben Sie im daraufhin geöffneten Fenster einen Themennamen (bzw. mehrere durch Kommas
getrennte Namen) ein, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Themen werden in der Liste angezeigt.
4
Konfigurieren Sie Folgendes für jeden Dienst, für den Sie DXL-Nachrichten erhalten möchten:
a
Klicken Sie auf der Symbolleiste der Liste Services (Dienste) auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add DXL Service (DXL-Dienst hinzufügen).
b
Geben Sie im Feld Service (Dienst) einen Dienstnamen ein.
c
Klicken Sie auf der Symbolleiste der Liste Topics (Themen) auf das Symbol Add (Hinzufügen)
(bzw. Multiple Add (Mehrere hinzufügen)).
d
Geben Sie im daraufhin geöffneten Fenster den Namen des Themas (oder mehrere durch
Kommas getrennte Namen) ein, über den der Dienst Informationen senden soll, und klicken Sie
dann auf OK.
Das Fenster wird nun geschlossen, und die Themen werden in der Liste angezeigt.
e
Klicken Sie auf OK, um das Fenster Add DXL Service (DXL-Dienst hinzufügen) zu schließen.
Der Dienst wird in der Liste angezeigt.
5
Produkthandbuch
143
4
Proxys
Konfigurieren der Einstellungen für den Datenaustausch über
einen TIE Server
Konfigurieren Sie Einstellungen zur Verwendung eines TIE Servers für die Bereitstellung von
Web-Sicherheitsinformationen, die auf diesem Server erfasst werden. Die
Web-Sicherheitsinformationen, die Web Gateway von einem TIE Server abrufen kann, sind
Datei-Reputationsfaktoren.
Vorgehensweise
1
Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus.
2
Wählen Sie im Zweig Engines (Module) der Einstellungsstruktur TIE Filter (TIE-Filter) aus, und klicken
Sie dann auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen).
3
Geben Sie im Feld Name einen Namen für die Einstellungen ein.
4
Wählen Sie unter Product Priorities (Produktprioritäten) eine der folgenden Optionen aus.
•
Use default product priority order (Standard-Produktprioritätsreihenfolge verwenden)
In der Standardreihenfolge werden zuerst Informationen aus dem TIE-Server zum Senden in
einem Ereignis verwendet. Wenn diese Informationen nicht verfügbar sind, wird der niedrigste
von einem verbundenen Produkt gesendete Reputationsfaktor abgerufen.
Fahren Sie nach Auswahl dieser Option mit Schritt 6 fort.
•
Customize product priority order (Produktprioritätsreihenfolge anpassen)
Fahren Sie nach Auswahl dieser Option mit Schritt 5 fort.
5
Passen Sie die Produktprioritätsreihenfolge an.
a
Klicken Sie auf der Symbolleiste der Produktliste auf das Symbol Add (Hinzufügen).
b
Geben Sie im daraufhin geöffneten Fenster im Feld Product ID (Produkt-ID) eine durch Kommas
getrennte Liste der Produkt-IDs in der Reihenfolge ein, in der Sie Informationen aus diesen
Produkten verwenden möchten.
Wenn Sie ein Sternchen als Listenelement eingeben, wird der niedrigste von einem Produkt
gesendete Reputationsfaktor verwendet.
Im Feld Comment (Kommentar) können Sie bei Bedarf eine Erläuterung für die einzelnen
Produkt-IDs eingeben.
c
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und jede Produkt-ID wird in der Liste in einer separaten Zeile
angezeigt.
6
Klicken Sie auf OK, um das Fenster Add Settings (Einstellungen hinzufügen) zu schließen.
Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der Einstellungsstruktur
unter TIE Filter (TIE-Filter) angezeigt.
7
144
Produkthandbuch
4
Proxys
Empfohlene Vorgehensweisen – Arbeiten mit dem
Benutzeragenten-Handler
Der Benutzeragenten-Header ist ein Header in einer über HTTP gesendeten Web-Zugriffsanfrage.
Dieser Header gibt das zum Senden der Anfrage verwendete Software-Programm an. Diesen Header
können Sie für eine Regel verwenden, die bei einer Anfrage, die diesen Header enthält, eine
bestimmte Aktion ausführt.
Bei der Software, die auf einem Client zum Senden einer Anfrage verwendet wird, kann es sich um
einen Browser, einen Media Player oder ein ähnliches Programm handeln. Wenn sich beispielsweise
herausstellt, dass über einen bestimmten Browser gesendete Anfragen zu Problemen mit der
Benutzerauthentifizierung in Web Gateway führen, können Sie eine Regel erstellen, die die
Authentifizierung für diese Anfragen überspringt oder diese blockiert.
Die Regel enthält den Wert des Benutzeragenten-Headers in den Kriterien für die ausgeführte Aktion.
Beim Verarbeiten einer Anfrage in Web Gateway wird dieser Wert aus der Anfrage abgerufen und
darauf überprüft, ob er dem Software-Programm entspricht, das die Probleme verursacht.
Wenn nicht nur ein einzelnes Programm Probleme verursacht oder Sie davon ausgehen, dass weitere
gefunden werden, können Sie auch mit einer Liste von Benutzeragenten arbeiten. Für den Wert des
Benutzeragenten-Headers innerhalb einer Anfrage wird dann überprüft, ob dieser mit einem der
Listeneinträge übereinstimmt.
Suchen des Benutzeragenten
Zum Erstellen einer Regel mit einer Aktion für eine Anfrage, die aufgrund ihres Benutzeragenten
Probleme verursacht hat, muss Ihnen der entsprechende Benutzeragent bekannt sein. Dieser kann auf
verschiedene Arten ermittelt werden.
•
Zugriffsprotokoll: Sie können das in Web Gateway verwaltete Zugriffsprotokoll überprüfen.
Dieses Protokoll erfasst unter anderem standardmäßig den Benutzeragenten-Header einer Anfrage.
•
Online-Ressourcen: Sie finden Informationen zu Browsern, Media Playern und ähnlichen
Programmen, die als Benutzeragenten auf Client-Systemen ausgeführt werden, mithilfe von
Online-Ressourcen, z. B. anhand einer Online-Suche.
Es gibt Websites, die Sie bei der Suche nach Informationen unterstützen, indem beispielsweise die
häufigsten Benutzeragenten aufgeführt und beschrieben werden oder der auf einem Client jeweils
verwendete Browser erkannt wird.
•
TCP-Dump: Sie können einen TCP-Dump der von Web Gateway ausgeführten Anfrageverarbeitung
über die Funktionen zur Fehlerbehebung auf der Benutzeroberfläche erstellen. Weitere
Informationen zu diesen Funktionen finden Sie im Kapitel Fehlerbehebung.
Nach der Erstellung eines TCP-Dumps können Sie mit einem Paketverfolgungs-Tool wie Wireshark
den TCP-Datenstrom nachverfolgen. Sie können eine für den Web-Zugriff gesendete GET-Anfrage
auswählen und die Datenpakete dieser Anfrage mit den Headern überprüfen.
Wenn Sie bereits über einige Informationen bezüglich des Benutzeragenten verfügen, der Probleme
verursacht, können Sie die Ausgabe in Wireshark entsprechend filtern. Wenn Sie beispielsweise die
folgende Zeile eingeben, werden alle Datenpakete zurückgegeben, in denen die Textzeichenfolge
"Mozilla" enthalten ist.
http.user_agent matches "Mozilla"
Die meisten Benutzeragenten-Header für Browser beginnen mit der Textzeichenfolge "Mozilla". Das
bedeutet jedoch nicht zwangsläufig, dass es sich bei dem Benutzeragenten um den Mozilla
Firefox-Browser handelt. Es kann sich auch um Firefox oder einen anderen Browser handeln.
Produkthandbuch
145
4
Proxys
Gängige Benutzeragenten-Header
Die folgende Liste bietet Informationen zu einigen Benutzeragenten-Headern für Software-Programme,
die häufig beim Überprüfen der in Web Gateway erstellten TCP-Dumps gefunden werden.
Außerdem sind für die einzelnen Benutzeragenten-Header Code-Zeilen mit den relevanten
Informationen aus dem Paketverfolgungs-Tool Wireshark angegeben.
•
Firefox: Ein Benutzeragenten-Header für einen Mozilla Firefox-Browser enthält die
Textzeichenfolge "Firefox/", gefolgt von der Versionsnummer.
Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1
•
Internet Explorer: Ein Benutzeragenten-Header für einen Microsoft Internet Explorer-Browser
enthält die Textzeichenfolge "MSIE", gefolgt von der Versionsnummer.
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
•
Chrome: Ein Benutzeragenten-Header für einen Google Chrome-Browser enthält die
Textzeichenfolge "AppleWebKit", gefolgt von der Versionsnummer.
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/
25.0.1364.172 Safari/537.22
Verwechseln Sie einen solchen Header nicht mit einem Benutzeragenten-Header für das Apple
iPhone.
•
Windows Media Player: Ein Benutzeragenten-Header für den Windows Media Player enthält die
beiden in diesem Beispiel-Code-Block angezeigten Textzeichenfolgen.
Windows-Media-Player/10.0.0.xxxx NSPlayer/10.0.0.xxxx WMFSDK/10.0
•
iTunes: Ein Benutzeragenten-Header für einen Apple iTunes Media Player enthält die
Textzeichenfolge "iTunes/", gefolgt von der Versionsnummer.
•
Safari auf dem iPhone: Ein Benutzeragenten-Header für eine App, die auf einem iPhone
ausgeführt wird, z. B. der Apple Safari-Browser, enthält die Textzeichenfolge "iPhone".
Beispielregel für das Arbeiten mit dem Benutzeragenten-Header
In einer Regel, die eine Aktion für eine Anfrage mit einem Benutzeragenten-Header für ein bestimmtes
Software-Programm ausführt, ist der Benutzeragent in den Regelkriterien enthalten. Wenn die Regel
für mehrere Benutzeragenten angewendet werden soll, können Sie mit einer Liste von
Benutzeragenten arbeiten.
Dies ist jedoch auch dann sinnvoll, wenn Sie momentan nur an einem bestimmten Benutzeragenten
interessiert sind, da eine Liste die Modifikation der Regel erleichtert, wenn später weitere
Benutzeragenten behandelt werden müssen.
Die Regelkriterien enthalten eine Eigenschaft, die bei der Verarbeitung der Regel auf den Wert des
Benutzeragenten im Benutzeragenten-Header gesetzt wird. Die Regel tritt in Kraft, wenn dieser Wert
mit einem der Einträge in einer Liste mit Benutzeragenten übereinstimmt (bzw. mit einem einzelnen
Benutzeragenten, wenn Sie die Regel auf diese Weise konfiguriert haben).
146
Produkthandbuch
4
Proxys
Die Liste kann beispielsweise den Eintrag "MSIE 10" für die Version 10 des Microsoft Internet Explorers
enthalten. Wenn eine Anfrage einen Benutzeragenten-Header für diesen Browser enthält, stimmen die
Regelkriterien überein, da die von Ihnen in der Liste eingegebene Zeichenfolge ebenfalls im
Benutzeragent-Header enthalten ist.
Der Wert für den Benutzeragenten aus dem Benutzeragenten-Header in einer Anfrage wird mithilfe der
Eigenschaft Header.Request.Get abgerufen. Sie müssen die Zeichenfolge "Benutzeragent" als Parameter
dieser Eigenschaft konfigurieren, um diese Eigenschaft zum Abrufen dieses Werts verwenden zu
können.
Die folgende Beispielregel lässt eine Anfrage den SSL-Scan überspringen.
Name
Skip SSL Scanner for user-agents in list
Criteria
Action
Header.Request.Get("User-Agent") matches in list User Agent Whitelist
–>
Stop Rule Set
Es wird empfohlen, einer solchen Regel einen zusätzlichen Kriterienteil hinzuzufügen. Da der Client die
Informationen zum Benutzeragenten bereitstellt, kann der Client oder ein Malware-Programm einen
vertrauenswürdigen Benutzeragenten manipulieren, sodass dieser die Filterung umgeht.
In der folgenden Beispielregel wurden die Kriterien durch einen zusätzlichen Teil zum Schutz vor der
Manipulation des Benutzeragenten erweitert.
Name
Skip SSL Scanner for user-agents in list
Criteria
Header.Request.Get("User-Agent") matches in list User Agent Whitelist AND URL.Host matches
*samplesite.com
Action
–> Stop Rule Set
In den Beispielregeln ist Stop Rule Set als Aktion konfiguriert. Die Regel wird in den Regelsatz für diese
Funktion eingefügt, um Probleme zu beheben, die ein Benutzeragent hinsichtlich einer Funktion von
Web Gateway verursacht.
Wenn beispielsweise ein Benutzeragent zu Problemen beim SSL-Scan führt, fügen Sie die Regel am
Anfang des Regelsatzes SSL Scanner ein. Wenn die Regel in Kraft tritt, wird die Verarbeitung dieses
Regelsatzes beendet, d. h. die relevante Anfrage überspringt den SSL-Scan. Die Regel kann auf
ähnliche Weise verwendet werden, um beispielsweise die Benutzerauthentifizierung zu überspringen.
Wenn Anfragen aufgrund von Problemen mit Benutzeragenten keine Regeln überspringen sollen,
können Sie die Aktion Stop Rule Set (Regelsatz beenden) durch Block (Blockieren) ersetzen. Sie können
dann einen Regelsatz zum globalen Blockieren von Anfragen erstellen (sofern dieser noch nicht in
Ihrem Regelsatzsystem vorhanden ist) und die Regel einfügen.
Erstellen einer Regel für das Arbeiten mit dem
Benutzeragenten-Header
Sie können eine Regel erstellen, die bei einer Anfrage eine Aktion abhängig vom jeweiligen
Benutzeragenten-Header ausführt, um durch bestimmte Benutzeragenten verursachte Probleme zu
beheben.
Im Folgenden wird davon ausgegangen, dass ein bestimmter Benutzeragent ein Problem beim
SSL-Scan verursacht. Die erstellte Regel lässt Anfragen mit Benutzeragenten-Headern, die diesen
Benutzeragenten enthalten, den SSL-Scan überspringen, um das Problem zu vermeiden.
Produkthandbuch
147
4
Proxys
Vorgehensweise
1
Wählen Sie den Regelsatz für die Funktion aus, die für Anfragen mit dem Benutzeragenten, der das
Problem verursacht, übersprungen werden soll.
a
b
Wählen Sie in der Regelstruktur den Regelsatz SSL Scanner aus.
c
Klicken Sie im Konfigurationsbereich auf Unlock View (Anzeige entsperren), und bestätigen Sie mit
Yes (Ja).
In den übergeordneten Regelsatz SSL Scanner können Regeln eingefügt werden.
2
Konfigurieren Sie den Namen der Regel, die es Anfragen ermöglicht, die Regeln im Regelsatz zu
überspringen.
a
Klicken Sie auf Add Rule (Regel hinzufügen).
Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name
ausgewählt ist.
b
3
Geben Sie im Feld Name einen Namen für die Regel ein, z. B. Skip SSL Scanner for
user-agents on list.
Konfigurieren Sie die Eigenschaft, die zum Abrufen des Benutzeragenten verwendet wird.
a
Klicken Sie auf Rule Criteria (Regelkriterien) und dann auf Add (Hinzufügen).
b
Wählen Sie im Dropdown-Menü die Option Advanced Criteria (Erweiterte Kriterien) aus.
Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen).
4
c
Klicken Sie auf Filter (Filter), und wählen Sie Engine | Header (Modul | Header) und dann in der
gefilterten Liste der Eigenschaft den Eintrag Header.Request.Get aus.
d
Klicken Sie in der Eigenschaft auf Parameters (Parameter).
e
Vergewissern Sie sich im daraufhin geöffneten Fenster, dass Parameter value (Parameterwert)
ausgewählt ist, geben Sie User-Agent (Benutzeragent) ein, und klicken Sie dann zum Schließen
des Fensters auf OK.
Konfigurieren Sie den Operator und die Liste, mit der der Eigenschaftswert verglichen wird.
a
Behalten Sie den vorgeschlagenen Operator Matches in list (Entspricht in Liste) bei.
b
Wählen Sie in der Liste unter Compare with (Vergleichen mit) User Agent Whitelist (Whitelist für
Benutzeragenten) aus.
Die Liste ist anfänglich leer, und Sie müssen einen Eintrag für den Benutzeragenten hinzufügen,
der Probleme verursacht.
c
Klicken Sie auf OK.
Daraufhin schließt sich das Fenster Add Criteria (Kriterien hinzufügen), und die vollständigen
Kriterien werden im Fenster Add Rule (Regel hinzufügen) angezeigt.
5
148
Konfigurieren Sie die Regelaktion.
a
Klicken Sie auf Action (Aktion).
b
Wählen Sie in der Liste Action (Aktion) die Option Stop Rule Set (Regelsatz anhalten) aus.
Produkthandbuch
4
Proxys
6
Schließen Sie die Konfiguration ab.
a
Klicken Sie auf Finish (Fertig stellen).
Daraufhin schließt sich das Fenster Add Rule (Regel hinzufügen), und die Regel wird im Regelsatz
SSL Scanner angezeigt.
Der Regelsatz SSL Scanner ist standardmäßig leer, da sich die Regeln für die Scan-Funktionen in
übergeordneten Regelsätzen befinden. Wenn der übergeordnete Regelsatz Regeln enthält, die
nach der Ersteinrichtung eingefügt wurden, verschieben Sie die neue Regel an die erste Stelle.
b
Umgehen der Filterung für Office 365 und andere MicrosoftDienste
An Office 365 und andere Microsoft-Dienste gesendete Anfragen sowie von diesen Diensten gesendete
Antworten können so konfiguriert werden, dass sie die Filterung umgehen und dadurch eine zu hohe
Auslastung von Web Gateway vermeiden.
Die Umgehung wird für diese Anfragen und Antworten mittels Regeln erreicht. Im
Standard-Regelsatzsystem sowie in der Regelsatzbibliothek ist bereits ein Regelsatz mit passenden
Regeln vorhanden.
Beim Konfigurieren der Filterumgehung von Anfragen und Antworten innerhalb des
Datenverkehrs von Office 365 und anderen Microsoft-Diensten können Sie mit folgenden
Elementen arbeiten:
•
Schlüsselelemente von Regeln: Nach dem Öffnen des Regelsatzes mit den
Umgehungsregeln können Sie die Schlüsselelemente dieser Regel anzeigen und
konfigurieren.
•
Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige
entsperren) klicken, werden die Umgehungsregeln vollständig angezeigt, und Sie können
alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen
oder Regeln löschen.
Wenn Sie von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren
möchten, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren.
Office 365 und andere Microsoft-Dienste
Microsoft bietet verschiedene Cloud-basierte Anwendungen an, die zur Anwendungs-Suite Office 365
gehören. Diese Anwendungen hängen in hohem Maße von HTML5-Funktionen ab, um Benutzern eine
rundum komfortable und ansprechende Nutzung zu ermöglichen.
Aus diesem Grund können manche dieser Anwendungen eine hohe Anzahl von Verbindungen und
sogar einige "Endlosverbindungen" aufbauen, die die Arbeitslast der Web Gateway-Appliance
beträchtlich erhöhen. Die erhöhte Arbeitslast kann die Proxy-Funktionen von Web Gateway
beeinträchtigen, sodass es zu langsamem oder verzögertem Web-Zugriff, Zeitüberschreitungen und
anderen Problemen kommen kann.
Produkthandbuch
149
4
Proxys
Um Probleme dieser Art zu vermeiden, können Sie Anfragen und Reaktionen innerhalb des
Datenverkehrs von Office 365 und anderen Microsoft-Diensten die Filterung durch Web Gateway
umgehen lassen. Viele dieser Anfragen und Antworten nutzen außerdem undokumentierte Formate
bzw. Protokolle, die Microsoft-spezifisch sind und daher von Web Gateway weder gescannt noch
gefiltert werden können.
Regelsatz zur Filterumgehung für Microsoft-Dienste
Der Regelsatz Bypass Microsoft (Office 365) Services enthält Regeln, die es ermöglichen, dass Anfragen und
Reaktionen innerhalb des Datenverkehrs von Office 365 und anderen Microsoft-Diensten die Filterung
umgehen können.
Zur Identifizierung der Anfragen, die für den Zugriff auf diese Dienste gesendet werden, werden von
Microsoft veröffentlichte Listen mit IP-Adressen und URLs verwendet.
Der Regelsatz wird an oberster Position des Standard-Regelsatzsystems platziert.
Verwendung eines DNS-Servers
Für den Umgehungsregelsatz muss Web Gateway auf einen DNS-Server zugreifen. Bei einigen
Konfigurationen, beispielsweise bei Verwendung von Proxys am nächsten Hop, ist für Web Gateway
normalerweise kein DNS-Zugriff erforderlich, sodass dieser Zugriff möglicherweise nicht konfiguriert
ist oder sogar von einer Regel blockiert wird.
Die meisten der Regeln des Regelsatzes werten zur Erkennung relevanter Anfragen jedoch die
Eigenschaft URL.Destination.IP aus. Anschließend wird mithilfe des DNS-Servers die Ziel-IP-Adresse der
derzeit verarbeiteten Anfrage aufgelöst.
Wenn also kein DNS-Server konfiguriert ist bzw. die Konfiguration fehlerhaft ist, kann es beim Arbeiten
mit dem Regelsatz zu Zeitüberschreitungen oder verlangsamter Verarbeitung kommen.
Schlüsselelemente für die Umgehung der Filterung von
Microsoft-Diensten
Die Schlüsselelemente der Regeln für die Umgehung der Filterung von Office 365 und anderen
Microsoft-Diensten stehen in Zusammenhang mit den verschiedenen Diensten, an die bzw. von denen
Anfragen und Antworten gesendet und empfangen werden.
Umgehung der Filterung von Microsoft-Diensten
Optionen für die Umgehung der Filterung von Microsoft-Diensten
Tabelle 4-41 Umgehung der Filterung von Microsoft-Diensten
Option
Definition
Bypass Exchange Online, Bypass Microsoft
Federation Gateway und andere Optionen
für die Umgehung der Filterung von
Microsoft-Diensten
Bei Auswahl dieser Optionen wird eine Anfrage von einem
Web Gateway-Client bezüglich des Zugriffs auf Exchange
Online oder einen anderen Microsoft-Dienst ungefiltert an
den Dienst weitergeleitet.
Wenn eine Antwort vom Dienst empfangen wird, wird diese
ebenfalls ungefiltert an den Client weitergeleitet.
Keine dieser Optionen ist standardmäßig aktiviert.
150
Produkthandbuch
4
Proxys
Bypass Microsoft (Office 365) Services (Regelsatz)
Der Regelsatz Bypass Microsoft (Office 365) Services ist der Standardregelsatz, der es ermöglicht, dass
Anfragen und Reaktionen innerhalb des Datenverkehrs von Office 365 und anderen Microsoft-Diensten
die Filterung durch Web Gateway umgehen können.
Standardregelsatz – Bypass Microsoft (Office 365) Services
Criteria – Always
Cycles – Requests (and IM), Responses
Shortcut Microsoft service in response
Cycle.Name equals "Response" AND User-Defined.Shortcut_Microsoft_Service equals true – Stop Cycle
Mithilfe der Eigenschaft Cycle.Name ermittelt die Regel, ob im Antwortzyklus derzeit eine Verarbeitung
in Web Gateway erfolgt.
Außerdem verwendet die Regel eine benutzerdefinierte Eigenschaft, die überprüft, ob die in diesem
Zyklus verarbeitete Antwort von einem Client ausgelöst wurde, der eine Zugriffsanfrage für
Office 365 oder einen von mehreren weiteren Microsoft-Diensten gestellt hat.
Wenn in Web Gateway eine solche Anfrage eingeht, setzt eine bestimmte Regel, die im Antwortzyklus
verarbeitet wird, die benutzerdefinierte Eigenschaft auf true. Die aktuelle Regel überprüft mithilfe des
zweiten Teils ihrer Kriterien, ob die Eigenschaft im Antwortzyklus tatsächlich auf diesen Status
gesetzt wurde.
Wenn beide Kriterienteile übereinstimmen, wird die Regel angewendet und der Antwortzyklus
entsprechend beenden. Anschließend wird die Antwort ungefiltert an den anfragenden Client
weitergeleitet.
Diese Regel ist standardmäßig aktiviert.
Alle Regeln, die auf die erste Regel des Regelsatzes folgen, arbeiten auf ähnliche Weise. Sie
stellen sicher, dass eine von einem Client von Web Gateway an einen bestimmten
Microsoft-Dienst gesendete Anfrage ungefiltert an diesen Dienst weitergeleitet wird.
Jede dieser Regeln setzt die von der ersten Regel ausgewertete Eigenschaft nach dem
Empfangen einer solchen Anfrage ebenfalls auf true.
Die erste dieser nachfolgenden Regeln wird hier als Beispiel detailliert erläutert. Alle anderen
Regeln werden anschließend in einer Zusammenfassung dargestellt.
Bypass Exchange Online
URL.Destination.IP is in range list Exchange Online IP Addresses OR URL.Destination.IP is in range list Exchange Online
Protection P Addresses OR URL.Host matches in list Exchange Online URLs – Stop Cycle – Set
User-Defined.Shortcut_Microsoft_Service = true
Die Regel ermittelt anhand der Eigenschaften URL.Destination.IP und URL.Host, ob die mit einer Anfrage
gesendete IP-Adresse und URL in bestimmten Listen enthalten sind.
Wenn dies der Fall ist, wird der Anfragezyklus beendet und die Anfrage an das angefragte Ziel
weitergeleitet, das hier der Dienst Microsoft Exchange Online ist.
Anschließend wird die Eigenschaft User-Defined.Shortcut_Microsoft_Service von einem Ereignis auf true
gesetzt. Im Antwortzyklus wird die Eigenschaft von der ersten Regel des Regelsatzes ausgewertet.
Diese Regel ist standardmäßig nicht aktiviert.
Produkthandbuch
151
4
Proxys
Reverse-HTTPS-Proxy
Bypass Microsoft Federation Gateway, Bypass Microsoft Lync/Skype for Business Online und weitere Regeln zur
Umgehung von Microsoft-Diensten
Ähnlich wie die Regel Bypass Exchange Online ermitteln diese Regeln anhand der Eigenschaft
URL.Destination.IP, der Eigenschaft URL.Host oder beider Eigenschaften (in einem Fall außerdem die
Eigenschaft URL), ob die mit Anfragen gesendeten IP-Adressen bzw. URLs in bestimmten Listen
enthalten sind. Je nachdem, um welchen Dienst es sich handelt, sind die Listen von Regel zu Regel
unterschiedlich.
Wenn die IP-Adressen bzw. URLs in den Listen aufgeführt sind, wird der Anfragezyklus angehalten
und die Anfrage an das angefragte Ziel weitergeleitet, bei dem es sich um einen der
Microsoft-Dienste handelt.
Anschließend wird die Eigenschaft User-Defined.Shortcut_Microsoft_Service von einem Ereignis auf true
gesetzt. Im Antwortzyklus wird die Eigenschaft von der ersten Regel des Regelsatzes ausgewertet.
Keine dieser Regeln ist standardmäßig aktiviert.
Reverse-HTTPS-Proxy
Mit einer Reverse-HTTPS-Proxy-Konfiguration kann verhindert werden, dass Clients unerwünschte
Daten wie Malware oder bestimmte Medientypen auf Web-Server unter dem HTTPS-Protokoll
hochladen.
In einer solchen Konfiguration wird HTTPS-Datenverkehr an eine Appliance umgeleitet, auf der ein
Proxy ausgeführt wird. Er wird untersucht und schließlich je nach den auf der Appliance
implementierten Regeln weitergeleitet oder blockiert.
Es gibt die folgenden Konfigurationsmöglichkeiten:
•
Richten Sie eine transparente Bridge oder einen transparenten Router ein.
•
Richten Sie eine DNS-Konfiguration ein, die direkt auf die Appliance verweist, wenn der Zugriff auf
einen bestimmten Web-Server angefragt wird.
Die Umleitung an eine Appliance kann auch erzielt werden, indem Verbindungen mit Proxy-Erkennung
konfiguriert werden, die auf der Verwendung von CONNECT-Headern basieren.
Diese Methode erfordert jedoch ein zusätzliches Netzwerkgerät, um diese Header für eingehende
Anfragen zusammenzustellen. Daher wird sie nicht empfohlen.
Neben dem Konfigurieren Ihres Netzwerks müssen Sie die Verarbeitung von SSL-Zertifikaten
konfigurieren.
Optional können Sie zusätzliche Einstellungen festlegen, die sich nicht auf SSL beziehen, um einen
reibungslosen Betrieb des Reverse-HTTPS-Proxys sicherzustellen.
Umleiten von HTTPS-Datenverkehr im Modus „Transparente
Bridge“ oder „Transparenter Router“
Im Modus „Transparente Bridge“ oder „Transparenter Router“ können Sie eine Port-Umleitungsregel
(die auch als Port-Weiterleitungsregel bezeichnet wird) verwenden, um HTTPS-Datenverkehr an den
Proxy-Port einer Appliance weiterzuleiten.
Sie müssen zudem sicherstellen, dass die umgeleiteten Anfragen als SSL-gesicherte Kommunikation
behandelt werden.
152
Produkthandbuch
4
Proxys
Reverse-HTTPS-Proxy
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, an die Datenverkehr umgeleitet
werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
Wählen Sie im Abschnitt Network Setup (Netzwerkeinrichtung) Transparent bridge (Transparente Bridge)
oder Transparent router (Transparenter Router) aus.
Der Abschnitt mit den spezifischen Einstellungen für die transparente Bridge bzw. den
transparenten Router wird angezeigt.
4
Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen).
5
Konfigurieren Sie die folgenden Einstellungen für einen neue Port-Umleitungsregel:
•
Protocol name (Protokollname): HTTP
Diese Einstellung deckt Verbindungen unter den Protokollen HTTP und HTTPS ab.
•
Original destination ports (Ursprüngliche Ziel-Ports): 443
Wenn die Web-Server, die die Anfrageziele darstellen, auch unter dem HTTP-Protokoll erreicht
werden können, können Sie hier Port 80 hinzufügen (getrennt durch ein Komma). Dieser Typ
von Datenverkehr wird dann ebenfalls an die Appliance weitergeleitet.
•
Destination proxy port (Ziel-Proxy-Port): 9090
Dies ist der standardmäßige Proxy-Port auf einer Appliance.
6
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Regel wird in der Liste angezeigt.
7
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen).
8
9
Vergewissern Sie sich, dass Folgendes konfiguriert ist:
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): 443
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue HTTP-Proxy-Port wird in der Liste angezeigt.
Festlegen der Überwachung von über DNS-Einträge
umgeleiteten Anfragen durch die Appliance
Wenn unter dem HTTPS-Protokoll gesendete Anfragen entsprechend DNS-Einträgen an eine Appliance
umgeleitet werden, können Sie den Proxy auf der Appliance so konfigurieren, dass er den
Produkthandbuch
153
4
Proxys
Reverse-HTTPS-Proxy
entsprechenden Port direkt überwacht. Sie müssen zudem sicherstellen, dass die Verarbeitung nur für
SSL-gesicherte Verbindungen erfolgt.
Bevor Sie beginnen
Wenn Sie den Proxy auf diese Weise konfigurieren möchten, stellen Sie Folgendes sicher:
•
Es erfolgt keine Auflösung der Host-Namen der angeforderten Web-Server auf der
Appliance, wenn von der Appliance eine DNS-Suche ausgeführt wird.
Sie können dies erreichen, indem Sie die IP-Adressen der Web-Server in der Datei „/etc/
hosts“ auf der Appliance eingeben, oder indem Sie einen entsprechend konfigurierten
internen DNS-Server verwenden.
•
Ein Regelsatz zur Verarbeitung der Inhaltsüberprüfung ist auf der Appliance
implementiert und aktiviert.
Ein geeigneter Regelsatz wird als untergeordneter Regelsatz des Regelsatzes
„SSL Scanner“ im Standard-Regelsatzsystem bereitgestellt.
Bei der Verwendung von DNS-Einträgen kann keine Port-Umleitungsregel angewendet werden, da der
Zweck einer solchen Regel im Weiterleiten von Anfragen für andere Ziele an die Appliance besteht.
Aufgrund der DNS-Einträge stellt die Appliance jedoch bereits das Ziel dar.
Sie müssen zudem sicherstellen, dass die Verarbeitung nur für SSL-gesicherte Verbindungen erfolgt.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur eine Appliance aus, die auf Anfragen überwachen soll,
und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)).
3
(HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen).
4
Konfigurieren Sie die folgenden Einstellungen für einen neuen HTTP-Proxy-Port:
•
Listener address (Listener-Adresse): 0.0.0.0:443
Mit dieser Einstellung überwacht die Appliance Anfragen für beliebige Web-Server, ungeachtet
ihrer jeweiligen IP-Adresse. Sie können an dieser Stelle auch eine bestimmte IP-Adresse
angeben und die Überwachung von Anfragen durch die Appliance auf den betreffenden Server
beschränken.
Wenn Sie über mehrere Netzwerkschnittstellenkarten auf der Appliance verfügen, können Sie
IP-Adressen (durch Kommas getrennt) für eine Anzahl von Web-Servern angeben, die der
Anzahl von Netzwerkschnittstellenkarten gleichkommt.
154
•
Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt
•
Ports treated as SSL (Als SSL behandelte Ports): *
Produkthandbuch
4
Proxys
Reverse-HTTPS-Proxy
5
Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der neue Proxy-Port wird in der Liste angezeigt.
Wenn ein Web-Server auch unter dem HTTPS-Protokoll zugänglich sein soll, müssen Sie einen
weiteren HTTP-Proxy mit der Listener-Adresse 0.0.0.0:80 oder der Adresse eines bestimmten
Web-Servers hinzufügen.
6
SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration
Eine Reverse-HTTPS-Proxy-Konfiguration wird üblicherweise eingerichtet, um eine begrenzte Anzahl an
Web-Servern vor dem Hochladen unerwünschter Daten durch Clients zu schützen. Sie müssen für
diese Server SSL-Zertifikate importieren und diese der Appliance-Konfiguration hinzufügen.
In einer Reverse-HTTPS-Proxy-Konfiguration kommuniziert die Appliance im SSL-gesicherten Modus
mit ihren Clients. Die SSL-Zertifikate, die die Appliance während des SSL-Handshakes an die Clients
sendet, können jedoch nicht durch das Modul „SSL Scanner“ ausgestellt werden. Die Appliance
verwendet daher die Originalzertifikate der Web-Server, für die die Clients Zugriff anfragen.
Sie können diese Zertifikate beim Konfigurieren der Einstellungen für den SSL-Client-Kontext ohne
CA-Modul konfigurieren.
Die Appliance verwendet mehrere Methoden, um die passenden Zertifikate zum Senden an die Clients
zu finden.
Auswählen der an die Clients zu sendenden Zertifikate
Um herauszufinden, welche Zertifikate in einer bestimmten Situation an einen Client zu senden sind,
scannt die Appliance die Liste der importierten Zertifikate. In dieser Liste sind die Zertifikate den
Host-Namen der Web-Server zugeordnet, zu denen sie gehören. Die Appliance sendet dann das
Zertifikat, das dem Namen des Hosts zugeordnet ist, auf den ein Client Zugriff anfragt.
In einer expliziten Proxy-Einrichtung würde der Host-Name übertragen und der Appliance im Header
der CONNECT-Anfrage angegeben werden.
In einer transparenten Einrichtung verwendet die Appliance die folgenden Methoden zur Erkennung
des Host-Namens:
•
Wenn ein Client eine SNI-Erweiterung sendet, kann der Host-Name auf eine Weise ermittelt
werden, die der Erkennung des Host-Namens in einer expliziten Proxy-Konfiguration ähnelt.
•
Wenn Client-Anfragen entsprechend den DNS-Einträgen an die Appliance umgeleitet werden, wird
der Host-Name anhand der IP-Adresse erkannt, die Sie beim Konfigurieren der Umleitung
angegeben haben.
In diesem Fall müssen Sie auch einen Regelsatz mit Regeln erstellen, die die Eigenschaft
„URL.Host“ auf den entsprechenden Wert für jede IP-Adresse setzen, auf die die Appliance
reagieren soll. Damit wird der Appliance angegeben, wohin Anfragen weitergeleitet werden sollen,
nachdem sie gefiltert und zugelassen wurden.
•
Wenn die transparente Einrichtung keine Umleitung durch DNS-Einträge verwendet, sendet die
Appliance eine Handshake-Meldung an den von einem Client angefragten Web-Server, extrahiert
den allgemeinen Namen aus dem vom Web-Server erhaltenen Zertifikat, und ermittelt anhand
dieses allgemeinen Namens den Host-Namen.
Bei dieser Methode müssen auch die Appliance und der Web-Server im SSL-gesicherten Modus
kommunizieren. Sie können eine Einstellung auf der Appliance konfigurieren, um sicherzustellen,
dass dieser Modus verwendet wird.
Produkthandbuch
155
4
Proxys
Reverse-HTTPS-Proxy
Erstellen von Eigenschaften für SSL-Zertifikate in einer Reverse-HTTPSProxy-Konfiguration
Für die SSL-Zertifikate, die für Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration verwendet
werden, können Sie Einstellungen erstellen und die Zertifikate beim Konfigurieren dieser Einstellungen
importieren.
Vorgehensweise
1
Wählen Sie Policies | Settings (Richtlinien | Einstellungen) aus.
2
Wählen Sie in der Einstellungs-Baumstruktur Enable SSL Client Context without CA (SSL-Client-Kontext
ohne CA aktivieren) aus.
3
Klicken Sie über der Einstellungs-Baumstruktur auf Add (Hinzufügen).
4
Geben Sie im Feld Name einen Namen für die hinzuzufügenden Einstellungen ein, z. B. Imported
web server certificates.
5
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
6
[Optional] Wählen Sie die Registerkarte Permissions (Berechtigungen) aus, und geben Sie an,
welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten.
7
Konfigurieren Sie im Abschnitt Define SSL Client Context (Without Certificate Authority) (SSL-Client-Kontext
definieren, ohne Zertifizierungsstelle) die dort befindlichen Einstellungsparameter.
a
Klicken Sie auf der Symbolleiste der Inline-Liste Select server certificate by host or IP (Server-Zertifikat
nach Host oder IP auswählen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Klicken Sie auf Import (Importieren), und importieren Sie mithilfe der Optionen des nun
geöffneten Fensters Import Server Certificate (Server-Zertifikat importieren) ein SSL-Zertifikat für
einen Web-Server.
c
Konfigurieren Sie die weiteren Parameter im Fenster Add Host to Certificate Mapping (Host zur
Zertifikatzuordnung hinzufügen) nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster wird geschlossen, und in der Inline-Liste wird ein neuer Eintrag für die Zuordnung
eines SSL-Zertifikats zum Host-Namen eines Web-Servers angezeigt.
e
Wenn Sie zur Inline-Liste weitere Zuordnungseinträge hinzufügen möchten, dann wiederholen
Sie die untergeordneten Schritte a bis d.
f
Aktivieren bzw. deaktivieren Sie die Option SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion nur auf Client-Verbindung anwenden), je nachdem, ob die Verbindung
zum Web-Server SSL-gesichert sein soll oder nicht.
Wenn Sie sich für eine ungesicherte Verbindung entscheiden, müssen Sie eine Regel zum
Ändern des Netzwerkprotokolls von HTTPS in HTTP erstellen.
156
Produkthandbuch
Proxys
Reverse-HTTPS-Proxy
g
Konfigurieren Sie die anderen Parameter der Einstellungen für den SSL-Client-Kontext nach
Bedarf.
h
Klicken Sie auf OK.
4
Das Fenster Add Settings (Einstellungen hinzufügen) wird nun geschlossen, und die neuen
Einstellungen werden in der Einstellungs-Baumstruktur angezeigt.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der
Einstellungs-Baumstruktur angezeigt.
9
Sie können diese Einstellungen auch in der Regel zum Festlegen des Client-Kontexts verwenden. Diese
Regel befindet sich im SSL-Scanner-Regelsatz des Standard-Regelsatzsystems.
Festlegen der Eigenschaft „URL.Host“ in einer Reverse-HTTPS-ProxyKonfiguration
Wenn Client-Anfragen durch DNS-Einträge in einer Reverse-HTTPS-Proxy-Konfiguration an die
Appliance umgeleitet werden, müssen Sie die IP-Adresse eines Web-Servers als Werte der Eigenschaft
„URL.Host“ festlegen, um der Appliance das Weiterleitungsziel für die Anfragen anzugeben.
Nachdem das Filtern einer Anfrage ergeben hat, dass diese zulässig ist, verwendet die Appliance die
mit der Anfrage übermittelte Eigenschaft „URL.Host“, um die Anfrage an den angefragten Web-Server
weiterzuleiten.
Bei der Umleitung von Anfragen entsprechend den DNS-Einträgen sind die Web-Server der Appliance
durch ihre IP-Adressen bekannt. Wenn die Eigenschaft „URL.Host“ über die IP-Adresse eines
Web-Servers als Wert verfügt, leitet die Appliance die Anfrage an das entsprechende Ziel weiter.
Der Wert der Eigenschaft „URL.Host“ kann mithilfe einer Regel auf eine IP-Adresse gesetzt werden. Sie
müssen eine solche Regel für jeden Web-Server erstellen, an den die Appliance Anfragen weiterleiten
soll.
Diese Regeln können in einem eigenen Regelsatz enthalten sein.
Aufgaben
•
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“ auf Seite 157
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die
IP-Adresse eines Web-Servers als Wert zuweisen.
•
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“ auf Seite 158
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“
Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines
Web-Servers als Wert zuweisen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
Produkthandbuch
157
4
Proxys
Reverse-HTTPS-Proxy
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen).
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Set value of URL.Host
to IP address.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the Always (Immer) aus.
8
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum Regelsatz im
Nur-Text-Format ein.
9
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und konfigurieren Sie, wer
zum Zugriff auf den Regelsatz berechtigt ist.
10 Klicken Sie auf OK.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“
Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als
Wert zuweisen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die neuen Regeln erstellt
haben, z. B. Set value of URL.Host to IP address.
3
Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt
ist.
4
Geben Sie im Feld Name einen Namen für die neue Regel ein, z. B. Set value of URL.Host to
10.141.101.51.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen).
6
158
Konfigurieren Sie die Regelkriterien folgendermaßen:
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Destination.IP
aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte den Operator equals (ist gleich)
aus.
c
Geben Sie in der rechten Spalte in das Operandenfeld unter Compare with (Vergleichen mit) eine
IP-Adresse ein.
Produkthandbuch
4
Proxys
Reverse-HTTPS-Proxy
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Continue (Weiter) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im
angezeigten Dropdown-Menü die Option Set Property Value (Eigenschaftenwert festlegen).
Daraufhin öffnet sich das Fenster Add Set Property (Festgelegte Eigenschaft hinzufügen).
10 So legen Sie eine Eigenschaft fest:
a
Wählen Sie unter Set this property (Diese Eigenschaft festlegen) die Eigenschaft URL.Host aus.
b
Klicken Sie unter To concatenation of these strings (Für Verkettung dieser Zeichenfolgen) auf Add
(Hinzufügen).
Daraufhin öffnet sich das Fenster Please Enter a String (Zeichenfolge eingeben).
c
Geben Sie im Feld Parameter value (Parameterwert) den Host-Namen des Web-Servers ein, zu dem
die in dieser Regel verwendete IP-Adresse gehört.
d
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Host-Name wird im Fenster Add Set Property
(Festgelegte Eigenschaft hinzufügen) angezeigt.
Das Fenster wird geschlossen, und das Ereignis zum Festlegen der EigenschaftURL.Host wird unter
Events (Ereignisse) angezeigt.
12 Klicken Sie auf Finish (Fertig stellen).
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem
Regelsatz angezeigt, den Sie für die Regeln zur Festlegung von Werten erstellt haben.
Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPSProxy-Konfiguration
Zusätzlich zur Konfiguration der Netzwerkeinrichtung und der SSL-Zertifikatsverarbeitung können Sie
mehrere weitere optionale Aktivitäten ausführen, um einen reibungslosen Betrieb des
Reverse-HTTPS-Proxys zu gewährleisten.
•
Erkennung von Proxy-Schleifen deaktivieren
•
Beschränken des Zugriffs auf die Appliance-Ports
•
Beschränken des Zugriffs auf Web-Server
•
Senden von Daten an mehrere Web-Server
Produkthandbuch
159
4
Proxys
Reverse-HTTPS-Proxy
Aufgaben
•
Erkennung von Proxy-Schleifen deaktivieren auf Seite 160
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage
Proxy-Schleifen erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen,
diese Erkennung zu deaktivieren.
•
Beschränken des Zugriffs auf die Appliance-Ports auf Seite 160
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer
Appliance beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
•
Beschränken des Zugriffs auf Web-Server auf Seite 161
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte
Anzahl von Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In
dieser Konfiguration sollten Sie den Zugriff ausschließlich auf diese Server gestatten und
den Zugriff auf andere blockieren.
•
Senden von Daten an mehrere Web-Server auf Seite 164
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche
Web-Server weiterleiten und so für Lastausgleich und Redundanz sorgen.
Erkennung von Proxy-Schleifen deaktivieren
Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage Proxy-Schleifen
erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen, diese Erkennung zu
deaktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Erkennung von
Proxy-Schleifen deaktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys
3
Deaktivieren Sie im Abschnitt Advanced Settings (Erweiterte Einstellungen) die Option HTTP(S): Inspect Via
header to detect proxy loops (HTTP(S): VIA-Header untersuchen, um Proxy-Schleifen zu erkennen).
4
Beschränken des Zugriffs auf die Appliance-Ports
In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer Appliance
beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die
Datei-Server-Einstellungen entsprechend konfigurieren.
Vorgehensweise
160
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der Port-Zugriff beschränkt
werden soll, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
4
Wählen Sie File Server (Datei-Server) aus.
5
Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein
(Standardwert: 9090).
6
Produkthandbuch
Proxys
Reverse-HTTPS-Proxy
4
Beschränken des Zugriffs auf Web-Server
Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte Anzahl von
Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In dieser Konfiguration
sollten Sie den Zugriff ausschließlich auf diese Server gestatten und den Zugriff auf andere blockieren.
Wenn der Zugriff auf andere Server angefordert und blockiert wurde, empfiehlt es sich zudem, die
Verbindungen durch die Appliance schließen zu lassen.
So beschränken Sie den Zugriff:
•
Erstellen Sie eine Liste der Web-Server, die geschützt werden sollen.
•
Erstellen Sie einen Regelsatz für eine Blockierungsregel.
•
Erstellen Sie eine Regel, die den Zugriff auf andere Web-Server blockiert und die Verbindungen mit
Clients nach der Blockierung ihrer Anfragen schließt.
Aufgaben
•
Erstellen einer Liste mit geschützten Web-Servern auf Seite 161
Sie können eine Liste mit Web-Servern erstellen, die in einer
Reverse-HTTPS-Proxy-Konfiguration geschützt werden sollen.
•
Erstellen eines Regelsatzes für eine Blockierungsregel auf Seite 162
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
•
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server auf Seite 163
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht
in der Liste geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Erstellen einer Liste mit geschützten Web-Servern
Sie können eine Liste mit Web-Servern erstellen, die in einer Reverse-HTTPS-Proxy-Konfiguration
geschützt werden sollen.
Vorgehensweise
1
Wählen Sie Policy | Lists (Richtlinie | Listen) aus.
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen).
3
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): WildcardExpression
4
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort
fest, wer zum Zugriff auf die Liste berechtigt ist.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | WildcardExpression (Benutzerdefinierte Listen | Platzhalterausdruck) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
Produkthandbuch
161
4
Proxys
Reverse-HTTPS-Proxy
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der zu schützenden
Web-Server entsprechen. Verwenden Sie bei mehreren Einträgen Kommas als Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen eines Regelsatzes für eine Blockierungsregel
Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer
Reverse-HTTPS-Proxy-Konfiguration blockiert.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz
eingefügt werden soll.
3
Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz)
aus.
4
Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Block web
servers in a reverse HTTPS proxy configuration.
5
Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist.
6
Wählen Sie unter Applies to (Wird angewendet auf) die Option Requests and IM (Anfragen und IM).
7
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus. Klicken Sie anschließend auf Add (Hinzufügen).
8
9
Konfigurieren Sie die Regelsatzkriterien folgendermaßen:
a
Wählen Sie in der Liste Property (Eigenschaft) die Eigenschaft URL.Protocol aus.
b
Wählen Sie in der Liste Operator den Operator equals (ist gleich) aus.
c
Geben Sie unter Operand die Zeichenfolge https ein.
d
[Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum neuen Regelsatz im
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf den Regelsatz berechtigt ist.
Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur
angezeigt.
162
Produkthandbuch
4
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server
Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht in der Liste
geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die Blockierungsregel
erstellt haben, z. B. Block web servers in a reverse HTTPS proxy configuration.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Allow access only to
protected web servers.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (wenn
6
7
Konfigurieren Sie die Regelkriterien wie folgt:
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte matches in list (entspricht in Liste)
aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die von Ihnen konfigurierte
Web-Server-Liste, z. B. Protected web servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), wählen Sie Block (Blockieren) aus, und übernehmen Sie die
Standardeinstellungen dieser Aktion.
9
Klicken Sie auf Events (Ereignisse) und dann auf Add (Hinzufügen), und wählen Sie in der daraufhin
angezeigten Dropdown-Liste Event (Ereignis) aus.
Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen).
10 Konfigurieren Sie das Ereignis wie folgt:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Proxy Control aus.
b
Wählen Sie in der Liste Settings (Einstellungen) die Option Do not keep connection to client persistent
(Verbindung mit Client nicht dauerhaft aufrechterhalten) aus.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
Produkthandbuch
163
4
Proxys
Reverse-HTTPS-Proxy
Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die Regel wird in dem von Ihnen
neu erstellten Regelsatz angezeigt.
Senden von Daten an mehrere Web-Server
Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche Web-Server
weiterleiten und so für Lastausgleich und Redundanz sorgen.
Hierfür müssen Sie folgende Schritte durchführen:
•
Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Regelsatz-Bibliothek.
•
Erstellen Sie eine Liste mit Nächster-Hop-Proxys.
•
Erstellen Sie Einstellungen für die Nächster-Hop-Proxys.
•
Erstellen Sie eine Regel, die mithilfe der Liste und den Einstellungen das Ereignis „Enable Next Hop
proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird.
Die Liste arbeitet zudem mit einer Liste geschützter Server. Hierfür können Sie die Liste nutzen, die
Sie beim Erstellen der Zugriffseinschränkung für diese Server angelegt haben.
Aufgaben
•
Erstellen einer Liste mit Nächster-Hop-Proxys auf Seite 164
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt
werden sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“
auslöst.
•
Erstellen von Einstellungen für den Nächster-Hop-Proxy auf Seite 165
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus
der Liste der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen
für den Nächster-Hop-Proxy erstellen.
•
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“ auf Seite 166
Sie können eine Regel erstellen, die das Ereignis Enable Next Hop Proxy auslöst, wenn ein
Server aus der Liste der geschützten Web-Server angefragt wird.
Erstellen einer Liste mit Nächster-Hop-Proxys
Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt werden
sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“ auslöst.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen).
3
4
164
Konfigurieren Sie für die Liste die folgenden Einstellungen:
•
Name: Name der Liste, beispielsweise Protected web servers as next-hop proxies
•
[Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format
•
Type (Typ): NextHopProxy
wer zum Zugriff auf die Liste berechtigt ist.
Produkthandbuch
4
Proxys
Reverse-HTTPS-Proxy
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom
Lists | NextHopProxy (Benutzerdefinierte Listen | Nächster-Hop-Proxy) angezeigt.
6
Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add
(Hinzufügen).
Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen).
7
Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der Web-Server
entsprechen, die angewählt werden sollen. Verwenden Sie bei mehreren Einträgen Kommas als
Trennzeichen.
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt.
9
Erstellen von Einstellungen für den Nächster-Hop-Proxy
Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste
der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen für den
Nächster-Hop-Proxy erstellen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur Enable Next Hop Proxy (Nächster-Hop-Proxy aktivieren)
aus, und klicken Sie dann auf Add (Hinzufügen).
3
4
5
Konfigurieren Sie die folgenden Einstellungsparameter:
•
Name: Name der Einstellung, z. B. Protected web servers
•
[Optional] Comment (Kommentar): Kommentar zur neuen Einstellung im Nur-Text-Format
Konfigurieren Sie unter Next Hop Proxy Servers (Proxy-Server des nächsten Hops) die folgenden
Optionen:
a
Wählen Sie aus der Liste List of next hop proxy servers (Liste der Proxy-Server des nächsten Hops) die
von Ihnen erstellte Liste der Proxys des nächsten Hops, z. B. Protected web servers as next
hop proxies.
b
Vergewissern Sie sich, dass die Option Round Robin (Round-Robin-Verfahren) ausgewählt ist.
c
Deaktivieren Sie die Option Proxy style requests (Proxy-ähnliche Anfragen).
Klicken Sie auf OK.
6
Produkthandbuch
165
4
Proxys
Reverse-HTTPS-Proxy
Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“
Sie können eine Regel erstellen, die das Ereignis Enable Next Hop Proxy auslöst, wenn ein Server aus der
Liste der geschützten Web-Server angefragt wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Next Hop Proxy aus.
Die Regeln dieses Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
ist.
4
Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Address protected web
servers as next-hop proxies.
5
Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn
6
7
Konfigurieren Sie die Regelkriterien wie folgt:
a
Wählen Sie aus der Liste der Eigenschaften in der linken Spalte URL.Host aus.
b
Wählen Sie aus der Liste der Operatoren in der mittleren Spalte does not match in list (entspricht
nicht in Liste) aus.
c
Wählen Sie aus der Liste der Operanden in der rechten Spalte die Web-Server-Liste, die Sie zur
Einschränkung des Zugriffs auf diese Server erstellt haben, also beispielsweise Protected web
servers.
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien)
angezeigt.
8
Klicken Sie auf Action (Aktion), und belassen Sie die Standardoption Continue (Fortfahren).
9
Klicken Sie auf Events (Ereignisse) und dann auf Add (Hinzufügen), und wählen Sie in der daraufhin
angezeigten Dropdown-Liste Event (Ereignis) aus.
10 Konfigurieren Sie das Ereignis wie folgt:
a
Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Next Hop Proxy.
b
Wählen Sie in der Liste Settings (Einstellungen) die Einstellungen, die Sie für diese Regel
konfiguriert haben, beispielsweise Protected web servers.
Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt.
166
Produkthandbuch
4
Proxys
Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC)
Das Fenster Add Rule (Regel hinzufügen) wird geschlossen, und die neue Regel wird im Regelsatz
Next Hop Proxy angezeigt.
Automatische Proxy-Konfiguration (Proxy Auto-Configuration,
PAC)
Für Web-Browser auf Clients können eine oder mehrere PAC-Dateien (Proxy Auto-Configuration)
verfügbar gemacht werden. Mithilfe dieser Dateien können Web-Browser Proxys für den Zugriff auf
bestimmte Webseiten suchen.
Eine Proxy Auto-Configuration-Datei weist i. d. R. die Dateinamenerweiterung .pac auf. Es können
mehrere Dateien auf einer Appliance vorhanden sein, z B. die Dateien proxy.pac und webgateway.pac.
Unter dem WPAD-Protokoll (Web Proxy Auto-Discovery) muss eine Proxy Auto-Configuration-Datei den
Dateinamen wpad.dat aufweisen. Daher kann sie auf einer Appliance jeweils nur einmal vorhanden
sein.
Bereitstellen einer PAC-Datei
Sie können eine PAC-Datei für einen Web-Browser auf einem Client zur automatischen
Proxy-Konfiguration bereitstellen.
Vorgehensweise
1
Speichern Sie die PAC-Datei im Ordner /opt/mwg/files auf der Appliance.
2
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
3
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
4
Wählen Sie Automatic proxy configuration URL (Automatische Proxy-Konfiguration URL), und geben Sie
den Pfad und den Namen der PAC-Datei ein.
Geben Sie beispielsweise Folgendes ein:
http://mwgappl.webwasher.com:4711/files/proxy.pac
Wenn die Clients einen dedizierten Port zum Herunterladen der Datei verwenden sollen, müssen Sie
diesen Port zuerst konfigurieren.
Wenn kein dedizierter Port verwendet wird, werden Clients an den HTTP-Port für die
Benutzeroberfläche geleitet (die Port-Standardnummer ist 4711).
5
Klicken Sie auf OK.
Produkthandbuch
167
4
Proxys
Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“
Damit der Web-Browser eines Clients die Datei „wpad.dat“ herunterladen kann, müssen Sie eine Regel
konfigurieren, die eine entsprechende Download-Anfrage an den passenden Port einer Appliance
weiterleitet.
Vorgehensweise
1
Wählen Sie auf der Benutzeroberfläche der Appliance Configuration | Appliances (Konfiguration |
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die Datei „wpad.dat“
verfügbar machen wollen, und klicken Sie auf Port Forwarding (Port-Weiterleitung).
3
Klicken Sie unter Port Forwarding Rules (Regeln für die Port-Weiterleitung) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add AppliancePortForwarding (Appliance-Port-Weiterleitung
hinzufügen).
4
Konfigurieren Sie die Einstellungen für die Regel zur Port-Weiterleitung folgendermaßen:
•
Source Host (Ursprungs-Host): 0.0.0.0
•
Target Port (Bestimmungs-Port): 80
•
Destination Host (Ziel-Host): 127.0.0.1
•
Destination Port (Ziel-Port): <Port für Datei-Download>
Geben Sie als <Port für Datei-Download> den HTTP-Port für die Benutzeroberfläche der
Appliance (standardmäßig: 4711) oder einen von Ihnen konfigurierten dedizierten Port ein.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Regel wird nun in der Liste angezeigt.
Konfigurieren der automatischen Erkennung eines WPAD-Hosts
Sie können für einen Web-Browser die automatische Erkennung einrichten, um die Appliance
aufzufinden, die als Host zum Speichern einer Datei „wpad.dat“ fungiert.
Vorgehensweise
1
Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration.
2
Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen).
3
Wählen Sie Auto-detect proxy settings for this network (Proxy-Einstellungen für dieses Netzwerk automatisch
erkennen) aus.
4
Klicken Sie auf OK.
Der Helix-Proxy ist ein Proxy eines Drittanbieters für die Verarbeitung von Echtzeit-Streaming-Daten.
Auf diesen wird ursprünglich nicht über die Benutzeroberfläche der Appliance zugegriffen, sondern
über eine Befehlszeilenoberfläche, die beispielsweise in Ihrem Verwaltungssystem bereitgestellt wird.
Nach dem Zugriff auf den Helix-Proxy können Sie diesen auf seiner eigenen Benutzeroberfläche
verwalten.
168
Produkthandbuch
4
Proxys
Konfigurieren der Verwendung des Helix-Proxys
Sie können die Verwendung des Helix-Proxys von der Befehlszeilen-Schnittstelle aus konfigurieren.
Vorgehensweise
1
Geben Sie an der Befehlszeilen-Schnittstelle einen Aktivierungsbefehl für den Helix-Proxy ein.
Dieser Befehl kann beispielsweise wie folgt aussehen:
service helix-proxy activate
Sie werden aufgefordert, einen Benutzernamen und ein Kennwort für das ursprüngliche
Administratorkonto einzugeben.
2
Geben Sie beides ein.
Nun wird der Helix-Proxy gestartet.
Nach dem Starten finden Sie die Konfigurationsdateien für den Proxy im Ordner /opt/helix-proxy
auf der Appliance; Sie können diese ggf. manuell bearbeiten.
3
Stellen Sie mit dem folgenden Befehl eine Verbindung mit der Benutzeroberfläche des Helix-Proxys
her:
http://<IP-Adresse des Helix-Proxys>:21774/admin/index.html
Nun öffnet sich die Benutzeroberfläche, und ein Anmeldefenster wird angezeigt.
4
Geben Sie den Benutzernamen und das Kennwort aus Schritt 2 ein.
Nach der erfolgreichen Anmeldung wird die Benutzeroberfläche des Helix-Proxys zugänglich.
5
Nutzen Sie diese Benutzeroberfläche für die ggf. erforderliche weitere Konfiguration des
Helix-Proxys nach Bedarf.
6
Konfigurieren Sie Ihre Real Player-Anwendung so, dass sie die Appliance als Proxy verwendet.
Dabei können Sie z. B. wie folgt vorgehen:
a
Starten Sie den Real Player.
b
Navigieren Sie in seiner Benutzeroberfläche zu den Proxy-Einstellungen.
c
Geben Sie im entsprechenden Eingabefeld, z. B. im Feld RTSP (Real Time Streaming Protocol)
die IP-Adresse der Appliance ein, und geben Sie dabei als Port-Nummer 554 an.
Produkthandbuch
169
4
Proxys
170
Produkthandbuch
5
Zentrale Verwaltung
Mit der zentralen Verwaltung können Sie mehrere Appliances verwalten, die Sie in Ihrem Netzwerk als
Knoten in einer normalen Konfiguration eingerichtet haben.
In einer Konfiguration mit zentraler Verwaltung haben Sie es hauptsächlich mit den folgenden
Elementen zu tun:
•
Knoten: Eine Appliance kann als Knoten eingerichtet werden, der mit anderen Knoten verbunden
ist und Daten zu und von ihnen senden und empfangen kann, um Aktualisierungen, Sicherungen,
Downloads und andere Aktivitäten durchzuführen.
•
Knotengruppen: Knoten werden verschiedenen Typen von Knotengruppen zugewiesen, die die
Datenübertragung auf verschiedene Weise zulassen.
•
Geplante Jobs: Daten können anhand von verschiedenen Zeitplänen übertragen werden, die Sie
konfigurieren können.
Das Aktualisieren der Zeitpläne kann auch für die Knoten in einer Konfiguration mit zentraler
Verwaltung konfiguriert werden. Geben Sie hierzu die Zeiten ein, wann Aktualisierungen durchgeführt
werden sollen und wann nicht.
Inhalt
Konfiguration mit zentraler Verwaltung
Konfigurieren der zentralen Verwaltung
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung
Konfigurieren der Einstellungen für die zentrale Verwaltung
Zuweisen eines Knotens zu Knotengruppen
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit
zentraler Verwaltung
Überprüfen der Synchronisierung von Knoten
Hinzufügen eines geplanten Jobs
Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung
Einstellungen für die zentrale Verwaltung
Produkthandbuch
171
5
Zentrale Verwaltung
Bei einer Konfiguration mit zentraler Verwaltung werden mehrere Appliances ausgeführt, die als
Knoten agieren. Je nach den festgelegten Einstellungen kann eine solche Konfiguration von jedem
beliebigen beteiligten Knoten aus verwaltet werden.
Die Knoten in einer Konfiguration mit zentraler Verwaltung sind innerhalb des Netzwerks
folgendermaßen miteinander verbunden:
•
Jeder Knoten ist mit Client-Systemen des Netzwerks verbunden, die ihren Web-Datenverkehr an
den jeweiligen Knoten weiterleiten.
•
Knoten sind zu Knotengruppen zugeordnet.
•
Mithilfe von Knotengruppen können allgemeine Verwaltungsaufgaben für die Gruppenmitglieder
ausgeführt werden, z. B. Aktualisierungen mittels Datenübertragung von einem Knoten zu
einem bzw. mehreren anderen Knoten.
Beim Konfigurieren von Appliances als Knoten müssen Sie dafür sorgen, dass diese
untereinander kommunizieren können. Standardmäßig überwacht Port 12346 einer
Appliance auf Meldungen anderer Appliances.
Sie können mithilfe des ping-Befehls überprüfen, ob sich Appliances miteinander
verbinden können. Diese Methode lässt sich jedoch nicht in allen Netzwerken
anwenden.
•
Es gibt unterschiedliche Arten von Knotengruppen, in denen jeweils unterschiedliche Arten der
Datenübertragung möglich sind.
Eine Konfiguration mit zentraler Verwaltung, die mehrere Web Gateway-Appliances umfasst,
wird gelegentlich auch als Cluster bezeichnet.
Dieser Cluster arbeitet jedoch nur dann als Hochverfügbarkeits-Cluster mit
Ausfallsicherungsfunktionen, wenn Sie für die Proxy-Funktionen der beteiligten Appliances
den Modus „Proxy HA“ (High Availability, Hochverfügbarkeit) konfigurieren.
172
Produkthandbuch
5
Zentrale Verwaltung
Die folgende Abbildung zeigt mehrere Appliances, die als Knoten in einer Konfiguration mit zentraler
Verwaltung ausgeführt werden.
Abbildung 5-1 Konfiguration mit zentraler Verwaltung
Arten von Knotengruppen
Die Knoten in einer Konfiguration mit zentraler Verwaltung können zu Knotengruppen zugeordnet
werden.
Diese Gruppen unterscheiden sich anhand ihres Namens und hinsichtlich ihrer Art. Es gibt folgende
Arten von Knotengruppen:
Produkthandbuch
173
5
Zentrale Verwaltung
•
Laufzeitgruppe: Ein Knoten, der Mitglied einer Laufzeitgruppe ist, kann Laufzeitdaten mit allen
anderen Knoten in dieser Gruppe teilen.
Mit Laufzeitdaten sind Daten gemeint, die zur Laufzeit auf einer Appliance erzeugt werden. Dies
kann z. B. die Zeitmenge sein, die einem Benutzer zu einem bestimmten Zeitpunkt noch zur
Verfügung steht, wenn vorab ein Zeitkontingent für die Web-Nutzung festgelegt wurde.
Ein Knoten kann immer nur einer einzigen Laufzeitgruppe angehören.
•
Aktualisierungsgruppe: Ein Knoten, der Mitglied einer Aktualisierungsgruppe ist, kann
Aktualisierungen mit allen anderen Knoten in dieser Gruppe teilen.
Ein Knoten kann immer nur einer einzigen Aktualisierungsgruppe angehören.
•
Netzwerkgruppe: Ein Knoten, der Mitglied einer Netzwerkgruppe ist, kann sich sofort mit allen
anderen Knoten dieser Gruppe verbinden.
Ein Knoten kann gleichzeitig unterschiedlichen Netzwerkgruppen angehören.
Wenn ein Knoten gleichzeitig zu mehreren Knotengruppen gehört, beispielsweise zu den Gruppen A
und B, können Daten von anderen Knoten der Gruppe A, die nicht zu Gruppe B gehören, über
diesen Knoten an Knoten der Gruppe B übertragen werden, die nicht zu Gruppe A gehören.
Geplante Jobs
Sie können auf einer Appliance Jobs, beispielsweise das Erstellen einer Konfigurationssicherung oder
das Herunterladen von Dateien, so planen, dass sie zu einem festgelegten Zeitpunkt oder in
regelmäßigen Abständen ausgeführt werden.
Außerdem kann der Zeitplan auf der Benutzeroberfläche der Appliance, an der Sie gerade arbeiten, so
konfiguriert werden, dass Sie bestimmen können, auf welchem anderen Knoten innerhalb der
Konfiguration mit zentraler Verwaltung ein Job ausgeführt werden soll.
Sie können die zentrale Verwaltung für mehrere Appliances in Ihrem Netzwerk konfigurieren, um sie
als Knoten in einer gemeinsamen Konfiguration zu verwalten.
Vorgehensweise
1
Beginnen Sie mit der Konfiguration der zentralen Verwaltung auf der Benutzeroberfläche einer
Appliance im Netzwerk, und fügen Sie mindestens eine andere Appliance als Knoten in einer
gemeinsamen Konfiguration hinzu.
Appliances sind nicht standardmäßig als Knoten in einer Konfiguration mit zentraler Verwaltung
enthalten; daher müssen alle diesbezüglichen Aktivitäten vom Administrator ausgeführt werden.
Bei allen diesen Aktivitäten arbeiten Sie mit den Optionen auf der Registerkarte Appliances des
übergeordneten Menüs Configuration (Konfiguration).
Zum Hinzufügen eines Knotens zu einer Konfiguration müssen Sie mindestens Folgendes
konfigurieren:
174
•
Host-Name oder IP-Adresse der Appliance, die als Knoten hinzugefügt werden soll
•
Mitgliedschaft des Knotens in einer Netzwerkknotengruppe
Produkthandbuch
5
Zentrale Verwaltung
Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung
Sie können auch die folgenden Einstellungen für einen Knoten konfigurieren:
•
IP-Adressen und Ports, die für die Kommunikation mit anderen Knoten verwendet werden sollen
•
Mitgliedschaft in Laufzeit- und Aktualisierungsgruppen für Knoten
•
Geplante Jobs
•
Aktualisierungen
Wiederholen Sie diese Aktivitäten für alle anderen Appliances, die der Konfiguration als Knoten
hinzugefügt werden sollen.
2
Führen Sie nach der Ersteinrichtung einer Konfiguration mit zentraler Verwaltung sonstige ggf.
erforderliche Konfigurationsschritte aus.
•
Einstellungen für die zentrale Verwaltung auf beliebigen Knoten der Konfiguration überprüfen
und ggf. ändern
Sie können die Einstellungen für einen beliebigen Knoten auf der Benutzeroberfläche jedes
anderen Knotens der Konfiguration überprüfen und bearbeiten.
•
3
Einen oder mehrere Knoten zur Konfiguration hinzufügen
Hinzufügen einer Appliance zu einer Konfiguration mit
Sie können eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung hinzufügen und
anschließend zu einer Netzwerkgruppe zuordnen.
Vorgehensweise
1
Wählen Sie auf der Benutzeroberfläche einer Appliance Configuration | Appliances (Konfiguration |
Appliances) aus.
2
Klicken Sie auf der Symbolleiste der Appliance auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Appliance (Appliance hinzufügen).
3
Geben Sie im Feld Host name or IP (Host-Name oder IP) den Host-Namen oder die IP-Adresse einer
anderen zum Netzwerk gehörenden Appliance ein.
4
Wählen Sie in der Liste Network group (Netzwerkgruppe) eine Netzwerkgruppe für die Appliance aus.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Appliance wird nun in der Appliances-Baumstruktur
angezeigt.
Die Appliance ist nun als Knoten in die Konfiguration mit zentraler Verwaltung aufgenommen, in der
sich auch die Appliance befindet, auf der Sie das Hinzufügen durchgeführt haben.
Produkthandbuch
175
5
Zentrale Verwaltung
Sie können die Einstellungen für die zentrale Verwaltung so konfigurieren, dass mehrere Appliances als
Knoten in einer gemeinsamen Konfiguration verwaltet werden können.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen
konfigurieren möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
Die Einstellungen für die zentrale Verwaltung werden im Abschnitt für Einstellungen angezeigt.
3
4
Sie können einer Appliance, die einen Knoten in einer Konfiguration mit zentraler Verwaltung darstellt,
Knotengruppen verschiedener Typen zuweisen, um unterschiedliche Arten der Datenübertragung
zwischen Knoten zu ermöglichen.
Das Verfahren zum Zuweisen eines Knotens zu einer Laufzeitgruppe oder Aktualisierungsgruppe ist
nahezu identisch.
Das Verfahren für eine Netzwerkgruppe ist jedoch abweichend, da ein Knoten Mitglied mehrerer
Netzwerkgruppen sein kann.
Aufgaben
•
Zuweisen eines Knotens zu einer Laufzeitgruppe auf Seite 176
Sie können einen Knoten einer Laufzeitgruppe zuweisen, indem Sie den Gruppennamen im
entsprechenden Eingabefeld eingeben.
•
Zuweisen eines Knotens zu einer Aktualisierungsgruppe auf Seite 177
Sie können einen Knoten einer Aktualisierungsgruppe zuweisen, indem Sie den
Gruppennamen im entsprechenden Eingabefeld eingeben.
•
Zuweisen eines Knotens zu Netzwerkgruppen auf Seite 177
Sie können einen Knoten einer oder mehreren Netzwerkgruppen zuweisen, indem Sie den
bzw. die Gruppennamen in die entsprechende Liste eingeben.
Zuweisen eines Knotens zu einer Laufzeitgruppe
Sie können einen Knoten einer Laufzeitgruppe zuweisen, indem Sie den Gruppennamen im
Vorgehensweise
176
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer Laufzeitgruppe als
Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
Produkthandbuch
Zentrale Verwaltung
3
5
Geben Sie im Feld Group runtime (Gruppenlaufzeit) des Abschnitts This Node Is a Member of the Following
Groups (Dieser Knoten gehört zu folgenden Gruppen) den Namen der Laufzeitgruppe ein, der Sie
den Knoten zuweisen möchten.
Achten Sie darauf, dass Sie bei der Eingabe des Namens den Standardnamen all überschreiben, der
im Feld als Laufzeitgruppen-Standardname angezeigt wird.
Dieser Standardname wird angegeben, um Ihnen die Möglichkeit einzuräumen, nicht mehrere
verschiedene Laufzeitgruppen zu verwenden, sondern lediglich mit einer Laufzeitgruppe für alle
Knoten zu arbeiten.
Wenn Sie den Standardnamen all löschen und keinen Namen eingeben, weisen Sie den Knoten
dennoch einer Gruppe zu, deren Name jedoch eine leere Zeichenfolge ist.
4
Wenn Sie einen weiteren Knoten in dieselbe Laufzeitgruppe aufnehmen möchten, wählen Sie den
gewünschten Knoten in der Appliances-Baumstruktur aus, klicken Sie erneut auf Central Management
(Zentrale Verwaltung), und geben Sie denselben Namen im Feld Group runtime (Gruppenlaufzeit) ein.
Wiederholen Sie diesen Vorgang für jeden Knoten, den Sie in diese Laufzeitgruppe aufnehmen
möchten.
5
Zuweisen eines Knotens zu einer Aktualisierungsgruppe
Sie können einen Knoten einer Aktualisierungsgruppe zuweisen, indem Sie den Gruppennamen im
Vorgehensweise
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer Aktualisierungsgruppe
als Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Geben Sie im Feld Group update (Gruppenaktualisierung) des Abschnitts This Node Is a Member of the
Following Groups (Dieser Knoten gehört zu folgenden Gruppen) den Namen der Aktualisierungsgruppe
ein, der Sie den Knoten zuweisen möchten.
Das Verfahren ist identisch mit dem zum Zuweisen eines Knotens zu einer Laufzeitgruppe.
Gehen Sie für die Aufnahme weiterer Knoten in die Gruppe ebenfalls so wie bei einer
Laufzeitgruppe vor.
4
Zuweisen eines Knotens zu Netzwerkgruppen
Sie können einen Knoten einer oder mehreren Netzwerkgruppen zuweisen, indem Sie den bzw. die
Gruppennamen in die entsprechende Liste eingeben.
Vorgehensweise
1
Appliances) aus.
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie einer oder mehreren
Netzwerkgruppen als Knoten zuweisen möchten, und klicken Sie auf Central Management (Zentrale
Verwaltung).
Produkthandbuch
177
5
Zentrale Verwaltung
Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit zentraler Verwaltung
3
Wenn Sie den Knoten einer anderen Netzwerkgruppe als der Standardgruppe all hinzufügen
möchten, klicken Sie auf das Symbol Add (Hinzufügen) auf der Symbolleiste der Inline-Liste Group
network (Gruppennetzwerk).
Die Standardgruppe gibt Ihnen die Möglichkeit, nicht mehrere verschiedene Netzwerkgruppen zu
verwenden, sondern lediglich mit einer Netzwerkgruppe für alle Knoten zu arbeiten.
Wenn Sie mit mehreren Netzwerkgruppen arbeiten möchten, löschen Sie die Gruppe all, oder
benennen Sie sie um.
Daraufhin öffnet sich das Fenster Add String (Zeichenfolge hinzufügen).
4
Konfigurieren Sie eine neue Netzwerkgruppe.
a
Geben Sie im Feld Name einen Namen für die Netzwerkgruppe ein.
b
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar zur Netzwerkgruppe im
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Netzwerkgruppe wird in der Inline-Liste Group network
(Gruppennetzwerk) angezeigt.
Der Knoten ist nun Mitglied dieser Netzwerkgruppe.
Sie können auch mehrere Netzwerkgruppen gleichzeitig hinzufügen, indem Sie auf das Symbol Add
multiple (Mehrere hinzufügen) klicken, und den Vorgang im daraufhin geöffneten Fenster Add Strings
(Zeichenfolgen hinzufügen) ausführen.
Im Fenster können Sie mehrere Gruppennamen hinzufügen, wobei Sie jeden Gruppennamen in
einer neuen Zeile angeben.
Das Fenster bietet zudem Optionen, mit denen Sie allen Gruppen denselben Kommentar oder
einzelnen Gruppen andere Kommentare hinzufügen können.
5
Wenn Sie einen weiteren Knoten in dieselbe Netzwerkgruppe bzw. dieselben Netzwerkgruppen
einschließen möchten, wählen Sie den gewünschten Knoten in der Appliances-Baumstruktur aus,
klicken Sie erneut auf Central Management (Zentrale Verwaltung), und geben Sie denselben bzw.
dieselben Gruppennamen in die interne Liste Group network (Gruppennetzwerk) ein.
Wiederholen Sie diesen Vorgang für jeden Knoten, den Sie in diese Netzwerkgruppe(n) aufnehmen
möchten.
6
Empfohlene Vorgehensweisen – Konfigurieren von
Knotengruppen in einer Konfiguration mit zentraler Verwaltung
In einer Konfiguration mit zentraler Verwaltung werden Knoten zu Knotengruppen zugeordnet, was
zwischen den Knoten unterschiedliche Kommunikationsarten ermöglicht.
Zu Knotengruppen können auch Knoten gehören, die sich an einem anderen physischen Standort
befinden.
178
Produkthandbuch
5
Zentrale Verwaltung
Vor dem Konfigurieren dieser Gruppen muss Folgendes gegeben sein:
•
Im Netzwerk sind geeignete Kommunikationswege für den Kontakt der Knoten untereinander
konfiguriert.
Wenn an anderen Standorten befindliche Knoten durch Firewalls geschützt sind, müssen diese die
Nutzung des Ports erlauben, der auf den einzelnen Knoten für die Kommunikation mit anderen
Knoten konfiguriert ist (Standard-Port: 12346).
•
Die Zeit muss synchronisiert sein. Dies ist für die Kommunikation der Knoten wichtig, wenn
bestimmt werden muss, welcher Knoten über die neueste Konfiguration verfügt.
Es wird dringend empfohlen, auf allen Knoten die Nutzung eines NTP-Servers zur automatischen
Synchronisierung zu konfigurieren. Dies kann im Rahmen der Festlegung der Einstellungen Date and
Time (Datum und Uhrzeit) im übergeordneten Menü Configuration (Konfiguration) erfolgen.
Wenn in Ihrem Netzwerk kein NTP-Server verwendet wird, können Sie den Standard-Server
festlegen, den McAfee unter ntp.webwasher.com zur Verfügung stellt.
•
Auf allen als Knoten konfigurierten Appliances muss die gleiche Version (einschließlich Build) von
Web Gateway ausgeführt werden.
Einfache Beispielkonfiguration
Diese Beispielkonfiguration umfasst zwei verschiedene Standorte (Tokio und New York) mit jeweils
zwei Knoten. An beiden Standorten werden die Knoten jeweils ihren eigenen Laufzeiten,
Aktualisierungen und Netzwerkgruppen zugeordnet. Die Gruppennamen für alle Arten von Gruppen
lauten tokyo bzw. newyork.
Ein Knoten pro Standort wird außerdem der Netzwerkgruppe transit zugeordnet, die es für beide
Standorte nur einmal gibt.
Das folgende Diagramm veranschaulicht diese Konfiguration.
Produkthandbuch
179
5
Zentrale Verwaltung
Dies ermöglicht Folgendes:
•
Da an allen Standorten ein Knoten der Transitgruppe vorhanden ist, werden durch den
Administrator auf einem beliebigen Knoten vorgenommene Richtlinienänderungen auch auf alle
anderen Konten verteilt. Hierdurch wird gewährleistet, dass auf allen Knoten eine einheitliche
Web-Sicherheitsrichtlinie angewendet wird.
Beispielsweise werden entsprechende Änderungen vom nicht zur Transitgruppe gehörenden Knoten
an den Transitknoten übertragen, da beide zur selben Netzwerkgruppe gehören. Anschließend
werden die Änderungen von diesem Transitknoten an den Knoten in Tokio übertragen, da beide zur
Netzwerkgruppe transit gehören.
Schließlich werden die Änderungen vom Transitknoten in Tokio auch auf den zweiten Knoten dieses
Standorts übertragen.
•
Aktualisierungen von Malware-Schutz und Informationen zur URL-Filterung für die jeweiligen
Web Gateway-Module werden nur zwischen den an einem Standort vorhandenen Knoten verteilt,
also nur in Tokio bzw. nur in New York.
Auf diese Weise können standortabhängige Unterschiede der jeweiligen Netzwerkstruktur
berücksichtigt werden, was hinsichtlich des Downloads möglicherweise sehr umfangreicher
Aktualisierungsdateien ratsam ist.
So können Knoten an einem Standort mit z. B. schnellen Kommunikationswegen und
LAN-Verbindungen Aktualisierungen dieser Art untereinander weitergeben, während jedoch keine
Weitergabe an die Knoten anderer Standorte erfolgt, an denen beispielsweise nur langsamere
Kommunikationswege und WAN-Verbindungen vorhanden sind.
Es wird allgemein empfohlen, einer Aktualisierungsgruppe nur an demselben Standort befindliche
Knoten zuzuordnen.
•
Laufzeitdaten, z. B. von Benutzern verwendete Zeitkontingente, werden nur zwischen den an einem
Standort vorhandenen Knoten verteilt, also nur in Tokio bzw. nur in New York.
Dies ist sinnvoll, da die Benutzer eines Standorts bei der Anfrage für einen Web-Zugriff sehr
wahrscheinlich ausschließlich an lokale Knoten weitergeleitet werden. So wäre es nicht notwendig,
dass ein Knoten in New York über das verbleibende Zeitkontingent eines Benutzers in Tokio
informiert wird.
Wenn die Knoten eines Standorts je nach Web-Zugriff unterschiedlichen Benutzergruppen
zugeordnet werden, können Sie für diese Knoten auch unterschiedliche Laufzeitgruppen
konfigurieren, um für alle Knoten einen Informationsüberhang zu vermeiden.
Umfangreichere Beispielkonfiguration
In einer Netzwerkgruppe sollten auf einen Transitknoten höchstens zehn andere Knoten kommen. Dies
bedeutet, dass in umfangreicheren Konfigurationen mindestens zwei Knoten der
Transit-Netzwerkgruppe zugeordnet werden müssen.
In der folgenden Beispielkonfiguration sind an einem Standort (Tokio) 22 Knoten vorhanden, die sich
auf zwei Netzwerkgruppen aufteilen (toknet1 und toknet2). In beiden Gruppen gehört jeweils ein
Knoten gleichzeitig zur Gruppe transit.
Die am zweiten Standort (New York) vorhandenen 18 Knoten sind auf die gleiche Weise konfiguriert,
während die neun Knoten des dritten Standorts (Paderborn) alle zu einer einzigen Netzwerkgruppe
gehören, wobei einer dieser Knoten gleichzeitig der Gruppe transit zugeordnet ist.
180
Produkthandbuch
5
Zentrale Verwaltung
Das folgende Diagramm veranschaulicht diese Konfiguration.
An jedem Standort gibt es eine separate Laufzeit- und Aktualisierungsgruppe für die dort jeweils
vorhandenen Knoten.
Richtlinienänderungen, Aktualisierungen von Malware-Schutz und Informationen zur URL-Filterung
sowie gemeinsam genutzte Laufzeitdaten werden genauso gehandhabt wie in der einfachen
Beispielkonfiguration.
Auf der Benutzeroberfläche wird neben anderen allgemeinen Informationen auch ein Zeitstempel für
jeden Knoten in einer Konfiguration mit zentraler Verwaltung angezeigt, mit dem Sie überprüfen
können, ob alle Knoten synchronisiert sind.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur Appliances (Cluster) aus.
Der Status sowie allgemeine Einstellungen der Konfiguration und deren Knoten werden im
Abschnitt für Einstellungen angezeigt.
Unter Appliances Information (Appliance-Informationen) wird eine Liste angezeigt, die eine Zeile mit
Informationen zu den einzelnen Knoten enthält. Der Zeitstempel ist das letzte Element in jeder
Zeile.
3
Vergleichen Sie die Zeitstempel für alle Knoten.
Wenn diese für alle Knoten übereinstimmen, wird die Konfiguration mit zentraler Verwaltung
synchronisiert.
Produkthandbuch
181
5
Zentrale Verwaltung
Sie können einen geplanten Job zu einer Liste mit Jobs hinzufügen, die dann gemäß einem von Ihnen
konfigurierten Zeitplan ausgeführt werden.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie einen geplanten Job
hinzufügen möchten, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Erweitern Sie im Einstellungsbereich den Abschnitt Advanced Scheduled Jobs (Geplante Jobs –
erweitert).
Nun wird die Liste der geplanten Jobs angezeigt.
4
Klicken Sie auf der Symbolleiste oberhalb der Liste auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Scheduled Job (Geplanten Job hinzufügen).
5
Konfigurieren Sie die gewünschten Einstellungen für den geplanten Job.
6
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue geplante Aufgabe wird nun in der Job-Liste angezeigt.
7
Aktualisieren der Appliance-Software in einer Konfiguration mit
Um die Appliance-Software auf den Knoten einer Konfiguration mit zentraler Verwaltung zu
aktualisieren, können Sie den Aktualisierungsvorgang über die Benutzeroberfläche einer der Knoten
durchführen, der selbst der zuletzt zu aktualisierende Knoten ist.
Bevor Sie beginnen
Legen Sie eine Sicherung der aktuellen Konfiguration an.
Vorgehensweise
1
Installieren Sie auf jeder Appliance, die ein Knoten in der Konfiguration ist, ein Repository mit der
Produktversion, auf die Sie aktualisieren möchten.
a
Melden Sie sich auf einer Systemkonsole über SSH bei der Appliance an.
b
Führen Sie den folgenden Befehl aus:
yum install yumconf-<Versionsnummer>-mwg
yumconf-<Versionsnummer>-mwg ist der Repository-Name. Die Ziffern der Versionsnummer
müssen durch Punkte getrennt werden.
2
Melden Sie sich auf der Benutzeroberfläche einer Appliance in der Konfiguration an.
3
Wählen Sie in der Appliances-Baumstruktur eine andere Appliance als die aus, bei der Sie sich
angemeldet haben.
182
Produkthandbuch
5
Zentrale Verwaltung
4
5
Aktualisieren Sie jede Appliance in der Appliances-Baumstruktur, mit Ausnahme der Appliance, auf
der Sie gerade arbeiten.
a
Wählen Sie in der Appliances-Baumstruktur eine Appliance aus.
b
Klicken Sie auf der Symbolleiste über dem Einstellungsbereich auf Update appliance software
(Appliance-Software aktualisieren).
Wenn die Aktualisierungen für alle anderen Appliances, die Knoten in der Konfiguration sind,
ausgeführt werden, führen Sie die Aktualisierung für die Appliance durch, von der aus Sie arbeiten.
a
Wählen Sie die Appliance in der Appliances-Baumstruktur aus.
b
Klicken Sie auf Update appliance software (Appliance-Software aktualisieren).
Wenn die Knoten in einer Konfiguration verschiedenen Netzwerkgruppen zugewiesen sind
und einige Knoten Mitglieder mehr als einer Gruppe sind, wird empfohlen, wie folgt
vorzugehen:
•
Führen Sie die Aktualisierung über einen der Knoten mit mehreren Mitgliedschaften
aus.
•
Aktualisieren Sie alle weiteren Knoten mit mehreren Mitgliedschaften am Ende des
Vorgangs.
•
Aktualisieren Sie zuletzt den Knoten, von dem aus Sie arbeiten.
Beispiel: Netzwerkgruppe A enthält die Knoten 1, 2, 3, 4 und Netzwerkgruppe B die
Knoten 3, 4, 5, 6. Wählen Sie den Knoten 3 oder 4 aus, um über diesen die
Aktualisierung durchzuführen. Aktualisieren Sie zuerst die Knoten 1, 2, 5, 6, danach den
Knoten 4 (wenn Sie die Aktualisierung über den Knoten 3 durchführen) und zum Schluss
den Knoten 3.
Die Appliance-Software wird jetzt aktualisiert.
Mit den Einstellungen für die zentrale Verwaltung können Sie Appliances konfigurieren, die Sie als
Knoten einer gemeinsamen Konfiguration verwenden.
Einstellungen für grundlegende Kommunikationsparameter eines Knotens in einer Konfiguration mit
Produkthandbuch
183
5
Zentrale Verwaltung
Tabelle 5-1 Einstellungen für die zentrale Verwaltung
Option
Definition
IP addresses and ports of this node for Central
Management communication (IP-Adressen und Ports
dieses Knotens für die Kommunikation der zentralen
Verwaltung)
Enthält eine Liste zur Eingabe der IP-Adressen und
Port-Nummern, die ein Knoten für die Kommunikation mit
anderen Knoten in einer Konfiguration mit zentraler
Verwaltung verwendet.
Timeout for distributing messages to other nodes
(Zeitlimit für Verteilung von Nachrichten an andere
Knoten)
Gibt den Zeitraum (in Sekunden) vor, in dem ein anderer
Knoten auf eine Nachricht des aktuellen Knotens
geantwortet haben muss.
Der Zeitraum kann 10 bis 600 Sekunden lang sein.
Er wird mit einem Schieberegler eingestellt.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Liste der IP-Adressen und Ports
erläutert.
Tabelle 5-2 IP-Adresse und Ports – Listeneintrag
Option
Definition
Legt die IP-Adresse und die Port-Nummer eines Knotens fest.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer IP-Adresse und
Port-Nummer.
Erweiterte Verwaltungseinstellungen
Einstellungen für erweiterte Verwaltungsfunktionen einer Konfiguration mit zentraler Verwaltung
Tabelle 5-3 Erweiterte Verwaltungseinstellungen
Option
Definition
Multiplier for timeout when
distributing over multiple nodes
(Faktor für Zeitlimit bei Verteilung
an mehrere Knoten)
Legt einen Faktor fest, um den das Zeitintervall erhöht wird, das unter
Timeout for distributing messages to other nodes (Zeitlimit beim Verteilen von
Nachrichten an andere Knoten) im Abschnitt Central Management
Settings (Einstellungen für die zentrale Verwaltung) eingestellt wurde.
Durch eine Erhöhung des Intervalls steht den Nachrichten für ihren Weg
von einem Knoten zum nächsten, von dort zum übernächsten usw. mehr
Zeit zur Verfügung.
Das Intervall kann um einen Wert zwischen 1 und 2 erhöht werden.
Der Wert wird mit einem Schieberegler eingestellt.
Node priority (Priorität des
Knotens)
Legt die Priorität eines Knotens innerhalb einer Knotengruppe fest.
Die höchstmögliche Priorität ist 1.
Wenn die Konfigurationsdaten eines Knoten nicht mehr mit denen
anderer Knoten synchronisiert werden, beispielsweise wenn der Knoten
eine gewisse Zeit nicht erreichbar war, dann erhält dieser Knoten die
aktuellen Konfigurationsdaten von dem Knoten mit der höchsten
Priorität.
Wenn Sie diese Vorgehensweise nicht wünschen, dann achten Sie darauf,
dass alle Knoten die gleiche Priorität haben (dies ist die empfohlene
Einstellung).
Die Priorität eines Knotens kann auf einen Wert zwischen 1 und 100
gesetzt werden.
Sie wird mit einem Schieberegler eingestellt.
184
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-3 Erweiterte Verwaltungseinstellungen (Fortsetzung)
Option
Definition
Allow a GUI server to attach to
this node (GUI-Server eine
Verbindung mit diesem Knoten
erlauben)
Bei Auswahl dieser Option kann sich ein Server, der der Appliance eine
zusätzliche Benutzeroberfläche zur Verfügung stellt, mit dem Knoten
verbinden.
Allow to attach a GUI server from
non-local host (Verbindung eines
GUI-Servers von nicht lokalem
Host erlauben)
Bei Auswahl dieser Option kann sich ein Server mit zusätzlicher
Benutzeroberfläche, die nicht auf dem aktuellen Knoten ausgeführt wird,
mit dem Knoten verbinden.
GUI control address (Adresse für
GUI-Steuerung)
Gibt die IP-Adresse und die Port-Nummer an, die von der zusätzlichen
Benutzeroberfläche für die Verbindung mit dem aktuellen Knoten
verwendet wird.
GUI request address (Adresse für
GUI-Anfragen)
Gibt die IP-Adresse und Port-Nummer des Servers an, die für das
Senden von Anfragen an diesen Server verwendet werden.
Contact other nodes unencrypted
(Unverschlüsselter Kontakt zu
anderen Knoten)
Bei Auswahl dieser Option werden Nachrichten, die von diesem an
andere Knoten in der Konfiguration gesendet werden, nicht verschlüsselt.
Enable IP checking for other
nodes (IP-Überprüfung anderer
Knoten aktivieren)
Bei Auswahl dieser Option kann beim Senden von Nachrichten von
diesem an andere Knoten in der Konfiguration die IP-Adresse überprüft
werden.
Es wird jedoch weiterhin eine Authentifizierung mittels Zertifikaten
durchgeführt.
Diese Funktion soll zwar die Web-Sicherheit erhöhen, kann jedoch bei
manchen Netzwerk-Setups (z. B. NAT-Setups) zu Problemen führen.
Produkthandbuch
185
5
Zentrale Verwaltung
Tabelle 5-3 Erweiterte Verwaltungseinstellungen (Fortsetzung)
Option
Definition
Allowed time difference
(Zugelassene Zeitdifferenz)
Gibt den Zeitraum (in Sekunden) vor, in dem Änderungen an der
Konfiguration akzeptiert werden müssen.
Der Zeitraum kann auf einen Wert zwischen 10 und 600 Sekunden
gesetzt werden.
Er wird mit einem Schieberegler eingestellt.
Enable version checking for other Bei Auswahl dieser Option wird vor der Verteilung von
nodes (Versionsüberprüfung
Konfigurationsänderungen auf die Knoten die Version der
anderer Knoten aktivieren)
Appliance-Software überprüft.
Wenn die Version der Appliance-Software eines Knotens nicht mit der auf
dem verteilenden Knoten vorhandenen Version übereinstimmt, werden
die Konfigurationsänderungen nicht an den erstgenannten Knoten
verteilt.
• Level of version check (Genauigkeit der Versionsüberprüfung): Legt den
Grad der Übereinstimmung fest, die bei der Versionsüberprüfung der
Appliance-Software erreicht werden muss.
Die Genauigkeit wird mit einem Schieberegler eingestellt. Es können
folgende Werte gewählt werden:
• 1 – Es muss nur die Hauptversionsnummer übereinstimmen (7 in
7.3.0).
• 2 – Es muss auch die Nebenversionsnummer (zweite Stelle der
Versionsnummer) übereinstimmen (3 in 7.3.0).
• 3 – Es muss auch die Funktionsversionsnummer (dritte Stelle der
Versionsnummer) übereinstimmen (0 in 7.3.0).
• 4 – Es muss auch die Wartungsversionsnummer (vierte Stelle der
Versionsnummer) übereinstimmen (1 in 7.3.0.1.2).
• 5 – Es muss auch die Hotfix-Versionsnummer (fünfte Stelle der
Versionsnummer) übereinstimmen (falls vorhanden, z. B. 2 in
7.3.0.1.2).
• 6 – Es muss auch die Build-Nummer übereinstimmen (z. B. 14379).
This Node is a Member of the Following Groups (Dieser Knoten gehört zu
folgenden Gruppen)
Einstellungen für die Zuordnung eines Knotens in eine Gruppe von Knoten
186
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-4 This Node is a Member of the Following Groups (Dieser Knoten gehört zu
folgenden Gruppen)
Option
Definition
Group runtime (Gruppenlaufzeit)
Legt die Gruppe eines Knotens fest, innerhalb der Laufzeitdaten mit
allen anderen Knoten geteilt werden können, beispielsweise
Zeitkontingente.
Group update (Gruppenaktualisierung) Legt die Gruppe eines Knotens fest, innerhalb der Aktualisierungen
mit allen anderen Knoten geteilt werden können.
Group network (Gruppennetzwerk)
Legt die Gruppe eines Knotens fest, innerhalb der der Knoten sich
sofort mit allen anderen Knoten verbinden kann.
Ein Knoten kann gleichzeitig mehreren Netzwerkgruppen angehören.
In diesem Fall können sich die Knoten einer Gruppe, zu der ein
Knoten gehört, über genau diesen Knoten auch mit den Knoten einer
anderen Gruppe verbinden, zu der dieser Knoten ebenfalls gehört.
In der Gruppennetzwerk-Liste sind alle Gruppen aufgeführt, zu denen
ein Knoten gehört.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Gruppennetzwerk-Liste erläutert.
Tabelle 5-5 Gruppennetzwerk – Listeneintrag
Option
Definition
Gibt den Namen einer Netzwerkknotengruppe an.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer Netzwerkknotengruppe.
Automatic Engine Updates (Automatische Modulaktualisierungen)
Einstellungen für die Planung automatischer Aktualisierungen von Datenbankinformationen für beim
Filtern genutzte Module
Tabelle 5-6 Automatic Engine Updates (Automatische Modulaktualisierungen)
Option
Definition
Enable automatic updates (Automatische
Aktualisierungen aktivieren)
Bei Auswahl dieser Option werden die
Datenbankinformationen automatisch aktualisiert.
Allow to download updates from the internet
(Herunterladen von Aktualisierungen aus dem
Internet zulassen)
Bei Auswahl dieser Option werden
Datenbankaktualisierungen aus dem Internet
heruntergeladen.
Allow to download updates from other nodes
Bei Auswahl dieser Option werden
(Herunterladen von Aktualisierungen von anderen Datenbankaktualisierungen von anderen Knoten in einer
Knoten zulassen)
Konfiguration mit zentraler Verwaltung heruntergeladen.
Update interval (Aktualisierungsintervall)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die
nächste Aktualisierung der Datenbankinformationen erfolgt.
Der Zeitraum wird mit einem Schieberegler eingestellt.
Es kann ein Wert zwischen 15 und 360 Sekunden eingestellt
werden.
Produkthandbuch
187
5
Zentrale Verwaltung
Tabelle 5-6 Automatic Engine Updates (Automatische Modulaktualisierungen) (Fortsetzung)
Option
Definition
CRL update interval (Intervall für
Zertifikatsperrlisten-Aktualisierung)
Gibt den Zeitraum (in Stunden) vor, nach dessen Ablauf die
nächste Aktualisierung der beim Filtern des
SSL-verschlüsselten Datenverkehrs verwendeten
Zertifikatsperrlisten erfolgt.
Da bei dieser Aktualisierung eine andere Methode als bei
anderen Aktualisierungsarten verwendet wird, muss diese
Aktualisierung separat konfiguriert werden.
Der Zeitraum wird mit einem Schieberegler eingestellt.
werden.
Enable update proxies (Aktualisierungs-Proxys
aktivieren)
Bei Auswahl dieser Option werden für das Routing von
aktualisierten Datenbankinformationen Proxy-Server
eingesetzt.
Update proxies (fail over)
(Aktualisierungs-Proxys, Ausfallsicherung)
Enthält eine Liste, in die für das Routing von aktualisierten
Datenbankinformationen einzusetzende Proxy-Server
eingegeben werden.
Die aufgeführten Proxy-Server werden nach dem Prinzip der
Ausfallsicherung abgearbeitet. Zuerst wird versucht, den
ersten in der Liste aufgeführten Server zu nutzen. Erst nach
Ablauf des festgelegten Zeitlimits wird der nächste Server
kontaktiert.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Liste der Aktualisierungs-Proxys
erläutert.
Tabelle 5-7 Aktualisierungs-Proxys – Listeneintrag
Option
Definition
Host
Gibt den Host-Namen oder die IP-Adresse eines als Proxy für das Routing
von Aktualisierungen genutzten Servers an.
Port
Gibt den Port eines Proxys an, der den Eingang von Aktualisierungsanfragen
überwacht.
User (Benutzer)
Gibt den Benutzernamen eines Benutzers an, der berechtigt ist, auf einen
für das Routing von Aktualisierungen genutzten Proxys zuzugreifen.
Password (Kennwort)
Legt für diesen Benutzer ein Kennwort fest.
Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Proxy.
Advanced Update Settings (Erweiterte Aktualisierungseinstellungen)
Einstellungen für die erweiterten Aktualisierungsfunktionen
Tabelle 5-8 Advanced Update Settings (Erweiterte Aktualisierungseinstellungen)
Option
Definition
Allow to upload updates to other nodes
(Hochladen von Aktualisierungen auf andere
Knoten zulassen)
Bei Auswahl dieser Option können Datenbankinformationen
von der Appliance (als Knoten in einer Konfiguration mit
zentraler Verwaltung) auf andere Knoten hochgeladen
werden.
The first time an update starts, it should wait an Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die
appropriate time before starting (Vor dem
Aktualisierung beginnt.
erstmaligen Start einer Aktualisierung sollte eine
angemessene Wartezeit eingehalten werden)
werden.
188
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-8 Advanced Update Settings (Erweiterte Aktualisierungseinstellungen)
(Fortsetzung)
Option
Definition
The first time an automatic update starts, it uses Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf ein
the startup interval to update (Beim erstmaligen erneuter Versuch der erstmaligen automatischen
Start einer automatischen Aktualisierung wird für Aktualisierung durchgeführt wird.
den Beginn das Startintervall verwendet)
Während einer Aktualisierung versucht das
Koordinator-Subsystem, das die aktualisierten Informationen
auf der Appliance speichert, Verbindung mit dem
Appliance-Kern aufzunehmen, da die dort befindlichen Module
diese Informationen verwenden.
Die Auswahl eines niedrigen Intervallwerts kann die
Geschwindigkeit bei Aktualisierungen erhöhen, da der
Koordinator hierdurch kürzere Zeit warten muss, bis der Kern
empfangsbereit für die Daten ist.
werden.
Try to update with start interval
(Aktualisierungsversuch mit Startintervall)
Begrenzt die Anzahl der Versuche (1 bis 9) der Appliance, mit
einer Aktualisierung zu beginnen, auf den angegebenen Wert.
Use alternative URL (Alternative URL verwenden) Gibt die URL eines Aktualisierungs-Servers an, der statt des
standardmäßigen Servers verwendet werden soll.
Verify SSL tunnel (SSL-Tunnel überprüfen)
Bei Auswahl dieser Option wird ein per SSL-verschlüsselter
Kommunikation von einem Aktualisierungs-Server an einen
Knoten gesendetes Zertifikat auf Gültigkeit überprüft.
Enter a special custom parameter sequence for
an update server (Spezielle benutzerdefinierte
Parametersequenz für einen
Aktualisierungs-Server eingeben)
Der mit der hier eingegebenen URL festgelegte
Datenbank-Server für URL-Filterung wird für Aktualisierungen
der URL-Filterungsinformationen herangezogen.
No updates should be made in defined time
Enthält eine Liste, in die tageweise Zeitfenster eingegeben
window (Im festgelegten Zeitfenster sollten keine werden können, während derer keine Aktualisierung der
Aktualisierungen erfolgen)
Datenbankinformationen erfolgen sollte.
In der folgenden Tabelle werden die Elemente eines Eintrags in der Zeitfensterliste erläutert.
Tabelle 5-9 Zeitfenster – Listeneintrag
Option
Definition
Start of time slot (hour) (Beginn des Zeitfensters (Stunde)) Legt die Stundenangabe für den Beginn des täglichen
Zeitfensters fest.
Start of time slot (minute) (Beginn des Zeitfensters
(Minute))
Legt die Minutenangabe für den Beginn des täglichen
Zeitfensters fest.
Start of time slot (second) (Beginn des Zeitfensters
(Sekunde))
Legt die Sekundenangabe für den Beginn des
täglichen Zeitfensters fest.
End of time slot (hour) (Ende des Zeitfensters (Stunde))
Legt die Stundenangabe für das Ende des täglichen
Zeitfensters fest.
End of time slot (minute) (Ende des Zeitfensters (Minute))
Legt die Minutenangabe für das Ende des täglichen
Zeitfensters fest.
End of time slot (second) (Ende des Zeitfensters
(Sekunde))
Legt die Sekundenangabe für das Ende des täglichen
Zeitfensters fest.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu
einem Zeitfenster.
Produkthandbuch
189
5
Zentrale Verwaltung
Advanced Subscribed Lists Settings (Erweiterte Einstellungen für abonnierte
Listen)
Einstellungen für die erweiterten Funktionen von abonnierten Listen
Tabelle 5-10 Advanced Subscribed Lists Settings (Erweiterte Einstellungen für abonnierte
Listen)
Option
Definition
Allow to download
customer subscribed
lists (Herunterladen von
abonnierten
Kundenlisten zulassen)
Bei Auswahl dieser Option können abonnierte Kundenlisten von der aktuellen
Appliance heruntergeladen werden.
Wenn die Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung
agiert und diese Option auch auf anderen Knoten ausgewählt ist, werden die
Listen nur von einem der Knoten heruntergeladen.
Wenn die Listen auf einen bestimmten Knoten heruntergeladen werden sollen,
muss diese Option auf allen anderen Knoten deaktiviert sein.
Wenn bei einem Knoten, auf dem eine oder mehrere Listen konfiguriert sind,
ein Neustart durchgeführt wird, erfolgt ein Download von Listeninhalt, damit
eine gültige Konfiguration gewährleistet wird.
Dieser Download wird unabhängig davon durchgeführt, ob die Download-Option
ausgewählt ist.
Wenn ein Knoten neu zu einer Konfiguration hinzugefügt wird, in der andere
Knoten mit konfigurierten abonnierten Listen vorhanden sind, wird Listeninhalt
für diese Listen auch auf den neuen Knoten heruntergeladen.
Zur Verringerung des internen Datenverkehrsaufkommens wird dieser
Download ohne vorherige Kommunikation mit anderen Knoten ausgeführt.
Dieser Download wird unabhängig davon durchgeführt, ob die Download-Option
ausgewählt ist.
Manual Engine Updates (Manuelle Modulaktualisierung)
Einstellungen für die Durchführung manueller Aktualisierungen von Datenbankinformationen für beim
Filtern genutzte Module
Tabelle 5-11 Manual Engine Updates (Manuelle Modulaktualisierung)
Option
Definition
Manual Engine Update (Manuelle
Modulaktualisierung)
Führt sofort eine Aktualisierung der Datenbankinformationen für
beim Filtern genutzte Module aus.
Die Aktualisierung der Datenbankinformationen erfolgt nur für
Module auf der Appliance, an der Sie zu diesem Zeitpunkt arbeiten.
Handle Stored Configuration Files (Einstellungen für gespeicherte
Konfigurationsdateien)
Einstellungen für das Speichern von Ordnern mit Konfigurationsdateien auf dem Datenträger
190
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-12 Handle Stored Configuration Files (Einstellungen für gespeicherte
Konfigurationsdateien)
Option
Definition
Keep saved configuration folders for a
minimal time (Geringstmögliche
Aufbewahrungsdauer für
Konfigurationsordner)
Gibt den Zeitraum (in Tagen) vor, für den Ordner mit
Konfigurationsdateien höchstens auf dem Datenträger
gespeichert werden sollen.
Keep minimal number of configuration
folders (Geringstmögliche Anzahl an
Konfigurationsordnern vorhalten)
Gibt die Anzahl an Ordnern mit Konfigurationsdateien vor, die
jederzeit höchstens auf dem Datenträger vorhanden sein darf.
Der Zeitraum kann auf einen Wert zwischen 1 und 100 Tagen
festgelegt werden.
Die Anzahl kann auf einen Wert zwischen 1 und 100 festgelegt
werden.
Keep minimal number of packed folders
Gibt die Anzahl an komprimierten Ordnern mit
(Geringstmögliche Anzahl an komprimierten Konfigurationsdateien vor, die jederzeit höchstens auf dem
Ordnern vorhalten)
Datenträger vorhanden sein darf.
Ordner mit Konfigurationsdateien werden nach Ablauf der
festgelegten Mindestzeit zur Speicherung komprimiert, wenn
ansonsten die Mindestanzahl der auf dem Datenträger
gespeicherten Ordner überschritten werden würde.
Die Ordneranzahl kann auf einen Wert zwischen 1 und 100
festgelegt werden.
Advanced Scheduled Jobs (Geplante Jobs – erweitert)
Einstellungen für geplante Jobs
Tabelle 5-13 Advanced Scheduled Jobs (Geplante Jobs – erweitert)
Option
Definition
Job list (Job-Liste)
Zeigt eine Liste der geplanten Jobs an.
In der folgenden Tabelle werden die Elemente eines Eintrags in dieser Liste erläutert.
Tabelle 5-14 Eintrag in der Job-Liste
Option
Definition
Start job (Job-Beginn)
Gibt an, wie häufig ein geplanter Job ausgeführt werden
soll, beispielsweise hourly (stündlich), daily (täglich),
once (einmalig).
Start job immediately if it was not started at its original
schedule (Job sofort beginnen, wenn dieser nicht
planmäßig gestartet wurde)
Wenn ein Job nicht entsprechend dem ursprünglich
konfigurierten Zeitplan begonnen wurde, kann sie mit
dieser Option sofort gestartet werden.
Job
Gibt den Job-Typ an, beispielsweise Backup
Configuration (Konfiguration sichern).
Unique job ID (Eindeutige Job-ID)
Bezeichnet einen geplanten Job.
When this job has finished run job with ID (Job mit
dieser ID nach Abschluss des laufenden Jobs
beginnen)
Gibt die ID des Jobs an, die im Anschluss an den
laufenden Job begonnen werden soll.
Comment (Kommentar)
Enthält einen Kommentar im Nur-Text-Format zu einem
geplanten Job.
Produkthandbuch
191
5
Zentrale Verwaltung
Fenster „Add Scheduled Job“ (Geplanten Job hinzufügen)
Dieses Fenster enthält Einstellungen zum Hinzufügen eines geplanten Jobs.
•
Time Settings (Zeiteinstellungen): Einstelloptionen für die Startzeit eines geplanten Jobs
•
Job Settings (Job-Einstellungen): Einstellungen für die Art und ID eines geplanten Jobs
•
Parameter Settings (Parametereinstellungen): Einstellungen für zusätzliche Parameter eines
geplanten Jobs
Diese Einstellungen unterscheiden sich je nach Job-Typ folgendermaßen:
•
(Backup configuration settings): Einstellungen für einen geplanten Job zur Sicherung einer
Appliance-Konfiguration
•
(Restore backup settings): Einstellungen für einen geplanten Job zur Wiederherstellung einer
Appliance-Konfiguration aus einer Sicherung
•
(Upload file settings): Einstellungen für einen geplanten Job zum Hochladen einer Datei auf
einen externen Server über das HTTP- oder HTTPS-Protokoll
•
(Download file settings): Einstellungen für einen geplanten Job zum Herunterladen einer Datei
auf die Appliance über das HTTP- oder HTTPS-Protokoll
Für geplante Jobs zur Durchführung einer yum-Aktualisierung gibt es keine zusätzlichen
Parametereinstellungen.
192
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-15 Time Settings (Zeiteinstellungen)
Option
Definition
Start job (Job-Beginn)
Hier können Sie die Häufigkeit festlegen.
• Hourly (Stündlich): Führt einen geplanten Job einmal pro Stunde
durch.
• Daily (Täglich): Führt einen geplanten Job einmal pro Tag durch.
• Weekly (Wöchentlich): Führt einen geplanten Job einmal pro Woche
durch.
• Monthly (Monatlich): Führt einen geplanten Job einmal pro Monat
durch.
• Once (Einmalig): Führt einen geplanten Job lediglich einmal durch.
• Activated by other job (Aktivierung durch anderen Job): Führt einen
geplanten Job nach Abschluss eines anderen Jobs durch.
(Parametereinstellungen für
die Zeit)
Einstellungen, in denen die Parameter des Zeitrahmens festgelegt
werden, beispielsweise die Minutenangabe innerhalb der Stunde, zu
der ein für die stündliche Durchführung geplanter Job gestartet
werden soll.
Welche Zeitparameter angezeigt werden, richtet sich nach der
ausgewählten Zeiteinstellung.
Wenn Sie beispielsweise Hourly (Stündlich) ausgewählt haben,
können Sie die Minutenangabe innerhalb der Stunde, jedoch nicht
den Tag innerhalb eines Monats festlegen.
• Minute: Legt die Minutenangabe innerhalb einer Stunde fest.
• Hour (Stunde): Legt die Stundenangabe innerhalb eines Tages fest.
• Day of month (Tag des Monats): Legt den Tag innerhalb eines Monats
fest.
• Enter day of week (Wochentag eingeben): Gibt eine Liste zur
Festlegung des Wochentags vor.
• Month (Monat): Legt den Monat innerhalb eines Jahres fest (durch
Zahlenangabe von 1 bis 12).
• Year (Jahr): Legt das Jahr fest (vierstellige Angabe).
Start job immediately if it was not
started at its original schedule (Job
sofort beginnen, wenn dieser nicht
planmäßig gestartet wurde)
Bei Auswahl dieser Option wird ein Job, der nicht entsprechend dem
ursprünglich konfigurierten Zeitplan begonnen wurde, sofort
gestartet.
Dies kann z. B. der Fall sein, wenn eine Appliance aufgrund von
Überlastung zeitweise abgeschaltet wurde und während dieser
Ausfallzeit eigentlich ein geplanter Job ausgeführt werden sollte.
Dieser Job wird nun ausgeführt, sobald die Appliance wieder aktiv
ist.
Produkthandbuch
193
5
Zentrale Verwaltung
Tabelle 5-16 Job Settings (Job-Einstellungen)
Option
Definition
Job
Hier können Sie den Typ eines geplanten Jobs auswählen.
• Backup configuration (Konfiguration sichern): Erstellt eine Sicherung einer
Appliance-Konfiguration.
• Restore backup (Sicherung wiederherstellen): Stellt eine
Appliance-Konfiguration aus einer Sicherung wieder her.
• Upload file (Datei hochladen): Lädt eine Datei mittels HTTP- oder
HTTPS-Protokoll auf einen externen Server hoch.
• Download file (Datei herunterladen): Lädt eine Datei mittels HTTP- oder
HTTPS-Protokoll auf die Appliance herunter.
• Yum update (yum-Aktualisierung): Führt auf einer Appliance-Konfiguration
eine yum-Aktualisierung durch.
Dieser Typ geplanter Jobs ist nicht verfügbar, wenn die Appliance in
einem FIPS-kompatiblen Modus läuft.
Unique job ID (Eindeutige
Job-ID)
Bezeichnet einen geplanten Job.
Job description
(Job-Beschreibung)
Enthält eine optionale Beschreibung des geplanten Jobs im
Nur-Text-Format.
When this job has finished run
job with ID (Job mit dieser ID
nach Abschluss des laufenden
Jobs beginnen)
Gibt die ID des geplanten Jobs an, der direkt im Anschluss an den hier
konfigurierten Job begonnen werden soll.
Execute job on remote node
(Job auf Remote-Knoten
ausführen)
Bei den in dieser Zeichenfolge angegebenen Buchstaben wird zwischen
Groß-/und Kleinschreibung unterschieden.
Für diesen Job muss in den Zeiteinstellungen die Option Activated by other job
(Aktivierung durch anderen Job) ausgewählt sein.
Gibt eine Auswahlliste anderer Knoten in der Konfiguration an, auf denen
der geplante Job ausgeführt werden kann.
Die Liste enthält die Host-Namen der anderen Knoten.
Der geplante Job, den Sie auf dieser Appliance konfigurieren, wird
entsprechend den gewählten Zeit- und Parametereinstellungen auf dem
bzw. den ausgewählten Knoten ausgeführt.
An den bzw. die anderen Knoten wird eine Nachricht mit Informationen
zum geplanten Job gesendet.
194
Produkthandbuch
5
Zentrale Verwaltung
Tabelle 5-17 Parameter Settings – Backup configuration (Parametereinstellungen –
Konfiguration sichern)
Option
Definition
Use most recent
configuration (Neueste
Konfiguration verwenden)
Bei Auswahl dieser Option erstellt der geplante Job eine Sicherung von der
neuesten Appliance-Konfiguration.
Backup configuration path
(Pfad der gesicherten
Konfiguration)
Gibt den Pfad zum Ordner an, der die für die Sicherung zu nutzende
Konfiguration enthält.
Format: |<Pfadname>/<Dateiname mit Erweiterung>
Format: /opt/mwg/storage/default/configfolder
Diese Einstellung ist nur dann verfügbar, wenn die Option Use most recent
configuration (Neueste Konfiguration verwenden) deaktiviert ist.
Save configuration to path
(Konfiguration speichern
unter Pfad)
Gibt den Pfad und Dateinamen für die zu speichernde Sicherung einer
Konfiguration an.
Format: /<Pfadname>/<Dateiname mit Dateinamenerweiterung>
Für den Ordner, in dem die Sicherung der Konfiguration gespeichert werden
soll, müssen Sie entsprechende Benutzerrechte festlegen: Die Appliance
muss der Besitzer sein, der zum Schreiben von Daten in den Ordner
berechtigt ist.
Führen Sie mittels der (z. B. von einer seriellen Konsole) bereitgestellten
Befehlszeile die entsprechenden Befehle zum Erstellen eines Ordners bzw.
zum Ändern der Berechtigungen für einen vorhandenen Ordner aus.
Tabelle 5-18 Parameter Settings – Restore backup (Parametereinstellungen – Sicherung
wiederherstellen)
Option
Definition
Restore backup from file
(Sicherung aus Datei
wiederherstellen)
Gibt den Pfad und den Namen der Datei an, die für das Wiederherstellen
einer Sicherung verwendet werden soll.
Only restore policy (Nur
Richtlinie wiederherstellen)
Bei Auswahl dieser Option sichert der geplante Job nur die Einstellungen
mit Relevanz für die auf der Appliance implementierten
Web-Sicherheitsrichtlinie.
Andere Einstellungen, beispielsweise diejenigen, die für die Verbindung
einer Appliance mit einem Netzwerk erforderlich sind, werden nicht
wiederhergestellt.
Lock storage during restore
(Speicherfunktion während
Wiederherstellung sperren)
Bei Auswahl dieser Option können auf der Appliance erst wieder Dateien
gespeichert werden, wenn der geplante Job die gesicherte Konfiguration
vollständig wiederhergestellt hat.
Password (Kennwort)
Legt das für die Standardauthentifizierung zu verwendende Kennwort
fest.
Set (Festlegen)
Öffnet das Fenster New Password (Neues Kennwort) zum Festlegen eines
Kennworts.
Nach dem Festlegen des Kennworts wird statt der Schaltfläche Set
(Festlegen) die Schaltfläche Change (Ändern) angezeigt. Mit dieser kann
das Fenster New Password (Neues Kennwort) zum Ändern des Kennworts
geöffnet werden.
Diese Einstellung ist nur verfügbar, wenn die Option Enable basic authentication
(Standardauthentifizierung aktivieren) ausgewählt ist.
Produkthandbuch
195
5
Zentrale Verwaltung
Tabelle 5-19 Parameter Settings – Upload file (Parametereinstellungen – Datei hochladen)
Option
Definition
File to upload (Hochzuladende Datei)
Gibt den Pfad und den Namen der hochzuladenden Datei an.
Destination to upload file to (Ziel für
hochzuladende Datei)
Gibt den Pfad zum Server an, auf den die Datei im HTTP- bzw.
HTTPS-Protokoll hochgeladen werden soll, sowie den Dateinamen,
unter dem die Datei auf diesem Server gespeichert wird.
Format: http|https: //<URL>/<Dateiname mit Erweiterung>
Enable basic authentication
(Standardauthentifizierung aktivieren)
Bei Auswahl dieser Option ist zum Hochladen einer Datei eine
Standardauthentifizierung erforderlich.
Legt den für die Standardauthentifizierung zu verwendenden
Benutzernamen fest.
Diese Einstellung ist nur verfügbar, wenn die Option Enable basic
authentication (Standardauthentifizierung aktivieren) ausgewählt ist.
Password (Kennwort)
Legt das für die Standardauthentifizierung zu verwendende
Kennwort fest.
Set (Festlegen)
Öffnet das Fenster New Password (Neues Kennwort) zum Festlegen
eines Kennworts.
(Festlegen) die Schaltfläche Change (Ändern) angezeigt. Mit dieser
kann das Fenster New Password (Neues Kennwort) zum Ändern des
Kennworts geöffnet werden.
Tabelle 5-20 Parameter Settings – Download file (Parametereinstellungen – Datei
herunterladen)
Option
Definition
URL to download (Herunterladen von
URL)
Gibt die URL des Speicherorts der im HTTP- bzw. HTTPS-Protokoll
herunterzuladenden Datei sowie deren Dateinamen an.
Format: http|https: //<URL>/<Dateiname mit Erweiterung>
Save downloaded file to
(Heruntergeladene Datei speichern
unter)
Gibt den zu verwendenden Speicherpfad sowie den Dateinamen an,
unter dem die heruntergeladene Datei gespeichert werden soll.
Bei Auswahl dieser Option ist zum Herunterladen einer Datei eine
Standardauthentifizierung erforderlich.
Legt den für die Standardauthentifizierung zu verwendenden
Benutzernamen fest.
196
Produkthandbuch
Zentrale Verwaltung
5
Tabelle 5-20 Parameter Settings – Download file (Parametereinstellungen – Datei
herunterladen) (Fortsetzung)
Option
Definition
Password (Kennwort)
Legt das für die Standardauthentifizierung zu verwendende
Kennwort fest.
Set (Festlegen)
Öffnet das Fenster New Password (Neues Kennwort) zum Festlegen
eines Kennworts.
(Festlegen) die Schaltfläche Change (Ändern) angezeigt. Mit dieser
kann das Fenster New Password (Neues Kennwort) zum Ändern des
Kennworts geöffnet werden.
authentication (Standardauthentifizierung aktivieren) ausgewählt
ist.
Produkthandbuch
197
5
Zentrale Verwaltung
198
Produkthandbuch
6
Regeln
Web-Filterung und Authentifizierung werden durch Regeln gesteuert, die Sie implementieren und so
modifizieren können, dass sie genau auf die Anforderungen Ihres Netzwerks zugeschnitten sind.
Die Regeln werden in Gruppen zusammengefasst und in Regelsätzen verfügbar gemacht, die jeweils
ein bestimmtes Feld der Filteraktivitäten abdecken. Es kann z. B. einen Regelsatz für die Viren- und
Malware-Filterung, einen Regelsatz für die URL-Filterung, einen Regelsatz für Authentifizierungen usw.
geben.
Bei der Ersteinrichtung der Appliance wird ein Standard-Regelsatzsystem implementiert. Diese
Regelsätze und die zugehörigen Regeln können Sie überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Regeln und Regelsätze oder sogar ein komplettes System selbst erstellen.
Darüber hinaus können Sie Regelsätze aus Bibliotheken importieren und sie ebenfalls auf diese Weise
ändern.
Inhalt
Flexibilität von Regeln
Informationen zur Filterung
Regelelemente
Darstellung von Regeln im Dokumentationstext
Regelsätze
Regelsatzsystem
Regelsatz-Bibliothek
Registerkarte Rule Sets (Regelsätze)
Erstellen einer Regel
Erstellen eines Regelsatzes
Importieren eines Regelsatzes
Empfohlene Vorgehensweisen – Konfigurieren von Regeln
Beschränken des Zugriffs auf Konfigurationselemente
Flexibilität von Regeln
Bei der Arbeit mit Web-Sicherheitsregeln in Web Gateway besteht eine beachtliche Flexibilität, sodass
Sie diese Regeln je nach Anforderungen des Netzwerks auf vielerlei Art bearbeiten können.
Deshalb können die Regeln, die nach dem erstmaligen Einrichten von Web Gateway als Teil des
standardmäßigen Regelsatzsystems implementiert werden, als ein Beispielsystem angesehen werden.
Dieses System soll zeigen, wie ein System von Web-Sicherheitsregeln aussehen kann. Sie sind jedoch
nicht gezwungen, dieses System oder Teile davon unverändert zu belassen bzw. müssen es auch nicht
beibehalten.
Nach dem gleichen Prinzip sind auch die Regeln innerhalb der Regelsätze lediglich Beispiellösungen
dafür, wie die Web-Sicherheitsfunktionen von Web Gateway auf verschiedene Arten ausgeweitet
werden können. Sie können genauso wie die Standardregeln beliebig bearbeitet werden.
Produkthandbuch
199
6
Regeln
In der Dokumentation werden die Standard- und viele Bibliotheksregeln erläutert, um Ihnen
darzulegen, wie diese funktionieren und wofür sie eingesetzt werden können.
Es bedeutet jedoch in keinem Fall, dass ein bestimmter Standard-Regelsatz unbedingt implementiert
oder ein bestimmter Bibliotheks-Regelsatz auf jeden Fall importiert werden muss. Es wird auch nicht
vorgeschrieben, dass konkrete Regeln und deren Elemente exakt so behandelt werden müssen, wie
dies in der Dokumentation erläutert wird.
Aufgrund der speziellen Anforderungen Ihres Unternehmens kann es immer sein, dass die tatsächlich
von Ihnen implementierten Lösungen von den ursprünglichen Erläuterungen in der vorliegenden
Dokumentation abweichen.
Auf der Appliance wird ein Filterprozess ausgeführt, der mithilfe der implementierten Regeln
durchgehend für die Web-Sicherheit im Netzwerk sorgt.
Dieser Prozess filtert den Web-Datenverkehr. Hierbei wird einigen Objekten der Durchgang verwehrt,
während andere durchgelassen werden, in etwa so wie ein Teesieb Teeblätter auffängt und den Tee
selbst in die Tasse fließen lässt.
Woher kann der Prozess nun zwischen Blättern und Flüssigkeit unterscheiden? Das Teesieb arbeitet
offensichtlich nach dem Konzept der Größenunterschiede: Was zu groß ist, wird nicht durchgelassen.
Auf ähnliche Weise nutzt der Filterprozess auf der Appliance in seinen Regeln alle möglichen
Eigenschaften, die Web-Objekte haben können bzw. die sich auf irgendeine Weise auf Web-Objekte
beziehen, um entsprechende Filterentscheidungen zu treffen.
Eigenschaften gefilterter Objekte
Eine der möglichen Eigenschaften eines während des Filterprozesses überprüften Web-Objekts ist
being virus-infected (mit Virus infiziert). Ein Web-Objekt kann also die Eigenschaft „mit Virus infiziert“
haben. Um es klarer auszudrücken: es kann mit einem Virus infiziert sein.
Weitere Beispiele sind u. a. die Eigenschaft, zu einer bestimmten URL-Kategorie zu gehören oder die
Eigenschaft, eine bestimmte IP-Adresse zu besitzen.
Bezüglich dieser und auch anderer Eigenschaften können nun folgende Fragen gestellt werden:
•
Welchen Wert hat die Eigenschaft p eines bestimmten Web-Objekts?
•
Sowie: Wenn dieser Wert gleich x ist, welche Aktion ist dann erforderlich?
Die Antwort auf die zweite Frage ergibt bereits eine Regel:
Wenn der Wert der Eigenschaft p gleich x ist, dann muss Aktion y durchgeführt werden.
Eigenschaften sind Schlüsselelemente, die in allen Regeln auf der Appliance verwendet werden. Das
genaue Verständnis einer Eigenschaft ist grundlegend wichtig für das Verständnis der gesamten Regel.
Beim Erstellen einer Regel ist es immer sinnvoll, mit der Überlegung zu beginnen, welche Eigenschaft
genutzt werden soll. Nimmt man die Eigenschaft einer bereits vorhandenen Regel als Beispiel, so
könnten Sie folgende Überlegung anstellen:
Ich möchte Viren und andere Malware filtern. Hierfür nutze ich die Eigenschaft „mit Virus infiziert“ und
verwende diese als Grundlage zum Erstellen einer Regel. Wenn ein bestimmtes Web-Objekt diese
Eigenschaft besitzt, lasse ich die Regel eine Blockierungsaktion vornehmen.
200
Produkthandbuch
6
Regeln
Die entsprechende Regel könnte folgendermaßen aussehen:
Wenn „mit Virus infiziert“ den Wert „true“ hat (für ein bestimmtes Web-Objekt), dann blockiere den
Zugriff auf dieses Objekt.
Das Web-Objekt könnte z. B. eine Datei sein, die von einem Web-Server auf Anfrage eines Benutzers
im Netzwerk gesendet wurde und die auf der Appliance abgefangen und gefiltert wird.
In diesem Abschnitt werden die Eigenschaften und Regeln auf Deutsch benannt und beschrieben. Auf
der Benutzeroberfläche der Appliance werden diese dann auf Englisch angezeigt, das Format
unterscheidet sich jedoch nicht wesentlich von der normalerweise verwendeten Sprache.
Die oben beschriebene Regel bezüglich Virusinfektionen könnte auf der Benutzeroberfläche
folgendermaßen aussehen:
Antimalware.Infected equals true –> Block (Default)
Hierbei ist Antimalware.infected (Malware-Schutz infiziert) die Eigenschaft und Block (blockieren) die
Aktion, die standardmäßig durchgeführt wird.
Der Pfeil wird auf der Benutzeroberfläche nicht angezeigt, sondern nur in dieser Darstellung
hinzugefügt, um zu verdeutlichen, dass die Blockierungsaktion ausgelöst wird, wenn ein Web-Objekt
tatsächlich die besagte Eigenschaft aufweist.
Filtern von Benutzern
Eigenschaften können nicht nur im Zusammenhang mit Web-Objekten, sondern auch mit den sie
anfragenden Benutzern verwendet werden.
Beispielsweise könnte eine Regel die Eigenschaft Benutzergruppen, in denen dieser Benutzer Mitglied
ist nutzen, um alle Anfragen von Benutzern zu blockieren, die nicht zu einer zugelassenen Gruppe
gehören:
Wenn Benutzergruppen, deren Mitglied der Benutzer ist (für einen bestimmten Benutzer), nicht in der
Liste zugelassener Gruppen enthalten sind, dann werden von diesem Benutzer gesendete Anfragen
blockiert.
Filterzyklen
Der Filterprozess auf der Appliance weist drei Zyklen auf: „Request“ (Anfrage), „Response“ (Antwort)
und „Embedded Objects“ (Eingebettete Objekte). Es kann immer nur jeweils einer dieser Zyklen
laufen.
Der Zyklus „Request“ (Anfrage) wird zum Filtern von Anfragen ausgeführt, die Benutzer Ihres
Netzwerks an das Web senden, der Zyklus Response (Antwort) hingegen für die Antworten, die auf
diese Anfragen aus dem Web empfangen werden.
Wenn mit den Anfragen oder Antworten eingebettete Objekte gesendet werden, wird als zusätzlicher
Verarbeitungszyklus der Zyklus „Embedded Objects“ (Eingebettete Objekte) ausgeführt.
Ein eingebettetes Objekt ist z. B. eine Datei, die mit einer Anfrage zum Hochladen einer Datei
gesendet wird und die in die betreffende Datei eingebettet ist. Der Filterprozess beginnt mit dem
Zyklus „Request“ (Anfrage), wobei die Anfrage gefiltert und die Datei überprüft wird, deren Upload
angefordert wurde. Anschließend wird der Zyklus „Embedded Objects“ (Eingebettete Objekte) für die
eingebettete Datei gestartet.
Ebenso werden der Zyklus Response (Antwort) und der Zyklus „Embedded Objects“ (Eingebettete
Objekte) nacheinander für eine Datei gestartet, die als Antwort von einem Web-Server gesendet wird
und in die eine andere Datei eingebettet ist.
Produkthandbuch
201
6
Regeln
Für jede Regel auf der Appliance wird angegeben, in welchem Zyklus sie verarbeitet wird. Der Zyklus
wird jedoch nicht einzeln für eine Regel angegeben, sondern für den Regelsatz, in dem sie enthalten
ist.
Ein Regelsatz kann in nur einem Zyklus oder in einer Kombination von Zyklen verarbeitet werden.
Prozessablauf
Im Filterprozess werden die implementierten Regeln nacheinander verarbeitet, je nach den Positionen,
an denen sie in ihren jeweiligen Regelsätzen aufgeführt sind.
Die Regelsätze selbst werden in der Reihenfolge des Regelsatzsystems verarbeitet, die auf der
Registerkarte Rule Sets (Regelsätze) der Benutzeroberfläche angezeigt wird.
In jedem der drei Zyklen werden die implementierten Regelsätze der Reihe nach durchsucht, um
festzustellen, welche Regelsätze im jeweiligen Zyklus verarbeitet werden müssen.
Wenn eine Regel verarbeitet wird und anzuwenden ist, löst sie eine Aktion aus. Die Aktion führt eine
Filtermaßnahme aus, z. B. Blockieren einer Anfrage für den Zugriff auf ein Web-Objekt oder Entfernen
eines angeforderten Objekts.
Darüber hinaus wirkt sich eine Aktion auf den Filterprozess aus. Sie kann angeben, dass der
Filterprozess komplett beendet werden muss, dass einige Regeln übersprungen werden und der
Prozess anschließend fortgesetzt wird oder dass einfach mit der nächsten Regel fortgefahren werden
soll.
Die Verarbeitung wird auch beendet, nachdem alle implementierten Regeln verarbeitet wurden.
Demzufolge kann der Prozessablauf wie folgt aussehen:
Alle Regeln wurden für alle
konfigurierten Zyklen
verarbeitet, und es wurde
keine weitere anwendbare
Regel mehr gefunden.
–> Die Verarbeitung wird beendet.
Im Anfragezyklus wird gestattet, dass die Anfrage an den
entsprechenden Web-Server übergeben wird.
Im Antwortzyklus wird die aus dem Web gesendete Antwort an
den entsprechenden Benutzer weitergeleitet.
Im Zyklus für eingebettete Objekte wird gestattet, dass das
eingebettete Objekt zusammen mit der Anfrage bzw. der
Antwort übergeben wird, mit der es gesendet wurde.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
Eine Regel wird angewendet,
und sie erfordert, dass die
Verarbeitung vollständig
beendet werden muss.
–> Die Verarbeitung wird beendet.
Ein Beispiel für eine Regel, die die Verarbeitung vollständig
beendet, ist eine Regel mit einer Blockierungsaktion.
Wenn beispielsweise eine Anfrage blockiert wird, weil die
angeforderte URL in einer Blockierungsliste aufgeführt wird, ist
eine weitere Verarbeitung ohne jeden Nutzen.
Es wird keine Antwort empfangen, da die Anfrage blockiert und
nicht an den entsprechenden Web-Server übergeben wurde.
Auch ein möglicherweise mit der Anfrage gesendetes
eingebettetes Objekt muss nicht gefiltert werden, weil die
Anfrage ohnehin blockiert wird.
An den von der Aktion betroffenen Benutzer wird eine Meldung
gesendet; in dieser wird der Benutzer z. B. über die Blockierung
der Anfrage und die Gründe für diese Aktion informiert.
Die Verarbeitung beginnt erneut, wenn die nächste Anfrage
empfangen wird.
202
Produkthandbuch
6
Regeln
Regelelemente
Verarbeitung für den aktuellen
Regelsatz beendet werden
muss.
–> Die Verarbeitung für diesen Regelsatz wird beendet.
Die auf die beendende Regel folgenden Regeln des Regelsatzes
werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines
Regelsatzes beendet, ist eine Whitelist-Regel, auf die in
demselben Regelsatz eine Blockierungsregel folgt.
Wird ein angefordertes Web-Objekt in einer Whitelist gefunden,
wird das Weiterleiten der Anfrage ohne weitere Filtervorgänge
zugelassen. Daher erfolgt keine weitere Verarbeitung des
Regelsatzes, und die Regel, die das Objekt schließlich blockiert,
wird übersprungen.
Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt.
Der nächste Regelsatz kann Regeln enthalten, die z. B. eine
Anfrage blockieren, obwohl deren Weiterleitung durch den
vorhergehenden Regelsatz zugelassen wurde.
Verarbeitung für den aktuellen
Zyklus beendet werden muss.
–> Die Verarbeitung für diesen Zyklus wird beendet.
Die Regel und die Regelsätze, die auf die beendende Regel im
Zyklus folgen, werden übersprungen.
Ein Beispiel für eine Regel, die die Verarbeitung eines Zyklus
beendet, ist eine Regel für globale Whitelists.
Wird ein angefordertes Web-Objekt in einer globalen Whitelist
gefunden, wird das Weiterleiten der Anfrage an den
entsprechenden Web-Server zugelassen. Um sicherzustellen,
dass die Anfrage nicht schließlich durch eine der folgenden
Regeln und Regelsätze blockiert wird, wird die Verarbeitung des
Anfragezyklus beendet.
Die Verarbeitung wird mit dem nächsten Zyklus fortgesetzt.
Verarbeitung mit der nächsten
Regel fortgesetzt wird.
–> Die Verarbeitung wird mit der nächsten Regel fortgesetzt.
Dabei kann es sich um die nächste Regel im aktuellen Regelsatz
oder um die erste Regel im nächsten Regelsatz oder Zyklus
handeln.
Ein Beispiel für eine Regel, die die nahtlose Fortsetzung des
Filterprozesses ermöglicht, ist eine Statistikregel.
Diese Regel zählt lediglich Anfragen durch Erhöhen eines
Zählers; andere Aktionen werden von ihr nicht durchgeführt.
Regelelemente
Eine Web Security-Regel auf der Appliance weist drei Hauptelemente auf: Criteria, Action und
(optional) Event (Kriterien, Aktion und Ereignis).
1
Criteria (Kriterien)
Diese bestimmen, ob eine Regel angewendet wird.
In anderer Regelsyntax wird anstelle von Criteria (Kriterien) der Begriff Condition (Bedingung)
verwendet.
If the category of a URL is on list x, ...
Produkthandbuch
203
6
Regeln
Regelelemente
Die Kriterien setzen sich aus drei Elementen zusammen: Property, Operator und Operand
(Eigenschaft, Operator und Operand)
•
Property (Eigenschaft)
Bezieht sich auf ein Web-Objekt oder einen Benutzer.
... the category of a URL ...
•
Operator
Verknüpft die Eigenschaft mit einem Operanden.
... is on list ...
•
Operand
Gibt einen Wert an, den die Eigenschaft aufweisen kann.
... x (list name), ...
Der Operand wird auf der Benutzeroberfläche auch als Parameter bezeichnet.
2
Action (Aktion)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... block the URL ...
3
Event (Ereignis)
Wird ausgeführt, wenn die Kriterien erfüllt sind.
... and log this action.
Ein Ereignis ist für eine Regel optional. Eine Regel kann zudem über mehrere Ereignisse verfügen.
Format von Regeln auf der Benutzeroberfläche
Auf der Benutzeroberfläche werden Regeln im folgenden Format dargestellt.
Abbildung 6-1 Format einer Regel auf der Benutzeroberfläche
In der folgenden Tabelle wird die Bedeutung der einzelnen Elemente einer Regel erläutert.
204
Produkthandbuch
6
Regeln
Regelelemente
Tabelle 6-1 Elemente einer Regel auf der Benutzeroberfläche
Option
Definition
Enabled
(Aktiviert)
Ermöglicht Ihnen das Aktivieren bzw. Deaktivieren der Regel.
Name
Der Name der Regel
• Block URLs... Text für den Namen
• Category BlockList (im Namen der Regel): Von der Regel verwendete Liste
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist und Sie Einträge hinzufügen müssen.
Criteria (Kriterien) Kriterien der Regel
Die Kriterien werden erst angezeigt, nachdem Sie auf die Schaltfläche Show details
(Details anzeigen) geklickt haben.
• URL.Categories: Eigenschaft
• <Default>: Einstellungen des Moduls, das einen Wert für die Eigenschaft abruft
Die hier angezeigten Einstellungen für Default sind z. B. die Einstellungen des URL
Filter-Moduls.
Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im
Bearbeitungsmodus geöffnet.
Der Modulname wird in der Regel nicht angezeigt. Er wird jedoch im Fenster Edit
(Bearbeiten) für die Regelkriterien angegeben.
• at least one in list: Operator
• Category BlockList: Operand (wird auch als Parameter bezeichnet)
Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus
geöffnet.
Der Listenname wird sowohl im Regelnamen als auch in den Kriterien angezeigt,
sodass er auch dann verfügbar ist, wenn die Kriterien nicht sichtbar sind.
• Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich
leer ist.
Produkthandbuch
205
6
Regeln
Tabelle 6-1 Elemente einer Regel auf der Benutzeroberfläche (Fortsetzung)
Option
Definition
Action (Aktion)
Die Aktion der Regel
• Block: Name der Aktion
• <URLBlocked>: Einstellungen der Aktion
Events
(Ereignisse)
Ein oder mehrere Ereignisse der Regel
Die Ereignisse werden erst dann vollständig angezeigt, nachdem Sie auf die
Schaltfläche Show Details (Details anzeigen) geklickt haben.
• Statistics.Counter. Increment: Name des Ereignisses
• "BlockedByURLFilter, 1": Parameter des Ereignisses
• <Default>: Einstellungen des Ereignisses
Komplexe Kriterien
Die Kriterien einer Regel können durch die Konfiguration mit zwei oder mehr Teilen komplex gestaltet
werden.
Bei komplexen Kriterien verfügt jeder Teil über eine Eigenschaft mit Operator und Operand. Die Teile
sind durch UND bzw. ODER verbunden.
Die Kriterien sind erfüllt, wenn eine gefilterte URL zu einer Kategorie gehört, die sich in einer der
beiden angegebenen Kategorielisten (oder in beiden) befindet.
Wenn Sie Kriterien mit drei oder mehr Teilen konfigurieren, und sowohl UND als auch ODER zwischen
ihnen verwenden, müssen Sie durch Setzen von Klammern angeben, wie die Teile logisch verbunden
sind. Beispielsweise hat (a UND b) ODER c eine andere Bedeutung als a UND (b ODER c).
Wenn Sie auf der Benutzeroberfläche einen dritten Kriterienteil hinzufügen, werden Kleinbuchstaben
vor den Teilen angezeigt, und unten im Konfigurationsbereich wird ein zusätzliches Feld eingefügt.
Das Feld zeigt Ihre Kriterienteile in Kurzform an, z. B. a UND b ODER c. Sie können dann nach Bedarf
Klammern im Feld eingeben.
Bei der Erläuterung von Regeln in der Web Gateway-Dokumentation werden diese in den jeweiligen
Texten auf unterschiedliche Weise dargestellt.
Eine Regel kann im Lang- oder Kurzformat dargestellt werden, wobei explizite bzw. weniger explizite
Informationen zur Struktur dieser Regel gegeben werden. Die einzelnen Elemente einer Regel sind
möglicherweise zur besseren Unterscheidung voneinander mithilfe unterschiedlicher Schriftarten
gekennzeichnet oder werden alle in einer einheitlichen Schriftart dargestellt.
206
Produkthandbuch
6
Regeln
Das Lang- bzw. Kurzformat kann jeweils mit unterschiedlichen Kennzeichnungen der Elemente
kombiniert werden, sodass für Regeln die folgenden Darstellungsweisen möglich sind:
•
Darstellung im Kurzformat: Die Regel wird im Kurzformat und unter Verwendung
unterschiedlicher Schriftarten für die einzelnen Regelelemente dargestellt.
•
Einheitliche Darstellung im Kurzformat: Die Regel wird im Kurzformat und unter Verwendung
einer einheitlichen Schriftart für alle Regelelemente dargestellt.
•
Darstellung im Langformat: Die Regel wird im Langformat und unter Verwendung
unterschiedlicher Schriftarten für die einzelnen Regelelemente dargestellt.
•
Einheitliche Darstellung im Langformat: Die Regel wird im Langformat und unter Verwendung
einer einheitlichen Schriftart für alle Regelelemente dargestellt.
Nach jeder Darstellung einer Regel folgen Erläuterungen der jeweiligen Regel in normalem Text.
Darstellung von Regeln auf der Benutzeroberfläche
Auf der Benutzeroberfläche von Web Gateway werden Regeln folgendermaßen dargestellt. Für die
Anzeige der drei Hauptelemente, d. h. "Criteria" (Kriterien), "Action" (Aktion) und "Events"
(Ereignisse), wird jeweils eine separate Spalte verwendet. Der Regelname ist in fettgedruckter Schrift
oberhalb der Regelkriterien dargestellt.
Abbildung 6-2 Darstellung von Regeln auf der Benutzeroberfläche
In diesem Darstellungsbeispiel handelt es sich um folgenden Regelnamen und folgende Elemente:
•
Name — Block if virus was found
•
Criteria — Antimalware.Infected<Gateway Anti-Malware> equals true
•
Action — Block<Virus Found>
•
Event — Statistics.Counter.Increment("BlockedByAntiMalware",1)<Default>
Die verschiedenen im Dokumentationstext genutzten Darstellungsweisen bauen alle mehr oder
weniger auf der hier verwendeten Darstellung von Regeln auf.
Darstellung im Kurzformat
Bei der Darstellung im Kurzformat werden die Hauptelemente einer Regel nebeneinander angezeigt,
während darüber in fettgedruckter Schrift der Regelname angegeben ist. Diese Darstellungsweise
entspricht am ehesten der Art, wie Regeln auf der Benutzeroberfläche dargestellt werden.
Zur genaueren Unterscheidung der Hauptelemente als auf der Benutzeroberfläche werden die Kriterien
hier kursiv angezeigt, während sich vor der Aktion ein Pfeil befindet. Der Pfeil symbolisiert den
Zusammenhang zwischen Kriterien und der Aktion (wenn die Kriterien erfüllt sind, wird die Aktion
durchgeführt).
Das Regelereignis ist stets optional. Da es ebenfalls ausgeführt wird, wenn die Kriterien erfüllt sind, ist
es hinter der Aktion aufgeführt und lediglich durch einen Gedankenstrich abgetrennt.
Block if virus was found
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
Produkthandbuch
207
6
Regeln
Regelsätze
Einheitliche Darstellung im Kurzformat
Die einheitliche Darstellung im Kurzformat unterscheidet sich von der Darstellung im Kurzformat
dahingehend, dass keine unterschiedlichen Schriftarten zur Unterscheidung von Regelnamen und
Regelelementen bzw. der Regelelemente untereinander verwendet wird. Alle Namen und Elemente
werden einheitlich in schmaler fettgedruckter Schrift dargestellt.
Antimalware.Infected<Gateway Anti-Malware> equals true – Block<Virus Found> – Statistics.Counter.Increment (“
BlockedByAntiMalware”,1)<Default>
Darstellung im Langformat
Bei der Darstellung im Langformat wird in einer Tabelle jedes Regelelement, beginnend mit dem
Elementnamen, in einer eigenen Zeile angezeigt. Der Name der Regel ist ähnlich einem Kapitelnamen
oberhalb der Tabelle in roter Schrift dargestellt.
Regelelement
Definition
Antimalware.Infected<Gateway Anti-Malware> equals true
Action (Aktion)
Block<Virus Found>
Event (Ereignis)
Einheitliche Darstellung im Langformat
Die einheitliche Darstellung im Langformat unterscheidet sich von der Darstellung im Kurzformat
dahingehend, dass alle Regelelemente einheitlich in schmaler fettgedruckter Schrift dargestellt
werden.
Regelelement
Definition
Antimalware.Infected<Gateway Anti-Malware> equals true
Action (Aktion)
Block<Virus Found>
Events (Ereignisse)
Regelsätze
Regeln werden in Regelsätzen auf der Appliance gruppiert und eingeschlossen. Eine Regel kann nicht
eigenständig verwaltet werden, sie muss in einem Regelsatz enthalten sein.
Ein Regelsatz kann eine einzige Regel oder mehrere Regeln enthalten. Er kann auch einen oder
mehrere untergeordnete Regelsätze enthalten. Wenn untergeordnete Regelsätze enthalten sind,
können sich einzelne Regeln auf derselben Ebene wie die untergeordneten Regelsätze befinden.
Regelsätze enthalten normalerweise Regeln, die zusammenwirken, um eine bestimmte Funktion zum
Gewährleisten der Web-Sicherheit bereitzustellen.
Ein Regelsatz für die Viren- und Malware-Filterung beispielsweise enthält eine Regel, die infizierte
Objekte blockiert und eine oder mehrere andere Regeln, die Objekte in Whitelists aufnehmen, damit
für diese die Blockierungsregel umgangen wird und Benutzer darauf zugreifen können.
208
Produkthandbuch
6
Regeln
Regelsatzsystem
Sie können die implementierten Regelsätze ändern und eigene Regelsätze erstellen, um
Funktionseinheiten aufzubauen, die den konkreten Anforderungen Ihres Netzwerks gerecht werden.
Regelsatzkriterien
Ebenso wie Regeln weisen Regelsätze Kriterien auf und werden angewendet, wenn ihre Kriterien erfüllt
sind.
Normalerweise unterscheiden sich die Kriterien eines Regelsatzes von denen seiner Regeln. Damit eine
Regel angewendet wird, müssen sowohl ihre eigenen Kriterien als auch die Kriterien ihres Regelsatzes
erfüllt sein.
Regelsatzzyklen
Regelsätze werden mit ihren Regeln in drei Zyklen des Filterprozesses verarbeitet.
Ein Regelsatz kann in einer beliebigen Kombination dieser Zyklen verarbeitet werden, z. B.
ausschließlich im Anfragezyklus, sowohl im Anfrage- als auch im Antwortzyklus oder aber in allen drei
Zyklen.
Die Zyklen eines Regelsatzes sind gleichzeitig diejenigen der einzelnen in ihm enthaltenen Regeln. Eine
Regel kann in Bezug auf Zyklen kein Verhalten aufweisen, das von dem des Regelsatzes abweicht.
Untergeordnete Regelsätze
Regelsätze können untergeordnete Regelsätze enthalten. Ein untergeordneter Regelsatz verfügt über
eigene Kriterien.
Hinsichtlich der Zyklen kann er nur in den Zyklen des übergeordneten Regelsatzes verarbeitet werden;
er muss jedoch nicht in allen diesen Zyklen verarbeitet werden.
Auf diese Weise kann ein untergeordneter Regelsatz so konfiguriert werden, dass er ausschließlich in
einem bestimmten Zyklus angewendet wird, während ein anderer untergeordneter Regelsatz in einem
anderen Zyklus verarbeitet wird.
Ein Regelsatz für die Medientyp-Filterung kann sich z. B. auf alle Zyklen beziehen, er kann jedoch
untergeordnete Regelsätze enthalten, die nur in bestimmten Zyklen verarbeitet werden.
Regelsatz Media Type Filtering (für Anfragen, Antworten und eingebettete Objekte)
•
Untergeordneter Regelsatz Media Type Upload (für Anfragen)
•
Untergeordneter Regelsatz Media Type Download (für Antworten und eingebettete Objekte)
Regelsatzsystem
Regelsätze werden auf der Appliance in einem Regelsatzsystem implementiert.
Wenn eine Web-Zugriffanfrage auf der Appliance empfangen wird, werden für diese Anfrage alle
Regelsätze im System der Reihe nach von oben nach unten verarbeitet.
Wenn ermittelt wird, dass eine Regel in einem Regelsatz anwendbar ist, wird die Aktion der
betreffenden Regel ausgeführt. Wenn die Aktion Block (Blockieren) ist, wird die Verarbeitung beendet.
Andere Aktionen hingegen lassen die Fortsetzung der Verarbeitung auf eine bestimmte Weise zu.
Ebenso werden die Regelsätze des implementierten Systems für Antworten und eingebettete Objekte
verarbeitet, die mit Anfragen und Antworten gesendet werden.
Produkthandbuch
209
6
Regeln
Arbeiten mit dem Regelsatzsystem
Während der Erstkonfiguration der Appliance wird ein Standardsystem von Regelsätzen implementiert.
Sie können dieses System wie folgt optimieren und an die jeweiligen Anforderungen Ihres Netzwerks
anpassen:
•
Ändern von Regeln und Regelsätzen
•
Löschen von Regeln und Regelsätzen
•
Erstellen von Regeln und Regelsätzen
•
Importieren von Regelsätzen
•
Verschieben von Regeln und Regelsätzen an neue Positionen
•
Kopieren von Regeln und Einfügen der Regeln in anderen Regelsätzen
Standard-Regelsatzsystem
Das Standard-Regelsatzsystem sieht wie folgt aus (untergeordnete Regelsätze sind nicht abgebildet).
Tabelle 6-2 Standard-Regelsatzsystem
Regelsatz
Beschreibung
Bypass Microsoft (Office 365) Services
Lässt Anfragen und Antworten, die an Office 365 und andere
Microsoft-Dienste gesendet bzw. von diesen empfangen werden, die
Filterung umgehen.
(standardmäßig nicht
aktiviert)
SSL Scanner
(standardmäßig nicht
aktiviert)
Bereitet SSL-gesicherten Web-Datenverkehr für die Verarbeitung
durch andere Filterfunktionen vor.
Global Whitelist
Lässt Anfragen für in Whitelists enthaltene URLs oder IP-Adressen
die Filterung umgehen.
Remove Privacy Violation Header
Entfernt die Datenschutzverletzungs-Header von Anfragen, um sie
auf die Verarbeitung durch andere Filterfunktionen vorzubereiten.
Common Rules
Stellt Funktionen bereit, die den Filterprozess unterstützen, z. B.
Web-Caching, Fortschrittsanzeige und Öffnen von Archiven.
URL Filtering
Steuert das Filtern von einzelnen URLs und URL-Kategorien.
Media Type Filtering
Steuert das Filtern von bestimmten Medientypen.
Gateway AntiMalware
Steuert die Viren- und Malware-Filterung mithilfe von
Virussignaturen und proaktiven Methoden.
Dynamic Content Classification
Steuert die dynamische Klassifizierung von Inhalten.
Die Regelsatz-Bibliothek stellt Regelsätze bereit, die Sie in Ihr Regelsatzsystem importieren können.
Sie können einen Regelsatz importieren, um z. B. eine Funktion hinzuzufügen, die in Ihrem System
nicht vorhanden ist oder wenn die implementierten Regelsätze für Ihr Netzwerk nicht geeignet sind.
210
•
Die Regelsatz-Bibliothek enthält zudem die Regelsätze, die Teil des Standard-Regelsatzsystems
sind.
•
Weitere Regelsätze sind in einer Online-Regelsatz-Bibliothek verfügbar. Ein Link zu dieser Bibliothek
befindet sich im Fenster der Regelsatz-Standardbibliothek.
Produkthandbuch
Regeln
6
Im Standard-Regelsatzsystem sind Regelsätze in Kategorien gruppiert, z. B. Authentifizierung oder
URL-Filterung.
In der folgenden Tabelle sind die Kategorien der Regelsatz-Standardbibliothek aufgelistet.
Tabelle 6-3 Kategorien von Bibliotheks-Regelsätzen
Regelsatzkategorie Zweck der enthaltenen Regelsätze
Application Control
Filtern von Anwendungen und einzelnen Funktionen von Anwendungen
Authentication
Authentifizieren von Benutzern
Coaching/Quota
Festlegen von Kontingenten und anderen Einschränkungen für den
Web-Zugriff von Benutzern
Cloud Services
Implementierung von SSO-Zugriff auf Cloud-Anwendungen
Common Rules
Unterstützung des Filterprozesses, z. B. durch Web-Caching,
Fortschrittsanzeige oder Öffnen von Archiven
DLP
Implementierung des Schutzes vor Datenlecks
ePO
Aktivieren der Verwendung von ePolicy Orchestrator
Error Handling
Implementierung von Fehlerbehandlungsmaßnahmen
Gateway Anti-Malware
Filtern von Web-Objekten auf Infektionen mit Viren und sonstiger Malware
HTML/Script Filter
Filtern von HTML-Seiten und Skripts
ICAP Client
Ausführen eines ICAP-Clients auf einer Appliance
Logging
Protokollieren der Filterung und anderer Aktivitäten
Media Type Filter
Filtern von bestimmten Medientypen
Mobile Security
Filtern des Datenverkehrs von Mobilgeräten
Next Hop Proxy
Verwenden von Proxys am nächsten Hop für die Datenübertragung
Privacy
Ändern von Anfragen zur Gewährleistung des Datenschutzes
SiteAdvisor Enterprise
Verwendung von SiteAdvisor zum Filtern von Anfragen
SSL Scanner
Verarbeitung von SSL-gesichertem Web-Datenverkehr
Troubleshooting
Durchführung von Fehlerbehebungsmaßnahmen
URL Filter
Filtern einzelner URLs und von URL-Kategorien
Web Hybrid
Aktivieren der Synchronisierung mit dem McAfee SaaS Web Protection-Dienst
Produkthandbuch
211
6
Regeln
Auf der Registerkarte Rule Sets (Regelsätze) können Sie mit Regeln und Regelsätzen arbeiten.
Abbildung 6-3
Registerkarte „Rule Sets“ (Regelsätze)
Hauptelemente der Registerkarte Rule Sets (Regelsätze)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Rule Sets (Regelsätze)
beschrieben.
Tabelle 6-4 Hauptelemente der Registerkarte Rule Sets (Regelsätze)
Element
Beschreibung
RegelsatzSymbolleiste Elemente zum Arbeiten mit den Regelsätzen in der Regelsatz-Struktur
Regelsatz-Struktur
Verzeichnisstruktur, in der die Regelsätze der Appliance-Konfiguration
angezeigt werden
Regelsatz-Menü
Schaltflächen zum Anzeigen der Verzeichnisstrukturen für folgende
Elemente:
• (Allgemeine) Regelsätze
• Protokoll-Handler-Regelsätze
• Fehler-Handler-Regelsätze
• Benutzerdefinierte Eigenschaften (für die Verwendung in
Regelsatzkriterien, Regelkriterien und Regelereignissen)
Regel-Symbolleiste
Elemente zum Arbeiten mit Regeln
Regeln
Regeln des derzeit ausgewählten Regelsatzes
Symbolleiste „Rule Sets“ (Regelsätze)
Die Symbolleiste „Rules Sets“ (Regelsätze) bietet die folgenden Optionen.
212
Produkthandbuch
6
Regeln
Tabelle 6-5 Symbolleiste „Rule Sets“ (Regelsätze)
Option
Definition
Add (Hinzufügen)
Öffnet ein Menü oder ein Fenster zum Hinzufügen eines Elements, in
Abhängigkeit von der aktuellen Auswahl im Menü „Rule sets“ (Regelsätze).
• (Rule Sets (Regelsätze) ist ausgewählt): Öffnet ein Menü, in dem Folgendes
ausgewählt werden kann:
• Rule Set from Library (Regelsatz aus Bibliothek): Öffnet das Fenster Add from Rule
Set Library (Aus Regelsatz-Bibliothek hinzufügen), in dem ein Regelsatz aus
der Regelsatz-Bibliothek hinzugefügt werden kann.
• Rule Set (Regelsatz): Öffnet das Fenster Add New Rule Set (Neuen Regelsatz
hinzufügen), in dem Sie der Appliance-Konfiguration einen Regelsatz
hinzufügen können.
• Top-Level Rule Set (Regelsatz der obersten Ebene): Öffnet das Fenster Add New
Top-Level Rule Set (Neuen Regelsatz der obersten Ebene hinzufügen), in dem
Sie in der Regelsatz-Baumstruktur einen Regelsatz an oberster Position
hinzufügen können.
• (Log Handler (Protokoll-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Log Handler (Protokoll-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Log Handler (Neuen Protokoll-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Protokoll-Handler-Regelsatz hinzufügen
können.
• (Error Handler (Fehler-Handler) ist ausgewählt): Hiermit können Sie in einem
Menü Error Handler (Fehler-Handler) als einzige zugängliche Option auswählen,
um das Fenster Add New Error Handler (Neuen Fehler-Handler hinzufügen) zu
öffnen, in dem Sie einen neuen Fehler-Handler-Regelsatz hinzufügen können.
• (User-Defined Property (Benutzerdefinierte Eigenschaft) ist ausgewählt): Hiermit
können Sie User-Defined Property (Benutzerdefinierte Eigenschaft) auswählen, um
das Fenster Add New User-Defined Property (Neue benutzerdefinierte Eigenschaft
hinzufügen) zum Hinzufügen einer Eigenschaft zu öffnen.
Export (Exportieren)
Öffnet das Fenster Export Rule Set (Regelsatz exportieren), in dem Sie einen
Regelsatz in die Bibliothek oder in eine Datei exportieren können.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule Set (Regelsatz bearbeiten), in dem Sie einen
ausgewählten Regelsatz bearbeiten können.
Delete (Löschen)
Löscht einen ausgewählten Regelsatz.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen
müssen.
Move up (Nach oben)
Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach oben.
Move down (Nach unten) Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene
nach unten.
Move out of
(Verschieben aus)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz auf die gleiche
Ebene wie der übergeordnete Regelsatz.
Move into (Verschieben
in)
Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz in den
Regelsatz, der auf den betreffenden Regelsatz folgt.
Expand all (Alle
einblenden)
Zeigt alle ausgeblendeten Elemente in der Regelsatz-Baumstruktur an.
Collapse all (Alle
ausblenden)
Blendet alle angezeigten Elemente in der Regelsatz-Baumstruktur aus.
Produkthandbuch
213
6
Regeln
Symbolleiste „Rules“ (Regeln)
Die Symbolleiste „Rules“ (Regeln) bietet die folgenden Optionen.
Tabelle 6-6 Symbolleiste „Rules“ (Regeln)
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Rule (Regel hinzufügen), in dem eine Regel
hinzugefügt werden kann.
Edit (Bearbeiten)
Öffnet das Fenster Edit Rule (Regel bearbeiten), in dem eine ausgewählte
Regel bearbeitet werden kann.
Delete (Löschen)
Löscht eine ausgewählte Regel.
müssen.
Move up (Nach oben)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach oben.
Move down (Nach unten)
Verschiebt eine Regel innerhalb ihres Regelsatzes nach unten.
Copy (Kopieren)
Kopiert eine ausgewählte Regel.
Paste (Einfügen)
Fügt eine kopierte Regel ein.
Show details (Details anzeigen) Zeigt die Details des Regeleintrags einschließlich der Kriterien an bzw.
blendet diese aus.
Das Erstellen einer Regel umfasst verschiedene Schritte, die jeweils für die unterschiedlichen Elemente
einer Regel erforderlich sind.
Zum Erstellen einer Regel wird das Fenster Add Rule (Regel hinzufügen) verwendet. Hier können Sie die
zum Konfigurieren der Regelelemente erforderlichen Aktivitäten in der von Ihnen gewünschten
Reihenfolge durchführen.
Sie können beispielsweise mit dem Benennen und Aktivieren einer Regel beginnen und anschließend
Kriterien, die Aktion sowie ein Ereignis hinzufügen.
Aufgaben
214
•
Benennen und Aktivieren einer Regel auf Seite 215
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
•
Hinzufügen von Regelkriterien auf Seite 217
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
•
Hinzufügen einer Regelaktion auf Seite 219
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien
ausgeführt wird.
•
Hinzufügen eines Regelereignisses auf Seite 220
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei
Übereinstimmung mit den Regelkriterien ausgeführt wird bzw. werden.
Produkthandbuch
6
Regeln
Benennen und Aktivieren einer Regel
Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die neue Regel aus.
3
Klicken Sie über dem Einstellungsbereich auf Add Rule (Regel hinzufügen).
ist.
4
Konfigurieren Sie allgemeine Einstellungen für die Regel:
a
Geben Sie im Feld Name einen Namen für die Regel ein.
b
Wählen Sie Enable rule (Regel aktivieren), damit die Regel zusammen mit dem Regelsatz
verarbeitet wird.
c
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur
Regel ein.
Setzen Sie das Hinzufügen der Regelelemente fort.
Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen)
Das Fenster zum Hinzufügen der Regelkriterien bietet eine Reihe von Funktionen, die die Auswahl
geeigneter Elemente für Kriterien erleichtern.
Gemäß den drei Elementen der Regelkriterien ist auch das Fenster in die folgenden drei Spalten
unterteilt:
•
Linke Spalte zum Auswählen einer Eigenschaft
•
Mittlere Spalte zum Auswählen eines Operators
•
Rechte Spalte zum Auswählen eines Operanden
Innerhalb einer Spalte werden Eigenschaften, Operatoren und Operanden in Listen angezeigt.
Sie können beispielsweise Folgendes auswählen:
•
Linke Spalte: MediaType.EnsuredTypes
•
Mittlere Spalte: non in list
•
Rechte Spalte: Anti-Malware Media Type Whitelist
Damit wird das Kriterium MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist
erstellt. Wenn Sie Block (Blockieren) als Aktion hinzufügen, erhalten Sie eine Regel zum Blockieren
des Zugriffs auf Medien sämtlicher Typen, die sich nicht in der angegebenen Whitelist befinden.
Im Fenster werden Sie durch Folgendes bei der Auswahl geeigneter Elemente unterstützt:
•
Listen werden gemäß den von Ihnen angegebenen Filtereinstellungen gefiltert.
•
Bei der Auswahl eines Elements in einer Spalter werden die Listen in anderen Spalten entsprechend
angepasst, sodass nur Elemente angezeigt werden, die sich für die Konfiguration mit dem
ausgewählten Element eignen.
Produkthandbuch
215
6
Regeln
•
Listenelemente in der linken und der rechten Spalte werden in die Kategorien Recommended
(Empfohlen), Suggested (Vorgeschlagen) und Other (Sonstige) gruppiert, wenn eine solche
Kategorisierung für die derzeit angezeigten Elemente möglich ist.
•
Es werden zwei oder drei Elemente (je ein Element pro Spalte) vorab ausgewählt, wenn diese
Kombination empfehlenswert ist.
Beginnen mit der linken oder rechten Spalte
Je nach Ihren Vorstellungen in Bezug auf die weiteren Kriterien können Sie mit der Auswahl eines
Elements aus der linken oder der rechten Spalte beginnen.
Wenn das Kriterium z. B. Bestandteil einer Regel zum Filtern infizierter Web-Objekte sein soll, können
Sie beginnen, indem Sie die Antimalware.Infected-Eigenschaft in der linken Spalte auswählen und
anschließend überprüfen, welche geeigneten Elemente damit kombiniert werden können. Mögliches
Ergebnis: Antimalware.Infected (Eigenschaft) equals (Operator) true (Operand).
Wenn Sie jedoch die Kriterien in eine Regel einschließen möchten, die den Zugriff Ihrer Benutzer im
Netzwerk auf Drogenhändler-Websites verhindern soll, könnten Sie beginnen, indem Sie die
URL-Kategorieliste Drugs (Drogen) als Operanden auswählen und diesen anschließend mit einem
geeigneten Operator und einer geeigneten Eigenschaft kombinieren. Mögliches Ergebnis:
URL.Categories (Eigenschaft) at least one in list (Operator) Drugs (Operand).
Linke Spalte
In der Liste in der linken Spalte des Fensters können Sie eine Eigenschaft auswählen. Die derzeit
ausgewählte Eigenschaft wird in der Spalte an oberster Stelle im Feld Selected property (Ausgewählte
Eigenschaft) angezeigt.
Sie können die Liste wie folgt anpassen:
•
Filtern Sie die Liste.
•
Filtern Sie mithilfe des Menüs Filter nach Folgendem:
•
Eigenschaftentyp
•
Modul (auch als Engine bezeichnet), das aufgerufen wird, um einen Wert für eine Eigenschaft
zu liefern
•
Gruppe von Kriterien, z. B. Kriterien für „Anti-Malware“, für „Media Type“ usw.
Dieser Teil des Menüs wird auch unmittelbar vor dem Öffnen des Fensters angezeigt. Nach
dem Auswählen einer Gruppe von Kriterien werden in den Listen sämtlicher Spalten lediglich
die Elemente angezeigt, die für das Konfigurieren von Kriterien der ausgewählten Gruppe
geeignet sind.
•
•
•
Benutzerdefinierte Eigenschaften (sodass nur die betreffenden Eigenschaften angezeigt
werden)
Mit einem Filterbegriff, den Sie im Eingabefeld unterhalb des Menüs eingeben
Fügen Sie der Liste mithilfe der Schaltfläche und des Fensters Add User-Defined Property
(Benutzerdefinierte Eigenschaft hinzufügen) selbstkonfigurierte Eigenschaften hinzu.
Wenn Sie einen Operanden in der Liste in der rechten Spalte auswählen, wird die Liste automatisch
angepasst. Es werden dann nur Eigenschaften angezeigt, die sich für die Konfiguration mit dem
betreffenden Operanden eignen.
Nach dem Auswählen einer Eigenschaft können Sie deren Einstellungen und Parameter konfigurieren
(sofern vorhanden). Anschließend werden die Schaltflächen Settings (Einstellungen) und Parameter
angezeigt, über die Fenster zum Konfigurieren der entsprechenden Elemente aufgerufen werden.
216
Produkthandbuch
6
Regeln
Mittlere Spalte
In der Liste in der mittleren Spalte des Fensters können Sie einen Operator auswählen. Der derzeit
ausgewählte Operator wird in der Spalte an oberster Stelle im Feld Selected operator (Ausgewählter
Operator) angezeigt.
Wenn Sie ein Element in der Liste in der linken bzw. rechten Spalte auswählen, wird die Liste
automatisch angepasst. Es werden dann nur Operatoren angezeigt, die sich für die Konfiguration mit
den betreffenden Elementen eignen.
Rechte Spalte
In der Liste in der rechten Spalte des Fensters können Sie einen Operanden auswählen. Der derzeit
ausgewählte Operand wird in der Spalte an oberster Stelle im Feld Selected operand (Ausgewählter
Operand) angezeigt.
Ein Operand kann ein Einzelelement von verschiedenen Typen, einer Liste von Elementen oder einer
anderen Eigenschaft sein. Die Einzeloperanden können vom Typ Boolean, String, Number, Category
usw. sein.
Sie können die Liste wie folgt anpassen:
•
Wählen Sie einen Operandentyp (einschließlich des Listen- und Eigenschaftentyps) in der Liste
oben in der Spalte aus.
In der Hauptliste werden dann nur Elemente dieses Typs angezeigt.
•
(Nur für Listen und Eigenschaften:) Filtern Sie die Liste mithilfe des Dropdown-Menüs Filter oder des
darunter befindlichen Eingabefelds.
Wenn Listen als Operanden angezeigt werden, werden am unteren Rand der Spalte die Schaltflächen
Add <Listentyp> (<Listentyp> hinzufügen) und Edit <Listentyp> (<Listentyp> bearbeiten) angezeigt. Über
diese Schaltflächen können Sie Fenster öffnen, in denen Sie auf normale Weise Listen hinzufügen und
bearbeiten können.
Die Liste wird automatisch angepasst, wenn Sie eine Eigenschaft in der Liste in der linken Spalte
auswählen. Anschließend werden nur Operanden angezeigt, die für die Konfiguration mit der
betreffenden Eigenschaft geeignet sind.
Hinzufügen von Regelkriterien
Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Rule Criteria (Regelkriterien).
2
Im Abschnitt Apply this rule (Diese Regel anwenden) können Sie auswählen, wann die Regel
angewendet werden soll:
•
Always (Immer): Die Regel wird immer angewendet.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Die Regel wird angewendet, wenn
die konfigurierten Kriterien erfüllt werden.
Fahren Sie mit dem nächsten Schritt fort.
3
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie im Dropdown-Menü
eine Kriteriengruppe aus.
Produkthandbuch
217
6
Regeln
Nun wird das Fenster Add Criteria (Kriterien hinzufügen) geöffnet, das die geeigneten Elemente zum
Konfigurieren der Kriterien aus der ausgewählten Gruppe enthält.
Wenn Sie die Elemente aller Kriterien anzeigen möchten, klicken Sie auf Advanced criteria (Erweiterte
Kriterien).
Im Fenster werden drei Spalten angezeigt:
•
Links: Auswahl einer Eigenschaft
•
Mitte: Auswahl eines Operators
•
Rechts: Auswahl eines Operanden
Die aktuell ausgewählten Elemente werden in den einzelnen Spalten jeweils oben unter Selected
property (Ausgewählte Eigenschaft), Selected operator (Ausgewählter Operator) bzw. Compare with
(Vergleichen mit) angezeigt.
Das Fenster unterstützt die Auswahl geeigneter Elemente, indem die Listen der anderen Spalten
automatisch angepasst werden, sobald Sie in einer Spalte ein Element ausgewählt haben. In den
anderen Spalten werden nun ausschließlich Elemente angezeigt, die gemeinsam mit dem
ausgewählten Element konfiguriert werden können.
Sie können mit der Auswahl sowohl in der linken als auch in der rechten Spalte beginnen.
Entsprechend können die Schritte 4 bis 6 auch in umgekehrter Reihenfolge erfolgen.
Wenn eines Ihrer Kriterien die Verwendung einer Liste als Operand ist, wird empfohlen, zunächst
diese Liste aus der rechten Spalte auszuwählen.
4
Wählen Sie eine Eigenschaft aus.
a
Wählen Sie in der Liste in der linken Spalte ein Element aus, bzw. übernehmen Sie das
vorausgewählte Element (sofern vorhanden).
Sie können die Liste auch filtern und selbstkonfigurierte Eigenschaften hinzufügen.
5
218
b
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, für die Einstellungen
erforderlich sind, wählen Sie diese in der für die Eigenschaft angezeigte Dropdown-Liste Settings
(Einstellungen) aus, oder übernehmen Sie die vorkonfigurierten Einstellungen.
c
[Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der das Festlegen von
Parametern erforderlich ist, klicken Sie unter dem Eigenschaftsnamen auf Parameters (Parameter).
In dem nun angezeigten Fenster können Sie mittels der vorhandenen Optionen die Werte für
alle benötigten Parameter festlegen.
Wählen Sie aus der Liste in der mittleren Spalte einen Operator aus, bzw. lassen Sie den
vorausgewählten unverändert (falls dies zutrifft).
Produkthandbuch
6
Regeln
6
Wählen Sie in der Liste in der rechten Spalte einen Operanden aus, oder übernehmen Sie den
vorausgewählten Operanden (sofern vorhanden). Sollte die Liste leer sein, geben Sie einen
geeigneten Wert ein, z. B. eine Zahl.
Wenn der Typ der angezeigten Operanden geändert werden soll, wählen Sie aus der Liste
oben in der Spalte einen anderen Typen aus.
Nach der Auswahl eines bestimmten Operanden bzw. Operandentyps werden in den Listen in der
mittleren und der linken Spalte geeignete Operatoren und Eigenschaften angezeigt.
7
Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
Die neuen Kriterien werden nun im Fenster Add Rule (Regel hinzufügen) angezeigt.
Wenn Sie komplexere Kriterien konfigurieren möchten, wiederholen Sie die Schritte 3 bis 6 zum
Konfigurieren weiterer Teilkriterien.
Die einzelnen Teilkriterien können durch die in diesem Fall verfügbaren Optionen AND (UND) bzw.
OR (ODER) kombiniert werden. Beim Vorhandensein von drei oder mehr Teilkriterien wird das Feld
Criteria combination (Kriterienkombination) angezeigt. Legen Sie dort durch Eingabe von Klammern
fest, welche logische Verbindung zwischen den Teilkriterien bestehen soll.
Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion.
Hinzufügen einer Regelaktion
Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien ausgeführt wird.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Action (Aktion).
2
Wählen Sie aus der Liste Action (Aktion) eine der folgenden Aktionen aus:
3
•
Continue (weiter): Fährt mit der Verarbeitung der nächsten Regel fort.
•
Block (Blockieren): Blockiert den Zugriff auf ein Objekt und beendet die Regelverarbeitung.
•
Redirect (Umleiten): Leitet den Client, der den Zugriff auf ein Objekt anfragt, auf ein anderes
Objekt um.
•
Authenticate (Authentifizieren): Beendet die Verarbeitung des aktuellen Zyklus und sendet eine
Authentifizierungsanfrage.
•
Stop Rule Set (Regelsatz anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes und fährt
mit dem nächsten Regelsatz fort.
•
Stop Cycle (Zyklus anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes, blockiert
jedoch nicht den Zugriff auf das angefragte Objekt.
•
Remove (Entfernen): Entfernt das angefragte Objekt und beendet die Verarbeitung des aktuellen
Zyklus.
[Falls zutreffend] Wenn Sie eine Aktion ausgewählt haben, für die Einstellungen erforderlich sind
(Blockieren, Umleiten, Authentifizieren), wählen Sie aus der Liste Settings (Einstellungen) die
entsprechenden Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
Produkthandbuch
219
6
Regeln
4
Wenn Sie alle erforderlichen Regelelemente erstellt haben, aber kein Ereignis hinzufügen möchten,
dann führen Sie folgende Schritte durch:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
dafür ausgewählten Regelsatz angezeigt.
Hinzufügen eines Regelereignisses
Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei Übereinstimmung mit
den Regelkriterien ausgeführt wird bzw. werden.
Vorgehensweise
1
Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Events (Ereignisse).
2
Klicken Sie im Abschnitt Events (Ereignisse) auf Add (Hinzufügen), und wählen Sie in der
Dropdown-Liste Events (Ereignisse) aus.
3
Wählen Sie in der Liste Event (Ereignis) ein Ereignis aus.
Tragen Sie zum Filtern der Liste einen Filterbegriff in das oberhalb der Liste befindliche Eingabefeld
ein.
4
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von
Einstellungen erforderlich ist, wählen Sie aus der Liste Settings (Einstellungen) die entsprechenden
Einstellungen aus.
Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten,
klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um
das entsprechende Fenster zu öffnen.
5
[Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von Parametern
erforderlich ist, klicken Sie auf Parameters (Parameter). In dem nun angezeigten Fenster können Sie
mittels der vorhandenen Optionen die Werte für alle benötigten Parameter festlegen.
6
Klicken Sie auf OK.
Das Fenster Add Event (Ereignis hinzufügen) wird geschlossen, und das neue Ereignis wird nun in der
Liste Events (Ereignisse) angezeigt.
7
Wenn dies der letzte Schritt beim Hinzufügen ist:
a
[Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen
Konfigurationen zu überprüfen.
b
dafür ausgewählten Regelsatz angezeigt.
220
Produkthandbuch
Regeln
6
Sie können einen Regelsatz erstellen und diesen zur Konfiguration hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Klicken Sie oberhalb der Regelsatz-Struktur auf Add (Hinzufügen).
Daraufhin öffnet sich eine Dropdown-Liste.
4
Wählen Sie die Option Rule Set (Regelsatz) aus.
5
6
7
8
Konfigurieren Sie für den Regelsatz die folgenden allgemeinen Einstellungen:
•
Name: Name der Regel
•
Enable (Aktivieren): Bei Auswahl dieser Option wird der Regelsatz aktiviert.
•
[Optional] Comment (Kommentar): Kommentar zum Regelsatz im Nur-Text-Format
Konfigurieren Sie im Abschnitt Applies to (Gilt für) die Verarbeitungszyklen. Sie können nur einen
Zyklus oder auch eine beliebige Kombination dieser drei Zyklen auswählen:
•
Requests (Anfragen): Der Regelsatz wird verarbeitet, wenn auf der Appliance Anfragen von
Benutzern des Netzwerks eingehen.
•
Responses (Antworten): Der Regelsatz wird verarbeitet, wenn Antworten von Web-Servern
empfangen werden.
•
Embedded objects (eingebettete Objekte): Der Regelsatz wird verarbeitet, wenn mit Anfragen oder
Antworten eingebettete Objekte mitgesendet werden.
Im Abschnitt Apply this rule set (Diesen Regelsatz anwenden) können Sie konfigurieren, wann der
Regelsatz angewendet werden soll:
•
Always (Immer): Der Regelsatz wird immer angewendet.
•
If the following criteria is matched (Bei Erfüllung folgender Kriterien): Der Regelsatz wird angewendet,
wenn die unten konfigurierten Kriterien erfüllt werden.
Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen).
9
Konfigurieren Sie im Bereich Property (Eigenschaft) eine Eigenschaft unter Verwendung folgender
Elemente:
•
Property (Eigenschaft): Auswahlliste für Eigenschaften (Typ der jeweiligen Eigenschaft wird in
Klammern angezeigt)
•
Search (Suchen): Öffnet das Fenster Property Search (Eigenschaftensuche), in dem Sie nach
Eigenschaften suchen können.
•
Parameter: Öffnet das Fenster Property Parameters (Eigenschaftenparameter), in dem bis zu drei
Parameter hinzugefügt werden können (siehe Schritt 10).
Wenn die Eigenschaft keine Parameter beinhaltet, ist dieses Symbol abgeblendet.
Produkthandbuch
221
6
Regeln
•
Settings (Einstellungen): Auswahlliste für Einstellungen des Moduls, das für die Eigenschaft einen
Wert ausgibt (Modulnamen werden in Klammern angezeigt).
Wenn für eine Eigenschaft keine Einstellungen erforderlich sind, ist dieses Symbol abgeblendet,
und es wird ergänzend die Information (not needed) (nicht erforderlich) angezeigt.
•
Add (Hinzufügen; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie dies im
Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Edit (Bearbeiten): Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
der ausgewählten Einstellungen.
Falls für die Eigenschaft keine Parameter konfiguriert werden müssen, klicken Sie auf OK, und
fahren Sie mit Schritt 11 fort.
10 Wenn Eigenschaftenparameter hinzugefügt werden müssen, verfahren Sie folgendermaßen:
a
Klicken Sie auf Parameter.
Daraufhin öffnet sich das Fenster Property Parameters (Eigenschaftenparameter).
b
Fügen Sie die benötigte Anzahl an Parametern hinzu.
Es gibt die zwei folgenden Parametertypen:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert). Klicken Sie anschließend auf OK.
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
11 Wählen Sie in der Liste Operator einen Operator aus.
12 Fügen Sie im Bereich Parameter einen Parameter (auch als Operand bezeichnet) hinzu.
Die möglichen Parametertypen sind:
•
Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen
Parameter im Bereich Value (Wert).
•
Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab
Schritt 4.
13 Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK.
14 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest,
wer zum Zugriff auf den neuen Regelsatz berechtigt ist.
15 Klicken Sie auf OK, um das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) zu schließen.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird geschlossen, und der Regelsatz wird
in das Regelsatzsystem eingefügt.
222
Produkthandbuch
6
Regeln
Sie können einen Regelsatz aus der Bibliothek in Ihr Regelsatzsystem importieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt
werden soll.
3
Wählen Sie in der Dropdown-Liste Add (Hinzufügen) Rule Set from Library (Regelsatz aus Bibliothek)
aus.
Daraufhin öffnet sich ein Fenster mit einer Liste der Bibliotheks-Regelsätze.
4
Wählen den zu importierenden Regelsatz aus, z. B. den Regelsatz Gateway Antimalware.
Wenn beim Importieren des betreffenden Regelsatzes Konflikte auftreten, werden diese im Fenster
angezeigt.
Konflikte treten auf, wenn ein Regelsatz Konfigurationsobjekte wie Listen oder Einstellungen
verwendet, die bereits im Regelsatzsystem vorhanden sind.
5
Konflikte können mit einer der folgenden Methoden behoben werden:
•
•
6
Klicken Sie auf Auto-Solve Conflicts (Konflikte automatisch beheben), und wählen Sie eine der
folgenden Strategien für alle Konflikte aus:
•
Solve by referring to the existing objects (Beheben durch Verweisen auf vorhandene Objekte): Wenn
Regeln des importierten Regelsatzes auf Objekte verweisen, die in der
Appliance-Konfiguration unter denselben Namen vorhanden sind, werden Verweise auf die
vorhandenen Objekte erstellt.
•
Solve by copying and renaming to suggested (Beheben durch Kopieren und Umbenennen in
vorgeschlagene Namen): Wenn Regeln des importierten Regelsatzes auf Objekte verweisen,
die in der Appliance-Konfiguration unter denselben Namen vorhanden sind, werden die
betreffenden Objekte ebenfalls verwendet, jedoch umbenannt, sodass Konflikte vermieden
werden.
Klicken Sie nacheinander auf die aufgelisteten Konflikte, um sie einzeln zu beheben, indem Sie
jedes Mal eine der beiden obigen Strategien auswählen.
Klicken Sie auf OK.
Der Regelsatz wird nun in der Regelsatz-Baumstruktur eingefügt. Er ist standardmäßig aktiviert.
Vom Regelsatz zum Durchführen der Filteraufgaben benötigte Listen und Einstellungen werden
zusammen mit dem Regelsatz implementiert. Sie werden in der Struktur der Listen und der
7
Verwenden Sie ggf. die blauen Pfeile oberhalb der Regelsatz-Baumstruktur, um den Regelsatz an
die gewünschte Position zu verschieben.
8
Produkthandbuch
223
6
Regeln
In Web Gateway können Regeln auf unterschiedliche Weise konfiguriert werden. Für eine effiziente
Filterung sollten jedoch einige Richtlinien berücksichtigt werden.
•
Verwenden Sie Regeln und Regelsätze in den dafür geeigneten Filterzyklen: Einige
Filteraktivitäten eignen sich eher für den Anfragezyklus, während andere auch gut im
Antwortzyklus verarbeitet werden können. Beispielsweise sollte eine Regel, die Anfragen basierend
auf den Kategorien der gesendeten URLs blockiert, im Antwortzyklus verarbeitet werden.
•
„Aufwändige“ Eigenschaften gegen Ende des Filterprozesses einsetzen: Bei manchen
Eigenschaften ist ein höherer Zeitaufwand und mehr Bandbreite erforderlich, um während des
Filterprozesses für diese Eigenschaften Werte abzurufen.
Beispielsweise erfordert die Eigenschaft Antimalware.Infected einen solchen hohen Aufwand.
Deshalb sollte eine Regel, in der diese Eigenschaft enthalten ist, eher hinter einer Regel platziert
werden, die z. B. über die weniger aufwändige Eigenschaft URL.Categories verfügt. Wird nämlich
eine Anfrage gleich von der ersten Regel blockiert, entfällt der Verarbeitungsaufwand für die zweite
Regel.
•
In den Regelkriterien möglichst nicht mehr als zwei Eigenschaften verwenden: Dies
verringert zwar nicht den Verarbeitungsaufwand, die Funktionsweise der Regeln lässt sich jedoch
besser nachvollziehen.
Verwenden von Regeln und Regelsätzen in passenden Zyklen
Die Regelverarbeitung in Web Gateway erfolgt in unterschiedlichen Zyklen. Filteraktivitäten sollten in
den Zyklen eingesetzt werden, die sich am besten für die jeweilige Aktivität eignen.
Es stehen folgende Zyklen zur Verfügung:
•
Request cycle (Anfragezyklus): Für die Verarbeitung der Anfragen von Clients von Web Gateway.
Dieser Zyklus arbeitet mit allen in einer Anfrage vorhandenen Daten, z. B. der Client-IP-Adresse,
der URL, dem Benutzernamen (sofern eine Authentifizierung durchgeführt wird) und
Browser-bezogenen Header-Informationen.
Wenn eine Anfrage in diesem Zyklus blockiert wird, erfolgt kein Antwortzyklus, da die Anfrage nicht
an einen Web-Server weitergeleitet und daher auch keine Antwort empfangen wird.
•
Response cycle (Antwortzyklus): Für die Verarbeitung von Antworten, die Web-Server als
Reaktion auf die von Web Gateway an sie weitergeleiteten Anfragen senden.
Dieser Zyklus arbeitet mit allen in einer Antwort vorhandenen Daten, wie z. B. mit den angefragten
Daten oder mit Server-bezogenen Header-Informationen.
•
Embedded objects cycle (Zyklus für eingebettete Objekte): Für die Verarbeitung von in Anfragen
bzw. Antworten eingebettete Web-Objekte.
Dieser Zyklus wird durchgeführt, wenn im Anfrage- oder Antwortzyklus ein Öffnungsmodul
aufgerufen wird, damit die Filtermodule ein Web-Objekt detaillierter untersuchen können. Es
stehen die beiden folgenden Öffnungsmodule zur Verfügung:
•
Composite Opener: das reguläre Öffnungsmodul zur Untersuchung von ZIP-, EXE- und
weiteren Dateien
•
HTML Opener: sehr selten in bestimmten komplexen Konfigurationen verwendet
Der Zyklus für eingebettete Objekte wird nach dem Anfrage- bzw. Antwortzyklus und nur dann
durchgeführt, wenn eingebettete Objekte untersucht werden müssen. Wenn keine eingebetteten
Objekte vorhanden sind, wird der Zyklus nicht durchgeführt.
224
Produkthandbuch
6
Regeln
Nachdem die Anfrage- und Antwortzyklen sowie der Zyklus für eingebettete Objekte abgeschlossen
sind, werden in Web Gateway Regelsätze mit Protokollierungsregeln verarbeitet, damit die
entsprechenden Daten in Protokollierungsdateien geschrieben werden. Die Verarbeitung dieser
Regelsätze wird manchmal auch als Durchführung des Protokollierungszyklus bezeichnet.
Allgemeine empfohlene Vorgehensweise zur Verwendung des Anfragezyklus
Lassen Sie alle in einer Anfrage vorhandenen Informationen bereits im Anfragezyklus filtern, um alle
blockierten Elemente so früh wie möglich zu beseitigen. Die folgende Beispielfälle veranschaulichen
den Nutzen dieser Vorgehensweise:
•
Wenn die Filterung nach URL-Kategorien im Antwort- und nicht schon im Anfragezyklus erfolgt,
werden die angefragten Daten des Web-Servers erst empfangen, um anschließend festzustellen,
dass sie gar nicht an den Client weitergeleitet werden können, da ihre Kategorie nicht zulässig ist.
•
Wenn die Filterung nach Client-IP-Adressen im Anfragezyklus erfolgt und eine Anfrage blockiert
wird, erfolgt kein Antwortzyklus, weshalb es nutzlos wäre, eine Regel zum Filtern dieser Daten im
Antwortzyklus zu platzieren. Wenn eine Anfrage zugelassen wird, ist ein zweiter Filterdurchgang im
Antwortzyklus nicht erforderlich.
Verarbeitungszyklen und empfohlene Filteraktivitäten
In der folgenden Tabelle sind die für die jeweiligen Zyklen empfohlenen Filteraktivitäten aufgeführt.
Tabelle 6-7 Verarbeitungszyklen und empfohlene Filteraktivitäten
Anfragezyklus
Antwortzyklus
Zyklus für eingebettete
Objekte
Filterung basierend auf Whitelists
Filterung basierend auf
Whitelists
Untersuchung des Inhalts
einer Anfrage bzw. Antwort
Filterung basierend auf
Blockierungslisten
Filterung basierend auf von
Servern gesendeten Headern,
z. B. dem
Content-Length-Header
Medientyp-Filterung
Filterung basierend auf von Clients
gesendeten Headern, z. B. dem
User-Agent-Header
Medientyp-Filterung
Malware-Schutz-Scan für
eingebettete Objekte
Benutzerauthentifizierung
Malware-Schutz-Scan für
Downloads
URL-Filterung
Malware-Schutz-Scan für Uploads
Diese Übersicht zeigt unter anderem auch, dass manche Aktivitäten nur für einen Zyklus empfohlen
werden, während andere, wie beispielsweise die Nutzung von Whitelists oder Malware-Schutz-Scans
für zwei oder mehr Zyklen empfohlen werden.
Verwendung aufwändiger Eigenschaften am Ende des
Filterprozesses
„Aufwändige“ Eigenschaften beanspruchen beim Verarbeiten eine hohe Kapazität. Regeln mit diesen
Eigenschaften sollten deshalb am Ende des Regelsatzsystems platziert werden.
Beim Verarbeiten von Regeln werden die Module (auch als Engines bezeichnet) in Web Gateway
aufgerufen, um Werte für ihre Eigenschaften abzurufen. Einige dieser Module beanspruchen in der
Regel mehr Zeitaufwand und höhere Bandbreiten als andere. Beispielsweise werden beim Betreiben
der Malware-Scan-Module meistens mehr Ressourcen verbraucht als beim Abrufen von Informationen
zu URL-Kategorien durch das Modul „URL Filter“.
Produkthandbuch
225
6
Regeln
Sie sollten daher zur Leistungsoptimierung Regelsätze mit Regeln, die solche aufwändigen
Eigenschaften enthalten, am Ende des Regelsatzsystems platzieren, sodass zuerst die Regeln mit
weniger aufwändigen Eigenschaften verarbeitet werden. Wenn nun eine Anfrage bzw. Antwort bereits
von einer der ersten Regeln blockiert wird, müssen die Regeln mit aufwändigeren Eigenschaften gar
nicht erst verarbeitet werden.
Aufwand von Eigenschaften
Die folgende Tabelle gibt den erforderlichen „Aufwand“ für einige häufig in Regeln eingesetzte
Eigenschaften an.
Eigenschaften, die mit einem Sternchen (*) markiert sind, nutzen außerdem noch externe
Komponenten, z. B. Authentifizierungs-Server, was die Leistung zusätzlich beeinträchtigt. Des
Weiteren ist in der Tabelle auch der Aufwand zweier Regelelemente aufgeführt, bei denen es sich nicht
um Eigenschaften, sondern um Ereignisse handelt.
Geringerer Aufwand
Mittel
Höherer Aufwand
URL
URL.Destination.IP*
Antimalware.Infected
URL.Host
Media.EnsuredTypes
Für DLP-Filterung (Data Loss
Prevention) genutzte
Eigenschaften
URL.Categories*
Zur Authentifizierung von
Benutzern verwendete
Eigenschaften*
Nutzung des Moduls „HTML
Opener“ (durch ein Ereignis
aktiviert)
Client.IP
Nutzung des Moduls
„Composite Opener“ (durch
ein Ereignis aktiviert)
Proxy.IP
Proxy.Port
System.Hostname
Zur Überprüfung von
HTTP-Header-Informationen
genutzte Eigenschaften
Aufwand von Eigenschaften innerhalb von Regeln
Die empfohlene Vorgehensweise für den Einsatz von Eigenschaften entsprechend ihres Aufwands gilt
nicht nur für die Positionierung von Regeln und Regelsätzen innerhalb des gesamten Regelsystems,
sondern auch für die Positionierung von Eigenschaften innerhalb einer einzelnen Regel.
Die folgende Regel blockiert die Zugriffsanfrage für einen Web-Server mit einem bestimmten
Host-Namen, wenn die Anfrage von einem Client mit einer bestimmten IP-Adresse gesendet wurde.
Name
Block host abcd.com for client with IP address 1.2.3.4
Client.IP equals 1.2.3.4 AND URL.Host matches
*abcd.com
Action (Aktion)
Event (Ereignis)
–> Block<Default>Continue
Bei der Verarbeitung der Regel wird zuerst der Wert für Client.IP abgerufen, um die Herkunft der
Anfrage zu ermitteln. Wenn diese nicht mit dem konfigurierten Operanden übereinstimmt, wird die
Regel nicht angewendet, und die Verarbeitung wird mit der nächsten Regel fortgesetzt. Nur wenn der
Wert für Client IP exakt 1.2.3.4 entspricht, wird auch der Wert für URL.Host abgerufen, um zu
ermitteln, ob die Kriterien vollständig übereinstimmen.
226
Produkthandbuch
6
Regeln
Client.IP steht an der ersten Stelle der Kriterien, da der Vergleich zweier Client-IP-Adressen
geringeren Aufwand verursacht als die Prüfung der Übereinstimmung eines Host-Namens mit einem
Platzhalterausdruck.
Verwendung von höchstens zwei Eigenschaften in den Kriterien
einer Regel
Wenn Sie in den Kriterien einer Regel (nach Möglichkeit) maximal zwei Eigenschaften einsetzen, lässt
sich diese Regel nicht nur von anderen Benutzern, sondern bei späterer erneuter Verwendung auch
von Ihnen selbst leichter nachvollziehen.
Die folgende Beispielregel lässt den Zugriff auf Ziele mit einer bestimmten Domäne sowie für
Administratoren zu, jedoch nur dann, wenn sie einen bestimmten Port für den Zugriff verwenden. Die
Kriterien dieser Regel verfügen über vier verschiedene Eigenschaften, mit denen folgende Parameter
überprüft werden:
•
Host name of a URL (Host-Name einer URL): Wird Zugriff auf die konfigurierte Domäne
angefordert?
•
User group (Benutzergruppe): Ergab die Authentifizierung, dass der Benutzer, der die Anfrage
gesendet hat, zur Benutzergruppe für Administratoren gehört?
•
Client IP address range (Client-IP-Adressbereich): Wurde die Anfrage von einem Client
gesendet, dessen IP-Adresse sich im für Administratoren reservierten IP-Adressbereich befindet?
•
Proxy port (Proxy-Port): Wurde die Zugriffsanfrage für die Domäne über den konfigurierten Port
gesendet?
Die Regel sieht folgendermaßen aus:
Name/Criteria
Action
Event
Allow only administrators using port 9090 access to test domain
URL.Host matches "testdomain.com" AND (Authentication.UserGroups
does not contain "Administrator" OR Client.IP is not in range
192.168.42.0/24 OR Proxy.Port does not equal 9090)
–> Block <Default>
Damit eine Übereinstimmung die Regel zur Anwendung bringt, kontrolliert der erste Teil der
Regelkriterien, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt ist.
Alle anderen Kriterienelemente werden negativ formuliert: Wenn der Benutzer kein Administrator ist
oder sich die Client-IP-Adresse nicht innerhalb des konfigurierten Bereichs befindet oder der
Proxy-Port nicht 9090 lautet, wird die Anfrage blockiert.
Diese Regel lässt den Zugriff also nur dann zu, wenn eine Zugriffsanfrage für die Testdomäne von
einem Administrator eines Clients mit einer IP-Adresse innerhalb des konfigurierten Bereichs unter
Verwendung des Proxy-Ports 9090 gesendet wird.
Die drei letzten Kriterienkomponenten sind in Klammern eingeschlossen, damit für diese ein
kombinierter Wahrheitswert ermittelt und anschließend mit dem Wert der ersten Komponente
überprüft werden kann.
Eine identische Vorgehensweise hinsichtlich der Filterung kann auch erreicht werden, indem diese
Regel in die drei folgenden kürzeren Regeln aufgeteilt wird.
Name/Criteria
Action
Event
Check whether request is for accessing test domain
URL.Host does not match *testdomain.com
–> Stop Rule Set
Block access if not over proxy port 9090
Produkthandbuch
227
6
Regeln
Proxy.Port does not equal 9090
–> Block <Default>
Block users who are not administrators based on user name and client IP address
Authentication.UserGroups does not contain "Administrator" OR Client.IP –> Block <Default>
is not in range 192.168.42.0/24
Die erste der drei Regeln kontrolliert, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt
ist. Wenn dies nicht der Fall ist, werden die auf diese Regel folgenden weiteren Regeln innerhalb des
Regelsatzes nicht mehr verarbeitet.
Dies bedeutet, dass keine Verarbeitung der beiden auf die erste Regel folgenden Blockierungsregeln
erfolgt. Da überhaupt kein Zugriffsversuch auf die Testdomäne erfolgt ist, müssen diese Regeln gar
nicht verarbeitet werden.
Bei der Verarbeitung der beiden Blockierungsregeln überprüfen diese die beteiligten Parameter, um zu
ermitteln, ob eine Zugriffsanfrage für die Testdomäne zugelassen wird. Diese Überprüfung erfolgt auf
die gleiche Weise wie in der oben erläuterten Regel, deren Kriterien vier Eigenschaften umfasste.
Die Parameter bezüglich des Administratorstatus eines Benutzers werden in einer Regel mit zwei
Eigenschaften kombiniert.
Beim Erstellen von bzw. beim Arbeiten mit vorhandenen Regelsätzen, Listen oder Einstellungen
können Sie den Zugriff darauf beschränken.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) bzw. Lists (Listen) oder Settings (Einstellungen)
aus.
2
Navigieren Sie in der Verzeichnisstruktur zu der Position, an der Sie das neue Element hinzufügen
möchten.
3
Klicken Sie oben in der Verzeichnisstruktur auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add (Hinzufügen).
4
Führen Sie die Schritte zum Hinzufügen eines neuen Elements aus. Klicken Sie anschließend auf die
Registerkarte Permissions (Berechtigungen).
Es können drei Zugriffsmodi konfiguriert werden: Read and Write (Lesen und Schreiben), Read
(Lesen) und No Access (Kein Zugriff).
5
Klicken Sie unter dem Abschnitt Read and Write (Lesen und Schreiben) auf Add (Hinzufügen).
Das Fenster Add Role or User (Rolle oder Benutzer hinzufügen) wird geöffnet.
6
Wählen Sie in der Liste im entsprechenden Abschnitt eine Rolle oder einen Benutzer (oder mehrere
Einträge des entsprechenden Typs gleichzeitig) aus. Sie können auch im Feld Wildcard (Platzhalter)
einen Platzhalterausdruck als Namen einer Rolle oder eines Benutzers eingeben.
7
Fügen Sie im Feld Read and Write (Lesen und Schreiben) die erforderliche Anzahl von Einträgen hinzu.
Löschen Sie Einträge, indem Sie unter dem Abschnitt auf die Schaltfläche Delete (Löschen) klicken.
8
228
Füllen Sie die Abschnitte Read (Lesen) und No Access (Kein Zugriff) auf dieselbe Weise.
Produkthandbuch
Regeln
9
6
Konfigurieren Sie mithilfe der Optionsfelder unter All other roles have (Alle anderen Rollen verfügen
über) den Zugriff für alle Rollen und Benutzer, die in keiner der Listen auf der Registerkarte
enthalten sind.
10 Klicken Sie auf OK, um das Fenster zu schließen.
Produkthandbuch
229
6
Regeln
230
Produkthandbuch
7
Listen
Listen werden von Regeln zum Abrufen von Informationen über Web-Objekte und Benutzer verwendet.
Es gibt verschiedene Arten von Listen, die sich zum Beispiel hinsichtlich des Erstellers oder der darin
enthaltenen Elementtypen unterscheiden. Dementsprechend arbeiten Sie auf unterschiedliche Art mit
diesen Listen.
Listen erscheinen an verschiedenen Stellen auf der Benutzeroberfläche, zum Beispiel in den Kriterien
von Regeln und Regelsätzen, auf der Registerkarte „Lists“ (Listen) und in den Einstellungen.
Nach der ersten Einrichtung der Appliance werden die Listen gemeinsam mit dem Regelsatzsystem
implementiert.
Sie können die Listen des implementierten Systems überprüfen, ändern oder löschen, und Sie können
auch Ihre eigenen Listen erstellen.
Inhalt
Listentypen
Registerkarte „Lists“ (Listen)
Zugreifen auf eine Liste
Erstellen einer Liste
Arbeiten mit verschiedenen Listentypen
Abonnierte Listen
Externe Listen
Zuordnungstyplisten
Allgemeiner Katalog
JSON-Daten (JavaScript Object Notation)
Produkthandbuch
231
7
Listen
Listentypen
Listentypen
Web-Sicherheitsregeln in Web Gateway verwenden verschiedene Arten von Listen zum Abrufen von
Informationen zu Web-Objekten und Benutzern.
Dies sind die wichtigsten Listentypen:
•
Benutzerdefinierte Listen: Diese Listen können von Ihnen geändert werden. Sie werden in der
Listenstruktur im oberen Zweig auf der Registerkarte Lists (Listen) angezeigt, z. B. die Liste der
URLs, die von der Filterung ausgenommen werden.
Benutzerdefinierte Listen können Einträge im Zeichenfolgen-, Zahlen-, Kategorie- und anderen
Formaten enthalten. Listen mit unterschiedlichen Formaten erfordern möglicherweise
unterschiedliche Methoden zur Verwaltung. Einige benutzerdefinierte Listen sind anfangs leer und
müssen von Ihnen mit Einträgen gefüllt werden.
Zu den benutzerdefinierten Listen, die von Web Gateway nach der Ersteinrichtung bereitgestellt
werden, können Sie eigene Listen hinzufügen.
•
Systemlisten: Diese Listen können nicht von Ihnen geändert werden. Sie werden in der
Listenstruktur im unteren Zweig auf der Registerkarte Lists (Listen) angezeigt.
Zu den Systemlisten gehören Listen mit Kategorie-, Medientyp- und Anwendungsnamen sowie mit
Konnektoren, die für Cloud Single Sign On verwendet werden. Sie werden aktualisiert, wenn Sie ein
Upgrade auf eine neue Version von Web Gateway vornehmen.
Systemlisten, die für Data Loss Prevention (DLP), die Anwendungsfilterung und den Dynamic
Content Classifier verwendet werden, können in von Ihnen geplante automatische Aktualisierungen
einbezogen werden.
•
Interne Listen: Diese Listen können von Ihnen geändert werden, werden jedoch nicht auf der
Registerkarte Lists (Listen) angezeigt. Sie werden intern in den Einstellungen eines
Konfigurationselements angezeigt, z. B. eine Liste von HTTP-Ports in den Proxy-Einstellungen.
•
Abonnierte Listen: Diese Listen werden von Ihnen mit einem Namen in Web Gateway
eingerichtet. Sie sind anfangs leer, und ihr Inhalt wird von einer Datenquelle abgerufen, die Sie
abonniert haben. Abonnierte Listen werden in der Listenstruktur am Ende der benutzerdefinierten
Listen angezeigt.
Es gibt zwei Untertypen von abonnierten Listen:
•
Von McAfee verwaltete Listen: Der Inhalt dieser Listen wird von einem McAfee-Server
abgerufen.
Eine Reihe von Listen stehen auf dem McAfee-Server zur Verfügung, z. B. Listen mit
IP-Adressbereichen oder Medientypen.
•
Von Kunden verwaltete Listen: Der Inhalt dieser Listen wird von einer Datenquelle
abgerufen, die Sie angeben.
Die Quellen, die Sie angeben können, sind Dateien auf Web-Servern, die unter HTTP, HTTPS
oder FTP ausgeführt werden.
Der Listeninhalt wird auf den jeweiligen Servern verwaltet. Um sicherzustellen, dass neuere
Versionen dieses Inhalts in Ihre Listen in Web Gateway übertragen werden, können Sie manuelle
Aktualisierungen durchführen oder automatische Aktualisierungen konfigurieren.
232
Produkthandbuch
7
Listen
Listentypen
•
Externe Listen: Diese Listen sind unter ihrem eigenen Namen in externen Quellen gespeichert.
Ihr Inhalt wird in Web Gateway übertragen, wo sie den Wert einer Eigenschaft in einer Regel
bereitstellen.
Der Inhalt von externen Listen wird zur Laufzeit übertragen, d. h., er wird abgerufen, wenn die
Regel mit der Eigenschaft für externe Listen verarbeitet wird.
Wenn der Inhalt abgerufen wurde, wird dieser im Cache gespeichert und bis zu seinem
Ablaufdatum, das Sie einstellen können, wiederverwendet. Nach dem Ablauf erfolgt eine neue
Übertragung, wenn die Regel wieder verarbeitet wird.
Zu den Quellen, aus denen Inhalt abgerufen werden kann, gehören Dateien auf Web-Servern, die
unter HTTP, HTTPS, FTP oder LDAP ausgeführt werden, sowie Dateien in bestimmten Arten von
Datenbanken. Darüber hinaus gehören dazu Dateien, die in Ihrem lokalen Dateisystem gespeichert
sind.
•
Zuordnungstyplisten: In diesen Listen werden einander zugeordnete Schlüssel- und Wertepaare
gespeichert. Sie können Zuordnungstyplisten in Web Gateway erstellen und mit Listeneinträgen
füllen oder diese als abonnierte oder externe Listen aus anderen Quellen abrufen.
Schlüssel und Werte in Zuordnungslisten werden anfangs im Zeichenfolgenformat gespeichert,
können jedoch mithilfe von entsprechenden Eigenschaften in Regeln in andere Formate konvertiert
werden.
•
Common Catalog-Listen: Diese Listen können von einem McAfee ePO-Server mithilfe von Push
auf Web Gateway übertragen werden.
Common Catalog-Listen können Einträge im IP-Adress-, Domänennamen-, Zeichenfolgen- oder
Platzhalterausdruckformat enthalten. Sie werden auf dem McAfee ePO-Server verwaltet.
Produkthandbuch
233
7
Listen
Auf der Registerkarte Lists (Listen) können Sie mit Listen arbeiten.
Abbildung 7-1 Registerkarte „Lists“ (Listen)
Hauptelemente der Registerkarte „Lists“ (Listen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Liste (Listen) beschrieben.
Tabelle 7-1 Hauptelemente der Registerkarte „Lists“ (Listen)
Element
Beschreibung
Listen-Symbolleiste
Elemente zum Arbeiten mit den Listen in der Listenbaumstruktur
Listen-Baumstruktur
Verzeichnisstruktur, die die Listen der Appliance-Konfiguration anzeigt
Listeneinträge-Symbolleiste Einstellungen für das derzeit ausgewählte Element in der
Einstellungs-Baumstruktur
Listeneinträge
Einträge der aktuell ausgewählten Liste
Listen-Symbolleiste
Die Listen-Symbolleiste bietet die folgenden Optionen.
234
Produkthandbuch
7
Listen
Tabelle 7-2 Listen-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen einer Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Liste bearbeiten) zum Bearbeiten einer
ausgewählten Liste.
Delete (Löschen)
Löscht eine ausgewählte Liste.
müssen
Öffnet den Datei-Manager auf Ihrem System, damit Sie eine Liste
importieren können.
Export (Exportieren)
Öffnet den Datei-Manager auf Ihrem System, damit Sie die in der
Listen-Baumstruktur ausgewählte Liste exportieren können.
View (Anzeigen)
Öffnet ein Menü zum Anzeigen der Listen auf unterschiedliche Weise (A-Z,
Z-A, nach Listentyp, mit oder ohne Listentypen, für die derzeit keine Listen
vorhanden sind).
Expand All (Alle einblenden)
Zeigt alle bis dahin ausgeblendeten Elemente der Listen-Baumstruktur
wieder an.
Collapse All (Alle ausblenden) Blendet alle in der Listen-Baumstruktur eingeblendeten Elemente aus.
Listeneinträge-Symbolleiste
Die Listeneinträge-Symbolleiste bietet die folgenden Optionen.
Tabelle 7-3 Listeneinträge-Symbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
eines Listeneintrags, z. B. das Fenster Add String (Zeichenfolge hinzufügen).
Add multiple (Mehrere
hinzufügen)
Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen
mehrerer Listeneinträge, wenn dies für einen Listentyp möglich ist.
Edit (Bearbeiten)
Öffnet das Fenster Edit <List type> (<Listentyp> bearbeiten) zum Bearbeiten
eines ausgewählten Listeneintrags, z. B. das Fenster Edit String (Zeichenfolge
bearbeiten).
Delete (Löschen)
Löscht einen ausgewählten Listeneintrag.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang
Move up (Nach oben)
Verschiebt einen Eintrag in der Liste nach oben.
Move down (Nach unten)
Verschiebt einen Eintrag in der Liste nach unten.
Filter (Filtern)
Feld zur Eingabe eines Filterbegriffs, sodass nur übereinstimmende
Einträge angezeigt werden
Die Filterfunktion wird sofort ausgeführt, sobald Sie ein Zeichen in das Feld
eingeben.
Produkthandbuch
235
7
Listen
Sie können auf eine Liste über die Registerkarte Lists (Listen) zugreifen oder indem Sie in einer Regel
auf den entsprechenden Listennamen klicken.
Aufgaben
•
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) auf Seite 236
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie
die entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
•
Zugreifen auf eine Liste in einer Regel auf Seite 236
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der
Registerkarte Rule Sets (Regelsätze), und klicken Sie darauf.
Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen)
Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie die
entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus.
Vorgehensweise
1
2
Navigieren Sie in der Listen-Baumstruktur zu dem Zweig, der die gewünschte Liste enthält, und
klicken Sie auf den Listennamen.
Daraufhin werden im Einstellungsbereich die Listeneinträge angezeigt.
Nun können Sie mit der Liste arbeiten.
Zugreifen auf eine Liste in einer Regel
Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der Registerkarte
Rule Sets (Regelsätze), und klicken Sie darauf.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit der gewünschten
Liste enthält.
Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Führen Sie in der Regel mit der Liste, auf die Sie zugreifen möchten, einen der folgenden Schritte
aus:
•
Klicken Sie im Regelnamen auf den Listennamen, sofern dieser dort enthalten ist.
•
Klicken Sie in den Regelkriterien auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List <Typ> (Liste <Typ> bearbeiten), wobei <Typ> hier für den
Typ der gewünschten Liste steht.
Nun können Sie mit der Liste arbeiten.
236
Produkthandbuch
7
Listen
Zusätzlich zu den bei der Erstkonfiguration der Appliance implementierten oder aus der Bibliothek
importierten Listen können Sie auch eigene Listen erstellen.
Für das Erstellen einer Liste sind die beiden folgenden Schritte erforderlich:
•
Hinzufügen einer neuen Liste
•
Füllen der neuen Liste mit Einträgen
Aufgaben
•
Hinzufügen einer neuen Liste auf Seite 237
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
•
Füllen einer Liste mit Einträgen auf Seite 237
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit
Einträgen füllen.
Hinzufügen einer neuen Liste
Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird.
Vorgehensweise
1
2
Navigieren Sie in der Listen-Baumstruktur zu der Position, an der die gewünschte Liste eingefügt
werden soll.
3
Klicken Sie auf der Symbolleiste auf Add (Hinzufügen).
Daraufhin wird das Fenster Add List (Liste hinzufügen) geöffnet, in dem die Registerkarte Add List
(Liste hinzufügen) ausgewählt ist.
4
Mithilfe der folgenden Elemente können Sie die allgemeinen Einstellungen der Liste konfigurieren:
•
Name: Name der Liste
•
Comment (Kommentar): [Optional] Kommentar zur Liste im Nur-Text-Format
•
Type (Typ): Liste zur Auswahl des Listentyps
5
6
Klicken Sie auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der
Listen-Baumstruktur angezeigt.
7
Nun können Sie Einträge in die Liste einfügen.
Füllen einer Liste mit Einträgen
Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit Einträgen füllen.
Vorgehensweise
1
2
Wählen Sie in der Struktur der Listen die Liste aus, der Einträge hinzugefügt werden sollen.
Produkthandbuch
237
7
Listen
3
Klicken Sie im Abschnitt für Einstellungen auf Add (Hinzufügen).
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geöffnet, z. B. das Fenster Add String
(Zeichenfolge hinzufügen).
4
Fügen Sie einen Eintrag in der entsprechenden Weise für den jeweiligen Listentyp hinzu.
5
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Listeneintrag ein.
6
Klicken Sie auf OK.
Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geschlossen, und der Eintrag wird nun in
der Liste angezeigt.
7
Die Vorgehensweise bei der Arbeit mit Listen hängt vom Listentyp ab.
Wenn der Typ beispielsweise String (Zeichenfolge) ist, können Sie Einträge hinzufügen, indem Sie im
Fenster Add String (Zeichenfolge hinzufügen) im Feld String (Zeichenfolge) Zeichenfolgen eingeben. Wenn
der Typ jedoch MediaType ist, müssen Sie einen Eintrag aus einem Medientypordner auswählen, der
Teil eines Ordnersystems ist.
Listen für Zeichenfolgen und Platzhalterausdrücke verfügen über eine Option zum gleichzeitigen
Hinzufügen mehrerer Einträge. Klicken Sie dazu auf „Add multiple“ (Mehrere hinzufügen), und geben
Sie für jeden Eintrag Text in einer neuen Zeile ein.
In einer Medientypliste können Sie gleichzeitig mehrere Einträge oder Ordner auswählen, wenn Sie
diese nicht separat hinzufügen möchten.
Aufgaben
•
Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs auf Seite 238
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für
eine globale Whitelist verwendet wird.
•
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste auf Seite 239
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf
alle URLs blockieren lassen, die in diese Kategorie fallen.
•
Hinzufügen eines Medientyps zu einer Filterliste für Medientypen auf Seite 240
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen
hinzufügen.
Hinzufügen eines Platzhalterausdrucks zu einer globalen
Whitelist für URLs
Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für eine
globale Whitelist verwendet wird.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz aus, der Regeln für das Führen einer
globalen Whitelist enthält, beispielsweise Global Whitelist.
Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt.
238
Produkthandbuch
7
Listen
3
Suchen Sie nach der Regel, die mittels einer Whitelist Anfragen freistellt, wenn die Hosts der dabei
übermittelten URLs mit den Platzhalterausdrücken in der Liste übereinstimmen, z. B. URL.Host matches
in list Global Whitelist, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie
Einträge hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Wildcard Expression) (Liste bearbeiten, Platzhalterausdruck).
4
Klicken Sie auf Add (Hinzufügen).
5
Geben Sie im Feld Wildcard expression (Platzhalterausdruck) einen Platzhalterausdruck ein.
Wenn Sie gleichzeitig mehrere Platzhalterausdrücke hinzufügen möchten, klicken Sie auf Add multiple
(Mehrere hinzufügen), und beginnen Sie für jeden Platzhalterausdruck eine neue Zeile.
6
[Optional] Geben Sie in das Feld Comment (Kommentar) einen Kommentar zum Platzhalterausdruck
im Nur-Text-Format ein.
7
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Platzhalterausdruck wird nun in der Whitelist angezeigt.
8
Hinzufügen einer URL-Kategorie zu einer Blockierungsliste
Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf alle URLs
blockieren lassen, die in diese Kategorie fallen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regeln zur URL-Filterung
enthält.
3
Suchen Sie nach der Regel, die eine auf Kategorien basierende Blockierungsliste verwendet, z. B.
Block URLs whose category is in Category BlockList, und klicken Sie auf den Namen der Liste.
Ein gelbes Dreieck neben der Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge
hinzufügen müssen.
Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie).
4
Erweitern Sie den Gruppenordner, der die zu blockierende Kategorie enthält, z. B. Purchasing
(Einkauf), und wählen Sie die Kategorie aus, z. B. Online Shopping (Online-Shopping).
Wenn Sie mehrere Kategorien auf einmal hinzufügen möchten, wählen Sie mehrere Kategorien
oder einen bzw. mehrere Gruppenordner aus.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die Kategorie wird nun in der Blockierungsliste angezeigt.
6
Produkthandbuch
239
7
Listen
Abonnierte Listen
Hinzufügen eines Medientyps zu einer Filterliste für
Medientypen
Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen hinzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu einem Regelsatz mit Regeln zur Medienfilterung,
z. B. dem untergeordneten Regelsatz Download Media Types, und wählen Sie diesen aus.
3
Wählen Sie die Regel Block types from Media Type Blocklist aus, und klicken Sie auf den Listennamen.
Daraufhin öffnet sich das Fenster Edit List (MediaType) (Liste bearbeiten, Medientyp).
4
Klicken Sie auf Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten). Es enthält eine Liste mit Gruppenordnern mit
Medientypen.
5
Erweitern Sie den Gruppenordner, der den hinzuzufügenden Medientypen enthält, z. B. Audio, und
wählen Sie den Medientypen aus, beispielsweise audio/mp4.
Wenn Sie mehrere Medientypen auf einmal hinzufügen möchten, wählen Sie mehrere Medientypen
oder einen bzw. mehrere Gruppenordner aus.
6
Klicken Sie auf OK.
Das Fenster wird geschlossen, und der Medientyp wird nun in der Filterliste angezeigt.
7
Abonnierte Listen
Listen zur Verwendung in Web-Sicherheitsregeln können mit Inhalt gefüllt werden, der von
entsprechenden Servern abgerufen wird. Diese Listen werden als abonnierte Listen bezeichnet.
Beim Arbeiten mit abonnierten Listen müssen Sie lediglich allgemeine Einstellungen wie den
Listennamen selber konfigurieren. Der Listeninhalt, z. B. IP-Adressen oder URLs, stammt von einem
Server. Dies kann der McAfee-Server, der zur Verwaltung abonnierter Listen zur Verfügung steht, oder
ein anderer, von Ihnen angegebener Server sein.
Abonnierte Listen, die den Inhalt vom McAfee-Server abrufen, werden als McAfee-verwaltete Listen
bezeichnet. Listen, die den Inhalt von anderen Server abrufen, werden als Kundenverwaltete Listen
bezeichnet.
Nachdem Sie eine abonnierte Liste erstellt haben, wird diese auf der Benutzeroberfläche in der
Listen-Baumstruktur im Zweig der abonnierten Listen angezeigt. Sie können mit abonnierten Listen
auf die gleiche Weise wie mit anderen Listen der Listen-Baumstruktur arbeiten.
Für abonnierte Listen gilt eine Größenbeschränkung. Eine abonnierte Liste darf nicht größer als 4 MB
sein oder nicht mehr als 100.000 Einträge enthalten.
Durch das Konfigurieren von Aktualisierungsplänen oder durch manuelle Aktualisierungen stellen Sie
sicher, dass den Web-Sicherheitsregeln der aktuelle Inhalt durch eine abonnierte Liste bereitgestellt
wird.
240
Produkthandbuch
7
Listen
Abonnierte Listen
Abrufen des Listeninhalts vom McAfee-Server
Wenn der Inhalt einer abonnierten Liste vom McAfee-Server abgerufen wird, der zu diesem Zweck
bereitgestellt wird, wählen Sie die Art des Inhalts für diese Liste aus einem Katalog aus.
Der Inhalt wird auf dem McAfee-Server verwaltet. Um sicherzustellen, dass McAfee-verwaltete Listen
über aktuellen Inhalt verfügen, führen Sie manuelle Aktualisierungen auf der Benutzeroberfläche Ihrer
Appliance durch.
Abrufen des Listeninhalts von einem anderen Server
Wenn der Inhalt einer abonnierten Liste von einem anderen Server als dem McAfee-Server abgerufen
wird, geben Sie die URL für die Datei an, die diesen Inhalt auf dem Server enthält.
Der Inhalt wird auf diesem Server verwaltet. Aktualisierungen für diese Art von abonnierten Listen
werden nach einem Zeitplan durchgeführt, den Sie beim Konfigurieren der Listeneinstellungen
festlegen.
Erstellen einer abonnierten Liste
Zum Erstellen einer abonnierten Liste müssen Sie allgemeine Listeneinstellungen sowie Einstellungen
für den Listeninhalt konfigurieren.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
3
Konfigurieren Sie die allgemeinen Einstellungen für die Liste.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie aus der Liste Type (Typ) den Listentyp aus.
c
Wählen Sie unter Contains (Enthält) die Art der Einträge, die in der Liste enthalten sein werden.
d
[Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur
Liste ein.
e
4
Wählen Sie die Option List content is managed remotely (Verwaltung des Listeninhalts per Fernzugriff)
aus.
5
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Bei Listeninhalt, der vom McAfee-Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle McAfee maintained list (Von McAfee gepflegte Liste).
•
Klicken Sie auf Choose (Auswählen).
Daraufhin öffnet sich das Fenster Choose List Content (Listeninhalt auswählen).
•
Wählen Sie einen Inhaltstyp aus.
•
Klicken Sie auf OK, um das Fenster zu schließen.
Produkthandbuch
241
7
Listen
Abonnierte Listen
•
Bei Listeninhalt, der von einem anderen Server abgerufen wird:
•
Wählen Sie unter Source (Quelle) die Quelle Customer maintained list (Von Kunden gepflegte Liste).
•
Klicken Sie auf Setup (Einrichten).
Daraufhin öffnet sich Fenster Setup (Einrichten).
6
•
Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt.
•
Klicken Sie erneut auf OK.
Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die Liste wird nun in der
Listen-Baumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt.
7
Einstellungen für Inhalt abonnierter Listen
Wenn eine abonnierte Liste auf einem anderen Server als dem McAfee-Server verwaltet wird, müssen
Einstellungen für den Inhalt konfiguriert werden.
Tabelle 7-4 Einstellungen für Inhalt abonnierter Listen
Option
Definition
URL to download
(Herunterzuladende URL)
Gibt die URL einer Datei mit Inhalt für eine abonnierte Liste an.
Die URL wird im folgenden Format angegeben:
HTTP| HTTPS| FTP ://<Pfad>/<Dateiname>.<Erweiterung>
Use this (Dies verwenden)
Bei Auswahl dieser Option wird das Zertifikat verwendet, das in der
Zertifizierungsstellenkette enthalten ist, die neben dem Optionsfeld
angezeigt wird.
Dies ist erforderlich, wenn es sich bei der Verbindung zum Server, der den
Listeninhalt bereitstellt, um eine SSL-gesicherte Verbindung zur
Kommunikation unter dem HTTPS-Protokoll handelt.
Ignore certificate errors
(Zertifikatfehler ignorieren)
Bei Auswahl dieser Option führen Zertifikatfehler nicht zu einem Fehler
beim Abrufen des Listeninhalts von einem Server
URL authentication
(URL-Authentifizierung)
Bietet Einstellungen zum Konfigurieren eines Benutzernamens und eines
Kennworts, wenn für den Zugriff auf einen Server eine Authentifizierung
erforderlich ist.
• User name (Benutzername): Gibt einen Benutzernamen für die
Authentifizierung beim Server an.
• Password (Kennwort): Legt ein Kennwort für die Authentifizierung beim
Server fest.
Proxy
Bietet eine Liste zur Auswahl von Proxy-Servern, die für den Zugriff auf
einen Server mit Listeninhalt verwendet werden.
Standardmäßig wird kein Proxy-Server für den Zugriff auf einen Server
mit Listeninhalt verwendet.
242
Produkthandbuch
7
Listen
Abonnierte Listen
Tabelle 7-4 Einstellungen für Inhalt abonnierter Listen (Fortsetzung)
Option
Definition
Add Proxy (Proxy hinzufügen)
Öffnet ein Fenster zum Hinzufügen eines Proxy-Servers zur Liste.
List content update
(Aktualisierung des
Listeninhalts)
Bietet Einstellungen zum Konfigurieren eines Aktualisierungsplans für
Listeninhalt.
Eine Aktualisierung kann wie folgt durchgeführt werden:
• Hourly at (Stündlich um): Legt die Minuten nach der vollen Stunde fest.
• Daily at (Täglich um): Legt Stunden und Minuten fest.
• Weekly at (Wöchentlich um): Legt einen Wochentag mit Stunden und
Minuten fest.
• Every (Alle): Legt die Minuten des Intervalls fest, nach dessen Ablauf die
nächste Aktualisierung erfolgt.
Aktualisieren abonnierter Listen
Aktualisierungen der Inhalte abonnierter Listen erfolgen manuell oder entsprechend einem Plan,
abhängig davon, ob der Inhalt von dem zu diesem Zweck bereitgestellten McAfee-Server oder einem
anderen Server abgerufen wird.
Für Listeninhalt, der vom McAfee-Server abgerufen wird, müssen die Aktualisierungen manuell
durchgeführt werden. Bei jeder manuellen Aktualisierung werden alle McAfee-verwalteten Listen
zusammen aktualisiert.
Der Inhalt McAfee-verwalteter Listen wird ebenfalls beim Erstellen jeder neuen Liste dieses Typs
aktualisiert.
Für Listeninhalt, der von einem anderen Server als dem McAfee-Server abgerufen wird, werden die
Aktualisierungen gemäß einem Zeitplan durchgeführt. Jede abonnierte Liste verfügt über einen
eigenen Plan. Sie können den Plan beim Konfigurieren der Einstellungen für den Listeninhalt einrichten
und bearbeiten.
Beim Verwalten abonnierter Listen auf einem Knoten in einer Konfiguration mit zentraler Verwaltung
werden Aktualisierungen mit allen anderen Knoten innerhalb der Aktualisierungsgruppe geteilt.
Die Aktualisierungsgruppe wird im Abschnitt This Node Is a Member of the Following Groups (Dieser Knoten
gehört zu folgenden Gruppen) der Einstellungen für die zentrale Verwaltung konfiguriert.
Aktualisieren der auf dem McAfee-Server verwalteten abonnierten Listen
Für abonnierte Listen, die auf dem McAfee-Server verwaltet werden, müssen Aktualisierungen manuell
durchgeführt werden.
Der Inhalt McAfee-verwalteter Listen wird auch beim Erstellen einer neuen Liste aktualisiert.
Vorgehensweise
1
2
Klicken Sie auf der Symbolleiste über der Appliances-Baumstruktur auf Manual Engine Update (Manuelle
Modulaktualisierung).
Der Inhalt aller McAfee-verwalteter Listen wird aktualisiert.
Produkthandbuch
243
7
Listen
Abonnierte Listen
Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste
Wenn eine abonnierte Liste als eine von Kunden gepflegte Liste konfiguriert ist, muss eine Inhaltsdatei
zur Beschreibung der Listen-Baumstruktur erstellt und auf dem Web-Server gespeichert werden, von
dem der Inhalt für diese Liste abgerufen wird.
Inhaltsdateien werden im TXT- oder XML-Format erstellt, je nachdem, ob sie die Struktur einer
einfachen oder einer komplexen von Kunden gepflegten Liste beschreiben. Bei einfachen Listen kann
die Erstellung der Inhaltsdatei in beiden Formaten erfolgen, bei komplexen Listen muss das
XML-Format verwendet werden.
Von Kunden gepflegte einfache Listen können Listen folgenden Typs sein: Application Name
(Anwendungsname), Category (Kategorie), Dimension (Größe), IP, IPRange (IP-Bereich), MediaType
(Medientyp), Number (Zahl), String (Zeichenfolge), Wildcard Expression (Platzhalterausdruck).
Von Kunden gepflegte komplexe Listen können dagegen Listen folgenden Typs sein: Certificate
Authority (Zertifizierungsstelle), Extended List Element (erweitertes Listenelement),
HostAndCertificate (Host und Zertifikat), ICAP Server (ICAP-Server), NextHopProxy
(Nächster-Hop-Proxy).
Inhaltsdatei einer einfachen Liste im TXT-Format
Dies ist ein Beispiel für eine Inhaltsdatei im TXT-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck).
type=regex"*.txt" "txt file extension""*.xml" "xml file extension"
Das Beispiel veranschaulicht die für eine Inhaltsdatei im TXT-Format geltenden Konventionen.
•
Die erste Zeile der Datei gibt den Typ der von Kunden gepflegten Liste an, der die Inhaltsdatei
zugeordnet ist. Die Zeile hat das folgende Format: type=<Listentyp>
Als Listentyp muss einer der folgenden Begriffe verwendet werden: applcontrol, category,
dimension, ip, iprange, mediatype, number, string, regex.
•
Die nach der ersten Zeile folgenden Zeilen sind für Listeneinträge in der von Kunden gepflegten
Liste reserviert.
Eine Zeile enthält jeweils die gleiche Anzahl an Elementen, die in einem Listeneintrag in der von
Kunden gepflegten Liste vorhanden ist. Jedes einzelne Element ist in doppelte Anführungszeichen
gefasst.
Die Einträge in einer Liste des Typs „Wildcard Expression“ (Platzhalterausdruck) enthalten jeweils
zwei Elemente. Ein Element ist der Platzhalterausdruck, das zweite ein Kommentar, der diesen
Platzhalterausdruck beschreibt.
Das folgende Beispiel veranschaulicht noch weitere Konventionen für Inhaltsdateien.
type=string"withoutDescription""*emptyDescription\"\"\" """data with description and more
spaces in-between"
"description""data with spaces*
"
"description""Hello
\"Michael\" \"Michael!\"" ""
244
Produkthandbuch
7
Listen
Abonnierte Listen
•
Die Einträge in Listen des Typs „String“ (Zeichenfolge) enthalten ebenfalls jeweils zwei Elemente:
die Zeichenfolge sowie einen beschreibenden Kommentar. Eine Beschreibung ist jedoch nicht
obligatorisch.
Wenn die Beschreibung weggelassen wird, kann das entsprechende Element dafür in der
Inhaltsdatei ebenfalls entfallen. Dies wird in Zeile 2 gezeigt.
•
Eine weggelassene Beschreibung kann alternativ auch durch zwei direkt aufeinander folgende
doppelte Anführungszeichen dargestellt werden. Dies ist in Zeile 3 zu sehen.
In dieser Zeile wird außerdem Folgendes veranschaulicht:
•
Auf in einer Zeichenfolge verwendete doppelte Anführungszeichen muss immer ein umgekehrter
Schrägstrich folgen.
•
Ein umgekehrter Schrägstrich, der nicht unmittelbar hinter doppelten Anführungszeichen steht,
stellt einen tatsächlichen umgekehrten Schrägstrich dar.
•
Als erstes Zeichen in einer Zeichenfolge dürfen auch nicht-alphanumerische Zeichen, wie z. B.
das Sternchen (*), verwendet werden.
Der in Zeile 3 angegebene Listeneintrag würde auf der Benutzeroberfläche folgendermaßen
dargestellt werden: *emptyDescription\""
•
Wenn sich zwischen den in der Inhaltsdatei vorhandenen Elementen mehrfache Leerzeichen
befinden, werden diese in den Listeneinträgen der von Kunden gepflegten Liste ignoriert.
Der in Zeile 4 angegebene Eintrag würde auf der Benutzeroberfläche daher folgendermaßen
dargestellt werden: "data with description and more spaces in-between" "description"
•
Mehrfache Leerzeichen innerhalb einer Zeichenfolge in einer Inhaltsdatei werden in den
Listeneinträgen der von Kunden gepflegten Liste ebenfalls ignoriert.
Der in Zeile 5 angegebene Eintrag würde auf der Benutzeroberfläche also folgendermaßen
dargestellt werden: "data with spaces* " "description"
•
Zeile 6 veranschaulicht mehrere der bereits erläuterten Konventionen.
Inhaltsdatei einer einfachen Liste im XML-Format
Dies ist ein Beispiel für eine Inhaltsdatei im XML-Format für eine von Kunden gepflegte Liste des Typs
„Wildcard Expression“ (Platzhalterausdruck). Der Listeninhalt ist mit dem im ersten Beispiel des
vorhergehenden Unterabschnitts dargestellten Listeninhalt identisch.
<content type="regex"> <listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
Für den Inhaltstyp müssen dieselben Begriffe wie für eine Inhaltsdatei im TXT-Format verwendet
werden.
Inhaltsdateien für komplexe Listen
Das manuelle Erstellen einer Inhaltsdatei für eine von Kunden gepflegte komplexe Liste ist relativ
schwierig. Sie können jedoch mithilfe der Optionen auf der Benutzeroberfläche eine vorhandene
komplexe Liste importieren und in einer Datei speichern.
In dieser Datei ist die komplexe Liste dann im XML-Format hinterlegt. Wenn Sie in der Datei nun alle
Zeilen vor dem öffnenden Tag <content> sowie alle Zeilen nach dem schließenden Tag </content>
löschen, hat diese Datei schon fast die Struktur einer Inhaltsdatei für die entsprechende komplexe
Liste.
Produkthandbuch
245
7
Listen
Abonnierte Listen
Nun müssen Sie nur noch das öffnende Tag von <content> in <content type="<Dateityp>" ändern,
beispielsweise: <content type="nexthopproxy">.
Zur Angabe des Dateityps können Sie folgende Begriffe verwenden: ca, extendedlist, icapserver,
hostandcertificate, nexthopproxy.
Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee
verwalteten abonnierten Liste
Sie können von McAfee verwaltete abonnierte Listen in einer Regel Ihrer Web-Sicherheitsrichtlinie
einsetzen, z. B. wenn eine bestimmte Art von Datenverkehr das SSL-Scannen umgehen soll.
Angenommen, dass von den Clients Ihres Unternehmensnetzwerkes aus über SSL-verschlüsselte
Verbindungen Datenverkehr an bestimmte Ziele, z. B. WebEx-Anwendungen, gesendet wird. Wenn
dieser Datenverkehr nun von Web Gateway empfangen wird, soll das SSL-Scannen übersprungen
werden.
Hierfür benötigen Sie eine Liste der von WebEx verwendeten IP-Adressbereiche. Da sich diese
Adressen häufig ändern, verwaltet McAfee eine entsprechende Adressliste, so dass Sie die Liste nicht
ständig manuell aktualisieren müssen.
Die Liste ist in dem von Ihnen in Web Gateway konfigurierten Aktualisierungsplan enthalten, sodass
alle Aktualisierungen von McAfee an Ihre Web Gateway-Appliance bzw. an alle in einer Konfiguration
mit zentraler Verwaltung vorhandenen Appliances weitergegeben werden.
So verwenden Sie die von McAfee verwaltete Liste in Ihrer Web-Sicherheitsrichtlinie:
•
Erstellen Sie eine neue leere Liste, und lassen Sie diese mit den WebEx-Adressbereichen aus der
McAfee-Liste füllen.
•
Richten Sie eine Regel ein, die anhand dieser Liste dafür sorgt, dass Zugriffsanfragen für
WebEx-Ziele das SSL-Scannen überspringen können.
Erstellen einer von McAfee verwalteten abonnierten Liste mit IPAdressbereichen
Zum Erstellen einer von McAfee verwalteten abonnierten Liste mit IP-Adressbereichen für
WebEx-Anwendungen müssen Sie zuerst eine eigene Liste erstellen und diese anschließend mit
Inhalten aus einer von McAfee verwalteten Liste füllen.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Hinzufügen.
3
Konfigurieren Sie im Fenster Add List (Liste hinzufügen) eine Liste nach folgendem Muster.
a
246
Konfigurieren Sie die allgemeinen Einstellungen für die Liste:
•
Name: Abonnierte Liste für WebEx oder ein ähnlich aussagekräftiger Name
•
Type (Typ): IPRange (IP-Adressbereich)
b
Wählen Sie die Option List content is managed remotely (Listeninhalt wird per Fernzugriff verwaltet)
aus.
c
Wählen Sie die Option McAfee-maintained list (Von McAfee verwaltete Liste) aus, und klicken Sie auf
Choose (Auswählen).
d
Wählen Sie im Fenster Choose List Content (Listeninhalt auswählen) die Liste WebEx IP Ranges
(WebEx-IP-Adressbereiche) aus.
Produkthandbuch
7
Listen
Externe Listen
4
Klicken Sie in beiden Fenstern auf OK.
Die Liste wird nun in der Listenbaumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt.
5
Sie können die neu erstellte Liste nun in einer geeigneten Rege einsetzen.
Verwenden einer von McAfee verwalteten abonnierten Liste in einer Regel
Wenn eine von McAfee verwaltete abonnierte Liste in einer Regel verwendet werden soll, die für
Web-Datenverkehr zu bestimmten Zielen eine entsprechende Aktion durchführt, muss diese Liste in
den Regelkriterien konfiguriert werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Standard-Regelsatz SSL Scanner aus, und klicken
Sie zum Anzeigen der vollständigen Regelansicht auf Unlock View (Anzeige entsperren).
3
Achten Sie darauf, dass der Regelsatz aktiviert ist, und wählen Sie den untergeordneten Regelsatz
Handle CONNECT Call aus.
4
Klicken Sie auf Add Rule (Regel hinzufügen), und konfigurieren Sie im nun angezeigten Fenster auf
folgende Weise eine Regel.
a
Geben Sie unter Name einen Regelnamen an, z. B. Bypass SSL scanning for WebEx
destinations (SSL-Scannen bei WebEx-Zielen umgehen).
b
Nehmen Sie unter Criteria (Kriterien) folgende Konfigurationen vor:
•
Property (Eigenschaft): URL.Destination.IP
•
Operator: is in range list
•
Compare with (operand) (Vergleichen mit, Operand): WebEx IP Ranges Subscribed Lists
c
Wählen Sie unter Action (Aktion) die Aktion Stop Rule Set.
d
Das Fenster wird geschlossen, und die Regel wird nun als letzte Regel des Regelsatzes
angezeigt.
e
5
Verschieben Sie die Regel an die oberste Position.
Anfragen zu Zielen, deren IP-Adressen auf der WebEx-Liste aufgeführt sind, werden nun beim
SSL-Scan in Web Gateway umgangen.
Externe Listen
Daten können aus externen Quellen (z. B. von Web-Servern) abgerufen und in Regeln auf der
Appliance verwendet werden.
Bei diesen Daten kann es sich um eine ganze Liste oder um einen einzelnen Wert handeln. Im
Allgemeinen werden sie als externe Listen oder Daten aus externen Listen bezeichnet. In einer
externen Liste können unterschiedliche Datentypen wie Zeichenfolgen, Zahlen, IP-Adressen usw.
vorhanden sein.
Produkthandbuch
247
7
Listen
Externe Listen
Ein wichtiges Merkmal von externen Listen besteht darin, dass sie dynamisch auf der Appliance
verarbeitet werden. Das Abrufen und Konvertieren der Daten aus externen Listen erfolgt komplett zur
Laufzeit, wenn die Daten erstmalig in einer Regel verwendet werden.
Nach dem Abrufen der Daten werden diese für einen konfigurierbaren Zeitraum in einem internen
Cache, jedoch nicht auf einem Datenträger gespeichert, sodass sie bei einem Neustart der Appliance
nicht erhalten bleiben. Zudem werden externe Listen nicht in der Struktur der Listen auf der
Benutzeroberfläche aufgeführt.
Eigenschaften für externe Listen
Der Zugriff auf die aus externen Quellen abgerufenen Daten wird über spezielle Eigenschaften
ermöglicht. Der Name einer Eigenschaft für externe Listen ist ExtLists.<Typ>, wobei <Typ> den Typ
der Elemente in der Liste angibt, die den Wert der Eigenschaft darstellt. Der Wert von
ExtLists.IntegerList ist beispielsweise eine Liste von ganzen Zahlen. Mögliche Listenelementtypen sind
Zeichenfolge, Zahl, Platzhalterausdruck u. a.
Normalerweise ist der Wert einer Eigenschaft für externe Listen eine Liste, es gibt jedoch auch
Eigenschaften für externe Listen für einzelne Werte. Wenn eine externe Quelle mehrere Werte als
Eingabe für den letzteren Typ von Eigenschaft liefert, wird lediglich der letzte Wert abgerufen und
gespeichert.
Daten aus externen Listen können je nach Quelltyp gefiltert werden. Zudem können sie in ein anderes
Format konvertiert werden; dies hängt vom Typ der Eigenschaft ab, die in der jeweiligen Regel
verwendet wird.
Indem Sie Parameter für eine Eigenschaft für externe Listen konfigurieren, können Sie Platzhalter
angeben, die zur Laufzeit durch Eigenschaftenparameter ersetzt werden. Durch die Angabe dieser
Platzhalter können Sie den Inhalt einer externen Liste von Kriterien wie einem Benutzernamen oder
Benutzergruppennamen abhängig machen.
Für Protokollierungszwecke können Sie die Eigenschaft ExtLists.LastUsedListName verwenden, deren
Wert der Name der Einstellungen für das Modul „External Lists (Externe Listen) ist, die zuletzt
verwendet wurden.
Modul „External Lists“
Um anzugeben, welche Daten aus einer externen Quelle abgerufen werden sollen, müssen Sie die
Einstellungen des Moduls External Lists (Externe Listen) konfigurieren, das die Daten abruft (dieses
Modul wird auch als Filter oder Engine „External Lists“ bezeichnet).
Wenn keine externen Daten abgerufen werden können, gibt das Modul „External Lists“ einen
Fehlercode zurück, der mit Fehler-Handler-Regeln verarbeitet werden kann. Für diesen Zweck ist ein
gesonderter Bereich von Fehler-IDs verfügbar.
Das Modul „External Lists“ belegt Speicher beim Caching von Daten, die es aus externen Quellen
abruft. Dies sollten Sie beim Einrichten von Regeln für die Verarbeitung externer Listen
berücksichtigen.
Quellen von Daten aus externen Listen
Zu den Quellen der Inhalte, mit denen externe Listen gefüllt werden, zählen Folgende:
248
•
Ein Web-Dienst, auf den unter dem HTTP-, HTTPS- oder FTP-Protokoll zugegriffen wird
•
Eine Datei in Ihrem lokalen Dateisystem
•
Ein LDAP- oder LDAPS-Server
Produkthandbuch
7
Listen
Externe Listen
•
Eine Datenbank:
•
PostgreSQL
•
SQLite3
Beim Abfragen der Datenbanken wird die SQL-Abfragesprache verwendet. Das konkrete Abfrageformat
kann sich jedoch für beide Datenbanktypen unterscheiden.
Da eine SQLite3-Datenbank dateibasiert arbeitet, empfiehlt es sich, sie für Testzwecke und nicht in
einer Produktionsumgebung zu nutzen. Dennoch können Sie diesen Typ ggf. nutzen, wenn Sie bereits
über Daten in einer Datenbank dieses Typs verfügen. Andernfalls ist es einfacher, einen Web-Dienst
oder eine Dateidatenquelle zu nutzen, um Inhalte externer Listen abzurufen.
Empfohlene Verwendung
Die Arbeit mit externen Listen empfiehlt sich u. a. in den nachfolgend beschriebenen Fällen.
Sie müssen eine große Anzahl von Listen verwalten, die zum Großteil in externen Quellen gespeichert
sind, Sie führen mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung aus,
und Sie müssen häufig Änderungen an den Listendaten vornehmen.
Beim Synchronisieren sämtlicher Listendaten auf allen Knoten ist möglicherweise keine Skalierbarkeit
mehr gegeben.
Verwenden externer Listendaten in Regeln
Zum Verarbeiten externer Listendaten müssen Sie Regeln konfigurieren, die passende Eigenschaften
für externe Listen in ihren Kriterien enthalten.
Angenommen, Sie möchten eine Anfrage für ein Web-Objekt blockieren, wenn dessen URL über eine
Ziel-IP-Adresse verfügt, die in einem der IP-Adressenbereiche in einer Liste liegt, die auf einer
externen Quelle gespeichert ist.
Sie können dies mit der folgenden Regel erreichen:
Block URLs with IP addresses in forbidden range
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –> Block<URL
Blocked>
Beim Verarbeiten der Regel wird überprüft, ob die IP-Adresse, bei der es sich um den Wert der
Eigenschaft URL.Destination.IP handelt, in einem der Bereiche in der Liste liegt, die der Wert für
ExtLists.IPRangeList ist.
Zusammen mit der Eigenschaft der externen Liste werden die <External Lists>-Einstellungen
angegeben. Hierbei handelt es sich um die Einstellungen, mit denen das Modul „External Lists“
(Externe Listen) die entsprechenden Daten als Wert für die Eigenschaft der externen Liste abruft.
Sie müssen diese Einstellungen konfigurieren, um dem Modul anzugeben, von welchem Speicherort
und auf welche Weise eine bestimmte externe Liste abgerufen werden soll. Wenn beispielsweise die
Liste in einer Textdatei auf einem Web-Server gespeichert wird, können Sie die URL für den Zugriff auf
die Datei angeben.
Außerdem können Sie Einstellungen wie Zeitlimits und Größenbeschränkungen konfigurieren.
Die Parameter der Eigenschaft einer externen Liste sind optional. In diesem Beispiel sind die
Parameter leer.
Produkthandbuch
249
7
Listen
Externe Listen
Standardmäßig sind auf der Appliance keine Regeln zur Verarbeitung externer Listen vorhanden. Wenn
Sie über Daten der externen Liste den Web-Zugriff für die Benutzer Ihres Netzwerks einschränken
möchten, müssen Sie eine oder mehrere Regeln wie die obigen Regeln einrichten und in einen
passenden Regelsatz einfügen.
Ersetzung und Platzhalter
Für eine höhere Flexibilität beim Abrufen externer Listendaten können Platzhalter beim Konfigurieren
der Einstellungen des Moduls „External Lists“ (Externe Listen) verwendet werden, z. B. in URLs.
Ein Platzhalter wird zur Laufzeit durch einen Wert ersetzt, den Sie als Parameter einer Eigenschaft für
externe Listen bereitstellen.
Angenommen, Sie möchten Daten von einem Web-Dienst abrufen, der Listen mit Medientypen
bereitstellt, die für einzelne Benutzer zulässig sind. Eine URL für einen bestimmten Medientyp sähe
dann wie folgt aus:
http://my-web-service.com/ mediatypes?user= <Wert>
Dabei ist <Wert> der Name eines Benutzers.
Da das Konfigurieren separater Einstellungen für das Modul „External Lists“ (Externe Listen) zur
individuellen Berücksichtigung jedes einzelnen Benutzers sehr aufwändig wäre, können Platzhalter wie
folgt verwendet werden:
•
Für den Parameter Web service’s URL (URL des Web-Diensts) in den Einstellungen geben Sie
Folgendes an:
http://my-web-service.com/mediatypes?user=${0}
Dabei ist ${0} ein Platzhalter für den ersten der drei Parameter der Eigenschaft für externe Listen,
die Sie in einer Regel verwenden.
•
Für den ersten Parameter der Eigenschaft für externe Listen geben Sie die Eigenschaft
Authentication.Username an.
Dadurch wird eine Liste mit den Medientypen abgerufen, die für einen individuellen Benutzer zulässig
sind. Der Benutzername ist der Name, den dieser Benutzer angegeben hat, als er sich nach dem
Senden einer Anfrage für den Zugriff auf einen bestimmten Medientyp authentifizieren musste.
250
Produkthandbuch
7
Listen
Externe Listen
Die folgenden beiden Platzhaltertypen können verwendet werden:
•
${<n>}: Durch einen konvertierten Wert ersetzter Platzhalter
<n> ist die Positionsnummer (0, 1, 2) für einen Parameter der Eigenschaft für externe Listen. Zur
Laufzeit wird dieser Platzhalter durch den Wert ersetzt, den Sie beim Konfigurieren des Parameters
angegeben haben.
Vor dem Ersetzen des Platzhalters wird der Wert konvertiert. Dieser Vorgang wird auch als
„Escaping“ bezeichnet. Die Konvertierung erfolgt gemäß den internen Regeln der beteiligten
Datenquelle.
Wenn die Quelle beispielsweise ein Web-Dienst ist, werden alle Zeichen ersetzt, die durch
%XX-Folgen nicht zulässig sind, wie im entsprechenden HTTP-Standard (RFC 2616) angegeben.
•
$<<n>>: Durch einen nicht konvertierten Wert ersetzter Platzhalter
Wie oben, jedoch ohne Konvertierung. Sie müssen also selber dafür sorgen, dass die Ersetzung zu
keinen unerwünschten Ergebnissen führt.
Sie können diesen Platzhaltertyp verwenden, wenn URLs vollständig und nicht nur teilweise ersetzt
werden.
Konfigurieren des Moduls „External Lists“
Sie können die Einstellungen für das Modul „External Lists“ konfigurieren, um die erforderlichen
Informationen anzugeben, anhand derer das Modul Daten aus externen Listen abruft.
Standardmäßig sind für dieses Modul auf der Appliance keine Einstellungen vorhanden. Sie müssen
einzelne Einstellungen hinzufügen und diese für jede externe Liste konfigurieren, aus der in einer
Regel Daten abgerufen werden sollen.
Vorgehensweise
1
2
Wählen Sie in der Einstellungs-Baumstruktur External Lists (Externe Listen) aus, und klicken Sie auf
Add (Hinzufügen).
3
Geben Sie im Feld Name den Namen der Einstellungen ein.
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
5
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an,
6
Konfigurieren Sie die anderen Parameter der Einstellungen nach Bedarf.
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Einstellungen werden in der Einstellungs-Baumstruktur
unter External Lists (Externe Listen) angezeigt.
8
Produkthandbuch
251
7
Listen
Externe Listen
Einstellungen für das Modul „External Lists“
Mit den Einstellungen für das Modul „External Lists“ (Externe Listen) können Sie das Modul
konfigurieren, das Daten aus externen Quellen abruft.
Typ der Datenquelle
Einstellungen für den Typ der Quelle, von der die Daten abgerufen werden
Sie können bestimmte Einstellungen für jeden Quellentyp in einem anderen Abschnitt konfigurieren,
der je nachdem erscheint, was Sie hier auswählen.
Tabelle 7-5 Typ der Datenquelle
Option
Definition
Web service (Web-Dienst)
Daten werden mithilfe eines Web-Diensts unter dem HTTP-, HTTPS- oder
FTP-Protokoll abgerufen.
File on disk (Datei auf Datenträger) Daten werden aus einer Datei innerhalb Ihres lokalen Dateisystems
abgerufen.
LDAP
Data werden von einem LDAP-Server abgerufen.
Database (Datenbank)
Daten werden aus einer PostgreSQL- oder SQLite3-Datenbank
abgerufen.
Allgemeine Parameter
Einstellungen für Zeitbegrenzungen bei der Verarbeitung externer Listen
252
Produkthandbuch
7
Listen
Externe Listen
Tabelle 7-6 Allgemeine Parameter
Option
Definition
Operation timeout
(Vorgangszeitlimit)
Gibt die Zeitspanne (in Sekunden) an, nach der ein Verarbeitungsvorgang
für externe Listen abgebrochen wird, wenn er nicht erfolgreich
abgeschlossen werden kann.
Diese Option wird angewendet, wenn die Quelle einer externen Liste ein
Web-Server ist. Das Zeitlimit ist erreicht, wenn beispielsweise ein
Web-Server nicht auf die Anfrage der Appliance antwortet.
Das Ende des Zeitlimits können Sie wie folgt angeben:
• Simple expiration (Einfaches Ende): Bei Auswahl dieser Option können Sie im
Eingabefeld „Expiration time“ (Ablaufzeit) die Zeit (in Minuten) angeben,
die verstreichen soll, bevor abgerufene Listendaten aus dem internen
Cache gelöscht werden.
• Scheduled expiration (Geplantes Ende): Bei Auswahl dieser Option können Sie in
mehreren angezeigten Eingabefeldern die Zeit angeben, die verstreichen
soll, bevor eine externe Liste aus dem internen Cache gelöscht wird.
Expiration time (Ablaufzeit)
Begrenzung der Zeit (in Minuten), die verstreicht, bevor abgerufene Daten
aus dem internen Cache gelöscht werden.
Minutes/Hours/Days/Months/
Week days (Minuten/
Stunden/Tage/Monate/
Wochentage)
Begrenzung der Zeit, die verstreicht, bevor abgerufene Daten aus dem
internen Cache gelöscht werden.
Diese Eingabefelder werden angezeigt, wenn Sie Scheduled expiration
(Geplantes Ende) auswählen.
Ihre Eingabe muss in einem „cron“-kompatiblen Format erfolgen, da der
Löschvorgang von einem Cron-Job berechnet und durchgeführt wird.
Weitere Informationen hierzu finden Sie auf der Hilfeseite crontab (5) der
Dokumentation für Linux (UNIX)-Betriebssysteme.
Sie können in einem dieser Felder oder in einer beliebigen Kombination aus
Feldern Werte angeben.
Datenkonvertierungseinstellungen
Einstellungen für die Konvertierung von Daten, die aus einer externen Quelle abgerufen wurden
Diese Einstellungen sind nur verfügbar, wenn Sie als Datenquelle Web service (Web-Dienst) oder File on
disk (Datei auf Datenträger) ausgewählt haben.
Produkthandbuch
253
7
Listen
Externe Listen
Tabelle 7-7 Datenkonvertierungseinstellungen
Option
Definition
Data type (Datentyp)
Hier können Sie das Eingabeformat der zu konvertierenden Daten auswählen.
• Plain text (Nur-Text): Die Daten liegen im Nur-Text-Format vor.
Jede Zeile erscheint als separater Eintrag in einer konvertierten Liste.
Optional können Sie einen regulären Ausdruck als Filterbegriff im darunter
befindlichen Eingabefeld angeben. Dann werden nur Zeichenfolgen, die mit
diesem Begriff übereinstimmen, in die Liste eingetragen.
Wenn sich im regulären Ausdruck kein Gruppierungsoperator befindet, wird
die gesamte Zeichenfolge in einer Liste gespeichert. Andernfalls werden die
von der ersten Gruppe erfassten Daten gespeichert.
• XML: Die Daten liegen im XML-Format vor.
Sie müssen einen XPath-Ausdruck angeben, um die abzurufenden Daten
auszuwählen. Die Daten können beispielsweise gemäß XML-Tags oder
Attributen abgerufen werden.
Regular expression
Hier können Sie einen regulären Ausdruck angeben, mit dem die zu
(Regulärer Ausdruck) konvertierenden Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option
Plain text (Nur-Text) ausgewählt haben.
XPath expression
(XPath-Ausdruck)
Hier können Sie einen XPath-Ausdruck angeben, mit dem die zu
konvertierenden Daten abgerufen werden.
Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option
XML text (XML-Text) ausgewählt haben.
Informationen über die Verwendung von XPath-Ausdrücken finden Sie in der
entsprechenden Dokumentation, beispielsweise im XPath-Tutorial auf der
Website w3schools.
XPath expression for
second attribute (only for
MapType)
(XPath-Ausdruck für
zweites Attribut (nur
für Zuordnungstyp))
Hier können Sie einen XPath-Ausdruck für ein zweites Attribut angeben, das
zum Abrufen von Konvertierungsdaten vom Typ „Zuordnungstyp“ verwendet
wird.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs abgerufen,
das durch das Angeben eines XPath-Ausdrucks im Feld XPath expression
(XPath-Ausdruck) konfiguriert wird.
Die Anzahl der Einträge, die mithilfe dieses XPath-Ausdrucks aus einer
externen Liste abgerufen werden, muss genauso groß wie die Anzahl der
Einträge sein, die mithilfe des Ausdrucks für das erste Attribut abgerufen
werden.
Die Reihenfolge, in der die Einträge mithilfe der beiden Ausdrücke abgerufen
werden, muss ebenfalls gleich sein.
Web-Dienst-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein Web-Dienst ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option
„Web service“ (Web-Dienst) ausgewählt ist.
254
Produkthandbuch
7
Listen
Externe Listen
Tabelle 7-8 Web-Dienst-spezifische Parameter
Option
Definition
Web service’s URL (URL des Web-Diensts) Hier können Sie die URL einer Datei auf einem Web-Server
angeben, die eine externe Liste enthält und die von einem
bestimmten Web-Dienst (HTTP, HTTPS oder FTP)
bereitgestellt wird.
In der URL können Sie einen Platzhalter angeben.
Specify authentication data
(Authentifizierungsdaten angeben)
Bei Auswahl dieser Option können Sie Informationen für eine
Authentifizierung angeben, die erfolgreich durchgeführt
werden muss, bevor Daten von einem Web-Dienst abgerufen
werden können.
Type of HTTP authentication
(HTTP-Authentifizierungstyp)
Hier können Sie aus einer Liste einen
HTTP-Authentifizierungstyp auswählen.
Die folgenden Typen werden unterstützt: None (Keine), Basic
(Einfach), Digest
User's name (Benutzername)
Hier können Sie einen Benutzernamen angeben, der zur
Authentifizierung gesendet wird.
User's password (Benutzerkennwort)
Hier können Sie ein Kennwort festlegen, das zur
Authentifizierung gesendet wird.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen
des Kennworts zu öffnen.
Use next-hop proxy for access to server (Proxy Bei Auswahl dieser Option erfolgt der Zugriff auf den
am nächsten Hop für Server-Zugriff
Web-Server über einen Proxy-Server des nächsten Hops
verwenden)
Wenn Sie dieses Kontrollkästchen aktivieren, können die
folgenden drei Elemente ausgewählt werden.
List of next-hop proxy servers to use (Liste
der zu verwendenden Proxy-Server
am nächsten Hop)
Hier können Sie aus einer Liste einen Server auswählen, der
als Proxy des nächsten Hops für den Zugriff auf den
Web-Server verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um
ein Fenster zum Hinzufügen einer neuen Liste bzw. zum
Bearbeiten einer vorhandenen Liste zu öffnen.
List of certificate authorities (Liste der
Zertifizierungsstellen)
Hier können Sie aus einer Liste eine Zertifizierungsstelle
auswählen, die für die SSL-gesicherte Kommunikation mit
einem Web-Dienst verwendet werden kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um
ein Fenster zum Hinzufügen einer neuen Liste bzw. zum
Bearbeiten einer vorhandenen Liste zu öffnen.
List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header)
Hier können Sie aus einer Liste einen Header auswählen, der
zu einer HTTP-Anfrage hinzugefügt wird, nachdem sie auf
einer Appliance empfangen wurde.
In der folgenden Tabelle sind die Elemente eines Eintrags unter List of additional HTTP headers (Liste der
zusätzlichen HTTP-Header) beschrieben.
Produkthandbuch
255
7
Listen
Externe Listen
Tabelle 7-9 Zusätzliche HTTP-Header – Listeneintrag
Option
Definition
Header name (Header-Name) Hier können Sie den Namen eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Header value (Header-Wert)
Hier können Sie den Wert eines Headers angeben, der einer HTTP-Anfrage
hinzugefügt wird.
Comment (Kommentar)
Hier können Sie einen Kommentar im Nur-Text-Format zum Header eingeben.
Dateispezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datei in Ihrem
lokalen Dateisystem ist
Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option File
on disk (Datei auf Datenträger) ausgewählt ist.
Tabelle 7-10 Dateispezifische Parameter
Option
Definition
Full path to the file (Vollständiger Pfad zur Datei) Hier können Sie den Pfad zu der Datei in Ihrem lokalen
Dateisystem angeben, die die Quelle einer externen Liste ist.
LDAP-spezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein LDAP-Server ist
LDAP ausgewählt ist.
Tabelle 7-11 LDAP-spezifische Parameter
Option
Definition
LDAP server’s URL (URL des Hier können Sie den Namen der Datei in Ihrem lokalen Dateisystem
LDAP-Servers)
angeben, die die Quelle einer externen Liste ist.
In der URL können Sie einen Platzhalter angeben.
Um den möglichen Speicherort der Datei einzugrenzen, können Sie bei der
Konfiguration der Systemeinstellungen für externe Listen einen bestimmten
Teil Ihres lokalen Dateisystems angeben.
Die Datei muss sich dann in diesem Teil befinden, z. B. opt/mwg/temp.
List of certificate authorities
(Liste der
Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die für
die SSL-gesicherte Kommunikation mit einem Web-Dienst verwendet werden
kann.
Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum
Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste
zu öffnen.
Hier können Sie den Benutzernamen angeben, den die Appliance zum
Herstellen einer Verbindung mit einem LDAP-Server sendet.
LDAP password
(LDAP-Kennwort)
Hier können Sie das Kennwort festlegen, das die Appliance zum Herstellen
einer Verbindung mit einem LDAP-Server sendet.
Zum Festlegen oder Ändern des Kennworts verwenden Sie die Schaltfläche
Set/Change (Festlegen/Ändern).
256
Produkthandbuch
7
Listen
Externe Listen
Tabelle 7-11 LDAP-spezifische Parameter (Fortsetzung)
Option
Definition
Search DN (DN durchsuchen) Hier können Sie den Namen einer Domäne in der Datenbank auf einem
LDAP-Server angeben, die nach einer externen Liste durchsucht wird.
In diesem Namen können Sie einen Platzhalter angeben.
Search scope (Suchbereich)
Hier können Sie den Suchbereich für die Suche nach einer externen Liste auf
einem LDAP-Server auswählen.
• Subtree (Unterstruktur): Die gesamte Unterstruktur der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• One level (Eine Ebene): Nur eine Ebene unter der unter Search DN (DN
durchsuchen) angegebenen Domäne wird durchsucht.
• Base (Basis): Nur die Basis der unter Search DN (DN durchsuchen)
angegebenen Domäne wird durchsucht.
Search filter (Suchfilter)
Hier können Sie einen Begriff für die Filterung der Suchergebnisse nach einer
externen Liste auf einem LDAP-Server angeben.
Nur wenn der Name eines Eintrags in der Datenbank mit dem Filterbegriff
übereinstimmt, wird das Element, für das der Eintrag steht, abgerufen.
In diesem Begriff können Sie einen Platzhalter angeben.
Attribute (Attribut)
Hier können Sie das Attribut eines Elements in der Datenbank auf einem
LDAP-Server angeben, nach dem gesucht wird, beispielsweise eine
E-Mail-Adresse.
Second attribute (only for
MapType) (Zweites Attribut
(nur für MapType))
Hier können Sie ein zweites Attribut eines Datenbankelements auf einem
LDAP-Server angeben, nach dem gesucht wird, wenn die Daten für dieses
Element vom Typ „Zuordnungstyp“ sind.
Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines
Zuordnungstyp-Schlüsselwertpaars.
Die Daten für den Schlüssel werden mithilfe eines ersten Attributs
abgerufen, das im Feld Attribute (Attribut) konfiguriert wird.
Enable LDAP version 3
(LDAP-Version 3 aktivieren)
Bei Auswahl dieser Option wird die Version 3 des LDAP-Protokolls verwendet
Wenn Sie diese Option deaktivieren, müssen Sie die Codierung angeben, die
für die Kommunikation mit dem LDAP-Server verwendet wird.
Das folgende Eingabefeld für diese Informationen wird angezeigt, wenn Sie
die Auswahl von Enable LDAP version 3 (LDAP-Version 3 aktivieren) aufheben.
Allow LDAP library to follow
referrals (Verfolgen von
Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option können Weiterleitungen zu Speicherorten
außerhalb des LDAP-Servers, auf dem eine Suche nach einer externen Liste
durchgeführt wurde, verfolgt werden, um die Liste abzurufen.
Datenbankspezifische Parameter
Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datenbank ist
Database (Datenbank) ausgewählt ist.
Produkthandbuch
257
7
Listen
Externe Listen
Tabelle 7-12 Datenbankspezifische Parameter
Option
Definition
SQL query
(SQL-Abfrage)
Hier können Sie eine Zeichenfolge zur Kennzeichnung des Abfragetyps
angeben, der in einer Datenbank durchgeführt wird.
Der Standardabfragetyp zum Abrufen externer Listeninformationen lautet
SELECT.
Sie können die Zeichenfolge mit einem Semikolon (;) abschließen, dies ist
jedoch nicht erforderlich.
Eine Abfrage kann auch Platzhalter enthalten, um variable Daten
einzuschließen.
Wenn der Platzhalter $N verwendet wird, werden die als Variablenwert
eingefügten Daten „escaped“, um eine SQL-Injektion zu verhindern. Ein \
(umgekehrter Schrägstrich) wird dann durch einen \\ (doppelten umgekehrten
Schrägstrich) ersetzt, und einem ' (Apostroph) wird ein \ (umgekehrter
Schrägstrich) vorangestellt.
Eine SQL-Abfrage gibt normalerweise eine Datenspalte zurück. Wenn Sie eine
Abfrage durchführen, die mehrere Spalten zurückgibt, wird nur die erste Spalte
für externen Listeninhalt verwendet.
Um Inhalt aus mehreren Spalten abzurufen, müssen Sie mithilfe der
entsprechenden SQL-Operatoren kombinierte Spalten für die Ausgabe angeben.
Type of database
(Datenbanktyp)
Hier können Sie den Datenbanktyp angeben, aus dem Inhalt externer Listen
abgerufen wird.
Die folgenden Typen stehen zur Verfügung:
• PostgreSQL
• SQLite3
Nach der Auswahl des Datenbanktyps werden die entsprechenden
datenbankspezifischen Parameter angezeigt.
Tabelle 7-13 PostgreSQL-Datenbank-spezifische Parameter
Option
Definition
Database host (Datenbank-Host)
Hier können Sie den Host-Namen des Servers angeben, auf dem
sich eine Datenbank befindet.
Database port (Datenbank-Port)
Hier können Sie die Port-Nummer des Ports auf einem
Datenbank-Host angeben, der auf Anfragen zum Abrufen externer
Listeninhalte überwacht.
Name of database on database server
(Name der Datenbank auf dem
Datenbank-Server)
Hier können Sie den Namen einer Datenbank angeben, unter dem
die Datenbank auf dem Datenbank-Server bekannt ist.
Database user name (Benutzername für
Datenbank)
Hier können Sie den Benutzernamen einer Appliance angeben, der
zum Herstellen einer Verbindung mit einem Datenbank-Server
verwendet wird.
Database password (Kennwort für
Datenbank)
Hier können Sie ein Kennwort für den Benutzernamen einer
Appliance festlegen.
Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des
Kennworts zu öffnen.
258
Produkthandbuch
7
Listen
Externe Listen
Tabelle 7-14 SQLite-Datenbank-spezifische Parameter
Option
Definition
File path to SQLite database (Dateipfad zu
SQLite-Datenbank)
Hier können Sie den vollständigen Pfad zu der Datei auf
einer Appliance angeben, die eine Datenbank enthält.
Erweiterte Parameter
Einstellungen für erweiterte Methoden bei der Verarbeitung externer Listen
Tabelle 7-15 Erweiterte Parameter
Option
Definition
Skip „bad“ entries during data
conversion (Fehlerhafte Einträge bei
Datenkonvertierung überspringen)
Bei Auswahl dieser Option werden Daten, die nicht in den
gewünschten Typ konvertiert werden können, z. B. Integer, Double
oder Boolean, übersprungen
Maximal number of entries to fetch
(Maximale Anzahl abzurufender
Einträge)
Hier können Sie die Anzahl der Einträge begrenzen, die aus der
externen Liste abgerufen werden.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Maximal size of entries to fetch
(Maximale Größe abzurufender
Einträge)
Hier können Sie die Datenmenge begrenzen (in KB), die aus einer
externen Liste abgerufen wird.
Die Zahl kann im Bereich von 0 bis unbegrenzt liegen
Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle
von großen Listen einen hohen Speicherverbrauch zu vermeiden.
Diese Option ist nicht verfügbar, wenn die Quelle der externen Liste
ein LDAP-Server ist.
Konfigurieren von allgemeinen Einstellungen für externe Listen
Sie können Einstellungen konfigurieren, die für alle externen Listen gelten, die für die Verwendung auf
der Appliance abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen
konfigurieren möchten, und klicken Sie auf External Lists (Externe Listen).
Nun werden die Einstellungen für die externen Listen im Einstellungsbereich angezeigt.
3
4
Systemeinstellungen für „External Lists“ (Externe Listen)
Die Systemeinstellungen für „External Lists“ (Externe Listen) gelten für alle externen Listen, die auf
der Appliance verarbeitet werden.
Global Configuration (Globale Konfigurationen)
Einstellung für den internen Cache auf der Appliance, in dem Daten aus externen Listen gespeichert
werden
Produkthandbuch
259
7
Listen
Externe Listen
Tabelle 7-16 Global Configuration (Globale Konfigurationen)
Option
Definition
Flush External Lists Cache
Entfernt die im internen Cache gespeicherten Daten.
(Cache für externe Listen leeren)
Time before retry after failure
Beschränkt den Zeitraum (in Sekunden), für den vom Modul „External
(Zeitraum bis Wiederholung nach Lists“ (Externe Listen) ein Fehler beim Abrufen von Daten aus einer
Fehler)
bestimmten externen Quelle gespeichert wird, auf den angegebenen Wert.
Das Modul führt keine Wiederholungsversuche für eine Quelle aus,
solange der Fehler gespeichert ist.
Es wird empfohlen, den Standardwert zu übernehmen oder diesen
entsprechend den jeweiligen Anforderungen Ihres Netzwerks zu ändern.
Auf diese Weise vermeiden Sie eine weitere Belastung eines ohnehin
bereits überlasteten Web-Servers durch ständige Wiederholungsversuche.
File Data Source Configuration (Konfiguration von Dateidatenquellen)
Einstellung für das lokale Dateisystem, aus dem Daten aus externen Listen abgerufen werden können
Tabelle 7-17 File Data Source Configuration (Konfiguration von Dateidatenquellen)
Option
Definition
File system allowed for file data
access (Zulässiges Dateisystem für
Dateidatenzugriff)
Gibt den Pfad zu dem Ordner im lokalen Dateisystem an, in dem
externe Listen gespeichert sind.
Externe Listen, aus denen Daten abgerufen werden, müssen in diesem
Ordner gespeichert sein.
Andernfalls wird beim Versuch, die Daten abzurufen, der Fehler
„Zugriff verweigert“ ausgegeben.
Wenn Daten aus externen Listen aus einer SQLite-Datenbank
abgerufen werden, wird hier der Pfad zum Ordner im lokalen
Dateisystem angegeben, der die Datenbank enthält.
Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Einstellung für alle Web-Dienste, die Quellen für Daten aus externen Listen darstellen
Tabelle 7-18 Web Data Source Configuration (Konfiguration von Web-Datenquellen)
Option
Definition
Check SSL certificate identity
(Identität für SSL-Zertifikat
überprüfen)
Bei Auswahl dieser Option wird ein von einem Web-Server in der
SSL-gesicherten Kommunikation unter dem HTTPS-Protokoll
gesendetes Zertifikat überprüft
Die Überprüfung erfolgt gemäß den SSL-Scan-Regeln, die auf der
Appliance implementiert sind.
Dies kann z. B. zu einem Fehler führen, wenn der Web-Server ein
selbstsigniertes Zertifikat verwendet.
260
Produkthandbuch
7
Listen
Zuordnungstyplisten
Zuordnungstyplisten
Mit Zuordnungstyplisten, auch als Zuordnungen bezeichnet, können einander zugeordnete Schlüsselund Wertepaare gespeichert werden. Bei den Schlüsseln und den zugehörigen Werten handelt es sich
jeweils um Zeichenfolgen.
Vorhandene Zuordnungen können für Suchvorgänge verwendet werden, um beispielsweise
herauszufinden, ob ein bestimmter Schlüssel in einer Zuordnung vorhanden ist oder welcher Wert
einem Schlüssel zugeordnet ist.
Weiterhin ist es möglich, Werte für einen bestimmten Schlüssel zu setzen oder zu löschen und eine
komplette Zuordnung in eine einzelne Zeichenfolge zu konvertieren.
Sie können Zuordnungstyplisten auf der Benutzeroberfläche von Web Gateway erstellen und füllen
oder sie mithilfe der Funktionen „Externe Listen“ und „Abonnierte Listen“ von einem
Remote-Speicherort abrufen.
Wenn Sie mit anderen Datentypen für Ihre Zuordnungen arbeiten möchten, z. B. Nummern oder
IP-Adressen, können Sie diese mithilfe von Eigenschaften wie Number.ToString oder IP.ToString
konvertieren.
Erstellen einer Zuordnungstypliste
Zum Erstellen einer Zuordnungstypliste fügen Sie eine Liste dieses Typs hinzu und füllen diese mit
Paaren aus Schlüsseln und Werten.
Vorgehensweise
1
2
Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen).
3
Fügen Sie eine Zuordnungsliste hinzu.
a
Geben Sie im Feld Name den Namen für die Liste ein.
b
Wählen Sie in der Liste Type (Typ) die Option MapType (Zuordnungstyp) aus.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Zuordnungsliste wird nun in der Listen-Baumstruktur
unter Custom Lists | MapType (Benutzerdefinierte Listen | Zuordnungstyp) angezeigt.
Mithilfe des Einstellungsbereichs können Sie nun Einträge in die Liste einfügen.
4
Klicken Sie im Einstellungsbereich auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Map Type (Zuordnungstyp hinzufügen).
5
Für jedes Eintragungspaar müssen Sie Folgendes in die Liste eingeben:
a
Geben Sie im Feld key (Schlüssel) einen Schlüsselnamen ein.
b
Geben Sie im Feld value (Wert) einen Wert ein.
c
Klicken Sie auf OK.
Das Fenster wird geschlossen, und das Eintragungspaar wird in der ersten Zeile des
Einstellungsbereichs angezeigt.
6
Produkthandbuch
261
7
Listen
Zuordnungstyplisten
Verwenden von Eigenschaften zur Arbeit mit
Zuordnungstyplisten
Es gibt mehrere Eigenschaften zur Arbeit mit Zuordnungstyplisten. Durch das Verwenden dieser
Eigenschaften in Regelkriterien können Sie Informationen zu einer Zuordnungstypliste abrufen, eine
Liste bearbeiten, eine neue Liste erstellen und auch eine Liste in eine Zeichenfolge konvertieren.
Zum Abrufen von Informationen über eine Zuordnungstypliste (Zuordnung) können Sie folgende
Aktionen ausführen:
•
Abrufen einer Zuordnung, für die Sie einen Namen angeben
•
Überprüfen, ob in einer Zuordnung ein bestimmter Schlüssel vorhanden ist
•
Abrufen der Anzahl an Schlüsselwertpaaren in einer Zuordnung
•
Abrufen einer Liste der Schlüssel in einer Zuordnung
•
Abrufen des Werts für einen bestimmten Schlüssel in einer Zuordnung
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.ByName
Stellt eine Zuordnung mit dem von Ihnen angegebenen Namen bereit.
Map.HasKey
Ist „True“, wenn die angegebene Zuordnung den angegebenen Schlüssel
enthält.
Map.Size
Gibt die Anzahl der Schlüsselwertpaare in einer Zuordnung an.
Map.GetKeys
Bietet eine Liste der Schlüssel in einer Zuordnung.
Map.GetStringValue Bietet die Zeichenfolge, die den Wert des angegebenen Schlüssels in der
angegebenen Zuordnung darstellt.
Sie können beispielsweise mithilfe der Eigenschaft Map.GetStringValue in den Kriterien einer Regel
feststellen, ob ein Schlüssel in einer Liste über einen bestimmten Wert verfügt. Der Schlüssel könnte
ein Benutzername und der Wert eine Zeichenfolge sein, die als Token zur Authentifizierung dient.
Die Kriterien würden dann folgendermaßen konfiguriert werden:
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
Wenn der Schlüssel sampleuser den Wert sampletoken hat, stimmen die Kriterien überein, und die
Regel führt eine bestimmte Aktion aus, z. B. Weiter.
Wenn eine Zuordnung bearbeitet wird, werden die Änderungen für eine Kopie der ursprünglichen
Zuordnung übernommen, und die ursprüngliche Zuordnung bleibt selber unverändert. Um eine
Zuordnung auf diese Weise zu bearbeiten, können Sie folgende Aktionen durchführen:
•
Festlegen eines bestimmten Werts für einen Schlüssel
•
Löschen eines Schlüssels
Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet.
Eigenschaft
Beschreibung
Map.SetStringValue Bietet eine Zuordnung, in der der angegebene Wert für den angegebenen
Schlüssel festgelegt ist.
Map.DeleteKey
Bietet eine Zuordnung, in der der angegebene Wert gelöscht wird.
Zum Erstellen einer neuen Zuordnung oder zum Konvertieren einer Zuordnung in eine Zeichenfolge
werden die folgenden Eigenschaften verwendet.
262
Produkthandbuch
7
Listen
Zuordnungstyplisten
Eigenschaft
Beschreibung
Map.CreateStringMap
Bietet eine neue Zuordnung, die noch leer ist.
Map.ToString
Bietet eine in eine Zeichenfolge konvertierte Zuordnung.
Abrufen von Zuordnungsdaten aus externen und abonnierten
Listen
Daten für Zuordnungstyplisten (Zuordnungen) können aus externen und abonnierten Listen abgerufen
werden.
Externe Listen
Zum Abrufen von Zuordnungsdaten aus einer externen Liste wird die Eigenschaft ExtLists.StringMap
bereitgestellt, die in den Kriterien einer geeigneten Regel angegeben werden kann. Der Wert dieser
Eigenschaft ist eine Liste von Zuordnungen, deren Quelle eine externe Liste ist.
Wenn Sie z. B. feststellen möchten, ob ein bestimmter Schlüssel in einer aus einer externen Quelle
abgerufenen Liste enthalten ist, können Sie die folgenden Regelkriterien konfigurieren:
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
Zum Angeben der externen Liste und der Quelle, aus der sie abgerufen werden kann, müssen Sie die
Einstellungen des Moduls „External Lists“ (Externe Listen) konfigurieren, das die Listen abruft. In den
oben angegebenen Kriterien werden diese Einstellungen unter dem Namen External Lists (Externe
Listen) angezeigt.
Daten aus externen Listen können von einem Web-Dienst, aus einer Datei, einer PostgreSQL- oder
SQLite3-Datenbank oder über LDAP abgerufen werden. Beim Konfigurieren des Abrufens von Daten
für eine Zuordnung ist bei diesen Quelltypen Folgendes zu beachten:
•
Web-Dienst oder Datei
Der Typ der Daten, die von einem Web-Dienst oder aus einer Datei abgerufen werden, muss Plain
Text (Nur-Text-Format) sein.
Zum Auffinden der Daten wird ein regulärer Ausdruck verwendet, der zwei Teile umfasst. Der erste
Teil ist für die Schlüssel und der zweite Teil für die Werte bestimmt.
•
Datenbanken
Die Datenbankabfrage zum Abrufen der Daten muss zwei Spalten zurückgeben. Die erste Spalte
liefert die Schlüssel, während in der zweiten Spalte die Werte enthalten sind.
•
LDAP
Zum Abrufen der Daten werden in den LDAP-Einstellungen ein erstes und ein zweites Attribut
konfiguriert. Das erste Attribut liefert die Schlüssel, während das zweite Attribut die Werte angibt.
Abonnierte Listen
Einträge in abonnierten Listen, aus denen Zuordnungsdaten abgerufen werden, müssen das folgende
Format aufweisen.
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
Im Element listEntry ist ein complexEntry eingebettet. Dadurch kann das Modul „Subscribed Lists“ das
Format verarbeiten.
Produkthandbuch
263
7
Listen
Allgemeiner Katalog
Allgemeiner Katalog
Der allgemeine Katalog bietet Listen, die von einem McAfee ePO-Server mithilfe von Push an eine
Web Gateway-Appliance übertragen werden können.
Die folgenden Listentypen können mithilfe von Push übertragen werden: IP-Adresse, Domänenname,
Zeichenfolge, Platzhalterausdruck.
Der Inhalt dieser Listen auf der Web Gateway-Appliance darf nicht verändert werden, da dieser Inhalt
regelmäßig auf dem McAfee ePO-Server aktualisiert wird. Diese Aktualisierungen überschreiben alle von
Ihnen vorgenommenen Änderungen.
Die Listendaten werden über eine intern auf beiden Systemen ausgeführte REST-Schnittstelle
(Representational State Transfer) übertragen. Außerdem muss eine McAfee ePO-Erweiterung für
Web Gateway auf dem McAfee ePO-Server ausgeführt werden.
Diese Erweiterung umfasst eine Hilfserweiterung, die eine Online-Hilfe zum Umgang mit der
Erweiterung bietet. Ein Erweiterungspakt ist auf der Benutzeroberfläche von Web Gateway unter den
Systemeinstellungen für ePolicy Orchestrator verfügbar.
Um Anfragen des McAfee ePO-Servers die Filterung durch Web-Sicherheitsregeln auf Web Gateway
umgehen zu lassen, müssen Sie einen passenden Regelsatz aus der Bibliothek importieren, diesen an
der höchstmöglichen Stelle der Regelsatz-Baumstruktur platzieren und aktivieren.
Zusätzlich müssen Sie ein McAfee ePO-Benutzerkonto einrichten, da sich auf der Appliance eine
Instanz befinden muss, die die Listenübertragung bearbeiten darf. Zum Einrichten dieses Kontos
werden die ePolicy Orchestrator-Systemeinstellungen verwendet.
Der Benutzer des McAfee ePO-Kontos muss auch als ein Administrator mit einem Konto zwischen den
internen Web Gateway-Administratorkonten angezeigt werden.
Nachdem die Listen mithilfe von Push aus dem allgemeinen Katalog an Web Gateway übertragen
wurden, werden sie auf der Registerkarte Lists (Listen) ihrer Benutzeroberfläche angezeigt. Ein Präfix
im Listennamen gibt an, dass ein McAfee ePO-Server die Quelle einer Liste ist.
Wie alle anderen Listen auf der Registerkarte Lists (Listen) können Sie diese Listen zum Konfigurieren
von Regeln verwenden.
Vorbereiten der Verwendung von Common Catalog-Listen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Common Catalog-Listen
vorzubereiten, die von einem McAfee ePO-Server mithilfe von Push auf eine Web Gateway-Appliance
übertragen werden.
Vorgehensweise
264
1
Richten Sie ein Konto für einen McAfee ePO-Benutzer in Web Gateway ein.
2
Richten Sie ein Administratorkonto mit demselben Benutzernamen und demselben Kennwort in
Web Gateway ein.
3
Aktivieren Sie die Verwendung der REST-Schnittstelle in Web Gateway.
4
Importieren Sie den Regelsatz Bypass ePO Requests aus der Bibliothek auf der Benutzeroberfläche
von Web Gateway, verschieben Sie ihn in der Regelsatz-Baumstruktur an die oberste Position, und
aktivieren Sie ihn.
5
Laden Sie ein McAfee ePO-Erweiterungspaket für Web Gateway herunter, und installieren Sie es auf
dem McAfee ePO-Server.
Produkthandbuch
7
Listen
Allgemeiner Katalog
6
Registrieren Sie auf der Benutzeroberfläche des McAfee ePO-Servers einen neuen Server für die
Kommunikation mit Web Gateway, und geben Sie dabei eine Appliance an, auf der Web Gateway
ausgeführt wird.
Im Dashboard auf der Benutzeroberfläche werden nach ca. 15 Minuten Daten zum in Web Gateway
verarbeiteten Web-Datenverkehr angezeigt.
7
Übertragen Sie Listen vom McAfee ePO-Server mithilfe von Push zu Web Gateway.
Die mithilfe von Push zu Web Gateway übertragenen Listen werden in der Listen-Baumstruktur der
Benutzeroberfläche angezeigt.
Weitere Informationen zum Installieren eines McAfee ePO-Erweiterungspakets und zum Durchführen
von Aktivitäten auf dem McAfee ePO-Server finden Sie in der Dokumentation zu McAfee ePO.
Einrichten eines Benutzerkontos für Common Catalog-Listen
Um die Verwendung von Common Catalog-Listen zu ermöglichen, müssen Sie auf Web Gateway ein
McAfee ePO-Benutzerkonto einrichten, um eine Instanz zu erstellen, die die Listenübertragung
verarbeiten darf.
Vorgehensweise
1
Wählen Sie Configuration | ePolicy Orchestrator (Konfiguration | ePolicy Orchestrator) aus.
2
Konfigurieren Sie unter ePolicy Orchestrator Settings (ePolicy Orchestrator-Einstellungen) ein
Benutzerkonto.
a
Übernehmen Sie im Feld ePO user account (ePO-Benutzerkonto) den vorkonfigurierten Wert epo.
b
Klicken Sie neben dem Feld Password (Kennwort) auf Change (Ändern).
Daraufhin öffnet sich das Fenster New Password (Neues Kennwort).
c
Legen Sie über die Fensteroptionen ein neues Kennwort fest.
3
Achten Sie darauf, dass Enable data collection for ePO (Datensammlung für ePO aktivieren) aktiviert ist.
4
Der Benutzer des von ihnen konfigurierten McAfee ePO-Kontos muss auch als Administrator in einem
Administratorkonto auf Web Gateway angezeigt werden.
Einrichten eines Administratorkontos für Common CatalogListen
Um die Verwendung von Common Catalog-Listen zu aktivieren, müssen Sie auf Web Gateway ein
Administratorkonto mit demselben Benutzernamen und Kennwort wie für das McAfee
ePO-Benutzerkonto einrichten.
Vorgehensweise
1
Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus.
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
Produkthandbuch
265
7
Listen
Allgemeiner Katalog
3
Richten Sie ein Administratorkonto zur Verwendung von Common Catalog-Listen ein.
a
Geben Sie im Feld User name (Benutzername) den Wert epo ein.
b
Geben Sie in den Feldern Password (Kennwort) und Password repeated (Kennwort wiederholen) das
Kennwort ein, das Sie beim Einrichten des Benutzerkontos für den ePO-Benutzer konfiguriert
haben.
c
Wählen Sie in der Liste Role (Rolle) die Rolle ePO Common Catalog Administrator (ePO-Common
Catalog-Administrator) aus.
d
Klicken Sie auf Edit (Bearbeiten), um die aktuellen Rolleneinstellungen zu überprüfen.
Daraufhin öffnet sich das Fenster Edit Role (Rolle bearbeiten). Aktivieren Sie bei Bedarf die
folgenden Einstellungen:
e
•
Policy — Lists accessible (Richtlinie: Listen zugänglich)
•
Policy — Lists creation (Richtlinie: Listen erstellen)
•
REST Interface accessible (REST-Schnittstelle zugänglich)
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das neue Administratorkonto wird unter Internal
Administrator Accounts (Interne Administratorkonten) angezeigt.
Zusammen mit dem Benutzerkonto für den McAfee ePO-Benutzer dient dieses Administratorkonto als
die Instanz auf Web Gateway, die zur Verarbeitung der Übertragung von Listen von einem McAfee
ePO-Server vorhanden sein muss.
Aktivieren der Nutzung der REST-Schnittstelle für Common
Catalog-Listen
Für die Kommunikation mit dem McAfee ePO-Server, von dem aus die Common Catalog-Listen
übertragen werden können, müssen Sie in Web Gateway die interne REST-Schnittstelle
(Representational State Transfer) aktivieren.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf die Sie die Common
Catalog-Listen übertragen möchten, und klicken Sie auf User Interface (Benutzeroberfläche).
3
Aktivieren Sie unter UI Access (Benutzeroberflächen-Zugriff) die beiden Optionen Enable REST interface
over HTTP (REST-Schnittstelle über HTTP aktivieren) und Enable REST interface over HTTPS
(REST-Schnittstelle über HTTPS aktivieren).
4
Aktivieren Sie unter Login Page Options (Optionen Anmeldeseite) die Option Allow multiple logins per login
name (Mehrere Anmeldungen pro Anmeldename zulassen).
5
Beispieleinstellungen zum Registrieren von Web Gateway auf
einem McAfee ePO-Server
Um Common Catalog-Listen an eine Web Gateway-Appliance übertragen zu können, müssen Sie die
Appliance auf dem McAfee ePO-Server als neuen Server registrieren.
Nachfolgend finden Sie Beispieleinstellungen für diese Registrierung.
266
Produkthandbuch
7
Listen
Option
Beispielwert
Server type (Servertyp)
McAfee Web Gateway 7
Name
mwg7-3.sample-lab.local
Notes (Hinweise)
(optional)
Host name (Host-Name)
mwg7-3.sample-lab.local
Host address (Host-Adresse)
171.18.19.226
Administration port (Verwaltungs-Port)
4712
Statistics retrieval port (Statistikabruf-Port)
9090
User name (for access to the host GUI)
(Benutzername (für Zugriff auf Host-GUI))
<Initialer oder aktueller Benutzername für Zugriff auf Web
Gateway-Benutzeroberfläche>
Password (Kennwort)
<Initiales oder aktuelles Kennwort für Zugriff auf die Web
Gateway-Benutzeroberfläche>
epo
User name (for statistics retrieval and list
management) (Benutzername (für Statistikabruf und
Listenverwaltung)
Password (Kennwort)
<Gleiches Kennwort wie das für den ePO-Benutzer und die
Administratorkonten auf Web Gateway konfigurierte
Kennwort>
Options (Optionen)
Allow ePO to manage lists on this system (Zulassen, dass ePO Listen
auf diesem System verwaltet) (aktiviert)
Der initiale Benutzername und das initiale Kennwort für den Zugriff auf die Benutzeroberfläche von Web
Gateway sind admin und webgateway.
In Web Gateway können im JSON-Format (JavaScript Object Notation) codierte Daten gelesen,
bearbeitet und erstellt werden.
JavaScript Object Notation ist ein textbasiertes Format für den Datenaustausch. Es ist unkompliziert
mit JavaScript lesbar, die Verwendung von JavaScript ist jedoch nicht zwingend notwendig. Diese
Notation wird für die Kommunikation mit interaktiven Websites und auch mit NoSQL- und
dokumentenorientierten Datenbanken (z. B. MongoDB oder CouchDB) verwendet.
JSON-basierte Programmierschnittstellen werden beispielsweise in populären sozialen Netzwerken wie
Facebook und Twitter genutzt.
®
In Web Gateway werden z. B. in von McAfee Advanced Threat Defense (Advanced Threat Defense)
erstellten Scan-Berichten JSON-Daten verwendet. Auch aus externen Quellen stammende Listen, die
in Web Gateway verarbeitet werden, können das JSON-Datenformat aufweisen.
JSON-Daten
JSON-Daten werden als Objekte zur Verfügung gestellt. Ein JSON-Objekt ist sozusagen ein Container,
in dem Daten eines einzigen oder unterschiedlicher einfacher Typen enthalten sind, beispielsweise
Zeichenfolgen, Zahlen usw.
Die grundlegende Struktur eines JSON-Objekts kann folgendermaßen dargestellt werden:
object: {"key": value, "key": value, ...}
Produkthandbuch
267
7
Listen
Beispiel:
Employee: {"First name": "Joe", "Last name": "Miller", "Age": 32}
Als Wert eines JSON-Elements sind Daten der folgenden Typen möglich: Zeichenfolge, Zahl,
boolescher Wert, leer.
JSON-Objekte können auch ein Array enthalten:
object: {"key": value, "key": value, array: [value, value, ...]}
Beispiel:
Employee: {"First name": "Joe", "Last Name": "Miller", "Children": [Ian, Lisa]}
In der ursprünglichen JavaScript Object Notation dürfen sich auf der obersten Ebene einer
hierarchischen Datenstruktur ausschließlich Objekte und Felder befinden. Sofern dies in Web Gateway
unterstützt wird, kann sich jedoch auch ein einfaches Element auf der obersten Ebene befinden.
JSON-Objekte können auch in andere JSON-Objekte eingebettet werden.
Umgang mit JSON-Daten mithilfe von Eigenschaften
In Web Gateway stehen mehrere Eigenschaften zum Lesen, Bearbeiten und Erstellen von JSON-Daten
zur Verfügung.
Beispielsweise kann mithilfe der Eigenschaft JSON.FromString aus einer Zeichenfolge ein
JSON-Element erstellt werden. Die Zeichenfolge wird als Parameter der Eigenschaft angegeben. Auf
diese Weise gibt die Eigenschaft JSON.FromString("Meier") die Zeichenfolge "Meier" als Wert eines
JSON-Elements aus.
Mit der Eigenschaft JSON.CreateObject kann ein JSON-Objekt erstellt werden. Nach der Erstellung ist
das Objekt vorerst leer. Um in dem Objekt nun ein JSON-Element speichern zu können, müssen beide
durch die Vergabe eines Namens identifiziert werden.
Das Objekt wird benannt, indem daraus eine benutzerdefinierte Eigenschaft gemacht wird, da
Eigenschaften immer mit einem Namen konfiguriert werden.
Beispielsweise können Sie eine benutzerdefinierte Eigenschaft mit dem Namen
User-Defined.myjsonemployee erstellen und dieser dann anhand eines Regelereignisses den Wert der
Eigenschaft „JSON.CreateObject“ zuweisen.
Name
JSON-Objekt als benutzerdefinierte Eigenschaft erstellen
Kriterien
Always
Aktion
–>
Continue
Ereignis
– Set User-Defined.myjsonemployee = JSON.CreateObject
Das leere JSON-Objekt User-Defined.myjsonemployee kann mittels der Eigenschaft
JSON.StoreByName gefüllt werden, die Parameter für den Namen des Objekts sowie für Schlüssel und
Wert des Elements enthält.
Beispielsweise wird wie folgt ein Element mit dem Schlüssel "Nachname" und dem Wert "Meier" im
Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", JSON.FromString("Meier"))
268
Produkthandbuch
7
Listen
Das Speichern eines Elements in einem Objekt lässt sich aber auch einfacher realisieren:
•
Es ist gar nicht notwendig, das Objekt vor Verwendung der Eigenschaft „JSON.StoreByName“ zu
erstellen.
Wenn Sie einen Objektnamen als Parameter der Eigenschaft angeben, wird dieses Objekt
automatisch erstellt, sofern es noch nicht vorhanden ist.
•
Die Verwendung der Eigenschaft „JSON.FromString“ zur Erfassung des Elementwerts ist nicht
notwendig.
Dieser Wert wird bei der direkten Angabe einer Zeichenfolge automatisch erstellt. Dies gilt ebenfalls
für die anderen einfachen Datentypen, zu denen der Wert eines JSON-Elements gehören kann.
Demzufolge wird mit folgender Aktion ebenfalls ein Element in einem Objekt gespeichert:
JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", "Meier"))
Zusammenfassung der JSON-Eigenschaften in Gruppen
Viele JSON-Eigenschaften gleichen einander insofern, als dass sie für ähnliche Aktivitäten bezüglich
Daten verwendet werden.
So liefern die Eigenschaften des Formats JSON.From<x> (z. B. JSON.FromString) ein JSON-Element,
das den Wert eines einfachen Datentyps enthält. Dieser Wert mit einfachem Datentyp ist als
Parameter der JSON-Eigenschaft angegeben.
Dies sind einige wichtige Gruppen von JSON-Eigenschaften:
•
JSON.From<x> = Liefert ein JSON-Element, das den Wert eines einfachen Datentyps enthält.
Eigenschaften: JSON.FromString, JSON.FromNumber, JSON.FromBool, JSON.FromStringList,
JSON.FromNumberList
•
JSON.As<x> = Liefert den Wert eines JSON-Elements in einem einfachen Datenformat.
Mit den Eigenschaften dieser Gruppe wird eine entgegengesetzte Aktion zu derjenigen
durchgeführt, für die die Eigenschaften der Form JSON.From<x> verwendet werden.
Damit die Eigenschaften dieser Gruppe korrekt eingesetzt werden können, muss das Format des
JSON-Elements dem einfachen Datenformat entsprechen.
Beispielsweise gibt die Eigenschaft „JSON.AsString“ nur dann eine (einfache) Zeichenfolge aus,
wenn der Wert des JSON-Elements tatsächlich eine (JSON-)Zeichenfolge ist.
Eigenschaften: JSON.AsString, JSON.AsNumber, JSON.AsBool
•
JSON.Create<x> = Erstellt ein JSON-Objekt, ein entsprechendes Feld oder den Elementwert 0.
Eigenschaften: JSON.CreateObject, JSON.CreateArray, JSON.CreateNull
•
JSON.Get<x> = Gibt ein in einem Objekt enthaltenes JSON-Element oder den Datentypen eines
solchen Elements aus.
JSON.GetByName: Gibt ein in einem Objekt enthaltenes Element aus, das durch seinen Schlüssel
bezeichnet wird.
JSON.GetAt: Gibt ein Element aus, das durch seine Position innerhalb eines JSON-Felds identifiziert
wird.
JSON.GetType: Gibt den Typen eines Elements aus.
Produkthandbuch
269
7
Listen
JSON-Eigenschaften in Filterregeln verwenden
Die Eigenschaft JSON.ToString gibt den Wert eines JSON-Elements im Zeichenfolgenformat aus.
Sie können diese Eigenschaft z. B. in einer einfachen Regel zum Hinzufügen einer bestimmten
Client-IP-Adresse zur Whitelist verwenden.
Bei dieser Regel wird eine vorgegebene Client-IP-Adresse auf Übereinstimmung mit der Adresse
überprüft, die zur Whitelist hinzugefügt werden soll.
Name
Als JSON-Elementwert gelieferte Client-IP-Adresse zulassen
Kriterien
Aktion
Client.IP equals
String.ToIP(JSON.ToString(User-Defined.myjsonipaddress))
–> StopCycle (Zyklus
anhalten)
Die Client-IP-Adresse, die zur Whitelist hinzugefügt werden soll, liegt als Wert der benutzerdefinierten
Eigenschaft User-Defined.myjsonipaddress vor.
Die Eigenschaft JSON.ToString gibt diesen Wert im Zeichenfolgenformat aus. Die Eigenschaft
„String.ToIP“ konvertiert die Zeichenfolge wieder in eine IP-Adresse, damit diese mit der im Wert der
Eigenschaft „Client.IP“ am Beginn der Regel enthaltenen Adresse verglichen werden kann.
Vor der Verwendung der Eigenschaft „UserDefined.myjsonipaddress“ in der Beispielregel muss diese
Eigenschaft erst im JSON-Datenformat erstellt und als deren Wert die zur Whitelist hinzuzufügenden
Adresse festlegen.
Für das Zuweisen dieses Werts können Sie, wie im Folgenden gezeigt, ein Ereignis in einer weiteren
Beispielregel verwenden.
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Client-IP-Adresse festlegen
Kriterien
Always
Aktion
Ereignis
–> Continue – Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
Die Eigenschaft „JSON.FromString“ des Regelereignisses konvertiert die Client-IP-Adresse, die als
Eigenschaftsparameter im Zeichenfolgenformat angegeben ist, in den Wert eines JSON-Elements.
Abrufen von JSON-Daten aus einem Advanced Threat Defense-Bericht
Wenn eine Regel in Web Gateway zum Scannen eines Web-Objekts Advanced Threat Defense aufruft,
wird das Scan-Ergebnis als Wert der Eigenschaft Antimalware.MATD.Report gespeichert.
Die Ausgabe des Ergebnisses erfolgt als Zeichenfolge, in der die Ergebniselemente im JSON-Format
angeordnet sind. Mithilfe der Eigenschaft „JSON.ReadFromString“ kann das Ergebnis in ein
JSON-Element umgewandelt werden. Diese Eigenschaft verwendet die Eigenschaft
„AntiMalware.MATD.Report“ als Parameter.
Anschließend kann das JSON-Element als Wert einer benutzerdefinierten Eigenschaft festgelegt
werden.
Die entsprechende Regel für die Verwendung dieser Eigenschaften könnte z. B. so aussehen:
Name
Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Advanced Threat
Defense-Bericht festlegen
270
Produkthandbuch
Listen
Kriterien
Always
Aktion
7
Ereignis
–> Continue – Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
Die Ergebnisdaten können mit der Eigenschaft „JSON.GetByName“ abgerufen und z. B. in eine
Protokolldatei geschrieben werden.
Name
JSON-Daten aus Advanced Threat Defense-Bericht in Protokolldatei schreiben
Kriterien
Always
Aktion
Ereignis
– Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
Im Ereignis dieser Regel stellt "Summary" (Zusammenfassung) den Schlüssel eines JSON-Elements
dar, dessen Wert aus den Daten eines Scan-Ergebnisses besteht. Dieser Schlüssel sowie sein Wert
stammen aus einem JSON-Objekt, das den Wert der Eigenschaft „Antimalware.MATD.Report“ darstellt.
Die Struktur dieses JSON-Objekts wird im Folgenden dargestellt.
Das Objekt enthält mehrere weitere eingebettete Objekte. Die aufgeführten Elementschlüssel sind
genauso in Berichten enthalten, für die Werte wurden lediglich Beispielangaben verwendet.
Report: {"Summary": {"Selectors": [{"Engine": "GAM engine", "MalwareName": "EICAR test
file", "Severity": "5" }], "Verdict": {"Severity": "5", "Description": "Subject is
malicious" }, "Stats": [{"ID": "0", "Category": "Persistence, Installation Boot Survival",
"Severity": "5" }] }
Externe Listen im JSON-Datenformat abrufen
Um den weiteren Umgang mit JSON-Daten einer aus einer externen Quelle abgerufenen Liste zu
ermöglichen, kann die Eigenschaft Ext.Lists.JSON verwendet werden. Nach dem Abrufen der externen
Liste mittels dieser Eigenschaft ist der Listeninhalt in einem JSON-Element enthalten, das den Wert
der Eigenschaft bildet.
Genau wie alle anderen Eigenschaften für externe Listen verfügt auch Ext.Lists.JSON über drei
Parameter im Zeichenfolgenformat, die Angaben zur externen Quelle enthalten.
Produkthandbuch
271
7
Listen
272
Produkthandbuch
8
Einstellungen
Mit Einstellungen werden in Web Gateway die Module, Regelaktionen und Systemfunktionen
konfiguriert.
Die Namen der Einstellungen werden an verschiedenen Stellen auf der Benutzeroberfläche angezeigt,
z. B. in den Regelkriterien, -aktionen und -ereignissen oder auf den Registerkarten Settings
(Einstellungen) und Appliances.
Nachdem Sie auf den Namen einer Einstellung geklickt haben, können Sie die Parameter und
Einstellungswerte aufrufen und konfigurieren.
Bei der Ersteinrichtung der Appliance werden neben dem Regelsatzsystem Modul- und
Aktionseinstellungen sowie Einstellungen für das Appliance-System implementiert. Weitere Modul- und
Aktionseinstellungen werden implementiert, wenn Sie einen Regelsatz aus der Regelsatz-Bibliothek
importieren.
Die ursprünglich implementierten oder importierten Einstellungen können Sie überprüfen und ändern.
Sie können die Modul- und Aktionseinstellungen auch vollständig löschen und eigene Modul- und
Aktionseinstellungen erstellen.
Inhalt
Einstellungstypen
Registerkarte „Settings“ (Einstellungen)
Zugreifen auf Einstellungen
Erstellen von Aktions- und Moduleinstellungen
Einstellungstypen
In der Regelverarbeitung und für andere Funktionen auf der Appliance werden verschiedene Arten von
Einstellungen verwendet.
•
Moduleinstellungen: Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen
•
Aktionseinstellungen: Einstellungen für die von Regeln ausgeführten Aktionen
•
Systemeinstellungen: Einstellungen des Appliance-Systems
Moduleinstellungen
Moduleinstellungen sind Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln
aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen.
Beispielsweise ruft das Modul „URL Filter“ Informationen zu URL-Kategorien ab, um Werte für die
Eigenschaft „URL.Categories“ in einer Filterregel bereitzustellen.
Produkthandbuch
273
8
Einstellungen
Einstellungstypen
In einer Regel wird der Einstellungsname für ein durch die Regel aufgerufenes Modul neben einer
Regeleigenschaft angezeigt. Beispielsweise kann in einer Regel zur Viren- und Malware-Filterung
Gateway Antimalware als Einstellungsname neben der Eigenschaft Antimalware.Infected angezeigt
werden.
Wenn also das Modul „Anti-Malware“ aufgerufen wird, um den Wert True oder False für die Eigenschaft
bereitzustellen, wird das Modul mit den Gateway Antimalware-Einstellungen ausgeführt. Diese
Einstellungen geben beispielsweise an, welche Methoden zum Scannen von Web-Objekten auf
Infektionen verwendet werden.
Auf Moduleinstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
unteren Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Aktionseinstellungen
Aktionseinstellungen sind Einstellungen für die von Regeln ausgeführten Aktionen.
Sie werden hauptsächlich konfiguriert, um die Meldungen anzugeben, die an durch Regelaktionen wie
„Block“ (Blockieren) oder „Authenticate“ (Authentifizieren) betroffene Benutzer gesendet werden.
Aktionen, die Benutzer nicht betreffen, verfügen über keine Einstellungen, z. B. „Continue“ (Weiter)
oder „Stop Rule Set“ (Regelsatz anhalten).
Auf diese Einstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im
oberen Hauptzweig der Verzeichnisstruktur zugegriffen werden.
Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen.
Systemeinstellungen
Systemeinstellungen sind Einstellungen des Appliance-Systems, z. B. Einstellungen der
Netzwerkschnittstelle oder des Domain Name Systems
Sie können auf diese Einstellungen auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) zugreifen.
Sie können diese Einstellungen bearbeiten, jedoch keine neuen Systemeinstellungen erstellen.
274
Produkthandbuch
8
Einstellungen
Auf der Registerkarte Settings (Einstellungen) können Sie die Einstellungen für Aktionen und Module
bearbeiten.
Abbildung 8-1
Hauptelemente der Registerkarte Settings (Einstellungen)
In der folgenden Tabelle werden die Hauptelemente der Registerkarte Settings (Einstellungen) erläutert.
Tabelle 8-1 Hauptelemente der Registerkarte Settings (Einstellungen)
Element
Beschreibung
Einstellungssymbolleiste Steuerelemente zum Arbeiten mit Einstellungen für Aktionen und
Module
Einstellungsstruktur
Verzeichnisstruktur, in der Aktionen und Module angezeigt werden
Einstellungen
Parameter und Werte der derzeit ausgewählten Aktion bzw. des derzeit
ausgewählten Moduls
Einstellungssymbolleiste
Die Einstellungssymbolleiste bietet die folgenden Optionen.
Produkthandbuch
275
8
Einstellungen
Tabelle 8-2 Einstellungssymbolleiste
Option
Definition
Add (Hinzufügen)
Öffnet das Fenster Add Settings (Einstellungen hinzufügen) zum Erstellen neuer
Einstellungen.
Edit (Bearbeiten)
Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten
vorhandener Einstellungen.
Delete (Löschen)
Löscht die ausgewählten Einstellungen.
müssen.
Expand all (Alle einblenden)
Blendet alle ausgeblendeten Elemente der Verzeichnisstruktur ein.
Collapse all (Alle ausblenden) Blendet alle eingeblendeten Elemente der Verzeichnisstruktur aus.
Sie können auf Einstellungen über die Registerkarte Settings (Einstellungen) zugreifen oder indem Sie in
einer Regel auf den entsprechenden Einstellungsnamen klicken. Der Zugriff auf Systemeinstellungen
erfolgt hingegen über die Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration).
Aufgaben
•
Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“
auf Seite 276
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen
und Module zugreifen.
•
Zugreifen auf Einstellungen für Aktionen und Module in einer Regel auf Seite 277
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden,
zugreifen zu können, klicken Sie auf die Namen der entsprechenden Einstellungen.
•
Zugreifen auf Systemeinstellungen auf Seite 277
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die
Systemeinstellungen zugreifen.
Zugreifen auf Einstellungen für Aktionen und Module auf der
Registerkarte „Einstellungen“
Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen und
Module zugreifen.
Vorgehensweise
1
2
Navigieren Sie in der Einstellungs-Baumstruktur zu einem der Zweige Actions (Aktionen) oder Engines
(Module), um auf die gewünschten Einstellungen zugreifen zu können.
3
Führen Sie zur Auswahl der Einstellungen einen der folgenden Schritte durch:
•
Klicken Sie im Zweig Actions (Aktionen) auf eine Aktion, damit diese vollständig angezeigt wird,
und wählen Sie dann die gewünschte Einstellung aus.
•
Klicken Sie im Zweig Engine (Modul) auf ein Modul (auch als Engine bezeichnet), damit dieses
vollständig angezeigt wird, und wählen Sie dann die gewünschte Moduleinstellung aus.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Nun können Sie mit den Einstellungen arbeiten.
276
Produkthandbuch
Einstellungen
8
Zugreifen auf Einstellungen für Aktionen und Module in einer
Regel
Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden, zugreifen zu
können, klicken Sie auf die Namen der entsprechenden Einstellungen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit den gewünschten
Einstellungen enthält.
3
Hierfür muss die Option Show details (Details anzeigen) aktiviert sein.
4
Klicken Sie in der Regel mit den Einstellungen, auf die Sie zugreifen möchten, auf den Namen der
entsprechenden Einstellungen:
•
In den Regelkriterien für Zugriff auf die Moduleinstellungen
•
In der Regelaktion für Zugriff auf die Aktionseinstellungen
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten) mit den ausgewählten
Einstellungen.
Zugreifen auf Systemeinstellungen
Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die Systemeinstellungen
zugreifen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, deren Systemeinstellungen Sie
konfigurieren möchten, und klicken Sie dort auf den entsprechenden Einstellungsnamen.
Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt.
Sie können für Module und Aktionen neue Einstellungen erstellen.
Beim Erstellen solcher Einstellungen werden diese nicht komplett neu angelegt. Vielmehr verwenden
Sie vorhandene Einstellungen, denen Sie einen neuen Namen geben und an denen Sie je nach Bedarf
alle erforderlichen Änderungen vornehmen.
Produkthandbuch
277
8
Einstellungen
Vorgehensweise
1
2
Für die Auswahl der Einstellungen, die als Ausgangsbasis für das Erstellen neuer Eigenschaften
dienen, stehen die beiden folgenden Möglichkeiten zur Verfügung:
•
Wählen Sie die entsprechenden Einstellungen in der Einstellungs-Baumstruktur aus, und klicken
Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen) mit den Parametern und
Werten der ausgewählten Einstellungen.
•
Klicken Sie nun wieder auf Add (Hinzufügen).
Wählen Sie im Bereich Settings for (Einstellungen für) des Fensters die gewünschten Einstellungen
aus.
Die Parameter und Werte dieser Einstellungen werden nun im Fenster angezeigt.
3
Geben Sie im Fenster im Feld Name einen Namen für die neuen Einstellungen ein.
4
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den
Einstellungen ein.
5
Ändern Sie die bestehenden Werte der Einstellungen nach Bedarf.
6
[Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an,
7
Klicken Sie auf OK.
8
278
Produkthandbuch
9
Authentifizierung
Benutzer können auf einer Appliance „gefiltert“ werden, d. h., Sie können den Web-Zugriff nur für die
Benutzer zulassen, die sich authentifizieren können.
Die Authentifizierung wird nicht standardmäßig implementiert, es gibt jedoch vorkonfigurierte
Authentifizierungsregelsätze, die Sie verwenden können.
Die folgenden Authentifizierungstypen können implementiert werden:
•
Standardauthentifizierung: Sie können die Authentifizierung für Benutzer konfigurieren, die
Anfragen auf Web-Zugriff unter einem Standardprotokoll, wie z. B. HTTP, HTTPS oder FTP, senden.
Wenn der Authentifizierungsregelsatz des Standard-Regelsatzsystems aktiviert ist, werden die
Benutzerinformationen standardmäßig aus einer internen Benutzerdatenbank abgerufen.
Sie können diese Einstellung ändern und eine andere Methode konfigurieren, z. B. NTLM, LDAP
oder Kerberos.
•
Instant Messaging-Authentifizierung: Sie können die Authentifizierung für Benutzer
konfigurieren, die Anfragen auf Web-Zugriff unter einem Instant Messaging-Protokoll, wie z. B.
Yahoo, Windows Live Messenger oder ICQ, senden.
Außerdem können Sie Administratorkonten und -rollen einrichten und pflegen und so den
Administratorzugriff auf eine Appliance steuern.
Inhalt
LDAP-Digest-Authentifizierung
Konfigurieren der Authentifizierung
Konfigurieren des Moduls „Authentication“
Authentifizierungseinstellungen
Implementieren einer anderen Authentifizierungsmethode
Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung
Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen
Empfohlene Vorgehensweisen – Konfigurieren der LDAP-Authentifizierung
Instant Messaging-Authentifizierung
Einmalkennwörter
Authentifizierung der Client-Zertifikate
Administratorkonten
Das Authentifizieren der Benutzer des Netzwerks gewährleistet, dass diese nur dann auf das Internet
zugreifen können, wenn sie sich ordnungsgemäß angemeldet haben. Beim Authentifizierungsvorgang
Produkthandbuch
279
9
Authentifizierung
werden Benutzerinformationen abgerufen, z. B. aus einer internen Datenbank oder von einem
Web-Server, und der Zugriff dementsprechend zugelassen oder blockiert.
Dieser Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Authentifizierungsregeln steuern den gesamten Vorgang.
•
Das Modul „Authentication“ wird von den Regeln aufgerufen und ruft aus einer Datenbank
Informationen über Benutzer ab.
Nach der standardmäßigen Ersteinrichtung ist in Web Gateway noch kein Authentifizierungsvorgang
implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus der
Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Für das Konfigurieren des Authentifizierungsvorgangs können Sie folgende Elemente
verwenden:
•
Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Authentifizierung
aus der Bibliothek importiert und in der Baumstruktur auf einen Regelsatz geklickt
haben, können Sie die wichtigsten Elemente dieser Regeln für den
Authentifizierungsvorgang konfigurieren.
•
entsperren) klicken, werden die Regeln für den Authentifizierungsvorgang vollständig
angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren
sowie neue Regeln erstellen oder Regeln löschen.
Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie
alle Änderungen verwerfen oder den Regelsatz erneut importieren.
Authentifizierungsregeln
Für gewöhnlich enthalten Authentifizierungsregeln eine Regel, die nicht authentifizierte Benutzer zur
Authentifizierung auffordert und die Anfragen aller Benutzer blockiert, deren Authentifizierung
fehlschlägt.
Außerdem sind auch Whitelist-Regeln möglich, die anfragenden Benutzern je nach
Absender-IP-Adresse bzw. angefragter URL das Überspringen des Authentifizierungsvorgangs
erlauben.
In der Regelsatz-Bibliothek stehen Regelsätze für unterschiedliche Authentifizierungsarten bereit,
beispielsweise für die IM- oder Cookie-Authentifizierung.
Modul „Authentication“
Ein Modul wird auch als Engine bezeichnet. Das Modul „Authentication“ ruft aus einer Datenbank
Informationen über die Benutzer ab. Das Modul wird durch Regeln aufgerufen, die die Information
benötigen, ob ein Benutzer, der den Zugriff auf ein Web-Objekt anfragt, ordnungsgemäß authentifiziert
ist.
Diese Informationen kann mit unterschiedlichen Methoden abgerufen werden:
280
•
NTLM: Nutzt eine Datenbank auf dem Server einer Windows-Domäne.
•
NTLM Agent (NTLM-Agent): Nutzt zur Anwendung der NTLM-Authentifizierungsmethode einen
externen Agenten auf einem Windows-System.
Produkthandbuch
9
Authentifizierung
•
User Database (Benutzerdatenbank): Nutzt eine auf der Appliance vorhandene interne Datenbank.
Wenn der Regelsatz des Standard-Regelsatzsystems aktiviert ist, wird diese Methode standardmäßig
verwendet.
•
LDAP: Nutzt eine auf einem LDAP-Server befindliche Datenbank.
•
Novell eDirectory: Nutzt die Daten eines Verzeichnisses auf einem Server, der die Funktion eines
LDAP-Servers übernimmt.
•
RADIUS: Nutzt eine auf einem RADIUS-Server befindliche Datenbank.
•
Kerberos: Nutzt eine auf einem Kerberos-Server befindliche Datenbank.
•
Authentication Server (Authentifizierungs-Server): Nutzt eine auf einem anderen externen Server
befindliche Datenbank.
Sie können die Einstellungen für das Modul „Authentication“ konfigurieren und somit die
Authentifizierungsmethode und weitere Parameter des Authentifizierungsvorgangs festlegen.
Bei der LDAP-Digest-Authentifizierungsmethode, die auf der LDAP-Authentifizierung basiert, wird ein
gemeinsamer geheimer Schlüssel verwendet, der beiden Seiten des Authentifizierungsprozesses
bekannt ist: einem Benutzer, der mit einem Browser auf einem Web Gateway-Client Web-Zugriff
anfragt, und Web Gateway.
Web Gateway nutzt seine Proxy-Funktionen zum Abfangen der Anfrage, um die Authentifizierung zu
ermöglichen und weitere Filtervorgänge gemäß der konfigurierten Web-Sicherheitsrichtlinie
auszuführen.
Im Gegensatz zu einfacheren Authentifizierungsmethoden, z. B. zur Standardauthentifizierung, sendet
der Browser kein Kennwort direkt an Web Gateway. Stattdessen ist das Kennwort Bestandteil des
gemeinsamen geheimen Schlüssels, der beiden Seiten des Authentifizierungsprozesses bekannt ist.
Für den gemeinsamen geheimen Schlüssel und eine Reihe zusätzlicher Parameter auf dem Client wird
ein Hash-Wert berechnet und an Web Gateway übermittelt. Web Gateway berechnet den Hash-Wert
dann anhand des dort vorhandenen gemeinsamen geheimen Schlüssels erneut, um zu überprüfen, ob
die Ergebnisse identisch sind. Wenn dies der Fall ist, wird der Benutzer authentifiziert.
Der vom Client an Web Gateway übermittelte Hash-Wert wird auch als Digest bezeichnet. Web
Gateway ruft den gemeinsamen geheimen Schlüssel von einem LDAP-Server ab, der zum
Neuberechnen des Hash-Werts benötigt wird.
Berechnen eines Hash-Wertes für die LDAP-Digest-Authentifizierung
Die MD5-Methode zum Berechnen eines Hash-Werts wird verwendet, wenn die
LDAP-Digest-Authentifizierung in einem Authentifizierungsprozess mit Web Gateway durchgeführt
wird.
Bevor der Client den Hash-Wert sendet, sendet Web Gateway eine Authentifizierungsanfrage an den
Client, die eine so genannte Nonce (Number only once, Einmalnummer) enthält. Dabei handelt es sich
um eine Zahl, die von Web Gateway nach dem Zufallsprinzip erzeugt wird und einen der Parameter
darstellt, der zusätzlich zum gemeinsamen geheimen Schlüssel verwendet werden muss, um den
Hash-Wert zu berechnen.
Produkthandbuch
281
9
Authentifizierung
Im Folgenden finden Sie die vollständige Liste der Parameter zum Berechnen des Hash-Wertes:
•
Benutzername (Teil des gemeinsamen geheimen Schlüssels)
•
Bereichsname (Teil des gemeinsamen geheimen Schlüssels)
•
Kennwort (Teil des gemeinsamen geheimen Schlüssels)
•
Nonce (Einmalnummer)
•
Vom Client gesendete HTTP-Anfrage
•
URL des angefragten Ziels im Web
Konfigurieren der LDAP-Digest-Authentifizierung in Web Gateway
Für die LDAP-Digest-Authentifizierung in Web Gateway ist Folgendes erforderlich:
•
Die LDAP-Authentifizierung muss als allgemeine Authentifizierungsmethode in Web Gateway
konfiguriert sein.
•
Der Bereichsname muss als Teil der allgemeinen Authentifizierungseinstellungen in Web Gateway
konfiguriert sein. Dieser Name muss auch für den gemeinsamen geheimen Schlüssel verwendet
werden.
•
Sie müssen die folgenden Parameter für die LDAP-Digest-Authentifizierung konfigurieren:
•
Aktivierung der LDAP-Digest-Authentifizierung
•
Name des Attributs auf dem LDAP-Server, das den Authentifizierungs-Hash speichert
•
Maximale Verwendungshäufigkeit der Nonce (Einmalnummer)
•
Maximaler Zeitraum für die Verwendung einer Nonce (Einmalnummer)
Optional sind folgende Aktionen möglich.
•
Nur die LDAP-Digest-Authentifizierung als Authentifizierungsmethode unter den aktuellen
Einstellungen zulassen
Beim Konfigurieren weiterer Authentifizierungseinstellungen können Sie jedoch weiterhin andere
Authentifizierungsmethoden zulassen, z. B. die Methode User database (Benutzerdatenbank) mit
Standardauthentifizierung.
•
Eine Überprüfung der URL durchführen lassen, die ein Client als Parameter zur Berechnung des
Hash-Werts sendet
Diese URL sollte der URL entsprechen, die dieser Client in seiner Zugriffsanfrage für ein bestimmtes
Ziel im Web sendet. Andernfalls kann ein erfolgreiches Bestehen der Digest-Authentifizierung,
basierend auf identischen Hash-Werten, dazu führen, dass ein Benutzer auf ein nicht angefragtes
Ziel zugreifen darf. Wenn die Überprüfung ergibt, dass beide URLs nicht identisch sind, wird die
Anfrage blockiert.
Da die Browser, die auf Clients zum Senden dieser Informationen verwendet werden, verschiedene
URL-Formate verwenden, kann diese Überprüfung jedoch aufgrund des Formatierungsproblems
möglicherweise fehlschlagen, auch wenn zwei URLs tatsächlich übereinstimmen. Aus diesem Grund
ist die URL-Überprüfung optional.
Der für den gemeinsamen geheimen Schlüssel verwendete Bereichsname wird im Abschnitt Common
Authentication Parameters (Allgemeine Authentifizierungsparameter) festgelegt. Dies ist der Abschnitt, der
unter jeder Authentifizierungsmethode am Anfang der Einstellungen für Authentication
(Authentifizierung) verfügbar ist.
282
Produkthandbuch
Authentifizierung
9
Die Parameter für die LDAP-Digest-Authentifizierung werden in Web Gateway im Rahmen der
Einstellungen für das Modul (oder auch Engine) Authentication konfiguriert.
Wenn LDAP am Anfang dieser Einstellungen als allgemeine Authentifizierungsmethode ausgewählt ist,
wird nach dem Abschnitt für andere LDAP-spezifische Parameter der Abschnitt Digest Authentication
(Digest-Authentifizierung) verfügbar.
Siehe auch
Authentifizierungseinstellungen auf Seite 284
Sie können die Authentifizierung implementieren und an die Anforderungen Ihres Netzwerks
anpassen.
Vorgehensweise
1
Aktivieren Sie den Regelsatz „Authenticate and Authorize“ im Standard-Regelsatzsystem.
2
Überprüfen Sie den untergeordneten Regelsatz „Authenticate with User Database“.
Dieser Regelsatz enthält eine einzige Regel, durch die nicht authentifizierte Benutzer zum
Authentifizieren aufgefordert werden.
Das Regelkriterium enthält Einstellungen für das Authentifizierungsmodul, die die Verwendung der
Authentifizierungsmethode mittels Benutzerdatenbank angeben. Das heißt, Informationen zum
Authentifizieren von Benutzern werden aus einer internen Datenbank auf der Appliance abgerufen.
3
Ändern Sie den Standardregelsatz nach Bedarf.
•
Ändern der allgemeinen Parameter des Authentifizierungsmoduls
•
Ändern der spezifischen Parameter für die Benutzerdatenbank-Methode
•
Implementieren einer anderen Authentifizierungsmethode, z. B. NTLM oder LDAP
•
Ändern der spezifischen Parameter für die neue Authentifizierungsmethode
4
Sie können auch einen Regelsatz aus der Bibliothek importieren, um die Authentifizierung für eine
andere Art von Kommunikation zu implementieren, z. B. die Instant Messaging-Authentifizierung.
5
Konfigurieren des Moduls „Authentication“
Sie können das Modul „Authentication“ konfigurieren, um zu ändern, auf welche Weise
Benutzerinformationen für das Authentifizieren von Benutzern abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Authentifizierung aus.
Im Standard-Regelsatzsystem ist dies der Regelsatz Authenticate and Authorize.
Produkthandbuch
283
9
Authentifizierung
3
Wählen Sie eine Regel zum Steuern der Benutzerauthentifizierung aus, und klicken Sie auf die
Einstellungen, die in den Regelkriterien angegeben sind.
Im Regelsatz des Regelsatz-Systems ist dies z. B. die Regel Authenticate with User Database im
untergeordneten Regelsatz Authenticate with User Database, und der Einstellungsname lautet User Database
(Benutzerdatenbank).
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen
für das Modul „Authentication“.
4
5
6
Siehe auch
Die Authentifizierungseinstellungen werden für das Konfigurieren der Methode genutzt, die vom
Authentifizierungsmodul während des Authentifizierungsvorgangs für den Abgleich von Informationen
über Benutzer angewendet wird.
Authentication Method (Authentifizierungsmethode)
Einstellungen für die Auswahl einer Authentifizierungsmethode
284
Produkthandbuch
9
Authentifizierung
Tabelle 9-1 Authentication Method (Authentifizierungsmethode)
Option
Definition
Authentication method
(Authentifizierungsmethode)
Zeigt eine Auswahlliste für die Authentifizierungsmethode an.
• NTLM
• NTLM-Agent
• User Database (Benutzerdatenbank)
• LDAP
Wenn Sie sicheres LDAP (auch LDAPS genannt)
konfigurieren möchten, müssen Sie die LDAP-Version 3
verwenden.
Diese Version können Sie unter LDAP Specific Parameters
(LDAP-spezifische Parameter) auswählen. Diese Version
ist standardmäßig ausgewählt.
• RADIUS
• Kerberos
• SSL Client Certificate (SSL-Client-Zertifikat)
• Authentication Server (Authentifizierungs-Server)
• One-Time Password (Einmalkennwort)
• SWPS (McAfee Client Proxy)
®
Nach der Auswahl einer Methode werden unter den allgemeinen
Einstellungen die speziellen Einstellungen für diese Methode
angezeigt.
Authentication Test (Authentifizierungsprüfung)
Einstellungen für die Überprüfung, ob ein Benutzer sich mit seinen Anmeldeinformationen tatsächlich
authentifizieren könnte.
Tabelle 9-2 Authentication Test (Authentifizierungsprüfung)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort)
Gibt das zu überprüfende Kennwort an.
Authenticate User (Benutzer authentifizieren)
Mit dieser Option wird die Prüfung durchgeführt.
Test result (Prüfergebnis)
Zeigt das Ergebnis der Prüfung an.
Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
Einstellungen, die für alle Authentifizierungsmethoden gelten
Außerdem sind erweiterte Einstellungen vorhanden, die für alle Authentifizierungsmethoden identisch
sind. Diese Einstellungen sind am Ende dieses Hauptabschnitts im Anschluss an die Unterabschnitte zu
den spezifischen Parametern aufgeführt.
Produkthandbuch
285
9
Authentifizierung
Tabelle 9-3 Common Authentication Parameters (Allgemeine Authentifizierungsparameter)
Option
Definition
Proxy Realm (Proxy-Bereich)
Gibt den Standort des Proxys an, der Anfragen von Benutzern
erhält, die zur Authentifizierung aufgefordert werden.
Authentication attempt timeout (Zeitlimit
für Authentifizierungsversuch)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf der
Authentifizierungsvorgang abbricht, wenn er bis dahin nicht
erfolgreich abgeschlossen wurde.
Use authentication cache
(Authentifizierungs-Cache verwenden)
Bei Auswahl dieser Option werden die
Authentifizierungsinformationen in einem Cache gespeichert.
Die Authentifizierung erfolgt dann auf Grundlage dieser
gespeicherten Informationen und nicht auf Daten, die von einem
anderen Authentifizierungs-Server oder aus der internen
Benutzerdatenbank abgerufen werden.
Authentication cache TTL (Speicherdauer Gibt den Zeitraum (in Minuten) vor, für den
Authentifizierungs-Cache)
Authentifizierungsinformationen im Cache gespeichert werden.
NTLM Specific Parameters (NTLM-spezifische Parameter)
Einstellungen für die NTLM-Authentifizierungsmethode
Tabelle 9-4 NTLM Specific Parameters (NTLM-spezifische Parameter)
Option
Definition
Default NTLM domain (Standardmäßige Gibt den Namen der standardmäßigen Windows-Domäne an, der für
NTLM-Domäne)
die Suche nach Authentifizierungsinformationen verwendet wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über globale Benutzergruppen gesucht.
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne
nach Informationen über lokale Benutzergruppen gesucht.
Prefix group name with domain name Beim Senden von Authentifizierungsinformationen über eine Gruppe
(domain\group) (Domänennamen dem vom Server der Domäne wird bei Auswahl dieser Option dem Namen
Gruppennamen voranstellen, "Domäne der Benutzergruppe der Name der Windows-Domäne vorangestellt.
\Gruppe")
Bei Auswahl dieser Option wird bei der Authentifizierung von
Benutzern die standardmäßige NTLM-Authentifizierungsmethode
angewendet.
Die vom Benutzer eingegebenen Authentifizierungsinformationen
werden dann im Nur-Text-Format (unsicherer) an den Server der
Windows-Domäne gesendet.
Enable integrated authentication
(Integrierte Authentifizierung
aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
werden vor dem Senden an den Server der Windows-Domäne
verschlüsselt.
286
Produkthandbuch
9
Authentifizierung
Tabelle 9-4 NTLM Specific Parameters (NTLM-spezifische Parameter) (Fortsetzung)
Option
Definition
Enable NTLM cache (NTLM-Cache
aktivieren)
Bei Auswahl dieser Option werden in diesem Cache die
NTLM-Authentifizierungsinformationen gespeichert.
gespeicherten Informationen und nicht auf Daten, die vom Server
der Windows-Domäne abgerufen werden.
NTLM cache TTL (Speicherdauer
NTLM-Cache)
Gibt den Zeitraum (in Sekunden) vor, für den
Authentifizierungsinformationen in diesem Cache gespeichert
werden.
International text support
(Unterstützung internationaler
Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus
gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Einstellungen für die Authentifizierungsmethode mit NTLM-Agent
Tabelle 9-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
Option
Definition
Use secure agent connection (Sichere
Agentenverbindung verwenden)
Bei Auswahl dieser Option wird die für die Kommunikation mit dem
NTLM-Agenten genutzte Verbindung SSL-verschlüsselt.
Authentication connection timeout in
seconds (Zeitlimit für
Authentifizierungsverbindung in
Sekunden)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die
Verbindung mit dem NTLM-Agenten abgebrochen wird, wenn in
dieser Zeit keinerlei Aktivitäten verzeichnet werden.
Agent Definition (Agenten-Definition)
Enthält eine Liste, in die an der Durchführung der
NTLM-Authentifizierung beteiligte Agenten eingegeben werden.
Default NTLM domain (Standardmäßige
NTLM-Domäne)
Gibt den Namen der standardmäßigen Windows-Domäne an, der
für die Suche nach Authentifizierungsinformationen verwendet
wird.
Es handelt sich hierbei um eine der Domänen, die Sie auf der
Registerkarte Appliances im übergeordneten Menü Configuration
(Konfiguration) konfiguriert haben.
Get global groups (Globale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über globale
Benutzergruppen gesucht.
Get local groups (Lokale Gruppen
abrufen)
Bei Auswahl dieser Option wird auf dem Server der
Windows-Domäne nach Informationen über lokale
Benutzergruppen gesucht.
Prefix group name with domain name
(domain\group) (Domänennamen dem
Gruppennamen voranstellen, "Domäne
\Gruppe")
Beim Senden von Authentifizierungsinformationen über eine
Gruppe vom Server der Domäne wird bei Auswahl dieser Option
dem Namen der Benutzergruppe der Name der Windows-Domäne
vorangestellt.
angewendet.
Produkthandbuch
287
9
Authentifizierung
Tabelle 9-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten)
(Fortsetzung)
Option
Definition
(Integrierte Authentifizierung aktivieren)
Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
NTLM-Cache)
werden.
International text support (Unterstützung
internationaler Textformate)
Gibt an, welcher Zeichensatz standardmäßig für von einem Client
aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1.
User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Einstellungen für die Authentifizierungsmethode mittels Benutzerdatenbank
Tabelle 9-6 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank)
Option
Definition
Send domain and machine name to the
client (Domänen- und Computernamen
an den Client senden)
Bei Auswahl dieser Option werden der Name der Appliance sowie der
Domäne, der die Appliance zugeordnet ist, an den Client gesendet,
von dem aus der zu authentifizierende Benutzer eine Anfrage stellt.
angewendet.
(Integrierte Authentifizierung aktivieren) Benutzern die integrierte NTLM-Authentifizierungsmethode
angewendet.
verschlüsselt.
aktivieren)
288
Produkthandbuch
9
Authentifizierung
Tabelle 9-6 User Database Specific Parameters (Spezifische Parameter der
Benutzerdatenbank) (Fortsetzung)
Option
Definition
NTLM-Cache)
werden.
International text support
(Unterstützung internationaler
Textformate)
LDAP Specific Parameters (LDAP-spezifische Parameter)
Einstellungen für die LDAP-Authentifizierungsmethode
Tabelle 9-7 LDAP Specific Parameters (LDAP-spezifische Parameter)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste, in die LDAP-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP) verwendet
wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung bei
einem LDAP-Server an.
Password (Kennwort)
Legt das Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
Enable LDAP version 3
(LDAP-Version 3 aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Wenn Sie die sichere LDAP-Authentifizierung (auch LDAPS
genannt) konfigurieren möchten, müssen Sie diese LDAP-Version
verwenden.
Diese Version ist standardmäßig ausgewählt.
Allow LDAP library to follow referrals
(Verfolgen von Weiterleitungen für
LDAP-Bibliothek zulassen)
Bei Auswahl dieser Option kann die Suche nach
Benutzerinformationen vom LDAP-Server auf andere Server
umgeleitet werden.
Connection live check (Aktivitätsprüfung
der Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf überprüft
wird, ob die Verbindung zum LDAP-Server noch aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit dem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
Base distinguished name to user objects
(Eindeutiger Basisname für
Benutzerobjekte)
Gibt den eindeutigen Namen (DN) im Verzeichnis eines
LDAP-Servers an, in dem mit der Suche nach Benutzerattributen
begonnen werden soll.
Map user name to DN (Benutzername Bei Auswahl dieser Option muss der Name des Benutzers, der die
zu DN zuordnen)
Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können.
Dieser Name dient zur Identifizierung des Benutzers im Verzeichnis
auf dem LDAP-Server.
Produkthandbuch
289
9
Authentifizierung
Tabelle 9-7 LDAP Specific Parameters (LDAP-spezifische Parameter) (Fortsetzung)
Option
Definition
Filter expression to locate a user object
(Filterausdruck zur Suche nach
Benutzerobjekten)
Gibt eine Filterphrase zur Einschränkung der Suche nach
Benutzerattributen an.
Get user attributes (Benutzerattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
LDAP-Server abgerufen werden sollen.
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden, z. B.
„/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
In der Filterphrase kann „u%“ als Ersatz für den Benutzernamen
verwendet werden.
Base distinguished name to group objects Gibt den eindeutigen Namen (DN) im Verzeichnis eines
(Eindeutiger Basisname für
LDAP-Servers an, in dem mit der Suche nach Gruppenattributen
Gruppenobjekte)
begonnen werden soll.
Filter expression to locate a group object
(Filterausdruck zur Suche nach
Gruppenobjekten)
Gruppenattributen an.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste zur Eingabe der Gruppenattribute, die vom
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Digest Authentication (Digest-Authentifizierung)
Einstellungen für die LDAP-Digest-Authentifizierung
Tabelle 9-8 Digest Authentication (Digest-Authentifizierung)
Option
Definition
Enable digest authentication
(Digest-Authentifizierung
aktivieren)
Bei Auswahl dieser Option erfolgt die Authentifizierung von
Benutzern im Rahmen der LDAP-Authentifizierungsmethode
mittels Digest-Authentifizierung.
User attribute with password hash
(Benutzerattribut mit
Kennwort-Hash)
Gibt das Attribut eines Benutzereintrags auf dem LDAP-Server an,
das den Wert für den Authentifizierungs-Hash speichert.
Nonce maximal use count (Maximale
Verwendungshäufigkeit der
Nonce)
Begrenzt die mehrmalige Verwendung der Nonce (Number only
once, Einmalnummer), die beim Authentifizierungsvorgang
übertragen wird und als Parameter bei der Berechnung des
Authentifizierungs-Hashes erforderlich ist.
Die maximale Anzahl an Verwendungen einer Nonce ist
standardmäßig auf 100 gesetzt.
Nonce maximal TTL (Maximale
Gültigkeitsdauer der Nonce)
Gibt einen maximalen Zeitraum (in Minuten) vor, für den eine
Nonce gültig bleibt.
Die maximale Gültigkeitsdauer einer Nonce ist standardmäßig auf
30 Minuten gesetzt.
290
Produkthandbuch
9
Authentifizierung
Tabelle 9-8 Digest Authentication (Digest-Authentifizierung) (Fortsetzung)
Option
Definition
Enable digest URI check
(Digest-URI-Prüfung aktivieren)
Bei Auswahl dieser Option wird geprüft, ob die URL, die von einem
Client als Parameter zur Berechnung des Authentifizierungs-Hashs
gesendet wird, mit der URL übereinstimmt, die derselbe Client in
seiner Zugriffsanfrage für ein bestimmtes Web-Ziel sendet.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert.
Da der Erfolg der Prüfung auch davon abhängt, ob Probleme
aufgrund unterschiedlicher Sendeformate auftreten, die von den
Client-Browsern für URLs genutzt werden, ist diese Prüfung
optional.
Standardmäßig ist die Prüfung jedoch aktiviert.
Allow digest authentication only (Nur
Digest-Authentifizierung
zulassen)
Bei Auswahl dieser Option muss bei der Benutzerauthentifizierung
anhand der LDAP-Authentifizierungsmethode immer eine
Digest-Authentifizierung erfolgen.
Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Einstellungen für die Authentifizierungsmethode mittels Novell eDirectory
Tabelle 9-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory)
Option
Definition
LDAP server(s) to connect to (Zu
kontaktierende(r) LDAP-Server)
Enthält eine Liste zum Eintragen der eDirectory-Server, die
beim Bereitstellen der Authentifizierungsinformationen die
Rolle von LDAP-Servern übernehmen.
Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die
Zertifikate ausstellen, wenn für die Kommunikation mit einem
LDAP-Server eine sichere LDAP-Verbindung (S-LDAP)
verwendet wird.
Credentials (Anmeldeinformationen)
Gibt den Benutzernamen einer Appliance für die Anmeldung
bei einem LDAP-Server an.
Password (Kennwort)
Legt ein Kennwort für einen Benutzernamen fest.
Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum
Konfigurieren eines neuen Kennworts geöffnet.
Gibt an, welcher Zeichensatz standardmäßig für von einem
Client aus gesendete Anfragen verwendet werden soll, z. B.
ISO-8859-1.
Enable LDAP version 3 (LDAP-Version 3
aktivieren)
Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls
verwendet.
Allow LDAP library to follow referrals (Verfolgen Bei Auswahl dieser Option kann die Suche nach
von Weiterleitungen für LDAP-Bibliothek
Benutzerinformationen von einem LDAP-Server auf andere
zulassen)
Server umgeleitet werden.
Connection live check (Aktivitätsprüfung der
Verbindung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf
überprüft wird, ob die Verbindung zu einem LDAP-Server noch
aktiv ist.
LDAP operation timeout (Zeitlimit für
LDAP-Verbindung)
Verbindung mit einem LDAP-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Kommunikation verzeichnet wird.
eDirectory network address attribute (Attribut
für eDirectory-Netzwerkadressen)
Gibt den Namen des Attributs an, das die für einen
eDirectory-Server verwendeten Netzwerkadressen enthält.
Produkthandbuch
291
9
Authentifizierung
Tabelle 9-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell
eDirectory) (Fortsetzung)
Option
Definition
eDirectory network login time attribute (Attribut Gibt den Namen des Attributs an, das die für einen
für Anmeldezeit bei eDirectory-Netzwerk)
eDirectory-Server verwendete Anmeldezeit enthält.
eDirectory network minimal update interval
(Aktualisierungsintervall für
eDirectory-Netzwerk)
Gibt das Intervall (in Sekunden) an, in dem von einem
eDirectory-Server stammenden Informationen aktualisiert
werden.
Base distinguished name to user objects
(Eindeutiger Basisname für Benutzerobjekte)
LDAP-Servers an, in dem mit der Suche nach
Benutzerattributen begonnen werden soll.
Map user name to DN (Benutzername zu DN
zuordnen)
Bei Auswahl dieser Option muss der Name des Benutzers, der
die Authentifizierung anfragt, einem DN (eindeutigen Namen)
zugeordnet werden können. Dieser Name dient zur
Identifizierung des Benutzers im Verzeichnis auf dem
LDAP-Server.
Filter expression to locate a user object
(Filterphrase zur Suche nach Benutzerobjekten) Benutzerattributen an.
In der Filterphrase kann „u%“ als Ersatz für den
Benutzernamen verwendet werden.
Get user attributes (Benutzerattribute abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server nach
Benutzerattributen zur Authentifizierung eines Benutzers
gesucht.
User attributes to retrieve (Abzurufende
Benutzerattribute)
Enthält eine Liste zur Eingabe der Benutzerattribute, die vom
Attributes concatenation string
(Listentrennzeichen für Attribute)
Gibt das Zeichen an, mit dem die einzelnen bei einer Suche
ermittelten Benutzerattribute voneinander getrennt werden,
z. B. „/“ (Schrägstrich).
Get groups attributes (Gruppenattribute
abrufen)
Bei Auswahl dieser Option wird auf dem LDAP-Server zur
Authentifizierung eines Benutzers auch nach
Benutzergruppenattributen gesucht.
Base distinguished name to group objects
(Eindeutiger Basisname für Gruppenobjekte)
LDAP-Servers an, in dem mit der Suche nach
Gruppenattributen begonnen werden soll.
Filter expression to locate a group object
(Filterphrase zur Suche nach Gruppenobjekten) Gruppenattributen an.
In der Filterphrase kann u% als Ersatz für den Benutzernamen
verwendet werden.
Group attributes to retrieve (Abzurufende
Gruppenattribute)
Enthält eine Liste der Gruppenattribute, die von einem
RADIUS Specific Parameters (RADIUS-spezifische Parameter)
Einstellungen für die RADIUS-Authentifizierungsmethode
Tabelle 9-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter)
292
Option
Definition
RADIUS server definition
(RADIUS-Server-Definition)
Enthält eine Liste, in die RADIUS-Server eingegeben werden, von
denen Authentifizierungsinformationen abgerufen werden sollen.
Default domain name (Name der
Standarddomäne)
Gibt den Namen der Domäne an, von der Informationen abgerufen
werden sollen, wenn keine andere Domäne angegeben wurde.
Produkthandbuch
9
Authentifizierung
Tabelle 9-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter) (Fortsetzung)
Option
Definition
Shared secret (Gemeinsamer geheimer
Schlüssel)
Legt das von einer Appliance für den Zugriff auf einen
RADIUS-Server verwendete Kennwort fest.
Radius connection timeout in seconds
(Zeitlimit für RADIUS-Verbindung in
Sekunden)
Verbindung mit dem RADIUS-Server abgebrochen wird, wenn in
dieser Zeit keinerlei Datenverkehr verzeichnet wird.
Value of attribute with code (Attributwert
mit Code)
Legt den Codewert nach RFC 2865 für das im Rahmen der
Benutzergruppeninformationen abgerufene Attribut fest.
Beispielsweise ist „25“ der Code für das Attribut „Klasse“.
Vendor specific attribute with vendor ID
(Anbieterspezifisches Attribut mit
Anbieter-ID)
Legt die Anbieter-ID fest, die bei der Suche nach
Benutzergruppeninformationen für das Abrufen von
anbieterbezogenen Daten erforderlich ist.
Gemäß RFC 2865 ist die Anbieter-ID Teil des Anbieterattributs,
gefolgt von mehreren untergeordneten Attributen. Der
entsprechende Codewert lautet 26.
Vendor subattribute type (Typ der
untergeordneten Anbieterattribute)
Legt den Codewert nach RFC 2865 für den Typ der in einem
Anbieterattribut enthaltenen untergeordneten Attribute fest.
Da diese Strukturvorgabe nicht von allen Anbietern berücksichtigt
wird, ist es empfehlenswert, hier den Wert „0“ festzulegen. Dies
ermöglicht es dem Authentifizierungsmodul, alle verfügbaren
Anbieterinformationen abzurufen.
Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Einstellungen für die Kerberos-Authentifizierungsmethode
In den Systemeinstellungen unter Kerberos Administration (Kerberos-Verwaltung) können für diese
Authentifizierungsmethode weitere Einstellungen konfiguriert werden. Dieses Einstellmenü ist im
übergeordneten Menü Configuration (Konfiguration) zu finden.
Tabelle 9-11 Kerberos Specific Parameters (Kerberos-spezifische Parameter)
Option
Definition
Extract group membership IDs from the
ticket (Gruppenmitgliedschafts-ID aus
Ticket abrufen)
Bei Auswahl dieser Option werden Informationen zur
Identifizierung der Gruppen abgerufen, in denen ein Benutzer
Mitglied ist. Abgerufen werden diese Informationen aus dem
Ticket, das bei der Kerberos-Authentifizierungsmethode während
der Authentifizierung von Benutzern verwendet wird.
Wenn diese Option ausgewählt ist, kann auch auf die nächste
Option zugegriffen werden.
Look up group names via NTLM
(Gruppennamen über NTLM suchen)
Bei Auswahl dieser Option werden mithilfe der
NTLM-Authentifizierungsmethode die Namen der Gruppen
abgerufen, in denen der Benutzer Mitglied ist.
Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische
Parameter)
Einstellungen für die Authentifizierungs-Server-Methode
Produkthandbuch
293
9
Authentifizierung
Tabelle 9-12 Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter)
Option
Definition
Authentication server URL (URL des
Authentifizierungs-Servers)
Gibt die URL des Servers an, der bei dieser Methode für die
Suche nach Authentifizierungsinformationen verwendet wird.
Require client ID (Client-ID erforderlich)
Bei Auswahl dieser Option fordert der Authentifizierungs-Server
die ID des Clients von dem aus der Benutzer eine Anfrage
sendet.
Store authentication result in a cookie
(Ergebnis der Authentifizierung in Cookie
speichern)
Bei Auswahl dieser Option werden die vom
Authentifizierungs-Server abgerufenen Informationen in einem
Cookie gespeichert.
Wenn die Möglichkeit zur Authentifizierung per Cookie gegeben
ist, wird der Cookie bei der nächsten Anfrage des
entsprechenden Benutzers mitgesendet, sodass dieser sich
nicht erneut authentifizieren muss.
Allow persistent cookie for the server
(Dauerhaften Cookie für Server zulassen)
Bei Auswahl dieser Option kann ein Cookie dauerhaft für das
Senden von Anfragen an den Authentifizierungs-Server
verwendet werden.
Cookie TTL for the authentication server in
seconds (Speicherdauer des Cookies für
Authentifizierungs-Server in Sekunden)
Gibt den Zeitraum (in Sekunden) vor, für den ein mit einer
Anfrage an den Server gesendeter Cookie gespeichert wird.
Cookie prefix (Cookie-Präfix)
Gibt einen Präfix an, der einem Cookie auf der Appliance
vorangestellt wird, beispielsweise MWG_Auth.
One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Einstellungen für die Authentifizierungsmethode mittels Einmalkennwort
294
Produkthandbuch
9
Authentifizierung
Tabelle 9-13 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort)
Option
Definition
OTP server (OTP-Server)
Gibt die IP-Adresse und Port-Nummer des OTP-Servers an, mit dem sich Web
Gateway bei der Authentifizierung eines Benutzers im Rahmen der
Einmalkennwort-Authentifizierungsmethode verbindet.
Communicate with SSL and
trust certificate below
(Kommunikation per SSL
und mit untenstehendem
vertrauenswürdigen
Zertifikat)
Bei Auswahl dieser Option erfolgt die Kommunikation mit dem OTP-Server
über eine SSL-verschlüsselte Verbindung.
Wenn die Option ausgewählt wurde, sind die vier folgenden (ansonsten
abgeblendeten) Felder und auch die darunter befindliche Schaltfläche Import
(Importieren) verfügbar.
Die Felder enthalten detaillierte Informationen zum derzeit bei der
SSL-verschlüsselten Kommunikation mit dem OTP-Server verwendeten
Zertifikat.
• Subject (Inhaber): Enthält allgemeine Informationen über das Zertifikat.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Zertifikats an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation an, um deren
Zertifikat es sich handelt.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Issuer (Aussteller): Enthält Informationen über den Aussteller des
Zertifikats.
• Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen
des Ausstellers an.
Standardmäßig ist dies localhost.
• Organization (O) (Organisation, O): Gibt die Organisation des Ausstellers an.
Standardmäßig ist dies OTP Server.
• Organizational Unit (OU) (Organisationseinheit, OU): Gibt die
Organisationseinheit an, der das Server-Zertifikat zugeordnet ist.
Standardmäßig ist keine Organisationseinheit angegeben.
• Validity (Gültigkeit): Gibt an, wie lange das Zertifikat gültig ist.
• Not before (Gültig ab): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Zertifikats beginnt.
• Not after (Gültig bis): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem
die Gültigkeit des Server-Zertifikats endet.
• Extensions (Weitere Informationen) Enthält weitere Informationen über das
Zertifikat.
• Comment (Kommentar): Enthält Kommentare zum Zertifikat im
Nur-Text-Format.
Standardmäßig ist kein Kommentar angegeben.
• Import (Importieren): Öffnet ein Fenster zum Importieren eines Zertifikats.
WS client name (Name des
WS-Clients)
Legt den Benutzernamen für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
Produkthandbuch
295
9
Authentifizierung
Tabelle 9-13 One-Time Password Specific Parameters (Spezifische Parameter für
Einmalkennwort) (Fortsetzung)
Option
Definition
WS client password
(Kennwort des WS-Clients)
Legt das Kennwort für Web Gateway bei der Kommunikation mit dem
OTP-Server fest.
OTP message
(OTP-Nachricht)
Legt das Präfix für Nachrichten fest, die vom OTP-Server an Web Gateway
gesendet werden, sowie die Trennzeichen, die eine Nachricht einschließen.
Standardmäßig haben Nachrichten das folgende Format:
OTP for MWG: $$<OTP-Nachricht>$$
McAfee Client Proxy
Einstellungen für die SWPS-Authentifizierungsmethode (McAfee Client Proxy)
Tabelle 9-14 McAfee Client Proxy
Option
Definition
Customer ID (Kunden-ID)
Gibt die ID eines Kunden an.
Shared password (Freigegebenes
Kennwort)
Legt ein Kennwort für einen Kunden fest.
Keep domain in group name (Domäne aus
Gruppenname beibehalten)
Bei Auswahl dieser Option werden im Namen einer
Benutzergruppe vorhandene Informationen zur Domäne
beibehalten.
Nach dem Klicken auf Set (Festlegen) öffnet sich ein Fenster
zum Festlegen des Kennworts.
Remove custom headers used for authentication
(Benutzerdefinierte Header für
Authentifizierung entfernen)
Bei Auswahl dieser Option werden alle in den zur
Authentifizierung gesendeten Informationen befindlichen
Header entfernt.
Export MCP credentials to XML file
(MCP-Anmeldeinformationen in
XML-Datei exportieren)
Mit dieser Option können Sie die bei Durchführung der
SWPS-Authentifizierungsmethode (McAfee Client Proxy)
gesendeten Anmeldeinformationen exportieren.
Standardmäßig haben Nachrichten das folgende Format:
OTP for MWG: $$<OTP-Nachricht>$$
Advanced Parameters (Erweiterte Parameter)
Einstellungen für die Konfiguration der erweiterten Authentifizierungsfunktionen
Da diese Einstellung für alle Authentifizierungsmethoden gleich ist, wird die entsprechende
Beschreibung auch zu Beginn der Erläuterung der Authentifizierungseinstellungen (im
Anschluss an die Beschreibung der allgemeinen Einstellungen) aufgeführt.
296
Produkthandbuch
9
Authentifizierung
Tabelle 9-15 Advanced Parameters (Erweiterte Parameter)
Option
Definition
Always evaluate property
value (Eigenschaftswert
immer bewerten)
Bei Auswahl dieser Option wird bei jeder Verarbeitung einer Regel, die diese
Eigenschaft enthält, eine neue Bewertung durchgeführt, mit der dieser
Eigenschaft ein Wert zugeordnet wird.
Auch wenn für diese Eigenschaft ein im Cache gespeicherter Wert vorhanden
ist, wird dieser nicht genutzt.
Es ist zwar normalerweise zum Erreichen einer besseren Leistung
empfehlenswert, Werte aus dem Cache zu verwenden, jedoch ist es in
manchen Situationen erforderlich, eine Neubewertung von Eigenschaften
vorzunehmen.
Dies sind Situationen, in denen dieselbe Eigenschaft innerhalb der
Authentifizierungsregeln mehrmals und mit denselben Einstellungen des
Authentifizierungsmoduls verwendet wird. Durch eine Neubewertung wird
gewährleistet, dass der Eigenschaft bei jedem einzelnen Durchlauf der jeweils
aktuelle Wert zugeordnet wird.
Wenn Sie nicht die Benutzerdatenbank-Authentifizierungsmethode des Standard-Regelsatzes
verwenden möchten, können Sie stattdessen eine Methode wie NTLM, LDAP oder andere
implementieren.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu dem Regelsatz mit den Regeln für die
Benutzerauthentifizierung, z. B. zum Standard-Regelsatz Authentication and Authorize, und wählen Sie
den untergeordneten Regelsatz Authenticate with User Database aus.
Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt.
3
Wählen Sie die Regel Authenticate with User Database aus, und klicken Sie in den Regelkriterien auf User
Database.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten).
4
Wählen Sie in der Liste unter Authentication Method (Authentifizierungsmethode) eine
Authentifizierungsmethode aus, z. B. NTLM.
5
Konfigurieren Sie für die ausgewählte Methode allgemeine und spezifische Parameter nach Bedarf.
6
7
Es wird empfohlen, nach dem Ändern der Authentifizierungsmethode die Einstellungen des
Authentifizierungsmoduls sowie die Authentifizierungsregel und den untergeordneten Regelsatz
entsprechend umzubenennen.
Nach der Auswahl von NTLM können Sie beispielsweise die Einstellungen in NTLM und sowohl die Regel
als auch den untergeordneten Regelsatz in Authenticate with NTLM umbenennen.
Anstatt die Standardeinstellungen umzubenennen, können Sie auch verschiedene Einstellungen mit
unterschiedlichen Namen und Parameterwerten für das Authentifizierungsmodul verwalten.
Produkthandbuch
297
9
Authentifizierung
Verwenden von Systemeinstellungen zum Konfigurieren der
Authentifizierung
Für einige Authentifizierungsmethoden müssen Sie Einstellungen konfigurieren, die Einstellungen des
Appliance-Systems und nicht des Authentifizierungsmoduls sind.
Dies gilt, wenn Sie NTLM als Authentifizierungsmethode implementieren. In diesem Fall müssen Sie
die Appliance einer Windows-Domäne hinzufügen und die Systemeinstellungen für Windows Domain
Membership (Mitgliedschaft in Windows-Domäne) konfigurieren.
Dies gilt auch für die Kerberos-Authentifizierungsmethode, die über die Systemeinstellungen für
Kerberos Administration (Kerberos-Verwaltung) implementiert wird.
Einstellungen für „Kerberos Administration“
Die Einstellungen für „Kerberos Administration“ sind spezifische Einstellungen für die
Kerberos-Authentifizierungsmethode.
Kerberos Administration
Einstellungen für die Kerberos-Authentifizierungsmethode
Tabelle 9-16 Kerberos Administration
Option
Definition
Key tab file (Keytab-Datei) Gibt die Datei an, die den erforderlichen Master-Schlüssel für den Zugriff auf
den Kerberos-Server enthält.
Sie können einen Dateinamen eingeben oder auf die Schaltfläche Browse
(Durchsuchen) klicken, um nach der Datei zu suchen und ihren Namen im Feld
zu übernehmen.
Wenn für die Authentifizierung gemäß der Kerberos-Methode ein Ticket
ausgestellt wird, wird der Master-Schlüssel auf der Appliance gelesen, und
mithilfe des Schlüssels wird das Ticket überprüft.
Wenn Sie einen Load-Balancer einsetzen, der Web-Anfragen an die Appliance
weiterleitet, werden für den Load-Balancer Tickets ausgestellt und auf der
Appliance überprüft. In diesem Fall wird nicht überprüft, ob eine Anfrage an die
Appliance weitergeleitet wurde.
Kerberos realm
(Kerberos-Bereich)
Gibt eine für Authentifizierungszwecke konfigurierte Verwaltungsdomäne an.
Innerhalb der Grenzen dieser Domäne hat der Kerberos-Server die Befugnis,
einen Benutzer zu authentifizieren, der eine Anfrage von einem Host sendet
oder einen Dienst nutzt.
Beim Bereichsnamen wird die Groß-/Kleinschreibung berücksichtigt. Im
Allgemeinen werden jedoch nur Großbuchstaben verwendet, und es empfiehlt
sich, den Bereichsnamen auf den Namen der relevanten DNS-Domäne
festzulegen.
298
Produkthandbuch
9
Authentifizierung
Tabelle 9-16 Kerberos Administration (Fortsetzung)
Option
Definition
Maximal time difference
between appliance and
client (Maximale
Zeitdifferenz zwischen
Appliance und Client)
Beschränkt die zeitliche Differenz (in Sekunden) zwischen den Systemuhren der
Appliance und ihrer Clients auf den angegebenen Wert.
Wenn Sie Kerberos als Authentifizierungsmethode konfigurieren, kann dies
Probleme nach sich ziehen, wenn Anfragen mit bestimmten Browsern gesendet
werden:
• Wenn eine frühere Version von Microsoft Internet Explorer als 7.0 verwendet
wird, ist die Kerberos-Authentifizierung u. U. nicht möglich.
• Wenn dieser Explorer unter Windows XP ausgeführt wird, funktioniert die
Kerberos-Authentifizierung möglicherweise nicht wie erwartet.
• Bei Verwendung von Mozilla Firefox muss die Kerberos-Authentifizierung in
den Browser-Einstellungen als Authentifizierungsmethode aktiviert werden.
Enable replay cache
Bei Auswahl dieser Option kann ein für die Authentifizierung ausgestelltes
(Replay-Cache aktivieren) Ticket nicht mehrmals verwendet werden.
Durch Auswahl dieser Option wird die Authentifizierungsleistung vermindert.
Beitreten einer Appliance zu einer Windows-Domäne
Beim Verwenden der NTLM-Authentifizierung müssen Sie eine Appliance als Mitglied einer
Windows-Domäne festlegen, damit das Authentifizierungsmodul auf dem Domänenserver gespeicherte
Benutzerinformationen abrufen kann.
Eine Appliance kann gleichzeitig mehreren Domänen angehören.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die der Domäne betreten soll, und
klicken Sie auf Windows Domain Membership (Mitgliedschaft in Windows-Domäne).
Im Einstellungsbereich wird eine Liste von Domänen angezeigt. Diese ist anfänglich leer.
3
Klicken Sie auf Join (Beitreten), um eine Domäne in die Liste einzugeben.
Daraufhin öffnet sich das Fenster Join Domain (Domäne beitreten).
4
Konfigurieren Sie in diesem Fenster einen Domänennamen, einen Domänen-Controller und weitere
Einstellungen.
5
Klicken Sie auf OK.
Das Fenster wird geschlossen, und die neue Domäne wird nun in der Liste angezeigt. Die Appliance
ist jetzt ein Mitglied der betreffenden Domäne.
Wiederholen Sie die Schritte 3 bis 5, um weitere Domänen hinzuzufügen.
Verwenden Sie die übrigen Symbole auf der Symbolleiste, um die Liste zu bearbeiten, z. B. um einen
Listeneintrag zu ändern oder um die Mitgliedschaft einer Appliance in einer Domäne aufzuheben.
Siehe auch
Einstellungen für die Windows-Domänenmitgliedschaft auf Seite 300
Produkthandbuch
299
9
Authentifizierung
Einstellungen für die Windows-Domänenmitgliedschaft
Mit den Einstellungen für die Windows-Domänenmitgliedschaft wird eine Appliance einer
Windows-Domäne hinzugefügt.
Join Domain (Beitreten zur Domäne)
Einstellungen zum Beitreten einer Appliance zu einer Windows-Domäne
Tabelle 9-17 Join Domain (Beitreten zur Domäne)
Option
Definition
Windows domain name (Name der
Windows-Domäne)
Gibt den Namen der Domäne an.
McAfee Web Gateway account name
(Name des McAfee Web Gateway-Kontos)
Gibt den Namen eines Kontos für eine Appliance an.
Overwrite existing account (Bestehendes
Konto überschreiben)
Bei Auswahl dieser Option wird ein bestehendes Konto
überschrieben.
Use NTLM version 2 (NTLM-Version 2
verwenden)
Bei Auswahl dieser Option wird NTLM-Version 2 verwendet.
Timeout for requests to this NTLM domain
(Zeitlimit für Anfragen an diese
NTLM-Domäne)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf die Verarbeitung
für eine von einer Appliance an einen Domänen-Controller
gesendete Anfrage angehalten wird, wenn keine Antwort eingeht.
Wait time for reconnect to domain
controller (Wartezeit für erneute
Verbindung mit dem Domänen-Controller)
Gibt die Zeit (in Sekunden) an, nach deren Ablauf erneut versucht
wird, eine Verbindung mit dem Domänen-Controller herzustellen,
nachdem ein vorheriger Versuch fehlgeschlagen ist.
Der zulässige Bereich ist 5 bis 300 Sekunden.
Configured domain controllers
(Konfigurierte Domänen-Controller)
Bietet eine Liste zur Eingabe der Domänen-Controller, mit denen
eine Appliance eine Verbindung zum Abrufen von
Authentifizierungsinformationen herstellen kann.
Einträge müssen durch Kommas getrennt werden.
Number of active domain controllers
(Anzahl aktiver Domänen-Controller)
Die Höchstanzahl konfigurierter Domänen-Controller, die
gleichzeitig aktiv sein können
Zulässige Werte sind 1 bis 10.
Administrator name (Name des
Administrators)
Gibt den Benutzernamen für das Konto an, das beim Beitreten
einer Appliance zu einer Domäne erstellt wird.
Benutzername und Kennwort werden nur zu diesem Zweck
verwendet und nicht gespeichert.
Password (Kennwort)
Legt ein Kennwort für den Administratornamen fest.
Empfohlene Vorgehensweisen – Konfigurieren der
Authentifizierung für Bereitstellungstypen
Beim Konfigurieren der Authentifizierung müssen Sie die Art der Bereitstellung berücksichtigen, die zur
Verarbeitung des Datenverkehrs zwischen Web Gateway und dessen Clients konfiguriert wurde, z. B.
300
Produkthandbuch
9
Authentifizierung
der Modus „Expliziter Proxy“ oder ein transparenter Modus. Für jeden Typ gibt es einen Regelsatz in
der Regelsatz-Bibliothek, der am besten für die Handhabung der Authentifizierung geeignet ist.
Die folgenden beiden Fragen sind hinsichtlich des Authentifizierungsprozesses von Bedeutung:
•
Wie werden die während des Prozesses ausgewerteten Anmeldeinformationen des Benutzers durch
Web Gateway abgerufen?
Dieser Teil der Authentifizierung wird manchmal auch als Authentifizierungs-Front-End bezeichnet.
Die Methode zum Abrufen der Anmeldeinformationen des Benutzers hängt davon ab, ob der Modus
„Expliziter Proxy“ (auch als direkter Proxy-Modus bezeichnet) oder ein transparenter Modus
(transparenter Router oder Bridge-Modus) für die Verarbeitung des Datenverkehrs zwischen
Web Gateway und dessen Clients konfiguriert wurde.
Für den Modus „Expliziter Proxy“ können Sie konfigurieren, dass Clients einen Dienst unter dem
WCCP-Protokoll als zusätzliche Option zum Senden von Anfragen verwenden.
Die Regelsatz-Bibliothek bietet für jeden dieser Modi passende Regelsätze.
•
Wie sollten Anmeldeinformationen nach dem Abrufen ausgewertet werden?
Dies wird manchmal auch als Authentifizierungs-Back-End bezeichnet.
Die Auswertung der Anmeldeinformationen hängt von der konfigurierten Authentifizierungsmethode
ab, z. B. LDAP oder NTLM.
Bibliotheks-Regelsätze für die Authentifizierung
Die Regelsätze zur Konfiguration der Authentifizierung befinden sich in der Regelsatzgruppe
Authentication der Regelsatz-Bibliothek.
Die nachfolgende Tabelle zeigt, welche dieser Regelsätze für bestimmte Bereitstellungstypen
empfohlen werden.
Tabelle 9-18 Bibliotheks-Regelsätze für die Authentifizierung
Bereitstellungstyp
Empfohlener Bibliotheks-Regelsatz
Direct Proxy Authentication and Authorization
Modus „Transparenter Router“ oder
„Transparente Bridge“
Authentication Server (Time/IP Based Session)
Modus „Expliziter Proxy“ mit WCCP
Bei Verarbeitung des Datenverkehrs in:
• Modus „Expliziter Proxy“: Direct Proxy Authentication and
Authorization
• WCCP-Modus: Authentication Server (Time/IP Based
Session)
Nach dem Import eines Regelsatzes aus der Bibliothek können Sie dessen Regeln modifizieren und
weiter an die Gegebenheiten Ihres Netzwerks anpassen.
Position in der Regelsatz-Baumstruktur
Ein Authentifizierungs-Regelsatz sollte sich hinter dem Regelsatz „Globale Whitelist“ befinden, jedoch
vor dem Regelsatz „Common Rules“ (wenn Sie diese Elemente aus der
Regelsatz-Standardbaumstruktur behalten).
Produkthandbuch
301
9
Authentifizierung
Durch diese Platzierung eines Authentifizierungs-Regelsatzes wird sichergestellt, dass ein Benutzer
nicht authentifiziert werden muss, wenn er eine Anfrage für den Zugriff auf ein Web-Objekt sendet,
das sich in der globalen Whitelist befindet.
Authentifizierung für den Modus „Expliziter Proxy“
Beim Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ muss in Web Gateway ein
geeigneter Regelsatz implementiert werden.
Bibliotheks-Regelsatz für den expliziten Proxy-Modus
Der empfohlene Bibliotheks-Regelsatz für den expliziten Proxy-Modus ist „Direct Proxy Authentication
and Authorization“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Authenticate with User Database
•
Authorize User Groups
Wenn dieser Regelsatz implementiert ist, wird der Authentifizierungsprozess für jede Anfrage
durchgeführt, die von einem Client aus Web Gateway empfangen wurde, sofern keine Ausnahmeregel
gilt.
Die Verwendung dieses Regelsatzes ist zudem das bevorzugte Verfahren zur Handhabung der
Authentifizierung, wenn Citrix installiert ist oder Workstations in einer Konfiguration gemeinsam
genutzt werden.
Regelsatz „Direct Proxy Authentication and Authorization“
Dieser Regelsatz enthält Regeln zur Erstellung von Ausnahmen. Diese ermöglichen es, eine Anfrage
auf Web Gateway zu verarbeiten, ohne den Benutzer zu authentifizieren, der die Anfrage gesendet
hat.
Ausnahmen können auf Folgendem basieren:
•
Auf der IP-Adresse des Clients, von dem die Anfrage gesendet wurde
•
Auf der URL des Web-Objekts, das das Ziel der Anfrage ist
Anhand dieser Regeln sorgen Sie dafür, dass für Anfragen, die von vertrauenswürdigen Clients
eingehen oder an vertrauenswürdige Ziele gesendet werden, keine Authentifizierung durchgeführt
werden muss, was zu einer Steigerung der Leistung führt.
Sie können auch eigene Listen erstellen und diesem Regelsatz hinzufügen, um weitere Ausnahmen zu
ermöglichen.
Untergeordneter Regelsatz „Authenticate with User Database“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, der eine Web-Zugriffsanfrage über einen Client von Web Gateway sendet. Der Benutzer
wird zur Eingabe der Anmeldeinformationen aufgefordert, die anhand der in der internen
Benutzerdatenbank gespeicherten Daten ausgewertet werden.
Der Regelsatz gilt, wenn der betreffende Benutzer noch nicht authentifiziert wurde und noch keinen
fehlgeschlagenen Authentifizierungsversuch unternommen hat. Dies wird mithilfe der Eigenschaften
Authentication.Is.Authenticated und Authentication.Failed überprüft.
Anstatt die Anmeldeinformationen anhand der Daten aus der internen Benutzerdatenbank überprüfen,
können Sie auch eine andere Authentifizierungsmethode konfigurieren, z. B. LDAP oder NTLM.
302
Produkthandbuch
9
Authentifizierung
Untergeordneter Regelsatz „Authorize User Groups“
Dieser Regelsatz enthält eine Regel, die nur Anfragen autorisierter Benutzer zulässt. Eine Anfrage wird
also blockiert, wenn der Benutzer, der diese gesendet hat, kein Mitglied einer der Benutzergruppen in
einer bestimmten Liste ist. Die Anfrage wird auch dann blockiert, wenn der Benutzer die zuvor
durchgeführte Auswertung erfolgreich bestanden hat.
Diese Regel ermöglicht die Implementierung einer zusätzlichen Sicherheitsprüfung. Wenn Sie diese
verwenden möchten, müssen Sie in die in diesem Regelsatz verwendete Liste Benutzergruppen
eintragen. Andernfalls können Sie den Regelsatz deaktivieren oder löschen.
Bearbeiten des Regelsatzes für den expliziten Proxy-Modus
Beim Konfigurieren der Authentifizierung für den expliziten Proxy-Modus können Sie den
Bibliotheks-Regelsatz so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Dazu gehört:
•
Ändern der Authentifizierungsmethode
•
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
•
Konfigurieren weiterer Ausnahmeregeln
Die Standardmethode für die Auswertung von Anmeldeinformationen ist der Vergleich dieser
Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich in der einzigen
Regel des Regelsatzes „Authenticate user against User Database“ befindet.
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung
Der untergeordnete Regelsatz „Authorized User Groups“ lässt nur Anfragen von autorisierten
Benutzern zu. Sie können die Liste, die in der einzigen Regel dieses Regelsatzes bereitgestellt wird,
nach Bedarf mit Benutzergruppen füllen.
Wenn Sie diese Prüfung nicht als zusätzliche Sicherheitsprüfung verwenden möchten, können Sie den
Regelsatz deaktivieren oder löschen.
Konfigurieren weiterer Ausnahmeregeln
Sie können dem Regelsatz „Direct Proxy Authentication and Authorization“ Regeln hinzufügen, um
mehr Ausnahmen des Authentifizierungsprozesses abzudecken.
Wenn eine dieser Regeln angewendet wird, wird die Verarbeitung des Regelsatzes angehalten, d. h.,
der Regelsatz wird nicht für die untergeordneten Regelsätze ausgeführt, die für die Authentifizierung
zuständig sind.
Beispielsweise können Sie eine Regel hinzufügen, um Anfragen zuzulassen, wenn der Browser des
Clients, von dem diese gesendet wurden, mit einem bestimmten Benutzer-Agenten ausgeführt wird.
Die Informationen zum Benutzer-Agenten werden aus dem Anfrage-Header abgerufen.
Produkthandbuch
303
9
Authentifizierung
Die Regel könnte folgendermaßen aussehen:
Skip authorization for user agents that are in list Allowed User Agents
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
Eine weitere Regel könnte Anfragen für den Zugriff auf Objekte auf Web-Servern mit IP-Adressen aus
einer bestimmten Liste zulassen. Die IP-Adresse wird der URL entnommen, die mit einer Anfrage
übermittelt wurde.
Diese Regel könnte folgendermaßen aussehen:
Skip authorization for destination IPs that are in list Allowed Destination IPs
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
Authentifizierung für transparente Modi
Beim Konfigurieren der Authentifizierung für die transparenten Modi müssen die Einstellungen für die
Browser geändert werden, mit denen Anfragen an Web Gateway gesendet werden. Außerdem muss in
Web Gateway eine geeignete Regel implementiert werden.
Bearbeiten der Browser-Einstellungen
Um die Authentifizierung für den Modus „Transparenter Router“ oder „Transparente Bridge“ zu
aktivieren, müssen die Einstellungen der einzelnen zum Senden von Anfragen verwendeten
Web-Browser konfiguriert werden, damit Web Gateway als vertrauenswürdig eingestuft werden kann.
Wenn auch NTLM oder Kerberos als Authentifizierungsmethode auf Web Gateway konfiguriert ist,
erfolgt der Authentifizierungsprozess intern, ohne dass sich der Benutzer authentifizieren muss.
•
Wenn Sie Microsoft Internet Explorer verwenden, müssen Sie die Sicherheitseinstellungen wie folgt
ändern:
•
Konfigurieren Ihres lokalen Intranets als Sicherheitszone
•
Hinzufügen von Web Gateway als Website zu dieser Zone
Hierfür geben Sie eine URL mit einer IP-Adresse oder einen vollqualifizierten Domänennamen
an, z. B. http://10.10.69.73 oder http://*.mcafee.local.
•
Konfigurieren der automatischen Anmeldung für alle Websites in dieser Zone als
Sicherheitseinstellung für die Benutzerauthentifizierung
Sie können dies unter Internetoptionen in den Fenstern Lokales Intranet und Sicherheitseinstellungen – Lokale
Intranetzone konfigurieren.
Wenn für einen Browser Gruppenrichtlinien konfiguriert werden können, können Sie auch den
Gruppenrichtlinienverwaltungs-Editor zusammen mit der Liste der Site zu Zonenzuweisungen und dem Fenster
Anmeldungsoptionen verwenden.
•
Wenn Sie Mozilla Firefox verwenden, müssen Sie eine IP-Adresse oder einen vollqualifizierten
Domänennamen für Web Gateway unter about:config als Wert für den Parameter
network.automatic-ntlm-auth.trusted-uris angeben, z. B. 10.10.69.73 oder mwgappl.yourdomain.local.
Weitere Informationen hierzu finden Sie in der Dokumentation des jeweiligen Web-Browsers.
304
Produkthandbuch
9
Authentifizierung
Bibliotheks-Regelsatz für transparente Modi
Der empfohlene Bibliotheks-Regelsatz für den Modus „Transparenter Router“ oder „Transparente
Bridge“ ist „Authentifizierungs-Server (Zeit/IP-basierte Sitzung)“.
Dieser Regelsatz enthält zwei untergeordnete Regelsätze:
•
Check for Valid Authentication Session
•
Authentication Server
Im Unterschied zum Authentifizierungsprozess, der für den expliziten Proxy-Modus durchgeführt wird,
verarbeitet dieser Regelsatz die Authentifizierung durch das Erstellen einer Authentifizierungssitzung,
wenn ein Benutzer, der eine Anfrage für Web-Zugriff gesendet hat, erfolgreich authentifiziert wurde.
Solange diese Sitzung weiterhin gültig ist, werden von diesem Benutzer gesendete nachfolgende
Anfragen verarbeitet, ohne dass eine erneute Authentifizierung erforderlich ist. Die standardmäßige
Sitzungslänge beträgt 600 Sekunden.
Die Verwendung dieses Regelsatzes in einer Konfiguration, in der Citrix installiert ist oder Workstations
gemeinsam genutzt werden, kann zu folgender Situation führen: Benutzer A sendet eine Anfrage, wird
authentifiziert, und eine Authentifizierungssitzung wird erstellt. Später sendet Benutzer B eine Anfrage
über dieselbe Workstation und darf die Sitzung von Benutzer A fortsetzen.
Regelsatz „Authentication Server (Time/IP Based Session)“
Dieser Regelsatz dient als Container für die beiden untergeordneten Regelsätze und enthält keine
eigenen Regelsätze.
Untergeordneter Regelsatz „Check for Valid Authentication Session“
Dieser Regelsatz enthält eine Regel, die überprüft, ob für einen Benutzer, der eine Anfrage über einen
Client sendet, eine gültige Sitzung vorhanden ist. Sitzungsinformationen werden in einer internen
Sitzungsdatenbank gespeichert. Die Informationen enthalten den Benutzernamen, die IP-Adresse des
Clients und die Sitzungslänge.
Wenn eine gültige Sitzung vorhanden ist, wird die Verarbeitung der Anfrage für die verbleibenden
konfigurierten Regeln und Regelsätze fortgesetzt. Wenn keine gültige Sitzung vorhanden ist, wird die
Anfrage an den Authentifizierungs-Server umgeleitet.
Untergeordneter Regelsatz „Authentication Server“
Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt
werden kann, dessen Anfrage an den Authentifizierungs-Server umgeleitet wurde. Bei erfolgreicher
Authentifizierung wird für diesen Benutzer in der Sitzungsdatenbank eine Sitzung erstellt.
Die Standardmethode für die Auswertung von Anmeldeinformationen des Benutzers ist der Vergleich
dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Sie können
diese Methode durch eine andere Methode ersetzen, z. B. LDAP oder NTLM.
Bearbeiten des Regelsatzes für transparente Modi
Beim Konfigurieren der Authentifizierung für transparente Modi können Sie den Bibliotheks-Regelsatz
so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht.
Es sind folgende Bearbeitungsaktionen möglich:
•
Bearbeiten der URL des Authentifizierungs-Servers
•
Produkthandbuch
305
9
Authentifizierung
•
Aktivieren der Regel für ideale Bedingungen
•
Verlängern der Gültigkeitsdauer der Sitzung
Bearbeiten der URL des Authentifizierungs-Servers
Wenn Sie die Sicherheitseinstellungen der für das Senden von Anfragen an Web Gateway verwendeten
Browser durch Konfigurieren der lokalen Domäne als Sicherheitszone bearbeitet haben, können Sie
Web Gateway als Website in diese Zone einbinden, indem Sie eine URL entweder mittels IP-Adresse
oder vollqualifiziertem Domänennamen angeben.
In diesem Fall müssen Sie auch die URL des Authentifizierungs-Servers durch Einfügen des Namens
der lokalen Domäne bearbeiten, da die URL standardmäßig eine IP-Adresse für Web Gateway enthält.
Die Authentifizierungs-Server-URL wird für Appliances, auf denen Web Gateway ausgeführt wird,
dynamisch erzeugt. Da in einer Konfiguration mehrere Web Gateway-Appliances vorhanden sein
können, darf die IP-Adresse nicht statisch sondern muss dynamisch konfiguriert sein. Diese
Konfiguration erfolgt über interne Konfigurationseigenschaften.
Diese URL kann unter der Option IP Authentication Server (IP-Authentifizierungs-Server) bearbeitet werden,
die in der Regel Redirect clients that do not have a valid session to the authentication server des
Regelsatzes „Check for Valid Authentication Session“ neben der Eigenschaft
Authentication.Authenticate zu finden ist.
Standardmäßig hat diese URL das folgende Format:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
In allgemein lesbarem Format könnte die URL eines konkreten Authentifizierungs-Servers
folgendermaßen lauten:
http://10.10.69.71:9090
Nach der Anpassung der URL an die Browser-Einstellungen, durch die die lokale Domäne als
Sicherheitszone definiert ist, sieht die URL folgendermaßen aus:
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
Hierbei wurde "com.scur.engine.system.proxy.ip"/>$ durch "com.scur.engine.system"/>
$.yourdomain.local ersetzt.
In allgemein lesbarem Format könnte dies z. B. folgendermaßen aussehen:
http://mwgappl.yourdomain.local:9090
Hierbei ist mwgappl der Host-Name einer Appliance, auf der Web Gateway ausgeführt wird.
Die standardmäßig für die Bewertung von Anmeldeinformationen genutzte Methode bei transparenten
Modi ist das Vergleichen dieser Informationen mit denen, die in der internen Benutzerdatenbank
gespeichert sind.
Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die
Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich im Regelsatz
„Authentication Server“ in der Regel Authenticate user against user database rule befindet.
306
Produkthandbuch
9
Authentifizierung
Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden
angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen
können, beispielsweise LDAP oder NTLM.
Aktivieren der Regel für ideale Bedingungen
Mit der Regel Revalidate session under ideal conditions aus dem Regelsatz „Check for Valid
Authentication Session“ kann sich der Benutzer unter „idealen“ Bedingungen erneut authentifizieren.
Dies bedeutet, dass bei bereits abgelaufener Sitzung keine Aufforderung zur Authentifizierung mehr
erfolgt.
Hier eine detaillierte Liste der standardmäßig festgelegten Bedingungen:
•
Die verbleibende Sitzungszeit beträgt weniger als 400 Sekunden.
•
Es wird das Netzwerkprotokoll HTTP verwendet.
•
Bei der vom Benutzer gesendeten Anfrage handelt es sich um eine GET-Anfrage.
Durch Aktivieren dieser Regel können Situationen wie z. B. die folgende vermieden werden:
1
Ein Benutzer sendet von einem Web Gateway-Client eine Anfrage und authentifiziert sich (es
werden 600 Sekunden Sitzungszeit zugeteilt).
2
Der Benutzer möchte ein Ticket an den Helpdesk senden und beginnt mit dem Ausfüllen des
Datenformulars (300 Sekunden Sitzungszeit verbraucht).
3
Beim Ausfüllen fehlen dem Benutzer bestimmte Informationen, nach denen er im Internet suchen
muss. Hierdurch werden auf Web Gateway mehrere GET-Anfragen empfangen (es vergehen weitere
200 Sekunden).
4
Der Benutzer füllt das Formular vollständig aus und sendet es ab, wodurch bei Web Gateway eine
POST-Anfrage eingeht (es vergehen weitere 200 Sekunden, wobei die Sitzung bereits nach den
ersten 100 Sekunden abgelaufen ist).
5
Da die Sitzungszeit abgelaufen ist, wird der Benutzer vor dem Verarbeiten der POST-Anfrage zum
erneuten Authentifizieren aufgefordert. Da die Sitzung jedoch nicht mehr gültig ist, gehen alle in
das Formular eingegebenen Daten verloren.
Wenn die Regel für ideale Bedingungen aktiviert ist, wird der Benutzer bereits während der
Informationssuche in Schritt 3 erneut zur Authentifizierung aufgefordert, sodass genügend Zeit für das
Ausfüllen und Absenden des Formulars zur Verfügung steht.
Verlängern der Gültigkeitsdauer der Sitzung
Die Zeitdauer einer Authentifizierungs-Sitzung kann z. B. auch von den standardmäßig eingestellten
600 Sekunden (10 Minuten) auf eine Stunde erhöht werden.
Außerdem ist es auch möglich, die Zeitbedingung in den Kriterien der Regel Revalidate session under
ideal conditions beispielsweise von 400 auf 600 Sekunden zu erhöhen.
Hierdurch fordert die Regel den Benutzer bereits beim Erhalt einer GET-Anfrage zur Authentifizierung
auf. Zu diesem Zeitpunkt ist die Sitzung noch 10 Minuten lang gültig.
Produkthandbuch
307
9
Authentifizierung
Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP
Das Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP umfasst das
Importieren und Bearbeiten von zwei Regelsätzen sowie die Angabe der Ports für den eingehenden
Datenverkehr, damit die Anwendung des passenden Regelsatzes ausgelöst wird.
Wenn der Modus „Expliziter Proxy“ mit WCCP konfiguriert ist, senden Clients ihre Anfragen an Web
Gateway entweder in diesem Modus oder unter Verwendung eines Dienstes im WCCP-Protokoll.
Zur Durchführung der Authentifizierung im Modus „Expliziter Proxy“ wird der Regelsatz „Direct Proxy
Authentication and Authorization“ empfohlen, für den WCCP-Modus, der ein transparenter Modus ist,
hingegen der Regelsatz „Authentication Server (Time/IP Based Session)“.
Aus diesem Grund sollten Sie beide Regelsätze importieren und auch alle weiteren für beide Modi
erforderlichen Schritte durchführen, einschließlich der Bearbeitung der Browser-Einstellungen für den
WCCP-Modus.
Damit der Datenverkehr für den jeweiligen Modus vom richtigen Authentifizierungs-Regelsatz
verwaltet wird, können Sie für die beiden Datenverkehrsarten unterschiedliche Ports konfigurieren und
den zu verwendenden Port jeweils in den Kriterien des entsprechenden Regelsatzes festlegen.
Konfigurieren unterschiedlicher Ports für den Modus „Expliziter Proxy“ und den
WCCP-Modus.
Für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise die Ports 9090 und
9091 konfiguriert werden. Beim Konfigurieren eines WCCP-Dienstes müssen Sie angeben, welcher Port
für den WCCP-Modus verwendet wird. In die Liste der HTTP-Ports müssen hingegen beide Ports
eingetragen werden.
Ein WCCP-Dienst wird durch Eintragung in die Liste WCCP Services (WCCP-Dienste) konfiguriert. Diese
Liste wird unter der Option WCCP im Bereich Transparent Proxy (Transparenter Proxy) angezeigt, zu dem
Sie über die Systemeinstellung Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S), FTP, ICAP, und IM)
gelangen.
Der Abschnitt wird erst angezeigt, wenn Sie durch Auswählen von Proxy (optional WCCP) (Proxy, WCCP
optional) unter Network Setup (Netzwerkeinrichtung) mit dem Konfigurieren des Modus „Expliziter Proxy“
mit WCCP beginnen.
Der Eintrag für einen WCCP-Dienst, der für den auf Port 9091 eingehenden Datenverkehr verwendet
wird, könnte beispielsweise folgendermaßen aussehen:
No Service WCCP
ID
router ...
1
91
Ports ... Ports ... Proxy
listener ...
10.10.69.7 80, 443 false
Proxy
MD5 ... Assignment Comment
listener
port
10.10.69.73 9091
oooooo 1000
Die Liste HTTP Port Definition List (HTTP-Port-Definitionsliste) kann im Bereich HTTP Proxy (HTTP-Proxy)
konfiguriert werden, der nach dem Bereich Transparent Proxy (Transparenter Proxy) folgt.
Die Einträge für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise
folgendermaßen aussehen:
No Listener address Serve ... Ports ... Transparent ... McAfee ... Comment
308
1
0.0.0.0:9090
true
443
false
true
Explicit proxy traffic
2
0.0.0.0:9091
true
443
false
true
WCCP traffic
Produkthandbuch
9
Authentifizierung
Anpassen der Kriterien der Authentifizierungs-Regelsätze
Nach dem Konfigurieren unterschiedlicher Ports für eingehenden Datenverkehr im Modus „Expliziter
Proxy“ bzw. bei Nutzung eines WCCP-Dienstes, beispielsweise Ports 9090 und 9091, müssen Sie auch
die Kriterien der Regelsätze anpassen, die für diese beiden Datenverkehrsarten zuständig sind.
Die angepassten Regelkriterien des Regelsatzes „Direct Proxy Authentication and Authorization“ sähen
dann folgendermaßen aus:
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
Beim Regelsatz „Authentication Server (Time/IP Based Session)“ wären die angepassten Kriterien:
Proxy.Port equals 9091
Empfohlene Vorgehensweisen – Konfigurieren der LDAPAuthentifizierung
Die LDAP-Authentifizierung ist eine der Methoden, die in Web Gateway zur Authentifizierung der
Benutzer konfiguriert werden kann.
LDAP steht für Lightweight Directory Access Protocol. Unter diesem Protokoll kann der
Authentifizierungsprozess in Web Gateway in einen vorhandenen Verzeichnisdienst in einem Netzwerk
integriert werden. Das Verzeichnis enthält Benutzerinformationen, die abgefragt und zur
Authentifizierung verwendet werden können.
Darüber hinaus kann ein Verzeichnis abgefragt werden, um weitere Informationen über einen
Benutzer und die Gruppen, denen er angehört, abzufragen. Diese Informationen werden als Attribute
bezeichnet.
Ein Eintrag für einen Benutzer, beispielsweise im Microsoft Windows Server Active Directory (Active
Directory) enthält üblicherweise das Attribut memberOf, das Informationen über die Gruppen enthält,
zu denen der Benutzer gehört. Ein Eintrag für eine Gruppe verfügt üblicherweise über das Attribut
member, das die Benutzernamen der Gruppenmitglieder enthält.
Die von den Suchen nach Benutzer- und nach Gruppenattributen zurückgegebenen Ergebnisse werden
in Web Gateway als Wert der Eigenschaft Authentication.UserGroups gespeichert.
LDAP-Authentifizierungsprozess
Dieser Prozess, der die Benutzerauthentifizierung in Web Gateway und ein Verzeichnis auf einem
LDAP-Server integriert, untergliedert sich in die folgenden Hauptschritte.
•
Web Gateway sendet eine Erstbindungsanfrage mit Administrator-Anmeldeinformationen an den
LDAP-Server.
•
Bei erfolgreicher Anfrage sendet Web Gateway eine Abfrage mit dem vom Benutzer übermittelten
Benutzernamen.
Zweck dieser Abfrage ist es, im Verzeichnis des LDAP-Servers nach einem eindeutigen Namen zu
suchen, dem der Benutzername zugeordnet ist.
Produkthandbuch
309
9
Authentifizierung
•
Wenn ein eindeutiger Name gefunden wird, sendet der LDAP-Server diesen zurück.
Der eindeutige Name (Distinguished Name, DN) ist eine in LDAP-Syntax bereitgestellte
Kombination aus Informationen zu einem Benutzer, einer Benutzergruppe und einer
Netzwerkdomäne.
So sendet der LDAP-Server beispielsweise für den Benutzernamen jsmith den eindeutigen Namen
cn=John Smith,cn=users,dc=ldap,dc=local zurück.
•
Web Gateway sendet zur Authentifizierung des Benutzers nun eine zweite Bindungsanfrage an den
LDAP-Server.
Diese Anfrage enthält den eindeutigen Namen sowie das vom Benutzer übermittelte Kennwort.
•
Bei erfolgreicher Anfrage wird der Benutzer authentifiziert.
Sie können die Schritte des Authentifizierungsprozesses in einem zur Überprüfung in einem tcpdump
erfassen.
Regel zur Benutzerauthentifizierung unter LDAP
Zur Konfiguration der LDAP-Authentifizierung in Web Gateway müssen Sie eine Regel implementieren,
die einen Benutzer in einem integrierten Prozess mit Web Gateway und einem Verzeichnis auf einem
LDAP-Server authentifiziert.
Die Regelsatzbibliothek enthält einen Regelsatz mit einer Standardregel, die Sie zu diesem Zweck
modifizieren und verwenden können. Die modifizierte Regel sieht wie folgt aus:
Name
Authenticate with LDAP
Kriterium
Aktion
Authentication.Authenticate<LDAP> equals false
–>
Authenticate<Default>
Die Regel trifft zu, wenn ein Benutzer noch nicht über die LDAP-Authentifizierungsmethode
authentifiziert wurde.
Die Einstellungen der Eigenschaft Authentication.Authenticate in dieser Regel werden konfiguriert, um
die zur erfolgreichen Authentifizierung erforderlichen Informationen bereitzustellen, z. B. die
IP-Adresse des LDAP-Servers und die Administrator-Anmeldeinformationen für Web Gateway.
Konfigurieren der LDAP-Methode zum Authentifizieren von
Benutzern
Sie können die LDAP-Methode zur Benutzerauthentifizierung konfigurieren, indem Sie eine bereits
vorhandene Authentifizierungsregel anpassen. Modifizieren Sie die Namen und Einstellungen in dieser
Regel so, dass sie für die LDAP-Authentifizierung geeignet sind.
Vorgehensweise
1
Importieren Sie den Regelsatz Explicit Proxy Authentication and Authorization aus der Bibliothek für
Regelsätze.
Dieser Regelsatz dient der Authentifizierung im expliziten Proxy-Modus. Importieren Sie für einen
transparenten Modus den Regelsatz Authentication Server.
310
Produkthandbuch
9
Authentifizierung
2
Passen Sie die Authentifizierungsregel im untergeordneten Regelsatz Authenticate with User Database an,
sodass diese für die LDAP-Authentifizierung geeignet ist.
Passen Sie für einen transparenten Modus die Authentifizierungsregel im untergeordneten Regelsatz
Authentication Server an.
3
a
Benennen Sie die aktuelle Regel in Authenticate with LDAP um.
b
Geben Sie den Einstellungen der Eigenschaft Authentication.Authenticate einen für LDAP-Einstellungen
passenden neuen Namen, z. B. LDAP.
c
Modifizieren Sie die Einstellungen, sodass sie für die LDAP-Authentifizierung geeignet sind.
Benennen Sie den untergeordneten Regelsatz in Authenticate with LDAP um.
Anstatt den untergeordneten Regelsatz anzupassen, können Sie diesen auch deaktivieren
oder löschen und einen neuen untergeordneten Regelsatz für die LDAP-Authentifizierung
erstellen.
Der zweite untergeordnete Regelsatz des Bibliotheksregelsatzes Explicit Proxy Authentication
and Authorization, Authorize User Groups, wird für die LDAP-Authentifizierung nicht benötigt.
Wenn Sie diesen untergeordneten Regelsatz löschen, sollten Sie den übergeordneten
Regelsatz umbenennen oder nur einem Regelsatz einen Namen geben, z. B. Explicit
Proxy Authentication with LDAP.
4
Siehe auch
Konfigurieren der Einstellungen für die LDAP-Authentifizierungsmethode auf Seite 311
Konfigurieren der Einstellungen für die LDAPAuthentifizierungsmethode
Sie konfigurieren die Einstellungen für die LDAP-Authentifizierungsmethode, indem Sie die
Einstellungen in der Regel zur Authentifizierung eines Benutzers modifizieren, die Sie aus der
Regelsatzbibliothek importiert haben.
Vorgehensweise
1
Klicken Sie in der importierten Regel auf die Einstellungen der Eigenschaft Authentication.Authenticate,
die Sie in LDAP oder ähnlich umbenannt haben.
2
Wählen Sie unter Authentication Method (Authentifizierungsmethode) die Option LDAP aus.
Der Abschnitt LDAP Specific Parameters (LDAP-spezifische Parameter) wird neben Common Authentication
Parameters (Allgemeine Authentifizierungsparameter) angezeigt.
Sie können sowohl die allgemeinen Parameter als auch die LDAP-spezifischen Parameter,
die im Folgenden nicht erwähnt werden, unverändert übernehmen.
Produkthandbuch
311
9
Authentifizierung
3
Fügen Sie in der Liste LDAP server(s) to connect to (Zu kontaktierende(r) LDAP-Server) einen Eintrag für
den LDAP-Server hinzu, auf dem sich das Verzeichnis mit den Benutzerinformationen befindet.
Die Syntax für einen Eintrag lautet wie folgt:
{LDAP | LDAPS}://<IP-Adresse>[:<Port-Nummer>]
Beispiel: LDAP://10.205.67.8:389
LDAP ist ein unsicheres Protokoll, da Informationen im Klartext übertragen werden. Es
wird empfohlen, wenn möglich LDAPS (sicheres LDAP) zu verwenden.
Der Standard-LDAP-Port ist 389, während LDAPS 636 verwendet.
4
Geben Sie die Administrator-Anmeldeinformationen an, die Web Gateway beim Herstellen einer
Verbindung mit dem LDAP-Server sendet.
a
Geben Sie unter Credentials (Anmeldeinformationen) einen allgemeinen Namen und einen
Domänen-Controller-Namen im LDAP-Format ein, z. B.:
cn:administrator,cn:users,dc:ldap,dc:local
b
Geben Sie unter Password (Kennwort) ein Administratorkennwort ein.
5
Wenn es sich bei dem Verzeichnis auf dem LDAP-Server um ein Active Directory handelt,
deaktivieren Sie Allow LDAP directory to follow referrals (LDAP-Verzeichnis das Folgen von Weiterleitungen
erlauben).
6
Geben Sie Informationen für die Abfrage an, die nach dem eindeutigen Namen des zu
authentifizierenden Benutzers suchen soll.
a
Geben Sie unter Base distinguished name to user objects (Eindeutiger Basisname für Benutzerobjekte)
einen Startpunkt für die Abfrage an.
Der Startpunkt wird im LDAP-Format angegeben, z. B.:
cn:users,dc:ldap,dc:local
b
Wählen Sie Map user name to DN (Benutzername zu DN zuordnen) aus.
Durch die Auswahl dieser Option sucht die Abfrage nach einem eindeutigen Namen, dem der
übermittelte Benutzername im Verzeichnis zugeordnet ist.
c
Geben Sie unter Filter expression to locate a user object (Filterausdruck zur Suche nach Benutzerobjekt)
ein Benutzerattribut an, über das der eindeutige Name gefunden werden kann.
Dank dieses Filterausdrucks kann nach einem Eintrag für einen Benutzer im Verzeichnis gesucht
werden. Der Filterausdruck ist der vom Benutzer übermittelte Benutzername. Der
Benutzername wird im Verzeichnis als Wert eines Attributs gespeichert, das Teil des Eintrags für
einen Benutzer ist.
In einem Active Directory lautet der Name des Attributs, das den Benutzernamen speichert,
sAMAccountName. In Web Gateway wird der Benutzername in der Variable %u gespeichert.
Der Filterausdruck muss daher wie folgt angegeben werden, wenn ein Active Directory
verwendet wird:
samaccountname=%u
Die Abfrage findet anhand dieses Filterausdrucks den Benutzereintrag und versucht
anschließend, den Benutzernamen einem eindeutigen Namen zuzuordnen, der möglicherweise
im Verzeichnis für einen Benutzer mit diesem Benutzernamen eingegeben wurde.
312
Produkthandbuch
9
Authentifizierung
7
8
Mit diesen Einstellungen kann Web Gateway einen Benutzer anhand der
LDAP-Authentifizierungsmethode authentifizieren. Zum Abrufen von Informationen, die in weiteren
Attributen innerhalb eines Verzeichnisses gespeichert wurden, sind zusätzliche Einstellungen
erforderlich.
Siehe auch
Konfigurieren von Abfragen für Benutzer- und Gruppenattribute auf Seite 313
Konfigurieren von Abfragen für Benutzer- und
Gruppenattribute
Sie können zusätzliche Einstellungen konfigurieren, um Abfragen auszuführen, die weitere
Informationen über Benutzer und Benutzergruppen aus einem Verzeichnis auf einem LDAP-Server
abrufen.
Die Einstellungen für diese Abfragen sind Teil der Einstellungen, die Sie für das Modul
"Authentifizierung" in Web Gateway zur Abwicklung des integrierten Prozesses zur
Benutzerauthentifizierung konfigurieren.
Vorgehensweise
1
Konfigurieren Sie eine Abfrage für Benutzerattribute.
a
Wählen Sie Get user attributes (Benutzerattribute abrufen) aus.
Für die Option Base distinguished name to user objects (Eindeutiger Basisname für Benutzerobjekte)
müssen keine speziellen Werte konfiguriert werden, da diese Werte den Werten entsprechen, die
Sie bereits für die Benutzerauthentifizierung konfiguriert haben.
b
Fügen Sie in der Liste User attributes to retrieve (Abzurufende Benutzerattribute) den Namen des
Attributs hinzu, für das die Abfrage einen Wert finden soll. Sie können hier auch mehrere
Namen hinzufügen.
Um beispielsweise Informationen zu der Gruppe oder den Gruppen abzurufen, der bzw. denen
der Benutzer angehört, fügen Sie memberof hinzu.
c
2
Geben Sie unter Attributes concatenation string (Listentrennzeichen für Attribute) ein Zeichen zur
Trennung mehrerer Ergebniswerte ein, z. B. ein Komma.
Konfigurieren Sie eine Abfrage für Gruppenattribute.
a
Wählen Sie Get group attributes (Gruppenattribute abrufen) aus.
b
Geben Sie unter Base distinguished name to group objects (Eindeutiger Basisname für Gruppenobjekte)
einen Startpunkt für die Abfrage in LDAP-Syntax an, z. B. ou=groups,dc=ldap,dc=local.
c
Geben Sie unter Filter expression to locate a group object (Filterausdruck zur Suche nach
Gruppenobjekten) ein Attribut einer Gruppe an, anhand dessen die Gruppe gefunden werden
kann.
Geben Sie beispielsweise member=%u an, wobei member der Attributname und %u die Variable ist,
die den Benutzernamen des Benutzers in Web Gateway als Attributwert enthält.
Produkthandbuch
313
9
Authentifizierung
d
Fügen Sie in der Liste Group attributes to retrieve (Abzurufende Gruppenattribute) den Namen des
Attributs hinzu, für das die Abfrage einen Wert finden soll. Sie können hier auch mehrere
Namen hinzufügen.
Um beispielsweise nach dem „Common Name“ (allgemeinen Namen) einer Gruppe zu suchen,
fügen Sie cn hinzu.
e
Geben Sie unter Attributes concatenation string (Listentrennzeichen für Attribute) ein Zeichen zur
Trennung mehrerer Ergebniswerte ein, z. B. ein Komma.
Speichern eines Attributs in einer separaten Eigenschaft
Sie können ein Benutzer- oder Gruppenattribut zur Protokollierung oder zu anderen Zwecken in einer
separaten benutzerdefinierten Eigenschaft speichern.
Bei der Durchführung einer Abfrage für ein Benutzer- oder Benutzergruppenattribut in einem
Verzeichnis auf einem LDAP-Server werden die Ergebnisdaten in Web Gateway als Wert der
Eigenschaft Authentication.UserGroups gespeichert.
Wenn Sie eine bestimmte Information benötigen, beispielsweise die E-Mail-Adresse eines Benutzers,
können Sie diese auch separat abrufen und in einer benutzerdefinierten Eigenschaft speichern.
Hierfür müssen Sie für das Modul „Authentication“ eine zusätzliche Regel und weitere Einstellungen
erstellen und der Regel einen Namen geben, z. B. LDAP Email Lookup. In dieser Regel wird das Modul
„Authentication“ mit den zusätzlichen Einstellungen ausgeführt und ruft dabei die Informationen ab,
die als Wert des E-Mail-Attributs im Eintrag für einen Benutzer gespeichert sind.
In den zusätzlichen Einstellungen müssen bestimmte Optionen folgendermaßen konfiguriert sein:
•
Get user attributes (Benutzerattribute abfragen) muss aktiviert sein.
•
In der Liste User attributes to retrieve (Abzufragende Benutzerattribute) muss ein einzelner Eintrag für
das E-Mail-Attribut vorhanden sein. Wenn auf dem LDAP-Server Active Directory ausgeführt wird,
lautet der Name des Attributs mail.
•
Map user to DN (Benutzer zu DN zuordnen) muss deaktiviert sein.
Wenn diese Option aktiviert ist, wird ein Fehler ausgelöst, da der Benutzername bereits zugeordnet
wurde, als das Modul „Authentication“ mit den LDAP-Einstellungen ausgeführt wurde, um den
Benutzer zu authentifizieren.
Alle weiteren Optionen können entsprechend den Einstellungen der Regel zum Authentifizieren des
Benutzers konfiguriert werden.
Die vollständige Regel sollte folgendermaßen aussehen:
Name
Get email information and store separately
Kriterien
Authentication.IsAuthenticated equals true
AND
Authentlcation.GetUserGroups
<LDAP_Email_:Lookup> does not contain
"no-group"
Aktion
Ereignis
–> Continue Set User-Defined.Email=
List.OfString.ToString
(Authentication.UserGroups," ")
Die Regel muss zum Regelsatz für die LDAP-Authentifizierung hinzugefügt und dort nach der Regel zur
Authentifizierung des Benutzers positioniert werden.
314
Produkthandbuch
9
Authentifizierung
Speichern des ursprünglichen Benutzernamens für die
Protokollierung
Der ursprüngliche Benutzername kann zu Protokollierungszwecken gespeichert werden.
Wenn ein Benutzer mit der LDAP-Methode authentifiziert wurde, wird der eindeutige Name des
Benutzers als Wert der Eigenschaft Authentication.Username festgelegt. Wenn die Eigenschaft für die
Erstellung eines Protokolleintrags verwendet wird, kann der Teil des Protokolleintrags, der den
Benutzer identifiziert, z. B. folgendermaßen aussehen:
CN=John Smith,CN=Users,DC=LDAP,DC=local
Damit im Protokolleintrag statt des eindeutigen Namens der ursprüngliche Benutzername angezeigt
wird, der beispielsweise jsmith lauten könnte, müssen Sie den Regelsatz für die
LDAP-Authentifizierung entsprechend bearbeiten.
Der Regelsatz müsste in diesem Fall anstelle einer einzigen Regel zum Authentifizieren eines Benutzers
unter LDAP die folgenden Regeln enthalten:
•
Eine Regel, die die LDAP-Authentifizierung für den Benutzer bearbeitet und den ursprünglichen
Benutzernamen in einer benutzerdefinierten Eigenschaft speichert
•
Mindestens eine Regel für die Durchführung weiterer Aktivitäten im Zusammenhang mit LDAP, z. B.
das Abrufen von Informationen über die Gruppe, deren Mitglied der Benutzer ist
•
Eine Regel zum Wiederherstellen des ursprünglichen Benutzernamens als Wert der Eigenschaft
„Authentication.Username“ nach Abschluss aller LDAP-bezogenen Aktivitäten
Regel für die Authentifizierung eines Benutzers und zum Speichern des
Benutzernamens
Die folgende Regel speichert nach der Authentifizierung des Benutzers dessen ursprünglichen
Benutzernamen. Hierfür legt ein Ereignis innerhalb dieser Regel den Wert einer benutzerdefinierten
Eigenschaft entsprechend fest.
Name
Authenticate user and store user name
Kriterium
Authentication.IsAuthenticated equals false
AND
Authentlcation.Authenticate<LDAP> equals
true
Aktion
Ereignis
–> Continue Set User-Defined.UserName=
List.OfString.ToString
(Authentication.UserGroups," ")
Der Benutzername wird durch die Abfrage dieses Namens aus dem Verzeichnis auf dem LDAP-Server
abgerufen. Die Einstellungen der Eigenschaft Authentication.Authenticate, die für die Authentifizierung
des Benutzers zuständig ist, werden entsprechend konfiguriert.
Nach der Durchführung der Abfrage wird der Benutzername als Wert der Eigenschaft
Authentication.Groups gespeichert. Mithilfe der Eigenschaft List.OfString.ToString wird diese in eine
Zeichenfolge konvertiert.
Der ursprüngliche Wert der konvertierten Eigenschaft ist eine Liste von Zeichenfolgen, da er nach
Abschluss aller LDAP-bezogenen Aktivitäten neben dem Benutzernamen auch noch weitere Daten
enthalten kann.
Produkthandbuch
315
9
Authentifizierung
Regel zum Abrufen von Benutzergruppeninformationen
Die folgende Regel ist ein Beispiel für eine zusätzliche LDAP-bezogene Aktivität. Sie ruft Informationen
zu den Gruppen ab, deren Mitglied der entsprechende Benutzer ist.
Name
Get user group information
Kriterium
Aktion
–> Continue
Authentication.IsAuthenticated equals true AND
Authentlcation.GetUserGroups<LDAP_Group_:Lookup> does not contain "no-group"
Zur Identifizierung des Benutzers benötigt die Regel weiterhin den eindeutigen Namen des Benutzers,
sodass der ursprüngliche Benutzername noch nicht als Wert der Eigenschaft
„Authentication.Username“ wiederhergestellt werden kann.
Sie müssen andere Einstellungen erstellen und diese so konfigurieren, dass das
Authentifizierungsmodul ausgeführt wird und einen Wert für die Eigenschaft
„Authentication.GetUserGroups“ abruft.
Der Name dieser Einstellungen kann z. B. wie in dieser Beispielregel LDAP Group Lookup
lauten.
In diesen Einstellungen muss die Option Map user to DN (Benutzer zu DN zuordnen) deaktiviert
sein.
Regel zum Wiederherstellen des ursprünglichen Benutzernamens
Die folgende Regel stellt den ursprünglichen Benutzernamen als Wert der Eigenschaft
Authentication.UserName wieder her.
Name
Restore user name
Kriterium
Authentlcation.Authenticate<LDAP>
equals false
Aktion
–> Stop Rule
Set
Ereignis
Set Authentication.UserName=
User-Defined.Authentication.Username
Ein Ereignis innerhalb dieser Regel legt für diese Eigenschaft den Wert der benutzerdefinierten
Eigenschaft fest, die Sie in einer vorhergehenden Regel zum Speichern des ursprünglichen
Benutzernamens erstellt haben. Der eindeutige Name, der zwischenzeitlich den Wert dieser
Eigenschaft darstellte, wird überschrieben.
Wenn der ursprüngliche Benutzername wiederhergestellt worden ist, kann die Eigenschaft zu
Protokollierungszwecken verwendet werden.
Testen und Fehlerbehebung der LDAP-Authentifizierung
Für das Testen und die Fehlerbehebung des LDAP-Authentifizierungsprozesses können verschiedene
Aktivitäten durchgeführt werden.
Die Benutzeroberfläche von Web Gateway bietet ein Tool für das Testen des konfigurierten
Authentifizierungsprozesses mit einem vorhandenen Benutzernamen und dem zugehörigen Kennwort.
316
Produkthandbuch
9
Authentifizierung
Wenn die Ausführung des Tools zeigt, dass der Vorgang fehlgeschlagen ist, müssen Sie Ihre
Konfiguration sorgfältig überprüfen. Falls sich keine Fehler finden lassen, können Sie mit einem
anderen Tool ein Fehlerbehebungsprotokoll erstellen. Sollte der Fehler damit immer noch nicht erklärt
werden können, müssen Sie mit einem dritten Tool einen tcpdump erstellen.
Test-Authentifizierung für einen bestimmten Benutzernamen mit
zugehörigem Kennwort
In den Einstellungen für das Authentifizierungsmodul gibt es einen Abschnitt für Testzwecke. Sie
können einen Benutzernamen und ein Kennwort eingeben und diesen Benutzer dann von Web
Gateway authentifizieren lassen.
Vorgehensweise
1
2
Klicken Sie im Zweig Engines (Module) der Einstellungsstruktur auf die Einstellung für das
Authentifizierungsmodul, das Sie geändert oder neu erstellt haben, z. B. die LDAP-Einstellungen.
3
Deaktivieren Sie unter Common Authentication Parameters (Allgemeine Authentifizierungsparameter) die
Option Use authentication cache (Authentifizierungs-Cache verwenden).
Andernfalls werden Änderungen im Verzeichnis auf dem LDAP-Server erst nach dem Verstreichen
der Cache-Ablaufzeit erkannt.
4
Erweitern Sie Authentication Test (Authentifizierungstest), und geben Sie einen Benutzernamen und ein
Kennwort in den dafür vorgesehenen Feldern ein.
5
Klicken Sie auf Authenticate User (Benutzer authentifizieren).
Das Ergebnis des Authentifizierungsvorgangs wird unter Test result (Testergebnis) angezeigt.
•
Wenn der Vorgang erfolgreich durchgeführt wurde, wird eine Bestätigungsmeldung angezeigt.
Das Test-Tool zeigt auch alle Attributwerte an, für die Sie Abfragen konfiguriert haben.
•
Wenn der Vorgang fehlschlägt, wird folgende Meldung angezeigt: Error: Authentication
failed (Fehler: Authentifizierung fehlgeschlagen).
Erstellen einer Fehlerbehebungs-Protokolldatei zur Behebung von
Authentifizierungsproblemen
Sie können eine Fehlerbehebungs-Protokolldatei zum Aufzeichnen des Authentifizierungsprozesses
erstellen, die zur Fehlerbehebung überprüft werden kann.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie eine
Fehlerbehebungs-Protokolldatei erstellen möchten, und klicken Sie auf Troubleshooting
(Fehlerbehebung).
3
Wählen Sie im Abschnitt Authentication Troubleshooting (Fehlerbehebung bei Authentifizierung) die
Option Log authentication events (Authentifizierungsereignisse protokollieren) aus.
Sie sollten zudem die Option Restrict tracing to one IP (Verfolgung auf eine IP beschränken) auswählen
und eine Client-IP-Adresse angeben, damit die Protokolldatei nicht zu groß wird.
4
Reproduzieren Sie den Authentifizierungsprozess.
Nun wird eine Fehlerbehebungs-Protokolldatei für den Prozess erstellt.
Produkthandbuch
317
9
Authentifizierung
5
Navigieren Sie zu dieser Datei.
a
Wählen Sie Troubleshooting (Fehlerbehebung) aus.
b
Wählen Sie in der Fehlerbehebungs-Baumstruktur die Appliance aus, auf der Sie die
Fehlerbehebungs-Protokolldatei erstellt haben, und klicken Sie auf Log files (Protokolldateien).
c
Öffnen Sie den Ordner debug, und suchen Sie nach der Datei mwg-core.Auth.debug.log mit dem
passenden Zeitstempel.
Die Protokolldatei enthält Protokollzeilen mit Fehler-IDs für den Authentifizierungsprozess. Diese IDs
haben die folgende Bedeutung:
0 – NoFailure: Die Authentifizierung war erfolgreich.
2 – UnknownUser: Der Benutzername kann dem eindeutigen Namen (DN) des Benutzers nicht
zugeordnet werden.
3 – WrongPassword: Die Bindung mit dem Benutzerkennwort ist fehlgeschlagen.
4 – NoCredentials: Die Anmeldeinformationen fehlen oder haben ein ungültiges Format.
5 – NoServerAvailable: Es kann keine Verbindung mit dem Server hergestellt werden.
6 – ProxyTimeout: Bei der Verarbeitung der Anfrage wurde das konfigurierte Zeitlimit
überschritten.
8 – CommunicationError: Die Kommunikation mit dem Server ist fehlgeschlagen, z. B. aufgrund
einer Zeitüberschreitung.
Erstellen eines tcpdump zur Fehlerbehebung bei der Authentifizierung
Wenn sich die Ursache für einen fehlgeschlagenen Authentifizierungsprozess nicht anhand einer
Fehlerbehebungs-Protokolldatei ermitteln lässt, erstellen Sie einen tcpdump, um weitere
Informationen abzurufen.
Vorgehensweise
1
Wählen Sie Troubleshooting (Fehlerbehebung) aus.
2
Wählen Sie in der Fehlerbehebungs-Baumstruktur die Appliance aus, auf der Sie einen tcpdump
erstellen möchten, und klicken Sie auf Packet tracing (Paketverfolgung).
3
Geben Sie im Feld Command line parameters (Befehlszeilenparameter) Folgendes ein:
„-s 0 -i any port 389“
Der Port-Parameter ermöglicht es Web Gateway, eine Verbindung mit dem LDAP-Server über einen
unverschlüsselten Port herzustellen, was zu Fehlerbehebungszwecken erforderlich ist.
4
Klicken Sie auf tcpdump start (tcpdump-Ausgabe beginnen).
5
Reproduzieren Sie das Problem, und klicken Sie dann auf tcpdump stop (tcpdump beenden).
6
Öffnen Sie die Verfolgungsdatei mit dem Tool wireshark. Suchen Sie dann mithilfe des
Anzeigefilters ldap.bindResponse nach einer Antwort des LDAP-Servers.
Die Server-Antworten enthalten üblicherweise LDAP-, Active Directory- und weitere Fehlercodes. So
enthält beispielsweise die folgende Zeile aus einer Server-Antwort
"invalidCredentials (80090308: LdapErr: DSID-0c09030f, comment: AcceptSecurityContext error,
data 773, vece)"
den Fehlercode 773. Dies ist ein Active Directory-Fehlercode, der angibt, dass das Benutzerkennwort
geändert werden muss.
318
Produkthandbuch
9
Authentifizierung
Die Instant Messaging-Authentifizierung stellt sicher, dass Benutzer Ihres Netzwerks nicht über einen
Instant Messaging-Dienst auf das Web zugreifen können, wenn sie nicht authentifiziert sind. Im
Authentifizierungsprozess wird nach Benutzerinformationen gesucht, und nicht authentifizierte
Benutzer werden aufgefordert, sich zu authentifizieren.
An diesem Vorgang sind folgende Elemente beteiligt:
•
Authentifizierungsregeln, die den Prozess steuern
•
Das Modul „Authentication“, das aus verschiedenen Datenbanken Informationen über Benutzer
abruft
Eine Authentifizierungsregel kann mithilfe eines Ereignisses Informationen zur Authentifizierung von
Benutzern protokollieren, die Web-Zugriff angefordert haben.
In diesem Fall ist auch ein Protokollierungsmodul in den Prozess eingebunden.
Authentifizierungsregeln
Die Instant Messaging-Authentifizierung ist nicht standardmäßig auf der Appliance implementiert, Sie
können jedoch den Regelsatz IM Authentication aus der Bibliothek importieren.
Dieser Regelsatz enthält eine Regel, die anhand von Benutzerinformationen überprüft, ob der
Web-Zugriff anfordernde Benutzer bereits authentifiziert ist. Die Informationen werden mithilfe der
Methode „User Database“ gesucht.
Nicht authentifizierte Benutzer, für die in der Benutzerdatenbank keine Informationen gefunden
werden können, werden aufgefordert, ihre Anmeldeinformationen für die Authentifizierung zu senden.
Eine andere Regel sucht mithilfe der Methode „Authentication Server“ nach Informationen, um den
Authentifizierungsstatus von Benutzern zu ermitteln, und fordert nicht authentifizierte Benutzer auf,
ihre Anmeldeinformationen zu senden.
Das Modul „Authentication“ wird von diesen Regeln aufgerufen, um die Benutzerinformationen aus den
entsprechenden Datenbanken abzurufen.
Sie können die Regeln im Bibliotheks-Regelsatz überprüfen, ändern oder löschen sowie eigene Regeln
erstellen.
Modul „Authentication“
Das Modul (auch als Engine bezeichnet) „Authentication“ ruft aus internen und externen Datenbanken
Informationen ab, die zum Authentifizieren von Benutzern benötigt werden. Das Modul wird von den
Authentifizierungsregeln aufgerufen.
Die verschiedenen Methoden zum Abrufen von Benutzerinformationen werden in den
Moduleinstellungen angegeben. Demzufolge werden in den Regeln des Bibliotheks-Regelsatzes für die
Instant Messaging-Kommunikation zwei verschiedene Einstellungen aufgeführt:
•
User Database at IM Authentication Server (Benutzerdatenbank auf IM-Authentifizierungs-Server)
•
Authentication Server IM (Authentifizierungs-Server für IM)
Diese Einstellungen werden mit dem Regelsatz implementiert, wenn dieser aus der Bibliothek
importiert wird.
Sie können diese Einstellungen konfigurieren und z. B. den Server angeben, von dem mit der
Authentifizierungs-Server-Methode Benutzerinformationen abgerufen werden.
Produkthandbuch
319
9
Authentifizierung
Protokollierungsmodul
Der Bibliotheks-Regelsatz für die Instant Messaging-Authentifizierung enthält eine Regel, die
authentifizierungsbezogene Daten protokolliert, z. B. den Benutzernamen des Benutzers, der den
Web-Zugriff angefordert hat oder die URL des angeforderten Web-Objekts.
Die Protokollierung wird vom Modul „FileSystemLogging“ verarbeitet, dessen Einstellungen Sie
ebenfalls konfigurieren können.
Konfigurieren der Instant Messaging-Authentifizierung
Sie können die Instant Messaging-Authentifizierung implementieren und an die Anforderungen Ihres
Netzwerks anpassen.
Vorgehensweise
1
Importieren Sie den Regelsatz „IM Authentication“ aus der Bibliothek.
2
Prüfen Sie die Regeln im Regelsatz, und ändern Sie sie gegebenenfalls.
3
•
Ändern Sie die Einstellungen des Authentifizierungsmoduls für die Benutzerdatenbank oder die
Authentifizierungs-Server-Methode.
•
Ändern Sie die Einstellungen des Protokollierungsmoduls, das die Protokollierung von
Informationen über die Instant Messaging-Authentifizierung verarbeitet.
Konfigurieren des Authentifizierungsmoduls für die Instant
Messaging-Authentifizierung
Sie können das Authentifizierungsmodul konfigurieren und angeben, auf welche Weise die
erforderlichen Informationen zum Authentifizieren von Benutzern eines Instant Messaging-Dienstes
abgerufen werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Die Regeln des Regelsatzes werden nun im Einstellungsbereich angezeigt.
3
Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist.
4
Suchen Sie nach den Regeln, von denen das Authentifizierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz sind dies die Regeln Authenticate Clients against the User Database und
Redirect Not Authenticated Clients to the Authentication Server.
320
Produkthandbuch
Authentifizierung
5
9
Klicken Sie in den Regelkriterien auf den Einstellungsnamen der Einstellungen, die konfiguriert
werden sollen.
Dieser Name wird neben der Eigenschaft Authentication. Authenticate angezeigt.
Im Bibliotheks-Regelsatz sind dies die Einstellungen für User Database at IM Authentication Server
bzw. Authentication Server IM.
für das Modul „Authentication“.
6
7
8
Siehe auch
Konfigurieren des Dateisystem-Protokollierungsmoduls für die
Sie können das Dateisystem-Protokollierungsmodul konfigurieren und angeben, wie dieses
Informationen protokolliert, die sich auf die Instant Messaging-Authentifizierung beziehen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant
Messaging-Authentifizierung aus.
Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz
IM Authentication.
Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt.
3
4
Suchen Sie nach der Regel, von der das Dateisystem-Protokollierungsmodul aufgerufen wird.
Im Bibliotheks-Regelsatz ist dies die Regel Show Authenticated page.
5
Klicken Sie im Regelereignis auf den Namen der Einstellungen für das Modul.
Im Bibliotheks-Regelsatz lautet dieser Name IM Logging.
für das Dateisystem-Protokollierungsmodul.
6
7
8
Siehe auch
File System Logging Settings (Dateisystem-Protokollierungseinstellungen) auf Seite 674
Produkthandbuch
321
9
Authentifizierung
IM Authentication (Regelsatz)
Der Bibliotheks-Regelsatz „IM Authentication“ wird für die Instant Messaging-Authentifizierung
verwendet.
Bibliotheks-Regelsatz – IM Authentication
Criteria – Always
Cycles – Requests (and IM), Responses, Embedded Objects
Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze:
•
IM Authentication Server
•
IM Proxy
IM Authentication Server
Dieser untergeordnete Regelsatz behandelt die Authentifizierung für Instant Messaging-Benutzer. Er
wendet die Methode „User Database“ zum Abrufen von Benutzerinformationen an.
Untergeordneter Bibliotheks-Regelsatz – IM Authentication Server
Criteria – Authentication.IsServerRequest equals true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn die Authentifizierung für
einen Benutzer eines Instant Messaging-Dienstes angefordert wurde.
Authenticate clients against user database
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM Authentication>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die Methode „User
Database“ für diese Authentifizierung an.
Wenn ein Benutzer nicht mithilfe dieser Methode authentifiziert wurde, wird die Verarbeitung
beendet; zudem wird eine Meldung wird angezeigt, in der der Benutzer zur Authentifizierung
aufgefordert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Show Authenticated page
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
322
Produkthandbuch
Authentifizierung
Einmalkennwörter
9
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
Die Regel leitet eine durch einen Instant Messaging-Benutzer von einem Client gesendete Anfrage an
einen Authentifizierungs-Server weiter und zeigt eine Meldung an, in der der Benutzer über die
Umleitung informiert wird.
Die Aktionseinstellungen geben an, dass die Vorlage „Show IM Authenticated“ für die Meldung
verwendet wird.
Außerdem legt die Regel mithilfe eines Ereignisses Werte für einen Protokolleintrag zur
Authentifizierungsanfrage fest. Dieser Eintrag wird dann anhand eines zweiten Ereignisses in eine
Protokolldatei geschrieben. Ein Parameter dieses Ereignisses gibt den Protokolleintrag an.
In den Ereigniseinstellungen werden die Protokolldatei und deren Verwaltung angegeben.
IM Proxy
Dieser untergeordnete Regelsatz behandelt die Authentifizierung von Instant Messaging-Benutzern. Er
ruft mithilfe der Methode „Authentication Server“ Benutzerinformationen ab.
Untergeordneter Bibliotheks-Regelsatz – IM Proxy
Criteria – Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine
Chat-Nachricht oder eine Datei über eine Verbindung unter einem Instant Messaging-Protokoll sendet
und von der Appliance bereits eine Nachricht zurück an den Benutzer gesendet werden kann.
Der Regelsatz enthält die folgende Regel.
Redirect not authenticated users to the authentication server
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM
Authentication>
Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die
Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die
Authentifizierungs-Server-Methode für diese Authentifizierung an.
Wenn ein Benutzer nicht mit dieser Methode authentifiziert wurde, wird die Verarbeitung beendet;
zudem wird eine Meldung wird angezeigt, in der der Benutzer aufgefordert wird, sich zu
authentifizieren.
Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der
Authentifizierungsmeldung für den Benutzer verwendet wird.
Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird.
Einmalkennwörter
Einmalkennwörter können in Web Gateway verarbeitet werden, um Benutzer zu authentifizieren. Dies
beinhaltet die Verwendung von Kennwörtern für autorisiertes Außerkraftsetzen, nachdem eine
Web-Sitzung aufgrund eines abgelaufenen Kontingents beendet wurde.
Wenn ein Benutzer eine Web-Zugriffsanfrage sendet, wird die Authentifizierung zuerst über eine
andere in Web Gateway verfügbare Authentifizierungsmethode durchgeführt, beispielsweise die
Authentifizierung anhand von Informationen, die in der internen Benutzerdatenbank gespeichert sind.
Produkthandbuch
323
9
Authentifizierung
Einmalkennwörter
Wenn die Verwendung von Einmalkennwörtern konfiguriert ist, wird diese Authentifizierungsmethode
als zweiter Schritt durchgeführt. Web Gateway meldet dem Benutzer, dass für den Web-Zugriff auch
ein Einmalkennwort erforderlich ist, und nach der Anfrage des Benutzers auf solch ein Kennwort wird
der Benutzername an einen McAfee OTP-Server weitergeleitet, auf dem das Kennwort angefordert
wird.
®
Wenn die Anfrage genehmigt wird, gibt der McAfee OTP-Server ein Einmalkennwort zurück, das jedoch
nicht an Web Gateway weitergegeben wird. Die Antwort des McAfee OTP-Servers enthält in einem
Header-Feld auch sogenannte „Kontextinformationen“.
Mit diesen Kontextinformationen werden das Kennwortfeld und die Sendeschaltfläche auf der Seite
aktiviert, die dem Benutzer angezeigt wird, sodass der Benutzer auf die Schaltfläche klicken kann,
woraufhin das Einmalkennwort übermittelt wird und der Benutzer Zugriff auf das gewünschte
Web-Objekt erhält.
Um die Verwendung von Einmalkennwörtern in Web Gateway zu implementieren, können Sie einen
Regelsatz aus der Regelsatz-Bibliothek importieren. Nach dem Importieren des Regelsatzes werden
Standardeinstellungen bereitgestellt, die Sie entsprechend den Anforderungen Ihres Netzwerks
konfigurieren können.
Zu den zu konfigurierenden Einstellungen gehören die IP-Adresse oder der Host-Name des McAfee
OTP-Servers und der Port auf diesem Server, der auf Anfragen von Web Gateway überwacht.
Außerdem sind ein Benutzername und ein Kennwort für die Authentifizierung von Web Gateway beim
McAfee OTP-Server erforderlich.
Wenn die Kommunikation zwischen Web Gateway und dem McAfee OTP-Server SSL-verschlüsselt sein
soll, müssen Sie ein entsprechendes Zertifikat importieren.
Der McAfee OTP-Server muss für die Verarbeitung des Authentifizierungsprozesses für Web Gateway
Einmalkennwörter für autorisiertes Außerkraftsetzen
Wenn innerhalb Ihres Netzwerks Kontingentbeschränkungen für die Internet-Nutzung gelten, kann ein
Einmalkennwort als Kennwort für das Außerkraftsetzen der Beendigung einer Web-Sitzung aufgrund
abgelaufener Kontingente genutzt werden.
Um die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen zu implementieren,
können Sie einen weiteren Regelsatz aus der Bibliothek importieren, mit dem Sie auch die
Einstellungen für den Authentifizierungsprozess konfigurieren können.
Verwenden von Einmalkennwörtern von einem McAfee Pledge-Gerät
Einmalkennwörter für die Authentifizierung von Benutzern oder für ein autorisiertes Außerkraftsetzen
können von einem McAfee Pledge-Gerät bereitgestellt werden.
®
Um die Verwendung von Einmalkennwörtern für den Authentifizierungsprozess zu aktivieren, müssen
Sie geeignete Regelsätze implementieren, die Sie aus der Regelsatz-Bibliothek importieren können.
Die Einstellungen für den Authentifizierungsprozess werden mit dem Importvorgang implementiert.
Weitere Informationen zum Arbeiten mit einem McAfee Pledge-Gerät finden Sie in der Dokumentation
für dieses Produkt.
324
Produkthandbuch
9
Authentifizierung
Einmalkennwörter
Konfigurieren von Einmalkennwörtern für das Authentifizieren
von Benutzern
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das Authentifizieren von Benutzern zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authentication Server (Time/IP Based Session with OTP) aus der
Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie den
Regelsatz Authentication Server (Time/IP Based Session with OTP and Pledge).
Die Regelsätze befinden sich in der Regelsatzgruppe Authentication.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einmalkennwörtern für das autorisierte
Außerkraftsetzen
Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für
das autorisierte Außerkraftsetzen zu konfigurieren.
Vorgehensweise
1
Importieren Sie den Regelsatz Authorized Override with OTP aus der Regelsatz-Bibliothek.
Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie
Authorized Override with OTP and Pledge.
Die Regelsätze befinden sich in der Regelsatzgruppe Coaching/Quota.
2
Konfigurieren Sie die Einstellungen für Einmalkennwörter.
3
Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway
finden Sie in der Dokumentation für McAfee OTP-Server.
Konfigurieren von Einstellungen für Einmalkennwörter
Nach dem Importieren der Regelsätze zum Verarbeiten von Einmalkennwörtern werden Einstellungen
für derartige Kennwörter mit Standardwerten implementiert. Konfigurieren Sie diese Einstellungen, um
sie an die Anforderungen Ihres Netzwerks anzupassen.
Sie müssen unterschiedliche Einstellungen für die Authentifizierung und das autorisierte
Außerkraftsetzen mit Einmalkennwörtern konfigurieren.
Vorgehensweise
1
2
Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Authentication
(Authentifizierung).
Produkthandbuch
325
9
Authentifizierung
Einmalkennwörter
3
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim Authentifizieren von Benutzern zu konfigurieren. Fahren Sie andernfalls
mit Schritt 4 fort.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
c
Klicken Sie auf IP Authentication Server (IP-Authentifizierungs-Server).
Die Einstellungen für den IP-Authentifizierungs-Server werden im Abschnitt für Einstellungen
angezeigt.
d
Konfigurieren Sie die Einstellungen im Abschnitt IP Authentication Server Specific Parameters (Spezifische
Parameter für IP-Authentifizierungs-Server) und die Einstellungen in anderen Abschnitten (bei
denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf.
e
Klicken Sie auf User Database at Authentication Server (Benutzerdatenbank auf
Authentifizierungs-Server).
Die Einstellungen für die Benutzerdatenbank auf dem Authentifizierungs-Server werden im
Abschnitt für Einstellungen angezeigt.
f
Konfigurieren Sie die Einstellungen im Abschnitt User Database Specific Parameters (Spezifische
Parameter für Benutzerdatenbank) und die Einstellungen in anderen Abschnitten (bei denen es
Fahren Sie anschließend mit Schritt 5 fort.
4
Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von
Einmalkennwörtern beim autorisierten Außerkraftsetzen zu konfigurieren.
a
Klicken Sie auf OTP.
Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt.
b
5
Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische
Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es
Authentication Server (Time/IP Based Session with OTP)
(Regelsatz)
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP Based Session with OTP)“ ermöglicht die
Verwendung von Einmalkennwörtern für die Authentifizierung von Benutzern.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP)
Criteria – Always
Cycles – Requests (and IM)
326
Produkthandbuch
9
Authentifizierung
Einmalkennwörter
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Der Regelsatz enthält die folgenden Regeln:
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
Produkthandbuch
327
9
Authentifizierung
Einmalkennwörter
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Dieser untergeordnete Regelsatz leitet eine Anfrage für den Web-Zugriff weiter, sofern der Benutzer
ein gültiges Einmalkennwort eingegeben hat. Wenn dem Benutzer diese Eingabe nicht möglich ist, wird
er aufgefordert, sich zu authentifizieren.
Die Authentifizierung wird zuerst unter Nutzung der Informationen in der Benutzerdatenbank auf
einem Authentifizierungs-Server durchgeführt. Nach erfolgreicher Authentifizierung wird dieser
Benutzer darauf hingewiesen, dass für den Web-Zugriff auch ein Einmalkennwort erforderlich ist, das
von Web Gateway auf Anfrage des Benutzers versendet wird.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Cycle – Requests (and IM)
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Redirect if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
328
Produkthandbuch
Authentifizierung
Einmalkennwörter
9
Wenn keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, bedeutet dies, dass
ein Benutzer, der eine Anfrage für den Web-Zugriff gesendet hat, kein gültiges Einmalkennwort
übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Authentifizierungs-Server jedoch erfolgreich war.
Daraufhin wird diese Regel verarbeitet, die mittels der Eigenschaft Header.Exists überprüft, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, sendet die Regel mithilfe eines Ereignisses ein entsprechendes
Einmalkennwort an den Benutzer.
Return authentication data to client
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mithilfe der Eigenschaft Header.Exists, ob eine Anfrage über einen Header
verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der die Anfrage sendende Benutzer wird mit
einer Meldung darüber informiert, dass für den Zugriff ein Einmalkennwort erforderlich ist.
Außerdem wird ein Ereignis ausgelöst, das in die Blockierungsmeldung einen Header mit
Kontextinformationen zum Authentifizierungsvorgang mit Einmalkennwort einfügt.
Der erste der beiden Parameter des Ereignisses gibt an, welche Header-Informationen hinzugefügt
werden. Der zweite Parameter ist eine Eigenschaft, die als Wert Informationen über den
Authentifizierungsvorgang mit Einmalkennwort enthält und somit den Ursprung der hinzugefügten
Informationen darstellt.
Block request and offer sending OTP
Always –> Block<Authentication Server OTP>
Falls keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, wird immer die
Blockierungsaktion dieser Regel ausgeführt.
Die Aktion beendet die Regelverarbeitung, und die Anfrage wird nicht weitergeleitet.
Die Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber
informiert, dass für den Web-Zugriff ein Einmalkennwort erforderlich ist, das von Web Gateway
angefordert werden kann.
Authorized Override with OTP (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP“ ermöglicht die Verwendung von
Einmalkennwörtern für das autorisierte Außerkraftsetzen.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
Produkthandbuch
329
9
Authentifizierung
Einmalkennwörter
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com*
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL auf der unternehmenseigenen Domäne von McAfee befindet.
330
Produkthandbuch
9
Authentifizierung
Einmalkennwörter
Send OTP if requested
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Daraufhin wird diese Regel verarbeitet. Sie überprüft mittels der Eigenschaft Header.Exists, ob die
Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts
angefordert wird.
Wenn dies der Fall ist, wird ein Ereignis ausgelöst, das ein entsprechendes Einmalkennwort an den
Benutzer versendet.
Return authentication data to client
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Die Regel überprüft mittels der Eigenschaft Header.Exists, ob die Anfrage über einen Header verfügt,
aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird.
Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges
Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem
Wenn dies der Fall ist, wird die Anfrage nicht weitergeleitet, und es wird ein Ereignis ausgelöst, mit
dem eine bestimmte Eigenschaft einen Wert erhält, der Aufschluss über die Authentifizierung des
Benutzers gibt.
Die Blockierungsaktion wird mit den festgelegten Einstellungen durchgeführt, die besagen, dass der
Benutzer mittels einer Meldung über den Grund der Blockierung informiert werden muss.
Die vom Ereignis versendeten Informationen werden durch den Ereignisparameter OTP.Context
festgelegt. Die Eigenschaft, deren Wert dann diese Informationen enthält, wird von einem zweiten
Parameter angegeben.
Always –> Block<Authentication Server OTP>
Falls bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes
angewendet wurde, wird immer die Aktion dieser Regel ausgeführt.
Mit ihr wird die Regelverarbeitung beendet, und die Anfrage wird nicht weitergeleitet. Die
Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber informiert,
dass von Web Gateway ein Einmalkennwort angefordert werden kann.
Authentication Server (Time/IP Based Session with OTP and
Pledge) (Regelsatz)
Der Regelsatz „Authentication Server (Time/IP Based Session with OTP and Pledge)“ ist ein
Bibliotheks-Regelsatz zum Authentifizieren von Benutzern mit Einmalkennwörtern, die von einem
McAfee Pledge-Gerät bereitgestellt werden.
Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP and
Pledge)
Criteria – Always
Produkthandbuch
331
9
Authentifizierung
Einmalkennwörter
•
•
Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den
Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert
hat.
Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session
Criteria – Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete
Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten
Protokoll um eines der vier festgelegten Protokolle handelt.
Fix hostname
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –>
Continue – Set URL.Host = SSL.Server.Certificate.CN
Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines
Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird.
Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben
wird.
Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine
Platzhalter für den allgemeinen Namen (CN) zulässig sind.
Redirect clients that do not have a valid session to the authentication server
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not
equal "CONNECT" –> Authenticate<Default>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage
sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers
authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage
gesendet wurde.
Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine
Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt.
Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner
Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den
angegebenen Einstellungen ausgeführt.
Revalidate session under ideal conditions
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
332
Produkthandbuch
9
Authentifizierung
Einmalkennwörter
Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren
aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu
gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt.
Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den
GET-Befehl enthält.
Dieser untergeordnete Regelsatz leitet eine Anfrage für Web-Zugriff weiter, nachdem der Benutzer ein
gültiges Einmalkennwort eingegeben hat, das von einem McAfee Pledge-Gerät abgerufen wurde.
Wenn der Benutzer ein gültiges Einmalkennwort eingegeben hat, wird er aufgefordert, sich zu
authentifizieren. Die Authentifizierung wird zunächst anhand der Informationen aus der
Benutzerdatenbank des Authentifizierungs-Servers ausgeführt.
Nach erfolgreicher Authentifizierung wird dieser Benutzer darauf hingewiesen, dass für den
Web-Zugriff auch ein Einmalkennwort von einem McAfee Pledge-Gerät erforderlich ist.
Untergeordneter Bibliotheks-Regelsatz – Authentication Server
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine
Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert
werden muss.
Authenticate user against user database
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der
Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde.
Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren.
Show block template
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
Die Regel überprüft mithilfe der URL.GetParameter-Eigenschaft, ob ein Einmalkennwort von einem
McAfee Pledge-Gerät als Parameter der URL in einer Anfrage gesendet wurde.
Wenn der Parameter leer ist, wird die Anfrage blockiert, und der Benutzer wird benachrichtigt, dass
auch bei einem McAfee Pledge-Gerät die Authentifizierung mit einem Einmalkennwort für den
Web-Zugriff erforderlich ist.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mit einem Ereignis Kontextinformationen im
Einmalkennwort-Authentifizierungsprozess an einen authentifizierten Benutzer.
Auf diese Weise werden die Informationen abgerufen, die zum Validieren eines Einmalkennworts auf
einem McAfee OTP-Server erforderlich sind.
Produkthandbuch
333
9
Authentifizierung
Einmalkennwörter
Redirect back if we have a valid OTP
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit
seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert
werden konnte.
Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom
Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet.
Stop after providing an invalid OTP
Authentication.Failed equals true –> Block<Authorized Only>
Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner
Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte.
Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die
Blockierung und deren Grund informiert.
Authorized Override with OTP and Pledge (Regelsatz)
Der Bibliotheks-Regelsatz „Authorized Override with OTP and Pledge“ dient dem autorisierten
Außerkraftsetzen mithilfe von Einmalkennwörtern, die von einem McAfee Pledge-Gerät bereitgestellt
werden.
Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge
Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT"
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte
Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt,
die normalerweise am Anfang dieser Kommunikation gesendet wird.
•
Verify OTP
•
OTP Needed?
Verify OTP
Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes
Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist,
wird eine Umleitung an das angeforderte Web-Objekt durchgeführt.
Untergeordneter Bibliotheks-Regelsatz – Verify OTP
Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft
zu setzen und die Sitzung fortzusetzen.
Verify OTP
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
334
Produkthandbuch
9
Authentifizierung
Einmalkennwörter
Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim
Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat,
erfolgreich authentifiziert wurde.
Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über
die Blockierung und den jeweiligen Grund dafür informiert.
Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt.
The session is validated. Redirect to the original page
Always –> Redirect<Default>
Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten
Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die
vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser
Regel fortgesetzt.
Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine
Umleitung zum angefragten Web-Objekt durch.
Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt.
OTP Needed?
Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser
untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host
der unternehmenseigenen Domäne von McAfee befindet.
Untergeordneter Bibliotheks-Regelsatz – OTP Needed?
Criteria – URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer
Anfrage gesendeten URL in der Unternehmensdomäne von McAfee befindet und das Zeitkontingent für
eine Sitzung überschritten wurde, die nach einem autorisierten Außerkraftsetzen fortgesetzt werden
kann.
Retrieve OTP context
Always –> Continue – Authentication.SendOTP<OTP>
Die Regel sendet mithilfe eines Ereignisses ein Einmalkennwort an einen authentifizierten Benutzer.
Auf diese Weise werden die Kontextinformationen abgerufen, die zum Authentifizieren eines
Benutzers über ein Einmalkennwort erforderlich sind, das auf einem McAfee OTP-Server validiert
wird.
Always –> Block<OTP Required with Pledge>
Die Regel blockiert eine Anfrage für Web-Zugriff.
Die Einstellungen der Aktion geben an, dass eine Meldung gesendet wird. Diese informiert den
Benutzer, dass der Web-Zugriff nach Übermittlung eines Einmalkennworts, das von einem McAfee
Pledge-Gerät abgerufen wird, gestattet werden kann.
Produkthandbuch
335
9
Authentifizierung
Das Senden eines Client-Zertifikats kann als Methode für den Zugriff auf die Benutzerschnittstelle der
Appliance konfiguriert werden. Diese Methode wird als Client-Zertifikatauthentifizierung oder X.
509-Authentifizierung bezeichnet.
Die Client-Zertifikatauthentifizierung ist eine der Methoden, die Sie beim Konfigurieren der
Proxy-Funktionen der Appliance für die Authentifizierung auswählen können.
Folgendes gilt, wenn die Methode in einer Proxy-Konfiguration verwendet wird.
•
Zur Authentifizierung eines Benutzers, der eine Anfrage sendet, ist kein Benutzername und kein
Kennwort erforderlich, so wie bei anderen Methoden wie NTLM oder LDAP auch.
•
Die Methode kann für Anfragen implementiert werden, die per SSL-verschlüsselter Kommunikation
von einem Web-Browser auf einem Client an eine Appliance gesendet werden, die im expliziten
Proxy-Modus konfiguriert ist.
•
Für diese Kommunikation wird das HTTPS-Protokoll verwendet.
Ein Client-Zertifikat wird gesendet, wenn der SSL-Handshake als einer der ersten Schritte in der
Kommunikation zwischen der Appliance und einem Client ausgeführt wird. Die Anfrage wird dann an
einen Authentifizierungs-Server zur Validierung des Zertifikats weitergeleitet.
Wenn das Zertifikat gültig ist, wird die Authentifizierung erfolgreich für den Client abgeschlossen, und
die Anfrage wird schließlich an den entsprechenden Web-Server weitergeleitet.
Beim Ausführen mehrerer Appliances als Knoten in einer Konfiguration muss sich der
Authentifizierungs-Server auf dem Knoten befinden, an den eine Anfrage ursprünglich geleitet wurde.
Zudem muss die Weiterleitung an das Internet nach erfolgreicher Authentifizierung über denselben
Knoten erfolgen.
Die Verwendung eines Authentifizierungs-Servers zur Client-Zertifikatauthentifizierung wird durch
Regeln gesteuert. Sie können einen Authentifizierungs-Server-Regelsatz importieren und die Regeln in
den untergeordneten Regelsätzen modifizieren, um die Verwendung geeigneter Zertifikate zu
aktivieren.
Sie müssen auch ein Verfahren implementieren, das die Anwendung der
Client-Zertifikatauthentifizierung ermöglicht. Es wird empfohlen, dafür die Cookie-Authentifizierung zu
verwenden.
Wenn diese Methode implementiert wurde, ist die Authentifizierung für einen Client erforderlich, von
dem eine Anfrage gesendet wurde, es wird jedoch einmal ein Cookie für diesen Client gesetzt,
nachdem ein Zertifikat gesendet und als gültig erkannt wurde. Für nachfolgende Anfragen von diesem
Client müssen dann keine Zertifikate gesendet werden.
Sie können einen Regelsatz importieren und modifizieren, damit die Client-Zertifikatauthentifizierung
auf diese Weise verarbeitet wird.
Verwenden von Zertifikaten für die Client-ZertifikatAuthentifizierung
Unter der Client-Zertifikat-Authentifizierungsmethode, die zur SSL-gesicherten Kommunikation
implementiert werden kann, sind für die Durchführung der Authentifizierung verschiedene
Zertifikatstypen erforderlich.
Client-Zertifikate
Ein Client-Zertifikat wird zur Identifizierung der Identität eines Clients benötigt, der eine Anfrage an
die Appliance sendet.
336
Produkthandbuch
9
Authentifizierung
Nur wenn der Client vertrauenswürdig ist, wird eine von ihm gesendete Anfrage akzeptiert. Ein Client
gilt als vertrauenswürdig, wenn das mit der Anfrage eingereichte Zertifikat durch eine
vertrauenswürdige Stamm-Zertifizierungsstelle signiert wurde.
Unter der Client-Zertifikat-Authentifizierungsmethode wird das Client-Zertifikat auch zur
Authentifizierung verwendet. Die Authentifizierung ist erfolgreich abgeschlossen, wenn das mit der
Anfrage eingereichte Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde.
Server-Zertifikat
Ein Server-Zertifikat wird zur Identifizierung der Identität eines Servers benötigt, der an der
SSL-gesicherten Kommunikation beteiligt ist.
Ein Server gilt für einen Client als vertrauenswürdig, wenn das vom Server während der ersten
Kommunikationsschritte gesendete Zertifikat durch eine Stamm-Zertifizierungsstelle signiert wurde,
die ebenfalls für den Client als vertrauenswürdig gilt.
Unter der Client-Zertifikat-Authentifizierungsmethode wird ein Server-Zertifikat für den
Authentifizierungs-Server benötigt.
Stamm-Zertifizierungsstelle
Eine Stamm-Zertifizierungsstelle ist eine Instanz, die andere Zertifikate signiert.
In einer SSL-gesicherten Kommunikation ist die Stamm-Zertifizierungsstelle selbst ein Zertifikat, das
im Kommunikationsprozess angezeigt werden kann.
Wenn eine Stamm-Zertifizierungsstelle für einen Client oder Server als vertrauenswürdig gilt, gelten
die von ihr signierten Zertifikate ebenfalls als vertrauenswürdig. Wenn also ein Client oder Server
solch ein signiertes Zertifikat einreicht, gilt dies als vertrauenswürdig.
Regelsätze für die Client-Zertifikat-Authentifizierung
Regelsätze für das Implementieren der Authentifizierungsmethode „Client Certificate“ sind in der
Regelsatz-Bibliothek verfügbar.
Regelsatz „Authentication Server (for X509 Authentication)“
Der Regelsatz „Authentication Server (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung des Authentifizierungs-Servers mit der
Authentifizierungsmethode „Client Certificate“ zu ermöglichen.
•
SSL Endpoint Termination: Bereitet die Verarbeitung von Anfragen in der SSL-gesicherten
Kommunikation vor
•
Accept Incoming HTTPS Connections: Stellt die Zertifikate bereit, die für den
Authentifizierungs-Server gesendet werden können
•
Content Inspection: Aktiviert die Überprüfung des Inhalts, der mit einer Anfrage übertragen
wird
Produkthandbuch
337
9
Authentifizierung
•
Authentication Server Requests: Leitet Anfragen zurück zum Proxy auf der Appliance um, wo
sie nach erfolgreicher Authentifizierung auf dem Authentifizierungs-Server weiterverarbeitet
werden
Anfragen werden auch umgeleitet, wenn ein Cookie für einen Client gesetzt wurde, von dem eine
Anfrage gesendet wurde.
Wenn die Authentifizierung auf dem Authentifizierungs-Server nicht erfolgreich abgeschlossen
wurde, wird der Benutzer aufgefordert, seine Anmeldeinformationen zum Authentifizieren für die
Benutzerdatenbank anzugeben.
•
Block All Others: Blockiert Anfragen, für die die Authentifizierung nicht erfolgreich abgeschlossen
wurde
Regelsatz „Cookie Authentication (for X509 Authentication)“
Der Regelsatz „Cookie Authentication (for X509 Authentication)“ verwendet eine Reihe von
untergeordneten Regelsätzen, um die Verwendung der Client-Zertifikat-Authentifizierungsmethode zu
initiieren und um Cookies zu setzen.
•
Cookie Authentication at HTTP(S) Proxy: Enthält untergeordnete Regelsätze, die die
Client-Zertifikat-Authentifizierung mit Cookies verarbeiten
•
Set Cookie for Authenticated Clients: Setzt nach dem erfolgreichen Abschluss der
Authentifizierung für einen Client ein Cookie und leitet die vom Client gesendete Anfrage zurück
an den Proxy auf der Appliance, wo sie weiter verarbeitet wird
•
Authenticate Clients with Authentication Server: Leitet von Clients gesendete Anfragen,
für die kein Cookie gesetzt wurde, an den Authentifizierungs-Server um
Umleiten von Anfragen an einen Authentifizierungs-Server
Gemäß der Client-Zertifikat-Authentifizierungsmethode wird eine Anfrage an einen
Authentifizierungs-Server umgeleitet, wo das mit der Anfrage gesendete Client-Zertifikat überprüft
wird. Die Umleitung kann mit einem speziellen Listener-Port auf der Appliance oder mit einem
eindeutigen Host-Namen erfolgen.
Verwenden eines speziellen Listener-Ports
Anfragen können mit einem speziellen Listener-Port, z. B. Port 444, an einen Authentifizierungs-Server
umgeleitet werden. Angenommen, die IP-Adresse einer Appliance ist 192.168.122.119. Eine Anfrage
wird dann wie folgt an den Authentifizierungs-Server umgeleitet:
https://192.168.122.119:444/
338
Produkthandbuch
9
Authentifizierung
Dabei muss jedoch unbedingt berücksichtigt werden, ob für den Web-Browser auf dem Client, der die
Anfrage sendet, Ausnahmen für die Verwendung eines Proxys konfiguriert wurden.
•
Keine Proxy-Ausnahmen konfiguriert: Wenn keine Proxy-Ausnahmen konfiguriert wurden,
werden alle Anfragen an den Proxy-Port gesendet, der auf der Appliance Anfragen empfängt;
standardmäßig ist dies Port 9090.
Auch eine Anfrage für https://192.168.122.119:444/ geht an Port 9090 ein, sofern dieser als
Proxy-Port konfiguriert ist.
Wenn Ihre Netzwerkkonfiguration eine Firewall enthält, sind keine Ausnahmen von den
Firewall-Regeln erforderlich, da keine Verbindung vom Client mit Port 444 vorhanden ist.
Um die Umleitung von Anfragen an den Authentifizierungs-Server sicherzustellen, müssen Sie in
den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die Eigenschaft
URL.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „URL.Port“ ist der Port, der in der URL enthalten ist, die in einer Anfrage
angegeben wird. Dabei kann es sich beispielsweise um 444 handeln, auch wenn die Anfrage
tatsächlich an Port 9090 empfangen wird.
•
Proxy-Ausnahmen konfiguriert: Proxy-Ausnahmen können aus verschiedenen Gründen
konfiguriert werden. So kann z. B. ein Web-Browser so konfiguriert werden, dass für den Zugriff
auf lokale Hosts keine Proxys verwendet werden.
Eine Anfrage für https://192.168.122.119:444/ wird dann nicht an Port 9090 empfangen.
Da der Browser für den direkten Zugriff auf sein Ziel konfiguriert ist, versucht er an Port 444 eine
Verbindung mit der Appliance herzustellen. Das heißt, Sie müssen einen Listener-Port mit der
Port-Nummer 444 einrichten.
Bei festgelegten Firewall-Regeln ist zudem eine Ausnahme nötig, mit der zugelassen wird, dass
Anfragen an Port 444 empfangen werden.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, müssen Sie
in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die
Eigenschaft Proxy.Port 444 oder einen anderen gewünschten Wert festlegen.
Der Wert der Eigenschaft „Proxy.Port“ ist der Port, an dem die Anfrage tatsächlich empfangen wird.
Dies ist z. B. 444, wenn Sie einen Port mit dieser Nummer für den Empfang von Anfragen
eingerichtet haben, die an einen Authentifizierungs-Server umgeleitet werden sollen.
Verwenden eines eindeutigen Host-Namens
Anfragen können mit einem eindeutigen Host-Namen an einen Authentifizierungs-Server umgeleitet
werden, z. B. mit „authserver.local.mcafee“. Mit diesem Namen werden Anfragen wie folgt an den
Authentifizierungs-Server umgeleitet:
https://authserver.mcafee.local
Der Client, von dem die Anfrage gesendet wurde, darf den Host-Namen nicht mithilfe von DNS
suchen, da die URL mit hoher Wahrscheinlichkeit nicht aufgelöst wird und der Client keine Verbindung
herstellen kann.
Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, muss dieser
Host-Name in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ als Wert
für die Eigenschaft URL.Host festgelegt werden.
Produkthandbuch
339
9
Authentifizierung
Implementieren der Authentifizierung von Client-Zertifikaten
Bei der Authentifizierung von Client-Zertifikaten werden Client-Zertifikate verwendet, die mit
Authentifizierungsanfragen gesendet werden. Führen Sie die folgenden allgemeinen Schritte aus, um
diese Methode auf einer Appliance zu implementieren.
Vorgehensweise
1
Importieren Sie den Regelsatz „Authentication Server (for X509 Authentication)“.
2
Ändern Sie die untergeordneten Regelsätze, um die Verwendung der entsprechenden Zertifikate zu
konfigurieren.
3
Konfigurieren Sie einen Listener-Port für Anfragen, die von Web-Browsern gesendet wurden, die
nicht den Proxy-Port der Appliance verwenden.
4
Konfigurieren Sie eine Möglichkeit, die Authentifizierung von Client-Zertifikaten anzuwenden.
Sie können den Regelsatz „Cookie Authentication (for X509 Authentication)“ importieren und so
ändern, dass ein Cookie für die Authentifizierung verwendet wird, nachdem die Authentifizierung
von Client-Zertifikaten angewendet und erfolgreich abgeschlossen wurde.
5
Vergewissern Sie sich, dass in einem Web-Browser ein geeignetes Client-Zertifikat zum Senden von
Anfragen an die Appliance verfügbar ist.
Importieren des Regelsatzes „Authentication Server (for
X509 Authentication)“
Zum Implementieren der Client-Zertifikat-Authentifizierungsmethode auf der Appliance muss ein
Regelsatz vorhanden sein, der eine derartige Authentifizierung verarbeitet. Sie können zu diesem
Zweck den Regelsatz „Authentication Server (for X509 Authentication)“ importieren.
Es wird empfohlen, den Regelsatz in der Regelsatz-Baumstruktur an oberster Stelle einzufügen.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen).
4
Wählen Sie den Regelsatz Authentication Server (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
5
Überprüfen Sie die Regelsatzkriterien, und ändern Sie sie gegebenenfalls.
Nach abgeschlossenem Import lauten die Kriterien wie folgt:
URL.Port equals 444 or Proxy.Port equals 444.
Dadurch wird sichergestellt, dass der Regelsatz auf alle Anfragen angewendet wird, die an dem
betreffenden Port empfangen werden. Wenn Sie einen anderen Port verwenden möchten, geben Sie
hier die entsprechende Port-Nummer ein.
340
Produkthandbuch
9
Authentifizierung
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Server-Zertifikaten
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, damit
die Übermittlung der passenden Server-Zertifikate für den Authentifizierungs-Server sichergestellt ist.
Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Da der Authentifizierungs-Server unter verschiedenen Host-Namen und IP-Adressen erreicht werden
kann, können Sie die Appliance jedes Mal ein anderes Server-Zertifikat übermitteln lassen, sodass der
Host-Name oder die IP-Adresse dem allgemeinen Namen im Zertifikat entspricht.
Hierfür müssen Sie für jeden Host-Namen bzw. jede IP-Adresse ein Server-Zertifikat importieren und
der Liste der Server-Zertifikate hinzufügen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Endpoint Termination, und wählen Sie im Regelsatz
den untergeordneten Regelsatz Accept Incoming HTTPS Connections aus.
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Define SSL Context (SSL-Kontext definieren) die Liste der
Server-Zertifikate.
5
So fügen Sie der Liste ein Server-Zertifikat hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung
hinzufügen).
b
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
c
Klicken Sie auf Import (Importieren).
Daraufhin öffnet sich das Fenster Import Server Certificate (Server-Zertifikat importieren).
d
Klicken Sie auf Browse (Durchsuchen), und navigieren Sie zum Zertifikat, das Sie importieren
möchten.
e
Wiederholen Sie diese Aktivität, um einen Schlüssel und eine Zertifikatskette mit dem Zertifikat
zu importieren.
f
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen) angezeigt.
6
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum
Server-Zertifikat ein.
7
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und das Server-Zertifikat wird in der Liste angezeigt.
Produkthandbuch
341
9
Authentifizierung
8
Achten Sie darauf, dass das Kontrollkästchen SSL-Scanner functionality applies only to client connection
(SSL-Scanner-Funktion gilt nur für Client-Verbindung) aktiviert ist.
Auf diese Weise kann die Appliance Anfragen ihrer Clients annehmen, ohne andere Server des
Netzwerks zu kontaktieren, was bei dieser Kommunikation nicht erforderlich ist.
9
Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen.
Bearbeiten eines Regelsatzes zur Konfiguration der
Verwendung von Zertifizierungsstellen
Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, um
geeignete Root-Zertifizierungsstellen zu konfigurieren. Die Bearbeitung erfolgt in einem
untergeordneten Regelsatz.
Ein Client-Zertifikat wird als vertrauenswürdig eingestuft, wenn es von einer Zertifizierungsstelle in der
Liste signiert wurde, die auf der Appliance verwaltet wird. Sie müssen alle Zertifizierungsstellen in die
Liste importieren, die Instanzen für als vertrauenswürdig eingestufte Client-Zertifikate signieren sollen.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz
Authentication Server (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz SSL Authentication Server Request.
3
Klicken Sie in der Regel Ask user for client certificate auf die Moduleinstellungen X509 Auth
(X509-Authentifizierung).
4
Überprüfen Sie im Abschnitt Client Certificate Specific Parameters (Client-Zertifikat-spezifische Parameter)
die Liste der Zertifizierungsstellen.
5
So fügen Sie der Liste eine Zertifizierungsstelle hinzu:
a
Klicken Sie über der Liste auf das Symbol Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen).
b
Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat
übermittelt werden soll.
c
Klicken Sie auf Import (Importieren).
Daraufhin öffnet sich ein Fenster, das Zugriff auf Ihr lokales Dateisystem bietet.
d
Navigieren Sie zur Zertifizierungsstellendatei, die Sie importieren möchten.
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im
Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen) angezeigt.
342
6
Achten Sie darauf, dass das Kontrollkästchen Trusted (Vertrauenswürdig) aktiviert ist.
7
[Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur
Zertifizierungsstelle ein.
Produkthandbuch
9
Authentifizierung
8
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die Zertifizierungsstelle wird in der Liste angezeigt.
9
Konfigurieren eines Listener-Ports für eingehende Anfragen auf
der Appliance
An die Appliance gesendete Anfragen können am Proxy-Port oder an einem speziellen Listener-Port
empfangen werden. Als Proxy-Port wird standardmäßig Port 9090 verwendet.
Sie müssen einen Listener-Port konfigurieren, wenn Proxy-Ausnahmen erstellt wurden, die verhindern,
dass Anfragen am Proxy-Port eingehen.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie einen Listener-Port
konfigurieren möchten, und klicken Sie dann auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S),
FTP, ICAP, und IM).
Die Proxy-Einstellungen werden im Einstellungsbereich angezeigt.
3
Scrollen Sie nach unten zum Bereich HTTP Proxy (HTTP-Proxy).
4
Achten Sie darauf, dass Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist.
5
Klicken Sie auf der Symbolleiste der HTTP port definition list (HTTP-Port-Definitionsliste) auf das Symbol
Hinzufügen.
6
Konfigurieren Sie wie folgt einen Listener-Port:
a
Geben Sie im Feld Listener address (Listener-Adresse) 0.0.0.0:444 ein.
Wenn Sie zum Empfangen eingehender Anfragen einen anderen Port verwenden möchten,
geben Sie diesen hier ein.
b
Geben Sie im Feld Ports treated as SSL (Als SSL behandelte Ports) * ein.
c
Alle anderen Kontrollkästchen müssen aktiviert sein.
7
8
9
Starten Sie die Appliance neu, damit die Konfiguration des Listener-Ports wirksam wird.
Importieren des Regelsatzes „Cookie Authentication (for
X509 Authentication)“
Wenn auf der Appliance die Client-Zertifikat-Authentifizierungsmethode verwendet werden soll, kann
deren Verwendung mit dem Regelsatz „Cookie Authentication (for X509 Authentication)“ initiiert
werden.
Es wird empfohlen, diesen Regelsatz hinter den Regelsätzen für Funktionen einzufügen, die keine
Authentifizierung erfordern, jedoch vor den Regelsätzen, die die Filterfunktionen verarbeiten.
Produkthandbuch
343
9
Authentifizierung
Auf diese Weise wird sichergestellt, dass bei der Blockierung einer Anfrage wegen eines
Authentifizierungsfehlers die Filterfunktionen nicht ausgeführt werden, wodurch Ressourcen gespart
werden und die Leistung verbessert wird.
Wenn Ihr Regelsatzsystem dem Standardsystem ähnelt, können Sie den Regelsatz hinter den
Regelsätzen „SSL Scanner“ und „Global Whitelist“ einfügen, jedoch vor den Regelsätzen „Content
Filtering“ und „Gateway Antimalware“.
Vorgehensweise
1
2
Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt
werden soll, und klicken Sie auf Add (Hinzufügen).
3
Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set
from Library (Regelsatz aus Bibliothek importieren).
4
Wählen Sie den Regelsatz Cookie Authentication (for X509 Authentication) aus, und klicken Sie auf OK.
Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze
angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken.
Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der
Regelsatz-Baumstruktur eingefügt.
Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports
für eingehende Anfragen
Sie können den Cookie-Authentifizierungsregelsatz (für X509-Authentifizierung) bearbeiten, um einen
Listener-Port für eingehende Anfragen zu konfigurieren, den Sie anstelle von Port 444 (Standard-Port)
verwenden möchten. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz.
Ein spezieller Listener-Port muss zum Empfangen eingehender Anfragen verwendet werden, wenn
Proxy-Ausnahmen vorhanden sind, die verhindern, dass Anfragen am Proxy-Port der Appliance
eingehen. Anfragen, die an Port 444 oder einem anderen Port, den Sie zu diesem Zweck konfiguriert
haben, eingehen, werden an den Authentifizierungs-Server weitergeleitet.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Cookie
Authentication (for X509 Authentication).
2
Erweitern Sie den untergeordneten Regelsatz Cookie Authentication at HTTP(S) Proxy, und wählen Sie im
Regelsatz den untergeordneten Regelsatz Authenticate Clients with Authentication Server aus.
3
Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat).
4
Überprüfen Sie im Abschnitt Authentication Server Specific Parameters
(Authentifizierungs-Server-spezifische Parameter) die URL im Feld Authentication server URL (URL des
Authentifizierungs-Servers).
Standardmäßig lautet die URL wie folgt:
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
Bei der Verarbeitung der Regel wird der Ausdruck $...$ durch die IP-Adresse der Appliance ersetzt.
344
Produkthandbuch
9
Authentifizierung
5
Geben Sie zum Konfigurieren eines anderen Listener-Ports die Nummer dieses Ports hier ein.
6
7
Importieren eines Client-Zertifikats in einen Browser
Ein geeignetes Client-Zertifikat muss in einem Web-Browser verfügbar sein, um es im Rahmen der
SSL-gesicherten Kommunikation zusammen mit einer Anfrage an eine Appliance zu senden.
Die Vorgehensweisen beim Importieren von Zertifikaten hängen vom Browser ab und können
Änderungen unterliegen. Je nach Betriebssystem können auch die Menüs der verschiedenen Browser
voneinander abweichen.
Im Folgenden werden zwei mögliche Vorgehensweisen beim Importieren eines Client-Zertifikats in
Microsoft Internet Explorer und Mozilla Firefox erläutert.
Aufgaben
•
Importieren eines Client-Zertifikats in Microsoft Internet Explorer auf Seite 345
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort
verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden
kann.
•
Importieren eines Client-Zertifikats in Mozilla Firefox auf Seite 346
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Importieren eines Client-Zertifikats in Microsoft Internet Explorer
Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort verfügbar machen,
sodass es in der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Extras und dann auf Internetoptionen.
Daraufhin öffnet sich das Fenster Internetoptionen.
2
Klicken Sie auf die Registerkarte Inhalte.
3
Klicken Sie im Abschnitt Zertifikate auf Zertifikate.
Daraufhin öffnet sich das Fenster Zertifikate.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der Zertifikatimport-Assistent.
5
Führen Sie auf den Seiten des Assistenten Folgendes aus:
a
Klicken Sie im Bildschirm Willkommen auf Weiter.
b
Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und navigieren Sie zum Speicherort
der Zertifikatdatei.
c
Geben Sie im Feld Dateiname den Text *.pfx ein, und drücken Sie anschließend die EINGABETASTE.
Produkthandbuch
345
9
Authentifizierung
d
Wählen Sie die Zertifikatdatei aus, und klicken Sie auf Öffnen. Klicken Sie anschließend auf Weiter.
e
Geben Sie auf der Seite Kennwort im Feld Kennwort ein Kennwort ein. Klicken Sie anschließend auf
Weiter.
f
Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern.
g
Wählen Sie im Abschnitt Zertifikatspeicher auf derselben Seite Persönlich aus, und klicken Sie auf
Weiter.
h
Klicken Sie auf der Seite Fertigstellen des Zertifikatimport-Assistenten auf Fertig stellen.
6
Bestätigen Sie die angezeigte Meldung, indem Sie auf OK klicken.
7
Klicken Sie auf Schließen und dann auf OK, um die Fenster Zertifikate und Internetoptionen zu schließen.
Importieren eines Client-Zertifikats in Mozilla Firefox
Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen, sodass es in
der SSL-gesicherten Kommunikation gesendet werden kann.
Bevor Sie beginnen
Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert
werden kann.
Vorgehensweise
1
Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Einstellungen und dann auf Optionen.
Daraufhin öffnet sich das Fenster Einstellungen.
2
Klicken Sie auf Erweitert und anschließend auf Verschlüsselung.
3
Klicken Sie auf der Registerkarte Verschlüsselung im Abschnitt Zertifikate auf Zertifikate anzeigen.
Daraufhin öffnet sich das Fenster Zertifikat-Manager.
4
Klicken Sie auf Importieren.
Daraufhin öffnet sich der lokale Datei-Manager.
346
5
Navigieren Sie zur gespeicherten Zertifikatdatei, und klicken Sie auf Öffnen.
6
Geben Sie bei einer entsprechenden Aufforderung ein Kennwort an, und klicken Sie dann auf OK.
Produkthandbuch
9
Authentifizierung
Administratorkonten
Administratorkonten
Administratorkonten können sowohl auf der Appliance als auch auf einem externen Server eingerichtet
und verwaltet werden. Mithilfe der Erstellung entsprechender Rollen können für Administratoren
unterschiedliche Zugriffsberechtigungen festgelegt werden.
Hinzufügen eines Administratorkontos
Sie können dem Konto, das vom Appliance-System bei der Erstkonfiguration eingerichtet wurde,
Administratorkonten hinzufügen.
Vorgehensweise
1
2
Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen).
3
Fügen Sie hier den Benutzernamen und ein Kennwort hinzu, und nehmen Sie weitere erforderliche
Einstellungen für das Konto vor. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das neue Konto wird nun in der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 348
Bearbeiten eines Administratorkontos
Sie können alle Administratorkonten bearbeiten, einschließlich des Kontos, das vom Appliance-System
bei der Ersteinrichtung angelegt wurde.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie dann auf Edit (Bearbeiten).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Daraufhin öffnet sich das Fenster Edit Administrator (Administratorkonto bearbeiten).
3
Bearbeiten Sie die Einstellungen des Kontos nach Bedarf. Klicken Sie anschließend auf OK.
Das Fenster wird geschlossen, und das Konto wird nun mit den vorgenommenen Änderungen auf
der Kontoliste angezeigt.
4
Siehe auch
Einstellungen für Administratorkonten auf Seite 348
Produkthandbuch
347
9
Authentifizierung
Administratorkonten
Löschen eines Administratorkontos
Sie können beliebig viele Administratorkonten löschen, sofern danach noch mindestens ein weiteres
Administratorkonto vorhanden ist.
Vorgehensweise
1
2
Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto
aus, und klicken Sie auf Delete (Löschen).
Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff
eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden.
Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen.
3
Einstellungen für Administratorkonten
Mithilfe der Administratorkontoeinstellungen können die Anmeldeinformationen und Rollen der
Administratoren konfiguriert werden.
Einstellungen für Administratorkonten
Dies sind Einstellungen für Administratorkonten.
Tabelle 9-19 Einstellungen für Administratorkonten
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Test with current settings (Test mit aktuellen Einstellungen)
Einstellungen für die Überprüfung, ob ein Administrator sich mit seinen Anmeldeinformationen
tatsächlich bei der Appliance anmelden könnte.
348
Produkthandbuch
9
Authentifizierung
Administratorkonten
Tabelle 9-20 Test with current settings (Test mit aktuellen Einstellungen)
Option
Definition
User (Benutzer)
Gibt den zu überprüfenden Benutzernamen an.
Password (Kennwort) Gibt das zu überprüfende Kennwort an.
Test (Testen)
Mit dieser Option wird die Prüfung durchgeführt.
Anschließend wird das Fenster Authentication Test Results (Ergebnis des
Authentifizierungstests) mit dem Ergebnis des Tests angezeigt.
Verwalten der Administratorrollen
Sie können Rollen erstellen und mit diesen Administratorkonten konfigurieren.
Eine Administratorrolle wird bereits bei der Erstkonfiguration vom Appliance-System erstellt.
Vorgehensweise
1
2
So fügen Sie eine Administratorrolle hinzu:
a
Klicken Sie unter Roles (Rollen) auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Role (Rolle hinzufügen).
b
Geben Sie im Feld Name einen Rollennamen ein.
c
Konfigurieren Sie Zugriffsrechte für das Dashboard, Regeln, Listen und andere Elemente.
d
Klicken Sie auf OK.
Daraufhin wird das Fenster geschlossen, und die neue Rolle wird in der Liste der
Administratorrollen angezeigt.
3
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) verwenden, um Rollen zu
bearbeiten bzw. zu löschen.
4
Die neu hinzugefügte bzw. bearbeitete Regel ist jetzt verfügbar und kann einem Administratorkonto
hinzugefügt werden.
Siehe auch
Einstellungen für Administratorrollen auf Seite 349
Einstellungen für Administratorrollen
Mithilfe der Einstellungen für Administratorrollen können Rollen konfiguriert und anschließend
bestimmten Administratoren zugeordnet werden.
Einstellungen für Administratorrollen
Einstellungen zum Konfigurieren von Administratorrollen
Tabelle 9-21 Einstellungen für Administratorrollen
Option
Definition
Gibt den Benutzernamen eines Administrators an.
Password (Kennwort)
Legt ein Administratorkennwort fest.
Produkthandbuch
349
9
Authentifizierung
Administratorkonten
Tabelle 9-21 Einstellungen für Administratorrollen (Fortsetzung)
Option
Definition
Password repeated
(Kennwort wiederholen)
Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf.
Role (Rolle)
Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die
Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese
beiden Kennwortfelder aktiviert werden.
Zeigt eine Auswahlliste der verfügbaren Administratorrollen an.
Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie
Rollen hinzufügen und auch bearbeiten.
Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in
der Liste der Administratorrollen angezeigt.
Name
Gibt den tatsächlichen Namen der Person an, für die das entsprechende
Konto eingerichtet ist.
Die Angabe des Namens ist jedoch optional.
Konfigurieren der externen Kontoverwaltung
Sie können Administratorkonten auf externen Authentifizierungs-Servern verwalten lassen und extern
gespeicherte Benutzergruppen und einzelne Benutzer Rollen auf der Appliance zuordnen.
Vorgehensweise
1
2
Klicken Sie auf Administrator accounts are managed in an external directory server (Administratorkonten werden
auf einem externen Verzeichnis-Server verwaltet).
Nun werden zusätzliche Einstellungen angezeigt.
3
Konfigurieren Sie unter Authentication Server Details (Details des Authentifizierungs-Servers)
Einstellungen für den externen Server.
Diese Einstellungen bestimmen, auf welche Weise das Modul „Authentication“ auf der Appliance
Informationen von diesem Server abruft.
4
Verwenden Sie die Einstellungen unter Authentication group = role mapping (Authentifizierungsgruppe =
Rollenzuordnung), um auf dem externen Server gespeicherte Benutzergruppen und einzelne
Benutzer Rollen auf der Appliance zuzuordnen:
a
Klicken Sie auf Add (Hinzufügen).
Daraufhin öffnet sich das Fenster Add Group/User Role Name Mapping (Gruppen/
Benutzerrollen-Namenszuordnung hinzufügen).
350
b
Aktivieren Sie die Kontrollkästchen neben dem Feld für gewünschte Gruppen- oder
Benutzerübereinstimmungen, und geben Sie im jeweiligen Feld den Namen einer Gruppe oder
eines Benutzers ein.
c
Klicken Sie auf OK.
d
Wählen Sie unter Role to map to (Zuzuordnende Rolle) eine Rolle aus.
Produkthandbuch
9
Authentifizierung
Administratorkonten
e
Klicken Sie auf OK.
Das Fenster wird nun geschlossen, und die neue Zuordnung wird in der Zuordnungsliste
angezeigt.
f
Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) nutzen, um Zuordnungen zu
bearbeiten bzw. zu löschen.
Produkthandbuch
351
9
Authentifizierung
Administratorkonten
352
Produkthandbuch
10
Mit der Kontingentverwaltung können Sie Einfluss auf die Internet-Nutzung der Benutzer Ihres
Netzwerks nehmen. So können Sie dafür sorgen, dass die Ressourcen und die Leistung Ihres
Netzwerks nicht übermäßig beeinträchtigt werden.
Kontingente und andere Beschränkungen können auf verschiedene Art und Weise durchgesetzt
werden:
•
Zeitkontingente: Beschränken die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung
steht
•
Volumenkontingente: Beschränken das Volumen, das Benutzern für die Internet-Nutzung zur
Verfügung steht
•
Coaching: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht, lässt
jedoch bei Bedarf eine Überschreitung der konfigurierten Zeit zu
•
Autorisiertes Außerkraftsetzen: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur
Verfügung steht, auf die gleiche Art wie beim Coaching
Das Zeitlimit kann jedoch nur durch eine Aktion eines autorisierten Benutzers überschritten
werden, beispielsweise durch einen Lehrer bei einer Weiterbildung.
•
Blockaden: Blockieren den Zugriff auf das Internet für eine konfigurierte Zeitspanne, nachdem ein
Benutzer versucht hat, auf ein gesperrtes Web-Objekt zuzugreifen
Kontingente und andere Beschränkungen können separat oder in Kombination miteinander
durchgesetzt werden.
Inhalt
Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung
Zeitkontingent
Volumenkontingent
Coaching
Autorisiertes Außerkraftsetzen
Blockierungssitzungen
Kontingent-Systemeinstellungen
Produkthandbuch
353
10
Festlegen von Kontingenten und anderen Einschränkungen für
die Web-Nutzung
Durch das Festlegen von Kontingenten und anderen Einschränkungen in einem
Kontingentverwaltungsprozess für die Benutzer Ihres Netzwerks können Sie deren Web-Nutzung
steuern und die Auslastung der Netzwerkressourcen beschränken.
Die Kontingentverwaltung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen.
•
Kontingentverwaltungsregeln steuern den Prozess.
•
Kontingentverwaltungslisten werden von den Regeln zum Festlegen von Einschränkungen für
Benutzer und bestimmte Web-Objekte genutzt, z. B. URLs, IP-Adressen usw.
•
Kontingentverwaltungsmodule, die von den Regeln aufgerufen werden, verarbeiten Zeit- und
Volumenkontingente sowie sonstige Einschränkungen innerhalb des Prozesses.
Ein Kontingentverwaltungsprozess wird nach der Erstkonfiguration in Web Gateway nicht
standardmäßig implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus
der Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen
Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Beim Konfigurieren der Kontingentverwaltung können Sie mit Folgendem arbeiten:
•
Schlüsselelemente von Regeln: Nach dem Importieren der Bibliotheks-Regelsätze für
die Kontingentverwaltung und deren Auswahl in der Struktur der Regelsätze können Sie
die Schlüsselelemente der Regeln für den Kontingentverwaltungsprozess anzeigen und
konfigurieren.
•
Vollständige Regeln: Nachdem Sie in der Ansicht der Schlüsselelemente auf Unlock View
(Ansicht entsperren) geklickt haben, können Sie die Regeln für den
Kontingentverwaltungsprozess vollständig überprüfen, sämtliche Elemente der Regeln,
einschließlich der Schlüsselelemente, konfigurieren und zudem neue Regeln erstellen
oder Regeln löschen.
Kontingentverwaltungsregeln
Die Regeln, von denen die Verwaltung von Kontingenten und sonstige Einschränkungen gesteuert
wird, sind je nach Typ der Einschränkung in verschiedenen Regelsätzen enthalten, z. B. in einem
Zeitkontingent-Regelsatz oder einem Coaching-Regelsatz.
Mit den Regeln in diesen Regelsätzen wird überprüft, ob die Beschränkungen für Zeit und/oder
Volumen überschritten wurden, und ggf. werden Anfragen in Bezug auf weiteren Web-Zugriff blockiert.
Zudem leiten sie Anfragen um, wenn ein Benutzer sich zum Fortfahren mit einer neuen Sitzung
entscheidet.
Regelsätze für die Kontingentverwaltung sind im Standard-Regelsatz nicht implementiert, sie können
jedoch aus der Regelsatz-Bibliothek importiert werden. Die Namen der Bibliotheks-Regelsätze lauten
Time Quota, Volume Quota, Coaching, Authorized Override und Blocking Sessions.
Sie können die mit den Bibliotheks-Regelsätzen implementierten Regeln überprüfen, ändern oder
löschen. Außerdem können Sie auch eigene Regeln erstellen.
354
Produkthandbuch
10
Kontingentverwaltungslisten
Die Regelsätze für das Verwalten von Kontingenten und anderen Einschränkungen verwenden Listen
von Web-Objekten und Benutzern, um dementsprechend Einschränkungen festzulegen. Die Listen sind
in den Kriterien eines Regelsatzes enthalten.
Eine Liste enthält z. B. eine Anzahl von URLs, und diese Liste befindet sich in den Kriterien des
Regelsatzes „Time Quota“. Dieser Regelsatz und die darin enthaltenen Regeln werden nur angewendet,
wenn ein Benutzer eine der URLs in der Liste aufruft. Listen von IP-Adressen oder Medientypen
können auf dieselbe Weise verwendet werden.
Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene
Listen erstellen und festlegen, dass diese von den Regelsätzen für die Kontingentverwaltung
verwendet werden sollen.
Kontingentverwaltungsmodule
Die Kontingentverwaltungsmodule (auch als Engines bezeichnet) verarbeiten die Zeit- und
Volumenparameter des Kontingentverwaltungsprozesses; sie werden von den Regelsätzen des
Prozesses überprüft, um die verbrauchten sowie verbleibenden Zeiten bzw. Volumen, Sitzungszeiten
und sonstigen Werte zu bestimmen.
Es ist für jeden Typ von Einschränkung ein Modul vorhanden, z. B. das Modul Time Quota oder das
Modul Coaching.
Durch das Konfigurieren der Einstellungen für diese Module geben Sie die Zeiten und Volumen an, die
im Kontingentverwaltungsprozess gelten. Wenn Sie beispielsweise das Modul für Zeitkontingente
konfigurieren, geben Sie an, wie lange Benutzer pro Tag (in Stunden und Minuten) auf Web-Objekte
mit bestimmten URLs oder IP-Adressen zugreifen dürfen.
Sitzungsdauer
Zu den Einstellungen, die Sie für das Kontingentverwaltungsmodul konfigurieren können, zählt auch
die Sitzungsdauer. Dies ist die für eine Einzelsitzung zulässige Zeit, die von einem Benutzer für die
Web-Nutzung in Anspruch genommen wird.
Produkthandbuch
355
10
Die Sitzungsdauer wird für Zeitkontingente, Volumenkontingente und sonstige Parameter des
Kontingentverwaltungsprozesses gesondert konfiguriert und unterschiedlich behandelt.
•
Sitzungsdauer für Zeitkontingente: Beim Konfigurieren von Zeitkontingenten müssen Sie auch
eine Sitzungsdauer konfigurieren. Bei jedem Ablauf einer Sitzungsdauer für einen Benutzer wird die
als Sitzungsdauer konfigurierte Zeit vom Zeitkontingent des betreffenden Benutzers abgezogen.
Solange das Zeitkontingent nicht aufgebraucht ist, kann der Benutzer eine neue Sitzung starten.
Nach Ablauf des Zeitkontingents wird eine vom Benutzer gesendete Anfrage blockiert, und eine
Blockierungsmeldung wird angezeigt.
•
Sitzungsdauer für Volumenkontingente: Beim Konfigurieren von Volumenkontingenten hat die
Sitzungsdauer keinerlei Auswirkungen auf das Volumenkontingent für einen Benutzer.
Sie können dennoch eine Sitzungsdauer konfigurieren, um den Benutzer über die beim Web-Zugriff
abgelaufene Zeit zu informieren. Wenn die Zeit für eine Sitzung abgelaufen ist, kann der Benutzer
eine neue Sitzung starten, sofern das konfigurierte Volumen nicht aufgebraucht ist.
Wenn Sie die Sitzungsdauer auf null setzen, wird keine Sitzungsdauer konfiguriert, und der
Benutzer erhält keine entsprechende Benachrichtigung.
•
Sitzungsdauer für andere Funktionen der Kontingentverwaltung: Die Sitzungsdauer kann
auch für andere Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzungen konfiguriert
werden. Daher kann eine Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzung
stattfinden.
Nach Ablaufen der Sitzungsdauer für das Coaching und autorisierte Außerkraftsetzen wird eine vom
Benutzer gesendete Anfrage blockiert.
Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage
angegeben wird. Der Benutzer kann eine neue Sitzung starten, sofern kein Zeitlimit konfiguriert ist,
das aufgebraucht wurde.
Die für eine Blockierungssitzung konfigurierte Sitzungsdauer ist der Zeitraum, für den von einem
bestimmten Benutzer gesendete Anfragen blockiert werden. Nach Ablauf dieses Zeitraums werden
Anfragen des betreffenden Benutzers wieder akzeptiert, sofern kein Zeitlimit konfiguriert ist, das
aufgebraucht wurde.
Kombinieren von Funktionen für die Kontingentverwaltung
Die Verwendung einer bestimmten Funktion für die Kontingentverwaltung zum Einschränken der
Web-Nutzung hat keinerlei Einfluss auf die jeweils anderen Funktionen für die Kontingentverwaltung.
Zeitkontingente und Volumenkontingente werden auf der Appliance beispielsweise separat konfiguriert
und implementiert.
Sie können diese Funktionen jedoch auf sinnvolle Weise miteinander kombinieren.
Sie können beispielsweise Coaching für den Zugriff der Benutzer auf einige URL-Kategorien festlegen
und die Eingabe von Anmeldeinformationen für autorisiertes Außerkraftsetzen für andere fordern.
Für eine weitere Gruppe von Kategorien können Sie Benutzer blockieren, die versuchen, ihren Zugriff
über einen konfigurierten Zeitraum hinaus auszudehnen.
356
Produkthandbuch
Zeitkontingent
10
Zeitkontingent
Durch die Konfiguration von Zeitkontingenten können Sie die Zeit einschränken, die Benutzer Ihres
Netzwerks das Internet benutzen dürfen.
Zeitkontingente können sich auf verschiedene Parameter beziehen:
•
URL-Kategorien: Wenn sich Zeitkontingente auf URL-Kategorien beziehen, dürfen Benutzer nur
eine begrenzte Zeit auf URLs zugreifen, die in eine bestimmte Kategorie fallen, z. B.
Online-Shopping.
•
IP-Adressen: Wenn sich Zeitkontingente auf IP-Adressen beziehen, dürfen Benutzer, die Anfragen
über bestimmte IP-Adressen gesendet haben, das Internet nur eine begrenzte Zeit benutzen.
•
Benutzernamen: Wenn sich Zeitkontingente auf Benutzernamen beziehen, dürfen Benutzer das
Internet nur eine begrenzte Zeit benutzen. Benutzer werden anhand der Benutzernamen
identifiziert, die sie zur Authentifizierung an der Appliance angegeben haben.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Zeitkontingente verwendet. Sie
können eigene Regeln konfigurieren, die hinsichtlich der Zeitkontingente andere Parameter
verwenden.
Die Zeit, die Benutzer mit der Nutzung des Internets verbringen, wird auf der Appliance gespeichert.
Wenn das konfigurierte Zeitkontingent für einen Benutzer überschritten wurde, wird eine von diesem
Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der
Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-System, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Die Internet-Nutzung kann auf pro Tag, Woche oder Monat verbrachte Zeit beschränkt werden.
Konfigurieren von Zeitkontingenten
Sie können Zeitkontingente konfigurieren, um die Zeit der Web-Nutzung der Benutzer Ihres Netzwerks
zu beschränken.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Zeitkontingente enthält,
z. B. den Bibliotheks-Regelsatz Time Quota.
Daraufhin werden die untergeordneten Regelsätze angezeigt.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus.
Wenn Sie beispielsweise Zeitkontingente in Bezug auf URL-Kategorien konfigurieren möchten,
wählen Sie den untergeordneten Regelsatz Time Quota With URL Configuration aus.
Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Listennamen URL Category Block List for Time Quota
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie
Produkthandbuch
357
10
Zeitkontingent
5
Fügen Sie der Blockierungsliste URL-Kategorien hinzu. Klicken Sie anschließend auf OK, um das
Fenster zu schließen.
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der Einstellungen URL Category
Configuration (Konfiguration der URL-Kategorie).
7
Konfigurieren Sie die Sitzungsdauer und das Zeitkontingent pro Tag, Woche und Monat. Klicken Sie
anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Zeitkontingent
Mit den Einstellungen für das Zeitkontingent wird das Modul konfiguriert, das die Verwaltung des
Zeitkontingents verarbeitet.
Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Einstellungen für Zeitkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 10-1 Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer
Option
Definition
Time quota per day (week, month) (Zeitkontingent
pro Tag (Woche, Monat))
Bei Auswahl dieser Option gilt das im nächsten Abschnitt
konfigurierte Kontingent für die ausgewählte Zeiteinheit.
Session time (Sitzungsdauer)
konfigurierte Kontingent für die Sitzungsdauer.
Stunden und Minuten für . . .
Einstellungen für Zeitkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Time quota per week (Zeitkontingent pro Woche) auswählen, lautet die
Überschrift Hours and Minutes for Time Quota per Week (Stunden und Minuten für Zeitkontingent pro
Woche).
Tabelle 10-2 Stunden und Minuten für . . .
Option
Definition
Hours (Stunden)
Legt die zulässigen Stunden pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Minutes (Minuten) Legt die zulässigen Minuten pro Tag, Woche, Monat oder für die Sitzungsdauer fest.
Tatsächlich konfiguriertes Zeitkontingent
Zeigt die konfigurierten Zeitkontingente an.
Tabelle 10-3 Tatsächlich konfiguriertes Zeitkontingent
358
Option
Definition
Time quota per day (week, month) (Zeitkontingent pro Tag
(Woche, Monat))
Zeigt die zulässige Zeit pro Tag, Woche oder Monat
an.
Zeigt die zulässige Sitzungsdauer an.
Produkthandbuch
Zeitkontingent
10
Time Quota (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Time Quota“ können Zeitkontingente für die Web-Nutzung festgelegt
werden.
Bibliotheks-Regelsatz – Time Quota
Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT”
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche
sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet
wird.
•
Time Quota With URL Configuration
•
Time Quota With IP Configuration
Dieser Regelsatz ist anfänglich nicht aktiviert.
•
Time Quota With Authenticated User Configuration
Time Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Zeitkontingente in Bezug auf
URL-Kategorien fällt.
Redirecting after starting new time session
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session Activation>
Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut
Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer
gesendet wird.
Check if time session has been exceeded
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.SessionExceeded, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
des Benutzers blockiert.
Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Produkthandbuch
359
10
Zeitkontingent
Check if time quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
Die Regel überprüft mithilfe der Eigenschaft Quota.Time.Exceeded, ob für einen Benutzer das
konfigurierte Zeitkontingent überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet.
gesendet wird.
Time Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Time Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Zeitkontingente in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werde. Diese lauten
IP Configuration.
Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Time Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Time Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Zeitkontingente in Bezug auf
Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“,
mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten
Authenticated User Configuration.
360
Produkthandbuch
Volumenkontingent
10
Volumenkontingent
Durch die Konfiguration von Volumenkontingenten können Sie das Volumen an Web-Objekten
einschränken, gemessen in GB und MB, das die Benutzer Ihres Netzwerks aus dem Internet
herunterladen dürfen.
Volumenkontingente können sich auf mehrere Parameter beziehen:
•
URL-Kategorien: Benutzer dürfen nur ein begrenztes Volumen an Web-Objekten über URLs
herunterladen, die in eine bestimmte Kategorie fallen, z. B. Streaming-Medien.
•
IP-Adressen: Benutzer, die Anfragen über bestimmte IP-Adressen senden, dürfen nur ein
begrenztes Volumen herunterladen.
•
Benutzernamen: Benutzer dürfen Web-Objekte nur bis zu einem begrenzten Volumen
herunterladen. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur
Authentifizierung an der Appliance angegeben haben.
•
Medientypen: Benutzer dürfen Web-Objekte, die zu bestimmten Medientypen gehören, nur bis zu
einem begrenzten Volumen herunterladen.
Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Volumenkontingente verwendet.
Sie können eigene Regeln konfigurieren, die hinsichtlich der Volumenkontingente andere Parameter
verwenden.
Informationen zum Volumen, das Benutzer aus dem Internet herunterladen, werden auf der Appliance
gespeichert. Wenn das konfigurierte Volumenkontingent für einen Benutzer überschritten wurde, wird
eine von diesem Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt,
in der der Grund für das Blockieren der Anfrage angegeben wird.
Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben
haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die
IP-Adresse des Client-Systems, über das die Anfrage gesendet wurde, erfasst und blockiert oder
zugelassen.
Web-Downloads können auf ein pro Tag, Woche oder Monat Download-Volumen beschränkt werden.
Konfigurieren von Volumenkontingenten
Sie können Volumenkontingente konfigurieren, um das Volumen zu beschränken, das von Benutzern
Ihres Netzwerks während ihrer Web-Nutzung verbraucht wird.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Volumenkontingente
enthält, z. B. den Bibliotheks-Regelsatz Volume Quota.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Volume Quota With IP Configuration.
angezeigt.
Produkthandbuch
361
10
Volumenkontingent
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Volume Quota.
5
Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie
6
Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen,
z. B. IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die gewünschten Parameter, z. B. Sitzungsdauer und Volumenkontingent pro Tag,
Woche und Monat. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Einstellungen für das Volumenkontingent
Mit den Einstellungen für das Volumenkontingent wird das Modul konfiguriert, das die Verwaltung des
Volumenkontingents verarbeitet.
Volumenkontingent pro Tag, Woche und Monat
Einstellungen für Volumenkontingente
Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten
Abschnitts entsprechend.
Tabelle 10-4 Volumenkontingent pro Tag, Woche und Monat
Option
Definition
Volume quota per day (week, month)
(Volumenkontingent pro Tag (Woche, Monat))
konfigurierte Kontingent für die ausgewählte Zeiteinheit
konfigurierte Kontingent für die Sitzungsdauer
Volumen für . . .
Einstellungen für Volumenkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer
gelten
Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab.
Wenn Sie beispielsweise Volume quota per week (Volumenkontingent pro Woche) auswählen, lautet
die Überschrift Volume for Volume Quota per Week (Volumen für Volumenkontingent pro Woche).
Wenn Sie jedoch Session Time (Sitzungsdauer) ausgewählt haben, lautet die Überschrift Hours and
Minutes (Stunden und Minuten).
Tabelle 10-5 Volumen für . . .
362
Option
Definition
GiB (GB)
Gibt das zulässige Volumen in GB an.
MiB (MB)
Gibt das zulässige Volumen in MB an.
Produkthandbuch
Volumenkontingent
10
Tatsächlich konfiguriertes Volumenkontingent
Zeigt die konfigurierten Volumenkontingente an.
Tabelle 10-6 Tatsächlich konfiguriertes Volumenkontingent
Option
Definition
Volume quota per day (week, month) (Volumenkontingent pro
Tag (Woche, Monat))
Zeigt das zulässige Volumen pro Tag, Woche oder
Monat an.
Zeigt die zulässige Sitzungsdauer an.
Volume Quota (Regelsatz)
Mit dem Regelsatz „Volume Quota“ werden Volumenkontingente für die Internet-Nutzung festgelegt.
Bibliotheks-Regelsatz – Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und sonstige
Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird.
• Time Quota With URL Configuration
• Time Quota With IP Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
• Time Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert.
Bibliotheks-Regelsatz – Volume Quota
wird.
•
Volume Quota With URL Configuration
•
Volume Quota With IP Configuration
•
Volume Quota With Authenticated User Configuration
•
Volume Quota With Media Type Configuration
Volume Quota With URL Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf URL-Kategorien.
Produkthandbuch
363
10
Volumenkontingent
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota
für eine URL sendet, die in eine Kategorie der Blockierungsliste für Volumenkontingente in Bezug auf
Redirecting after starting new time session
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet.
Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird.
Check if volume session has been exceeded
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.SessionExceeded-Eigenschaft, ob für einen Benutzer die
konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage
Check if volume quota has been exceeded
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
Die Regel überprüft mit der Quota.Volume.Exceeded-Eigenschaft, ob für einen Benutzer das
konfigurierte Volumenkontingent überschritten wurde. Wenn dies der Fall ist, wird die
Web-Zugriffsanfrage des Benutzers blockiert.
Volume Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Volume Quota
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Volumenkontingente in
Bezug auf IP-Adressen enthalten ist.
364
Produkthandbuch
Coaching
10
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL
Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden;
diese lauten IP Configuration.
Volume Quota With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Volume Quota
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Volumenkontingente in Bezug auf
diese lauten Authenticated User Configuration.
Volume Quota With Media Type Configuration
Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Medientypen.
Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Media Type Configuration
Criteria – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota
Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage für den
Zugriff auf ein Web-Objekt eines Medientyps gesendet wird, der in der Blockierungsliste für
Volumenkontingente in Bezug auf Medientypen aufgeführt wird.
diese lauten Media Type Configuration.
Coaching
Durch die Konfiguration von Coaching-Kontingenten können Sie die Zeit einschränken, die Benutzer
Ihres Netzwerks das Internet nutzen dürfen. Sie können jedoch zulassen, dass diese die
Internet-Nutzung auf Wunsch fortsetzen dürfen.
Zum Coachen der Internet-Nutzung Ihrer Benutzer konfigurieren Sie eine Coaching-Sitzung mit einer
bestimmten Dauer. Nach Ablauf dieser Sitzungsdauer für einen Benutzer wird eine
Blockierungsmeldung angezeigt. Die Benutzer kann dann bei Bedarf eine neue Sitzung starten.
Sie können das Coaching in Bezug auf die im Coaching-Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus können Sie
eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
Produkthandbuch
365
10
Coaching
Konfigurieren des Coachings
Durch die Konfiguration von Coaching können Sie die Web-Nutzung der Benutzer Ihres Netzwerks
beschränken, ihnen jedoch ermöglichen, ihre Sitzung nach Ablauf des konfigurierten Zeitlimits bei
Bedarf fortzusetzen.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das Coaching, z. B.
den Bibliotheks-Regelsatz Coaching.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Coaching With IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Coaching.
5
6
z. B. auf IP Configuration (IP-Konfiguration).
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Coaching-Einstellungen
Mit den Coaching-Einstellungen wird das Modul konfiguriert, das das Coaching verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Coaching-Sitzung
Tabelle 10-7 Stunden und Minuten der Sitzungsdauer
366
Option
Definition
Days (Tage)
Legt die Tage für eine Coaching-Sitzung fest.
Hours (Stunden)
Legt die Stunden für eine Coaching-Sitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Coaching-Sitzung fest.
Produkthandbuch
Coaching
10
Coaching (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Coaching“ können für Benutzer Einschränkungen zur Internet-Nutzung
festgelegt werden, die die Benutzer bei Bedarf umgehen können.
Bibliotheks-Regelsatz – Coaching
wird.
•
Coaching With URL Configuration
•
Coaching With IP Configuration
•
Coaching With Authenticated User Configuration
Coaching With URL Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Coaching With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Coaching in Bezug auf
Redirecting after starting new coaching session
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching Session
Activation>
Check if coaching session has been exceeded
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
Die Regel überprüft mithilfe der Quota.Coaching.SessionExceeded-Eigenschaft, ob für einen Benutzer
die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Eigenschaften des Moduls, das das Coaching verarbeitet.
Coaching Quota With IP Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf IP-Adressen.
Produkthandbuch
367
10
Untergeordneter Bibliotheks-Regelsatz – Coaching With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Coaching
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das Coaching in Bezug
auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
IP Configuration.
Coaching With Authenticated User Configuration
Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Coaching With Authenticated User Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Coaching
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für das Coaching in Bezug auf
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“,
Sie können die Sitzungsdauer für eine Sitzung konfigurieren, die autorisiertes Außerkraftsetzen
zulässt.
Nach Ablauf dieser Sitzungsdauer wird eine Benutzeranfrage blockiert, und es wird eine
Blockierungsmeldung angezeigt. In der Meldung ist auch eine Aufforderung enthalten, einen
Benutzernamen und ein Kennwort zu übermitteln, um eine neue Sitzung zu starten.
Diese Anmeldeinformationen müssen zu einem autorisierten Benutzer gehören. Beispiel: In einem
Schulungsszenario könnte ein Benutzer, der nach Beendigung einer Sitzung mit autorisiertem
Außerkraftsetzen blockiert wird, ein Kursteilnehmer sein, während es sich beim Schulungsleiter um
den autorisierten Benutzer handelt.
Die Authentifizierung dieses Benutzers erfolgt gemäß der konfigurierten Authentifizierungsmethode.
Beim Konfigurieren dieser Methode müssen Sie darauf achten, dass diese keinen integrierten
Authentifizierungsmodus enthält.
Die Blockierungsmeldung bietet außerdem eine Option, die Dauer der Sitzung mit autorisiertem
Außerkraftsetzen für den blockierten Benutzer anzugeben.
Die für diesen Benutzer festgelegte Dauer sollte nicht die Dauer überschreiten, die im Rahmen der
Moduleinstellungen für das autorisierte Außerkraftsetzen für alle übrigen Benutzer konfiguriert ist.
Sie können das autorisierte Außerkraftsetzen in Bezug auf die im Bibliotheks-Regelsatz verwendeten
Parameter konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus
können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden.
368
Produkthandbuch
10
Konfigurieren des autorisierten Außerkraftsetzens
Durch die Konfiguration von autorisiertem Außerkraftsetzen können Sie die Web-Nutzung Ihrer
Benutzer beschränken, dabei jedoch zulassen wird, dass ein autorisierter Benutzer das konfigurierte
Zeitlimit durch eine Aktion überschreiten darf.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das autorisierte
Außerkraftsetzen, z. B. den Bibliotheks-Regelsatz Authorized Override.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Authorized Override With IP
Configuration.
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B.
IP Block List for Authorized Override.
5
6
7
Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend
auf OK, um das Fenster zu schließen.
8
Einstellungen für „Authorized Override“ (Autorisiertes
Außerkraftsetzen)
Mit den Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) wird das Modul
konfiguriert, das das autorisierte Außerkraftsetzen verarbeitet.
Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in Stunden
und Minuten)
Einstellungen zum Konfigurieren der maximalen Dauer einer Sitzung mit autorisiertem
Außerkraftsetzen.
Produkthandbuch
369
10
Tabelle 10-8 Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in
Stunden und Minuten)
Option
Definition
Days (Tage)
Legt die Tage für eine „Authorized Override“-Sitzung (Autorisiertes
Außerkraftsetzen) fest.
Hours (Stunden)
Legt die Stunden für eine „Authorized Override“-Sitzung (Autorisiertes
Minutes (Minuten)
Legt die Minuten für eine „Authorized Override“-Sitzung (Autorisiertes
Authorized Override (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Authorized Override“ kann ein Zeitlimit für die Web-Nutzung festgelegt
werden, das durch einen autorisierten Benutzer umgangen werden kann.
Bibliotheks-Regelsatz – Authorized Override
wird.
•
Authorized Override With URL Configuration
•
Authorized Override With IP Configuration
•
Authorized Override With Authenticated User Configuration
Authorized Override With URL Configuration
Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf
URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
für eine URL sendet, die in eine Kategorie der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf URL-Kategorien fällt.
Redirect after authenticating for authorized override
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true AND
Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After Authorized
Session Activation>
370
Produkthandbuch
10
Zugriff auf ein Web-Objekt erhält, wenn die vom Benutzer übermittelten Anmeldeinformationen zum
Fortfahren mit einer neuen Sitzung validiert wurden.
Check if authorized override session has been exceeded
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
Die Regel überprüft mithilfe der Quota.AuthorizedOverride.SessionExceeded-Eigenschaft, ob für
einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die
werden, sind die Einstellungen des Moduls, das das autorisierte Außerkraftsetzen verwaltet.
Authorized Override With IP Configuration
IP-Adressen.
Untergeordneter Bibliotheks-Regelsatz– Authorized Override With IP Configuration
Criteria – Client.IP is in list IP Blocklist for Authorized Override
von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das autorisierte
Außerkraftsetzen in Bezug auf IP-Adressen enthalten ist.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
IP Configuration.
Authorized Override With Authenticated User Configuration
Benutzernamen.
Untergeordneter Bibliotheks-Regelsatz – Authorized Override With Authenticated User
Configuration
Criteria – Authenticated.RawUserName is in list User Blocklist for Authorized Override
Benutzer gesendet wird, dessen Name auf der Blockierungsliste für autorisiertes Außerkraftsetzen in
Bezug auf Benutzernamen aufgeführt wird.
Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL
Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten
Produkthandbuch
371
10
Durch die Konfiguration von Blockierungssitzungen können Sie von einem Benutzer gesendete
Anfragen über einen konfigurierten Zeitraum blockieren.
Eine Blockierungssitzung wird festgelegt, nachdem ein Benutzer eine Anfrage gesendet hat, die
entsprechend einer konfigurierten Regel blockiert wurde, z. B. eine Anfrage nach einer URL, die in eine
nicht zulässige Kategorie fällt.
Dies ist ein Mittel zum Erzwingen einer Web-Sicherheitsrichtlinie für eine striktere Handhabung von
unerwünschtem Zugriff auf Web-Objekte.
Sie können Blockierungssitzungen hinsichtlich der im Bibliotheks-Regelsatz verwendeten Parameter
konfigurieren. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter
verwendet werden.
Konfigurieren von Blockierungssitzungen
Sie können Blockierungssitzungen zum Blockieren einer Sitzung über einen konfigurierten Zeitraum
nach dem versuchten Zugriff auf ein unzulässiges Web-Objekt konfigurieren.
Vorgehensweise
1
2
Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für die Blockierungssitzung
enthält, z. B. den Bibliotheks-Regelsatz Blocking Sessions.
3
Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Blocking Sessions With
IP Configuration.
Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt
angezeigt.
4
Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP
Block List for Blocking Sessions.
5
6
372
7
Konfigurieren Sie die entsprechenden Parameter, z. B. den Zeitraum, für den Sitzungen blockiert
werden. Klicken Sie anschließend auf OK, um das Fenster zu schließen.
8
Produkthandbuch
10
Einstellungen für die Blockierungssitzung
Mit den Einstellungen für die Blockierungssitzung wird das Modul konfiguriert, das die
Blockierungssitzungen verarbeitet.
Stunden und Minuten der Sitzungsdauer
Einstellungen zum Konfigurieren der Dauer einer Blockierungssitzung
Tabelle 10-9 Stunden und Minuten der Sitzungsdauer
Option
Definition
Days (Tage)
Legt die Tage für eine Blockierungssitzung fest.
Hours (Stunden)
Legt die Stunden für eine Blockierungssitzung fest.
Minutes (Minuten)
Legt die Minuten für eine Blockierungssitzung fest.
Blocking Sessions (Regelsatz)
Mit dem Bibliotheks-Regelsatz „Blocking Sessions“ können Web-Sitzungen nach dem versuchten
Zugriff auf ein nicht zulässiges Web-Objekt blockiert werden.
Bibliotheks-Regelsatz – Blocking Sessions
wird.
Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz: Blocking Sessions With URL
Configuration
Blocking Sessions With URL Configuration
Dieser untergeordnete Regelsatz behandelt Blockierungssitzungen in Bezug auf URL-Kategorien.
Untergeordneter Bibliotheks-Regelsatz – Blocking Sessions With URL Configuration
Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking Sessions
für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Blockieren von Sitzungen in
Bezug auf URL-Kategorien fällt.
Block user if blocking session is active
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking Session
Template>
Die Regel überprüft mithilfe der BlockingSession.IsBlocked-Eigenschaft, ob für einen Benutzer, der
eine Anfrage sendet, eine Blockierungssitzung aktiviert wurde. Wenn dies der Fall ist, wird die
Anfrage blockiert.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Produkthandbuch
373
10
Activate blocking session if category is in list Category List for Blocking Sessions
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue —
BlockingSession.Activate<Blocking Session Configuration>
Die Regel überprüft mithilfe der URL.Categories-Eigenschaft, ob eine URL, auf die eine
Benutzeranfrage zugreift, in eine Kategorie auf der Blockierungsliste fällt, die speziell für
Blockierungssitzungen geführt wird. Wenn die URL in eine der Kategorien in der Liste fällt, wird eine
Blockierungssitzung für den Benutzer aktiviert.
Das BlockingSession.Activate-Ereignis wird zum Aktivieren der Blockierungssitzung verwendet. Die
Ereigniseinstellungen werden zusammen mit dem Ereignis festgelegt.
Kontingent-Systemeinstellungen sind allgemeine Einstellungen für bei der Kontingentverwaltung
genutzte Zeitintervalle.
Wenn eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung verwendet wird,
können Sie Zeitintervalle für die Synchronisierung von Daten mit anderen Knoten konfigurieren.
Die entsprechenden Einstellungen werden auf der Registerkarte Appliances des übergeordneten Menüs
Configuration (Konfiguration) vorgenommen.
Die Einstellungen werden möglicherweise unter dem Namen Coaching (statt Quota) angezeigt, gelten
aber in beiden Fällen für alle Optionen, die für die Kontingentverwaltung zur Verfügung stehen:
autorisiertes Außerkraftsetzen, Blockieren von Sitzungen, Coaching, Zeitkontingente und
Volumenkontingente.
Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle
für Synchronisierung und Speicherung in Minuten)
Einstellungen für bei der Kontingentverwaltung genutzte Zeitintervalle.
Tabelle 10-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten)
Option
Definition
Save interval
(Speicherintervall)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte auf einer Appliance gespeichert werden.
Zu speichernde Kontingentwerte sind beispielsweise die von Benutzern
verbrauchten Byte-Volumenmengen.
Interval for sending
updated quota data
(Sendeintervall für
aktualisierte
Kontingentdaten)
374
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen
Kontingentwerte von einer Appliance aus auf alle Knoten innerhalb der
Konfiguration mit zentraler Verwaltung verteilt werden.
Die verteilten Daten beinhalten alle Änderungen an Kontingentwerten, die seit
der letzten Verteilung von Daten durch die Appliance erfolgt sind.
Produkthandbuch
10
Tabelle 10-10 Quota Intervals for Synchronisation and Saving in Minutes
(Kontingentintervalle für Synchronisierung und Speicherung in Minuten) (Fortsetzung)
Option
Definition
Interval for base
synchronisation (Intervall
für grundlegende
Synchronisierung)
Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die Kontingentwerte
aller Knoten innerhalb einer Konfiguration mit zentraler Verwaltung
synchronisiert werden.
Der Synchronisierungsvorgang fertigt einen Snapshot der aktuellen
Kontingentwerte auf allen Appliances an. Die jeweils neuesten Werte der
einzelnen Benutzer werden an alle Appliances verteilt.
Die Verteilung der Werte erfolgt auch an Knoten, die zeitweise nicht aktiv
waren und somit auch keine Aktualisierungen erhielten, die in dieser Zeit
verteilt wurden. Außerdem werden die Werte auch an neu zur Konfiguration
hinzugefügte Knoten verteilt, die bislang noch keinerlei Aktualisierungen
erhalten haben.
Cleanup database after
(Datenbank säubern nach)
Gibt den Zeitraum (in Tagen) vor, nach dessen Ablauf die Daten in der
Kontingentdatenbank gelöscht werden.
Vor dem Löschvorgang wird überprüft, ob die Daten tatsächlich obsolet sind.
Daten sind dann obsolet, wenn das für eine Kontingentverwaltungsfunktion
konfigurierte Zeitintervall abgelaufen ist.
Wenn beispielsweise einem Benutzer für einen Monat eine festgelegte
Byte-Menge als Volumenkontingent zur Verfügung steht, wird die Angabe der
Menge, die der Benutzer während dieses Monats tatsächlich verbraucht hat,
mit dem Beginn eines neuen Monats obsolet. Beim Säuberungsvorgang
werden diese Daten dann gelöscht, sofern auch der in der Option Cleanup
database after (Datenbank säubern nach) festgelegte Zeitraum abgelaufen ist.
Gespeicherte Daten bezüglich Zeitkontingenten werden nach einem Monat
obsolet. Für andere Kontingentverwaltungsfunktionen sind andere
Zeitintervalle ausschlaggebend. Beim Coaching und autorisierten
Außerkraftsetzen kann der Säuberungsvorgang z. B. erst durchgeführt
werden, wenn der für die entsprechende Sitzung zur Verfügung gestellte
Zeitraum abgelaufen ist.
Produkthandbuch
375
10
376
Produkthandbuch
11
Web-Filterung
Wenn die Benutzer Ihres Netzwerks Web-Zugriffsanfragen senden, filtert Web Gateway diese Anfragen
sowie die Antworten, die aus dem Internet zurückgesendet werden. Eingebettete Objekte, die mit
Anfragen oder Antworten gesendet werden, werden ebenfalls gefiltert.
Die Web-Filterung wird auf verschiedene Art und Weise durchgeführt. Sie wird durch Regeln gesteuert,
die Sie überprüfen und ändern können, um sie an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anzupassen.
Die Standardfilterprozesse auf WebGateway umfassen Folgendes:
•
Viren- und Malware-Filterung: Blockiert den Zugriff auf Web-Objekte, die mit Viren und anderer
Malware infiziert sind
•
URL-Filterung: Blockiert den Zugriff auf Web-Objekte mit bestimmten URLs bzw. lässt ihn zu
•
Medientypfilterung: Blockiert den Zugriff auf Web-Objekte, die zu bestimmten Medientypen
gehören, bzw. lässt ihn zu
Mit globalen Whitelists können Sie den Zugriff auf Web-Objekte zulassen, bevor die Regeln der oben
genannten Filterungsmethoden angewendet werden. SSL-Scans ermöglichen die Filterung von
Anfragen, die über SSL-gesicherte Verbindungen gesendet werden.
Inhalt
Viren- und Malware-Filterung
URL-Filterung
Medientyp-Filterung
Anwendungsfilterung
Streaming-Medien-Filterung
Globale Whitelists
SSL-Scans
Hardware Security Module
Advanced Threat Defense
Data Loss Prevention
Produkthandbuch
377
11
Web-Filterung
Die Viren- und Malware-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf
Web-Objekte zugreifen können, die durch Viren und andere Malware infiziert sind. Der Filterprozess
erkennt Infektionen und blockiert den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
•
Filterregeln steuern den Prozess.
•
Whitelists werden von Regeln verwendet, damit für einige Web-Objekte die Viren- und
Malware-Filterung übersprungen werden kann.
•
Das Modul „Anti-Malware“, das durch eine bestimmte Regel aufgerufen wird, scannt Web-Objekte
auf Viren- oder andere Malware-Infektionen.
Ein Standardprozess zur Viren- und Malware-Filterung wird nach der Ersteinrichtung auf Web Gateway
installiert. Sie können diesen Prozess verändern und an die Bedürfnisse Ihrer Web-Sicherheitsrichtlinie
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der Viren- und Malware-Filterung:
•
Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den
Regelsatz Gateway Anti-Malware geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterprozess anzeigen und konfigurieren.
•
entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und
Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln
erstellen oder Regeln löschen.
Filterregeln
Üblicherweise enthält ein Regelsatz alle zur Steuerung der Viren- und Malware-Filterung benötigten
Regeln. Die Schlüsselregel in diesem Regelsatz ist die Regel, die den Zugriff auf Web-Objekte
blockiert, wenn diese durch Viren und andere Malware infiziert sind.
Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das
Modul scannt und der Regel das Ergebnis meldet.
Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet
werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der
Whitelist werden nicht gescannt.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur Viren- und
Malware-Filterung enthalten. Dieser Regelsatz heißt Gateway Anti-Malware.
Whitelists
Whitelists werden von Whitelisting-Regeln verwendet, um einige Web-Objekte die Blockierungsregel
überspringen zu lassen, d. h., diese Objekte nicht zu scannen. Es können Whitelists für URLs,
Medientypen und andere Objekttypen vorhanden sein.
Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene
Listen erstellen und diese von den Whitelist-Regeln verwenden lassen.
378
Produkthandbuch
Web-Filterung
11
Blockierungslisten werden üblicherweise nicht für die Viren- und Malware-Filterung verwendet, da die
Blockierung hier nicht von Einträgen in Listen abhängig ist, sondern von den Ergebnissen des Moduls
„Anti-Malware“.
Modul „Anti-Malware“
Das Modul „Anti-Malware“ wird auch als Engine „Anti-Malware“ bezeichnet. Es scannt Objekte auf
Infektionen durch Viren und sonstige Malware. Entsprechend den Ergebnissen dieses Moduls blockiert
die Blockierungsregel den Zugriff auf Web-Objekte oder lässt diese passieren.
Wenn das Modul „Anti-Malware“ zum Ausführen und Scannen von Web-Objekten aufgerufen wird,
handelt es sich standardmäßig um eine Kombination aus zwei Modulen, die ausgeführt werden. Diese
Module können als Sub-Module des Moduls „Anti-Malware“ betrachtet werden. Jedes dieser
Sub-Module verwendet verschiedene Scan-Methoden.
Die beiden Standard-Sub-Module sind das McAfee Gateway Anti-Malware-Modul und das McAfee
Anti-Malware-Modul. Letzteres verwendet zum Erkennen von Infektionen in Web-Objekten
Virus-Signaturen.
Diese Methode kann jedoch nur Viren und sonstige Malware erkennen, die bereits bekannt und mit
Signaturen versehen sind. Für eine erhöhte Web-Sicherheit verwendet das McAfee Gateway
Anti-Malware-Modul auch proaktive Methoden zur Erkennung neuer Viren und Malware.
Beim Konfigurieren der Einstellungen für das Modul „Anti-Malware“ können Sie den Standardmodus
ändern, sodass ein Sub-Modul eines Drittanbieters zusätzlich oder alleine ausgeführt wird.
Um eine vorübergehende Überlastung der Sub-Module zu vermeiden, können Sie eine
Malware-Schutz-Warteschlange erstellen, in die Anfragen vor dem Scannen verschoben werden.
Konfigurieren von Schlüsselelementen für die Viren- und
Malware-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die Viren- und Malware-Filterung, um wichtige
Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Gateway Anti-Malware aus.
Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich
angezeigt.
3
Konfigurieren Sie die Schlüsselelemente nach Bedarf.
4
Siehe auch
Schlüsselelemente für die Viren- und Malware-Filterung auf Seite 379
Schlüsselelemente für die Viren- und Malware-Filterung
Die Schlüsselelemente der Regeln für die Viren- und Malware-Filterung beziehen sich auf wichtige Teile
dieses Filterprozesses.
Bypass Scanning for These Agents and Hosts (Scannen für diese Agenten und
Hosts umgehen)
Schlüsselelemente für das Umgehen des Scannens durch das Anti-Malware-Modul
Produkthandbuch
379
11
Web-Filterung
Tabelle 11-1 Bypass scanning for these agents and hosts (Scannen für diese Agenten und
Hosts umgehen)
Option
Definition
User agent whitelist (Whitelist für
Benutzer-Agenten)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete Whitelist für
Benutzer-Agenten bearbeiten können.
Sie können der Liste Einträge hinzufügen sowie Einträge der Liste
bearbeiten oder löschen.
URL host whitelist (URL-Host-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in
dem Sie die von einer Regel verwendete URL-Host-Whitelist
bearbeiten können.
Scanning Options (Scan-Optionen)
Schlüsselelemente für Scan-Aktivitäten des Anti-Malware-Moduls
Tabelle 11-2 Scanning Options (Scan-Optionen)
Option
Definition
Remove partial content for
HTTP requests
(Unvollständige Inhalte für
HTTP-Anfragen entfernen)
Bei Auswahl dieser Option wird eine Regel aktiviert, die die Angabe in einer
HTTP- bzw. HTTPS-Anfrage entfernt, dass nur auf einen Teil der Inhalte
eines Web-Objekts zugegriffen wird, sodass sich die Anfrage auf den
vollständigen Inhalt bezieht.
Wenn ein Web-Objekt (z. B. eine Datei) vom betreffenden Web-Server
vollständig übermittelt wird, kann es auch vollständig von Web Gateway
gescannt werden. Beim einem kompletten Scan-Vorgang können Infektionen
festgestellt werden, die beim teilweisen Scannen des Web-Objekts
möglicherweise nicht erkannt werden.
Block partial content for FTP
requests (Teilinhalte für
FTP-Anfragen blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die FTP-Anfragen
blockiert, bei denen nur ein Teil der Inhalte eines Web-Objekts angefordert
wird.
Gemäß dem FTP-Protokoll ist es nicht möglich, die Angabe des Zugriffs auf
unvollständige Inhalte eines Web-Objekts aus Anfragen zu entfernen. Daher
empfiehlt es sich, derartige Anfragen zu blockieren.
Use the Media Stream
Scanner (Media Stream
Scanner verwenden)
Bei Auswahl dieser Option scannt und übermittelt der Media Stream Scanner
Web-Objekte, bei denen es sich um Streaming-Medien handelt, paketweise,
wodurch der Vorgang beschleunigt wird.
Die proaktiven Funktionen des McAfee Gateway Anti-Malware-Moduls
werden zum Scannen verwendet; die anderen für diesen Zweck in Web
Gateway verfügbaren Module hingegen sind an diesem Prozess nicht
beteiligt.
Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Schlüsselelemente für das Konfigurieren von Einstellungen für das Anti-Malware-Modul
380
Produkthandbuch
Web-Filterung
11
Tabelle 11-3 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen)
Option
Definition
Enable Anti-Malware scanning
(Malware-Schutz-Scan aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die das
Anti-Malware-Modul aufruft, das Web-Objekte auf Infektionen mit
Viren und sonstiger Malware scannt.
Settings (Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in
dem Sie die Einstellungen für das Anti-Malware-Modul bearbeiten
können.
Konfigurieren der Viren- und Malware-Filterung mithilfe der
vollständigen Regelansicht
Sie können die Viren- und Malware-Filterung konfigurieren, um diesen Prozess an die Anforderungen
Ihres Netzwerks anzupassen.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die Viren- und Malware-Filterung.
Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware.
2
Ändern Sie diese Regeln nach Bedarf.
•
Aktivieren oder Deaktivieren von Whitelist-Regeln
•
Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und
Sie Einträge hinzufügen müssen.
•
Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln
•
Ändern der Kombination von Sub-Modulen, die beim Aufrufen des Anti-Malware-Moduls zum
Scannen von Web-Objekten ausgeführt werden
Standardmäßig umfasst die Kombination die folgenden Sub-Module:
•
•
McAfee Gateway Anti-Malware
•
McAfee Anti-Malware
Ändern anderer Einstellungen des Anti-Malware-Moduls
3
Konfigurieren Sie die Malware-Schutz-Warteschlangen entsprechend den jeweiligen Anforderungen,
um eine Überlastung der Module zum Scannen von Web-Objekten zu verhindern.
4
Produkthandbuch
381
11
Web-Filterung
Konfigurieren von Einstellungen für das Modul „Anti-Malware“
Sie können das Modul „Anti-Malware“ konfigurieren, um zu ändern, auf welche Weise Web-Objekte auf
Infektionen mit Viren und sonstiger Malware gescannt werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung aus.
3
4
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
5
Klicken Sie in den Regelkriterien auf den Namen der Einstellungen.
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
für das Modul „Anti-Malware“.
6
Konfigurieren Sie diese Einstellungen nach Bedarf. Klicken Sie anschließend auf OK, um das Fenster
zu schließen.
7
Siehe auch
Einstellungen für Anti-Malware auf Seite 384
Ändern der Modulkombination zum Scannen von Web-Objekten
Beim Konfigurieren der Einstellungen des Anti-Malware-Moduls können Sie die Kombination der
Submodule ändern, die zum Scannen von Web-Objekten ausgeführt werden.
Unter dem Namen des Moduls (Engine) Anti-Malware können verschiedene Submodule zum Scannen
ausgeführt werden. Welche dieser Submodule auf Ihrer Appliance verfügbar sind, hängt von Ihren
erworbenen Lizenzen ab.
Vorgehensweise
1
2
Rufen Sie die Einstellungen für „Anti-Malware“ auf.
a
Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung
aus.
b
382
Produkthandbuch
Web-Filterung
c
11
Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft.
Standardmäßig ist dies die Regel Block if virus was found.
d
Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet
dieser Gateway Anti-Malware.
Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die
Einstellungen für das Modul „Anti-Malware“.
3
Wählen Sie im Abschnitt Select scanning engines and behavior (Auswählen der Scan-Module und des
Verhaltens) eine der folgenden Kombinationen aus Submodulen:
•
Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die
empfohlene Hochleistungskonfiguration): Bei Auswahl dieser Option sind das McAfee Gateway
Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen
Diese Modulkombination ist standardmäßig aktiviert.
•
Layered coverage: Full McAfee coverage plus specific Avira engine features – minor performance impact (Mehrstufiger
Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe
Leistungseinbußen): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul,
das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul
(Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters für einige Web-Objekte
•
Duplicate coverage: Full McAfee coverage and Avira engine – less performance and more false positives (Doppelter
Schutz: Vollständiger McAfee-Schutz und Avira-Modul – weniger Leistung und mehr
False-Positives): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das
McAfee Anti-Malware-Modul und das Avira-Modul (Drittanbieter) aktiv.
Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines
Drittanbieters
•
Avira only: Only uses Avira engine – not recommended (Nur Avira: Nur das Avira-Modul wird verwendet –
nicht empfohlen): Bei Auswahl dieser Option ist nur das Avira-Modul aktiv.
Der Scan-Modus lautet dann: Modulfunktionen eines Drittanbieters
4
5
Wenn Sie beim Arbeiten mit dem Regelsatz für Gateway Anti-Malware die Option wählen, dass nur
Avira verwendet wird, sollten Sie die Einstellungen und den Regelsatz umbenennen, um zu
verdeutlichen, dass sich eine Schlüsseleinstellung geändert hat.
Die Umbenennung könnte beispielsweise von Gateway Anti-Malware (Einstellungen und Regelsatz) in
Avira Anti-Malware (Einstellungen und Regelsatz) erfolgen.
Anstatt den Regelsatz und die Einstellungen umzubenennen, können Sie auch einen zusätzlichen
Regelsatz und zusätzliche Einstellungen erstellen, damit diese bei Bedarf zum Konfigurieren von
Regeln verfügbar sind.
Produkthandbuch
383
11
Web-Filterung
Einstellungen für Anti-Malware
Mit den Einstellungen für Anti-Malware können Sie konfigurieren, wie das Modul Anti-Malware Web-Objekte
auf Viren- oder andere Malware-Infektionen scannt.
Select Scanning Engines and Behavior (Scan-Module und Verhalten
auswählen)
Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall,
dass ein Modul eine Infektion erkennt
Die Scan-Module sind die Submodule, die zusammen als Modul Anti-Malware (Malware-Schutz)
Web-Objekte scannen.
Tabelle 11-4 Select Scanning Engines and Behavior (Scan-Module und Verhalten
auswählen)
Option
Definition
Full McAfee coverage: The recommended high-performance
configuration (Vollständiger McAfee-Schutz:
empfohlene Hochleistungskonfiguration)
Bei Auswahl dieser Option sind die McAfee
Gateway-Anti-Malware Engine und die
McAfee-Anti-Malware Engine aktiv.
Web-Objekte werden dann mit folgenden Methoden
gescannt:
Proaktive Methoden + Virussignaturen
Layered coverage: Full McAfee coverage plus specific Avira
engine features — minor performance impact
(Mehrstufiger Schutz: vollständiger
McAfee-Schutz plus bestimmte
Avira-Modulfunktionen – geringe
Leistungseinbußen)
Bei Auswahl dieser Option sind die McAfee Gateway
Anti-Malware Engine, die McAfee Anti-Malware
Engine und für einige Web-Objekte zusätzlich das
Avira-Modul (Drittanbieter) aktiv.
gescannt:
Proaktive Methoden + Virussignaturen +
Modulfunktionen eines Drittanbieters für einige
Web-Objekte
Duplicate coverage: Full McAfee coverage and Avira engine
— less performance and more false positives (Doppelter
Schutz: vollständiger McAfee-Schutz und
Avira-Modul – geringere Leistung und mehr
False-Positives)
Bei Auswahl dieser Option sind die McAfee Gateway
Anti-Malware Engine, die McAfee Anti-Malware
Engine und das Avira-Modul (Drittanbieter) aktiv.
gescannt:
Proaktive Methoden + Virussignaturen +
Modulfunktionen eines Drittanbieters
Avira only: Only uses Avira engine — not recommended
Bei Auswahl dieser Option ist nur das Avira-Modul
(Nur Avira: nur das Avira-Modul wird verwendet aktiv.
– nicht empfohlen)
gescannt:
Modulfunktionen eines Drittanbieters
Stop virus scanning right after an engine detected a virus
(Viren-Scan sofort nach Erkennung eines Virus
anhalten)
384
Bei Auswahl dieser Option wird das Scannen eines
Web-Objekts sofort angehalten, sobald ein Modul
eine Virus- oder andere Malware-Infektion erkannt
hat.
Produkthandbuch
Web-Filterung
11
Mobile Code Behavior (Verhalten von mobilem Code)
Einstellungen für das Konfigurieren einer Risikostufe bei der Klassifizierung von mobilem Code
Die Risikostufenwerte liegen im Bereich von 60 bis 100.
Ein niedriger Wert bedeutet ein geringes Risiko, dass bösartiger mobiler Code beim proaktiven Scan
nicht als Malware erkannt wird, weil sehr strenge Scan-Methoden angewendet werden. Mobiler Code
wird bereits dann als Malware klassifiziert, wenn nur einige wenige Kriterien für potenziell bösartiges
Verhalten erkannt wurden.
Dies kann jedoch dazu führen, dass mobiler Code, der nicht bösartig ist, fälschlicherweise als Malware
klassifiziert wird ("False-Positive").
Mit strengeren Einstellungen wird zwar eine höhere proaktive Sicherheit erzielt, die Bestimmung, ob
der mobile Code tatsächlich bösartig ist, ist jedoch weniger präzise. Daher werden möglicherweise
Web-Objekte von der Appliance blockiert, die eigentlich an die Benutzer weitergeleitet werden sollten.
Ein hoher Wert bedeutet ein hohes Risiko, dass bösartiger mobiler Code nicht erkannt wird (mehr
"False-Negatives"), die korrekte Klassifizierung von mobilem Code als bösartig ist jedoch präziser
(weniger "False-Positives").
Tabelle 11-5 Mobile Code Behavior (Verhalten von mobilem Code)
Option
Definition
Classification threshold
(Klassifizierungsschwellenwert)
Hier wird wie oben beschrieben eine Risikostufe auf
einer einstellbaren Skala festgelegt.
• Mindestwert (maximale Proaktivität): 60
• Höchstwert (maximale Genauigkeit): 100
Produkthandbuch
385
11
Web-Filterung
Erweiterte Einstellungen für alle Scan-Submodule
Option
Definition
Enable Antivirus prescan (Antiviren-Vorab-Scan
aktivieren)
Bei Auswahl dieser Option wird die Leistung der
Submodule verbessert, da weniger zu scannende
Daten an sie gesendet werden.
Increase Web Gateway performance by making a
light-weight pass on (Web Gateway-Leistung
erhöhen durch einfaches Scannen von):
• Common web files (Allgemeine Web-Dateien)
• Common web files and other low-risk files
(Allgemeine Web-Dateien und sonstige
Dateien mit geringem Risiko)
• Common web files, other low-risk files, and web content
on trustworthy sites (Allgemeine Web-Dateien,
sonstige Dateien mit geringem Risiko und
Web-Inhalt auf vertrauenswürdigen
Websites)
Diese Option ist standardmäßig ausgewählt. Es
empfiehlt sich, diese Einstellung beizubehalten.
Bei Auswahl dieser Option sind die drei darunter
befindlichen Optionen ebenfalls zugänglich.
Sie können eine davon auswählen, um die Arten von
Dateien zu konfigurieren, auf die der einfache
Malware-Scan angewendet werden soll.
Die dritte Option ist standardmäßig aktiviert.
Die drei Optionen beziehen sich aufeinander: Wenn
die erste Option konfiguriert ist, können die anderen
beiden Optionen nicht ausgewählt werden. Die zweite
Option schließt die erste Option ein, und die dritte
Option schließt die erste und die zweite Option ein.
Files matching the selected option do not continue to the
standard anti-malware scanning. (Für die der
ausgewählten Option entsprechenden Dateien
Darüber hinaus wird durch das Modul "URL Filter"
wird kein Standard-Malware-Scan
überprüft, ob die Website, von der eine Datei
durchgeführt.)
heruntergeladen wird, vertrauenswürdig ist.
Durch Aktualisierungen der Viren- und
Malware-Filterinformationen kann die
Kategorisierung der Dateitypen geändert werden,
z. B. in "sicher", "selten ausgenutzt" oder "auf
vertrauenswürdigen Websites gehostet".
386
Enable GTI file reputation queries
(GTI-Datei-Reputationsanfragen aktivieren)
Bei Auswahl dieser Option enthält das Scan-Ergebnis
auch Informationen über die Reputation der Dateien,
die aus dem Global Threat Intelligence-System
abgerufen werden.
Enable heuristic scanning (Heuristik-Scan
aktivieren)
Bei Auswahl dieser Option werden heuristische
Scan-Methoden auf Web-Objekte angewendet.
Produkthandbuch
Web-Filterung
11
Advanced Settings for McAfee Gateway Anti-Malware (Erweiterte
Einstellungen für McAfee Gateway Anti-Malware)
Erweiterte Einstellungen für das McAfee Gateway-Submodul "Anti-Malware"
Tabelle 11-7 Advanced Settings for McAfee Gateway Anti-Malware (Erweiterte
Einstellungen für McAfee Gateway Anti-Malware)
Option
Definition
Enable detection for potentially unwanted
programs (Erkennung potenziell
unerwünschter Programme aktivieren)
Bei Auswahl dieser Option werden Web-Objekte auch auf
potenziell unerwünschte Programme gescannt.
Enable mobile code scanning (Scan von
mobilem Code aktivieren)
Bei Auswahl dieser Option wird mobiler Code grundsätzlich
gescannt.
Individuelle Einstellungen können unter Scan the following
mobile code types (Folgende Arten von mobilem Code
scannen) konfiguriert werden.
Enable removal of disinfectable content detected in Bei Auswahl dieser Option kann der genannte Inhalt
HTML documents by mobile code filter
entfernt werden.
(Entfernung von desinfizierbarem Inhalt
aktivieren, der vom Filter für mobilen
Code in HTML-Dokumenten gefunden
wurde)
Scan the following mobile code types (Folgende
Arten von mobilem Code scannen)
Wenn die folgenden Arten von mobilem Code ausgewählt werden, werden sie gescannt.
Windows executables (Ausführbare
Windows-Dateien)
Wenn diese ausführbaren Dateien aus dem Internet
heruntergeladen oder per E-Mail empfangen und dann
gestartet werden, können sie zur Bedrohung werden, da sie
mit allen Berechtigungen des jeweiligen Benutzers
ausgeführt werden.
JavaScript
JavaScript-Code kann praktisch überall eingebettet werden,
beispielsweise in Webseiten, PDF-Dokumente, Video- und
HTML-Dateien.
Flash ActionScript
ActionScript-Code kann in Flash-Videos und Animationen
eingebettet werden und hat Zugriff auf den Flash-Player
und den Browser mit allen zugehörigen Funktionen.
Java applets (Java-Applets)
Java-Applets können in Webseiten eingebettet werden.
Nach der Aktivierung können sie mit verschiedenen
Berechtigungen ausgeführt werden. Die tatsächliche
Berechtigungsebene richtet sich nach dem digitalen
Zertifikat und den vom Benutzer ausgewählten Optionen.
Java applications (Java-Anwendungen)
Java-Anwendungen werden eigenständig mit allen
Berechtigungen des jeweiligen Benutzers ausgeführt.
ActiveX controls (ActiveX-Steuerelemente)
ActiveX-Steuerelemente können in Webseiten und
Office-Dokumente eingebettet werden. Nach der
Aktivierung werden sie mit allen Berechtigungen des
jeweiligen Benutzers ausgeführt.
Windows libraries (Windows-Bibliotheken)
Diese Bibliotheken sind normalerweise zusammen mit einer
ausführbaren Datei in einem Setup-Paket enthalten oder
werden von einer ausführbaren Datei bzw. bösartigem Code
aus dem Internet heruntergeladen.
Visual Basic script (Visual Basic-Skript)
Visual Basic-Skriptcode kann in Webseiten und E-Mails
eingebettet werden.
Produkthandbuch
387
11
Web-Filterung
Einstellungen für McAfee Gateway Anti-Malware) (Fortsetzung)
Option
Definition
Visual Basic for Applications
Visual Basic-Makros können in Office-Dokumente
eingebettet werden, die mit Word, Excel oder PowerPoint
erstellt wurden.
Block the following behavior (Folgendes
Verhalten blockieren)
Wenn die folgenden Verhaltenstypen ausgewählt werden, werden Web-Objekte blockiert, die
folgendes Verhalten zeigen.
Data theft: Backdoor (Datendiebstahl:
Backdoor)
Bösartige Anwendungen gewähren einem Angreifer durch
vorhandene oder neu erschaffene Netzwerkkanäle
vollständigen Remote-Zugriff und uneingeschränkte
Kontrolle über das System des Opfers.
Data theft: Keylogger (Datendiebstahl:
Keylogger)
Bösartige Anwendungen klinken sich ins Betriebssystem
ein, um die vorgenommenen Tastenanschläge
aufzuzeichnen und zu speichern.
Die erfassten Informationen, z. B. Kennwörter, werden dann
zurück an den Angreifer gesendet.
Data theft: Password stealer (Datendiebstahl:
Kennwort-Diebstahlprogramm)
Bösartige Anwendungen erfassen und speichern sensible
Daten, z. B. die Systemkonfiguration, vertrauliche Daten,
Anmeldeinformationen und sonstige
Benutzerauthentifizierungsdaten, und geben sie weiter.
System compromise: Code execution exploit
(Systemgefährdung:
Code-Ausführungs-Exploit)
Mit Exploits für Schwachstellen in Client-Anwendungen,
z. B. Browser, Office-Programme oder Multimedia-Player,
können Angreifer in angegriffenen Systemen beliebigen
Code ausführen.
System compromise: Browser exploit
(Systemgefährdung: Browser-Exploit)
Mit Exploits für Schwachstellen in Browser-Anwendungen
und Plug-Ins können Angreifer beliebigen Code ausführen,
vertrauliche Daten stehlen oder sich höhere Berechtigungen
verschaffen.
System compromise: Trojan
(Systemgefährdung: Trojaner)
Bösartige Anwendungen geben vor, harmlos oder nützlich
zu sein, führen tatsächlich aber schädliche Aktivitäten
durch.
Stealth activity: Rootkit
(Tarnungsaktivitäten: Rootkit)
Bösartige Anwendungen oder Gerätetreiber manipulieren
das Betriebssystem und verbergen vorhandene Malware auf
infizierten Systemen.
Nach dem erfolgreichen Angriff sind alle zu den
Malware-Prozessen gehörigen Dateien,
Registrierungsschlüssel und Netzwerkverbindungen nicht
mehr sichtbar und können u. U. nur mit hohem Aufwand
wiederhergestellt werden.
Viral Replication: Network worm (Virenartige
Replikation: Netzwerkwurm)
Bösartige Anwendungen oder Gerätetreiber replizieren sich
eigenständig mithilfe von E-Mails, dem Internet,
Peer-zu-Peer-Netzwerken oder indem sie sich selbst auf
Wechseldatenträger, wie z. B. USB-Geräte, kopieren.
Viral Replication: File infector virus (Virenartige Selbstreplizierende Anwendungen infizieren vorhandene
Replikation: Dateiinfizierungsvirus)
Dateien auf der Festplatte und betten Virencode ein, damit
er sich über die frisch infizierte Host-Datei ausbreitet.
System compromise: Trojan downloader
(Systemgefährdung:
Download-Trojaner)
388
Bösartige Anwendungen oder Skriptcode laden zusätzliche
Nutzlast aus dem Internet herunter und führen sie aus.
Produkthandbuch
Web-Filterung
11
Option
Definition
System compromise: Trojan dropper
(Systemgefährdung: Dropper-Trojaner)
Bösartige Anwendungen schleusen versteckte Nutzlast ein,
und extrahieren und starten sie bei der Ausführung.
System compromise: Trojan proxy
(Systemgefährdung:
Proxy-Server-Trojaner)
Bösartige Anwendungen lassen die Weiterleitung potenziell
bösartiger versteckter Netzwerkaktivitäten durch das
angegriffene System zu.
Web threats: Infected website
(Internet-Bedrohungen: infizierte
Websites)
Websites enthalten eingeschleusten bösartigen Skriptcode
oder fordern weiteren bösartigen Code an, sobald sie in
einem Browser geöffnet werden.
Die ursprüngliche Infektion kann beispielsweise durch
SQL-Injektion auf dem Web-Server erfolgt sein.
Stealth activity: Code injection
(Tarnungsaktivitäten:
Code-Einschleusung)
Anwendungen kopieren ihren Code in andere, oft legitime
Prozesse, wodurch sie deren Berechtigungen und
Vertrauenswürdigkeit übernehmen.
Diese Technik wird hauptsächlich von Malware angewendet,
deren Anwesenheit auf angegriffenen Systemen verborgen
werden soll, um die Erkennung zu verhindern.
Detection evasion: Obfuscated code
(Erkennungsumgehung: verschleierter
Code)
Anwendungen enthalten unleserlich gemachten oder
verschlüsselten Code, sodass bösartige Codeteile nur
schwer zu erkennen sind.
Detection evasion: Packed code
(Erkennungsumgehung: komprimierter
Code)
Anwendungen komprimieren ihren Inhalt mithilfe eines
Laufzeit-Komprimierungsprogramms oder eines
Schutzprogramms. Dadurch ändert sich das Aussehen des
Inhalts und er lässt sich schwieriger klassifizieren.
Potentially unwanted: Ad-/Spyware (Potenziell
unerwünscht: Ad-/Spyware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Potentially unwanted: Adware (Potenziell
unerwünscht: Adware)
Anwendungen zeigen potenziell lästige oder unerwünschte
Werbung, verfolgen und analysieren aber gleichzeitig das
Verhalten und die Aktivitäten des Benutzers.
Data theft: Spyware (Datendiebstahl:
Spyware)
Anwendungen verfolgen und analysieren das Verhalten und
die Aktivitäten des Benutzers, stehlen vertrauliche Daten
und geben diese Informationen an die Server des
Angreifers weiter.
Potentially unwanted: Dialer (Potenziell
unerwünscht: Dialer)
Anwendungen bieten Zugriff auf bestimmte Inhalte, z. B.
Pornografie, über eine teurere Netzwerkverbindung.
Web threats: Vulnerable ActiveX controls
(Internet-Bedrohungen: anfällige
ActiveX-Steuerelemente)
In Webseiten angezeigte ActiveX-Steuerelemente stellen
potenzielle Schwachstellen dar.
Potentially unwanted: Suspicious activity
(Potenziell unerwünscht: verdächtige
Aktivitäten)
Potenziell bösartiger Code zeigt entweder unübliches oder
nicht vertrauenswürdiges Verhalten.
Web threats: Cross-site scripting
(Internet-Bedrohungen:
Cross-Site-Scripting)
Bösartige Skripts nutzen Zugriffssteuerungsschwachstellen
in Browsern oder Web-Anwendungen aus, um
Benutzerdaten, wie z. B. Cookies, zu stehlen.
Potentially unwanted: Deceptive behavior
Hierzu gehören irreführende Meldungen, Meldungen über
(Potenziell unerwünscht: betrügerisches angeblich fehlenden Code und gefälschte Warnmeldungen.
Verhalten)
Solche Bedrohungen melden Benutzern beispielsweise, dass
das System mit Spyware infiziert ist, und bieten vorgebliche
Antiviren-Anwendungen zur Säuberung an.
Produkthandbuch
389
11
Web-Filterung
Option
Definition
Potentially unwanted: Redirector (Potenziell
unerwünscht: Umleitungsprogramm)
Umleitungscode leitet Benutzer von einer Website an
andere potenziell bösartige Websites weiter.
Dieses Verhalten wird häufig durch die Infektion einer
eigentlich seriösen Website verursacht.
Potentially unwanted: Direct kernel communication Anwendungen kommunizieren direkt mit einem
(Potenziell unerwünscht: direkte
Windows-Kernel oder im Kernel-Modus und versuchen
Kernel-Kommunikation)
dabei, beispielsweise ein Rootkit zu installieren oder das
System zu destabilisieren.
Potentially unwanted: Privacy violation
(Potenziell unerwünscht:
Datenschutzverletzung)
Potenziell bösartiger Code greift auf sensible oder private
Daten zu, sodass der Inhalt des Zwischenspeichers
ausgelesen werden kann oder Registrierungsschlüssel
gelesen werden können.
Advanced Settings for Avira (Erweiterte Einstellungen für Avira)
Erweiterte Einstellungen für das Avira-Submodul
Tabelle 11-8 Advanced Settings for Avira (Erweiterte Einstellungen für Avira)
Option
Definition
Maximum size of archive member
(Maximale Größe des
Archivelements)
Begrenzt die Größe (in MB) eines Archivelements, das vom
Avira-Modul auf Infektionen gescannt wird.
Wenn ein Archivelement diese Größe überschreitet, wird es nicht
gescannt, und das Archiv wird blockiert.
Die Standardgrößenbeschränkung beträgt 1024 MB.
Gateway Anti-Malware (Regelsatz)
Der Regelsatz „Gateway Anti-Malware“ ist der Standard-Regelsatz für die Viren- und
Malware-Filterung.
Standard-Regelsatz – Gateway Anti-Malware
Criteria – Always
Allow if user agent matches User Agent Whitelist
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft Header.Request.Get die Benutzer-Agent-Informationen,
die mit dem Header einer Anfrage gesendet werden.
Wenn der betreffende Benutzer-Agent in der angegebenen Whitelist enthalten ist, wird die
Verarbeitung des Regelsatzes beendet, sodass die Blockierungsregel am Ende des Regelsatzes nicht
verarbeitet wird.
Ein Parameter der Eigenschaft gibt an, dass beim Verarbeiten der Regel die
Benutzer-Agent-Informationen überprüft werden müssen.
390
Produkthandbuch
Web-Filterung
11
Diese Regel ist standardmäßig nicht aktiviert.
Wenn ausschließlich diese Regel für den Abgleich mit Whitelists verwendet wird, stellt dies ein
Sicherheitsproblem dar, da Clients normalerweise einen beliebigen bevorzugten Benutzer-Agent
festlegen können.
Allow URL host that matches in list Anti-Malware URL Whitelist
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob eine bestimmte URL mit einem der
Einträge in der angegebenen Whitelist übereinstimmt.
Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die Blockierungsregel am
Ende des Regelsatzes wird nicht verarbeitet.
Sie können mit dieser Regel Web-Datenverkehr von der Filterung ausschließen, wenn es sich bei den
Hosts der betreffenden URLs um bekannte Web-Server handelt, bei denen mit hinreichender
Sicherheit davon ausgegangen werden kann, dass diese keine Viren oder sonstige Malware
verbreiten.
Der Abgleich mit der Whitelist erhöht außerdem die Leistung, da die entsprechenden Web-Objekte
nicht gescannt werden müssen.
Remove partial content for HTTP requests
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR Connection.Protocol
equals “https”) –> Continue – Header.RemoveAll (“Range”)
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName und Connection.Protocol, ob der
aktuelle Verarbeitungszyklus der Anfragezyklus ist und ob eine Anfrage im HTTP-Modus oder im
HTTPS-Modus gesendet wurde.
Wenn dies der Fall ist, ändert das Ereignis Header.RemoveAll die Anfrage, indem die Angabe entfernt
wird, dass nur unvollständige Inhalte angefordert werden. Eine Anfrage für vollständige Inhalte wird
an den relevanten Web-Server weitergeleitet und schließlich von dort empfangen, sodass die
vollständigen Inhalte eines Web-Objekts auf der Appliance verarbeitet werden können.
So kann z. B. ein vollständiges Archiv geöffnet und auf Viren und sonstige Malware gescannt werden.
Bösartige Inhalte, die auf verschiedene Teile einer Datei verteilt sind, können durch Scannen der
kompletten Datei erkannt werden, während sie möglicherweise nicht bemerkt werden, wenn nur Teile
der Datei gescannt werden.
Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird.
Block partial content for FTP requests
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND Command.Categories
contains “Partial” –> Block<Partial Content Not Allowed>
Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName, Connection.Protocol und
Command.Categories, ob der aktuelle Verarbeitungszyklus der Anfragezyklus ist, ob die Anfrage im
FTP-Modus gesendet wurde und ob die für die FTP-Übertragung verwendete Befehlskategorie die
Zeichenfolge Partial enthält.
Dadurch kann Web Gateway eine FTP-Anfrage für unvollständige Inhalte erkennen und blockieren.
Im Gegensatz zu HTTP- oder HTTPS-Anfragen können FTP-Anfragen nicht so geändert werden, dass
sie eine Anfrage für vollständigen Inhalt darstellen. Wenn unvollständige Inhalte auf einer Appliance
zugelassen werden, bringt dies jedoch dieselben Sicherheitsprobleme mit sich, die bereits in den
Ausführungen zur Regel zum Blockieren von HTTP- und HTTPS-Anfragen erläutert wurden.
Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer
gesendet wird.
Start Media Stream Scanner on streaming media and skip anti-malware scanning
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection>
equals true –> Stop Rule Set – Enable Media Stream Scanner
Produkthandbuch
391
11
Web-Filterung
Die Regel überprüft mithilfe der Eigenschaft Cycle.Name, ob der Verarbeitungszyklus der
Antwortzyklus ist, und sie überprüft mithilfe der Eigenschaft StreamDetector.IsMediaStream, ob es
sich bei dem als Antwort an Web Gateway gesendeten Web-Objekt um Streaming-Medien handelt.
Wenn beides zutrifft, wird die Verarbeitung des Regelsatzes beendet, sodass die verbleibende Regel
nicht verarbeitet wird, und der Media Stream Scanner wird mit einem Ereignis gestartet.
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein bestimmtes Web-Objekt
mit einem Virus oder sonstiger Malware infiziert ist.
Beim Aufruf des Moduls „Anti-Malware“ zum Scannen des Objekts wird es mit den Gateway
Anti-Malware-Einstellungen ausgeführt, wie von der Eigenschaft angegeben. In diesen Einstellungen
wird vorgeschrieben, dass Web-Objekte mit allen drei Sub-Modulen des Moduls und deren
zugehörigen Methoden gescannt werden.
Wenn das Modul erkennt, dass ein Web-Objekt infiziert ist, wird die Verarbeitung aller Regeln
beendet, und das Objekt wird nicht weiter übergeben. Auf diese Weise ist der Zugriff darauf
blockiert.
In einem Anfragezyklus wird das infizierte Web-Objekt nicht an das Web übergeben. Im
Antwortzyklus und im Zyklus für eingebettete Objekte wird es nicht an den Benutzer übergeben, der
es angefragt hat.
Die Aktionseinstellungen geben an, dass eine Nachricht an den betreffenden Benutzer gesendet wird.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen.
Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte
an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die
Zählung durchführt.
Scannen des Mediendatenstroms
Medien-Datenströme können auf Web Gateway paketweise gescannt werden, sodass Benutzer
heruntergeladene Streaming-Medien schneller sehen und hören können, da sie nicht warten müssen,
bis der Stream vollständig gescannt wurde.
Diese Scan-Methode wird vom Media Stream Scanner durchgeführt, der vom McAfee Gateway
Anti-Malware-Modul bereitgestellt wird. Die Streaming-Medien werden gescannt und paketweise an
den Client übermittelt, der den Download angefragt hat. Wenn in einem Paket eine Infektion erkannt
wird, wird der Download angehalten, und dieses Paket und der Rest der Streaming-Medien werden
nicht übermittelt.
Der vom Media Stream Scanner durchgeführte Scan verwendet die proaktiven Funktionen des McAfee
Gateway Anti-Malware-Moduls. Das McAfee Anti-Malware-Modul und das Avira-Modul, die auch zum
Scannen der Web-Objekte auf Infektionen durch Viren und andere Malware konfiguriert werden
können, sind bei aktivem Media Stream Scanner nicht beteiligt.
Der Scanner wird durch ein Ereignis einer Regel im Gateway Anti-Malware-Regelsatz des
Standard-Regelsatzsystems gestartet. Die Regel wird angewendet, wenn das Stream Detector-Modul
feststellt, dass es sich bei einem als Reaktion auf eine Download-Anfrage auf Web Gateway
eingegangenes Web-Objekt um Streaming-Medien handelt.
Die Verarbeitung des Regelsatzes wird angehalten, und die verbleibende Regel im Regelsatz, die auch
Web-Objekte auf Infektionen durch Viren und andere Malware scannen lässt, wird nicht verarbeitet.
Wenn ein Web-Objekt vom Stream Detector nicht als Streaming-Medien erkannt wird, wird die Regel
nicht angewendet, die Verarbeitung wird mit der verbleibenden Regel fortgesetzt, und das Web-Objekt
wird entsprechend den für diese Regel konfigurierten Einstellungen gescannt.
392
Produkthandbuch
Web-Filterung
11
Warteschlange für Malware-Schutz
Um die Überlastung der Module zu vermeiden, die Web-Objekte auf Viren und andere Malware
scannen, werden Zugriffsanfragen für Web-Objekte vor der Verarbeitung in eine Warteschlange
verschoben.
Diese Warteschlange wird als Warteschlange für Malware-Schutz bezeichnet. Wenn die Appliance eine
Anfrage erhält, wird sie von einem funktionierenden Thread des Proxy-Moduls in diese Warteschlange
verschoben. Die Anfrage verbleibt dort solange, bis ein anderer Thread sie an einen Thread eines der
Scan-Module weiterleitet.
Auf gleiche Weise wird auch mit Antworten verfahren, die von Web-Servern stammen, an die Anfragen
weitergeleitet wurden.
Sowohl die Arbeits-Threads, die Anfragen und Antworten an die Scan-Module übermitteln, als auch die
von den Modulen zur Ausführung von Scan-Aktivitäten verwendeten Threads werden als
Anti-Malware-Arbeits-Threads oder einfach als Antiviren-Threads bezeichnet.
Beim Konfigurieren der Warteschlange für Malware-Schutz können Sie folgende Eigenschaften
festlegen:
•
Anzahl der verfügbaren funktionierenden Threads für Malware-Schutz
•
Kapazität der Warteschlange für Malware-Schutz
•
Maximale Verweildauer für Anfragen und Antworten in der Warteschlange
Das Verschieben von Anfragen und Antworten in die Anti-Malware-Warteschlange ist eine temporäre
Lösung zur Vermeidung von Lastspitzen. Bei ständiger Überlastung sollten andere Maßnahmen ergriffen
werden.
Konfigurieren der Malware-Schutz-Warteschlange
Sie können die Einstellungen der Malware-Schutz-Warteschlange so konfigurieren, dass eine
Überlastung der Scan-Module vermieden wird.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die
Malware-Schutz-Warteschlange konfigurieren möchten, und klicken Sie dann auf Anti-Malware
(Malware-Schutz).
Nun werden die Einstellungen für die Malware-Schutz-Warteschlange im Einstellungsbereich
angezeigt.
3
4
Systemeinstellungen für Anti-Malware (Malware-Schutz)
Mit den Systemeinstellungen für Anti-Malware (Malware-Schutz) kann die Anti-Malware-Warteschlange
Global Anti-Malware Settings (Globale Anti-Malware-Einstellungen)
Einstellungen der Warteschlange für Malware-Schutz
Produkthandbuch
393
11
Web-Filterung
URL-Filterung
Tabelle 11-9 Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz)
Option
Definition
Number of threads for AV scanning (Anzahl der
Threads für Antiviren-Scans)
Legt die Anzahl der auf der Appliance verfügbaren
funktionierenden Threads für Malware-Schutz fest.
Die hier von Ihnen festgelegte Anzahl gilt sowohl für die
Threads, die Anfragen und Antworten an die Threads der
Scan-Module weiterleiten, sowie für die Threads der
Scan-Module selbst.
Wenn Sie z. B. die Zahl 25 eingeben, stehen 25 Threads
zum Weiterleiten und noch einmal 25 Threads zum
Scannen zur Verfügung.
Use at least as many AV threads as the number of CPU Bei Auswahl dieser Option werden für die
cores available (Mindestens so viele
Scan-Aktivitäten mindestens so viele AV-Threads
verwendet, wie Prozessorkerne verfügbar sind.
AV-Threads wie Anzahl verfügbarer
Prozessorkerne verwenden)
Maximum number of jobs in the queue (Höchstanzahl
an Jobs in der Warteschlange)
Begrenzt die Anzahl der Anfragen und Antworten, die als
Jobs für die Scan-Module in die Warteschlange
verschoben werden dürfen.
Number of seconds a scanning job stays in the queue
before being removed (Anzahl der Sekunden, die ein
Scan-Job bis zum Entfernen in der Warteschlange
verbleiben darf)
Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf
eine Anfrage bzw. Antwort aus der Warteschlange für
Malware-Schutz entfernt wird, sofern sie nicht an ein
Scan-Modul weitergeleitet wurde.
URL-Filterung
Die URL-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Web-Objekte zugreifen
können, die als Risiko für die Web-Sicherheit angesehen werden oder aus anderen Gründen nicht
zulässig sind.
Der Filterungsprozess verwendet Blockierungslisten, Kategorieinformationen und Reputationsfaktoren
für die URLs der Web-Objekte und blockiert bzw. erlaubt den Zugriff entsprechend.
Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen.
394
•
Filterregeln steuern den Prozess.
•
Eine Whitelist und mehrere Blockierungslisten werden von Regeln verwendet, um einige
Web-Objekte die URL-Filterung überspringen zu lassen und andere zu blockieren.
•
Das Modul „URL Filter“, das von bestimmten Regeln aufgerufen wird, ruft Informationen zu
URL-Kategorien und Web-Reputationsfaktoren aus dem Global Threat Intelligence-Dienst ab.
Produkthandbuch
Web-Filterung
URL-Filterung
11
Ein Standardprozess zur URL-Filterung wird nach der Ersteinrichtung auf dem Web Gateway installiert.
Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien
anpassen.
Sie haben die folgenden Möglichkeiten zur Konfiguration der URL-Filterung:
•
Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den
Standard-Regelsatz URL filtering geklickt haben, können Sie Schlüsselelemente der
Standardregeln für den Filterungsvorgang anzeigen und konfigurieren.
•
entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und
Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln
erstellen oder Regeln löschen.
Filterregeln
Die Regeln, die den URL-Filterungsprozess steuern, befinden sich üblicherweise in einem einzelnen
URL-Filterungsregelsatz. Eine dieser Regeln besagt beispielsweise, dass der Zugriff auf eine URL
blockiert wird, wenn diese mit einem Eintrag in einer Blockierungsliste übereinstimmt.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
Eine Whitelisting-Regel stellt URLs von der Filterung frei, wenn diese mit Einträgen in der von der
Regel verwendeten Liste übereinstimmen. Diese Regel wird vor den Blockierungsregeln platziert und
verarbeitet. Wenn diese Regel gilt, werden die Blockierungsregeln übersprungen, und für die Objekte
der Whitelist erfolgt keine URL-Filterung.
Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur URL-Filterung enthalten.
Dieser heißt URL Filtering.
Whitelists und Blockierungslisten
Eine Whitelist wird von einer Whitelisting-Regel verwendet, um einige URLs die Blockierungsregel
überspringen zu lassen, es erfolgt also keine Filterung nach diesen URLs.
Da ein URL-Filterungsregelsatz nur die URL-Filterung steuert, sind im Gegensatz zur Virus- und
Malware-Filterung nicht mehrere Whitelists für mehrere Objekttypen erforderlich.
Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste
befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem
Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit
einer schlechten Reputation.
Da ein URL-Filterungsregelsatz nur für die URL-Filterung zuständig ist, werden im Gegensatz zur Virusund Malware-Filterung keine Whitelists für verschiedene Objekttypen benötigt.
Blockierungslisten werden von Regeln verwendet, um URLs entsprechend ihren Kategorien oder
aufgrund einer Übereinstimmung mit einem Eintrag in einer Liste zu blockieren. Jede der
Blockierungsregeln verwendet eine eigene Liste.
Produkthandbuch
395
11
Web-Filterung
URL-Filterung
Filtermodul
Das Modul „URL Filter“ wird auch als Engine „URL Filter“ bezeichnet. Es ruft Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem von McAfee bereitgestellten Global Threat
Intelligence™-Dienst ab. Auf Grundlage dieser Informationen blockieren Blockierungsregeln den Zugriff
auf URLs.
Verschiedene Technologien wie Link-Crawler, Sicherheitsforensik, Honeypot-Netzwerke, ausgereifte
Tools zur automatischen Bewertung und Kundenprotokolle werden zum Sammeln dieser Informationen
verwendet. Ein internationales mehrsprachiges Team aus McAfee-Web-Analysten wertet die
Informationen aus und gibt URLs unter bestimmten Kategorien in eine Datenbank ein.
Zum Sammeln von Informationen zur Reputation einer URL wird deren Verhalten auf einer weltweiten
Echtzeitgrundlage analysiert, z. B. wo eine URL im Internet sichtbar ist, ihr Domänenverhalten sowie
weitere Details.
Sie können Einstellungen für dieses Modul konfigurieren, damit es beispielsweise aus einer von Ihnen
bereitgestellten erweiterten Liste abgerufene Kategorieinformationen enthält oder eine DNS-Suche
nach URLs durchführt und die entsprechenden IP-Adresse in die Suche nach Kategorieinformationen
aufnimmt.
Konfigurieren von Schlüsselelementen für die URL-Filterung
Konfigurieren Sie Schlüsselelemente der Regeln für die URL-Filterung, um wichtige Teile des
Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen.
Vorgehensweise
1
2
Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich
angezeigt.
3
Konfigurieren Sie die Schlüsselelemente nach Bedarf.
4
Siehe auch
Schlüsselelemente für die URL-Filterung auf Seite 396
Schlüsselelemente für die URL-Filterung
Die Schlüsselelemente für die URL-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses.
Basic Filtering (Grundlegende Filterung)
Schlüsselelemente für das Durchführen der grundlegenden URL-Filterung
396
Produkthandbuch
Web-Filterung
URL-Filterung
11
Tabelle 11-10 Basic Filtering (Grundlegende Filterung)
Option
Definition
URL whitelist (URL-Whitelist)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie
die von einer Regel verwendete URL-Whitelist bearbeiten können.
URL blocklist (URL-Sperrliste)
die von einer Regel verwendete URL-Sperrliste bearbeiten können.
URL category blocklist
(Sperrliste für URL-Kategorien) die von einer Regel verwendete Sperrliste von URL-Kategorien bearbeiten
können.
SafeSearch
Schlüsselelemente für das Integrieren von SafeSearch in den URL-Filterungsprozess
Tabelle 11-11 SafeSearch
Option
Definition
Enable SafeSearch (SafeSearch
aktivieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die den
SafeSearch-Teil des URL-Filterungsprozesses steuert.
SafeSearch settings
(SafeSearch-Einstellungen)
Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem
Sie die Einstellungen für das Modul (auch als Engine bezeichnet)
„SafeSearch Enforcer“ bearbeiten können.
Dieses Modul behandelt die Integration von SafeSearch Enforcer in
den URL-Filterungsprozess von Web Gateway. Hierbei handelt es sich
um ein zusätzliches Produkt für die Web-Sicherheit.
GTI reputation (GTI-Reputation)
Schlüsselelement für das Bewerten von Reputationsfaktoren, die im Rahmen des
URL-Filterungsprozesses vom Global Threat Intelligence-Dienst abgerufen wurden
Tabelle 11-12 GTI reputation (GTI-Reputation)
Option
Definition
Block URLs with a High Risk
reputation (URLs mit hochriskanter
Reputation blockieren)
Bei Auswahl dieser Option wird eine Regel aktiviert, die URLs mit einem
Reputationsfaktor blockiert, der als hohes oder mittleres Risiko für die
Web-Sicherheit eingestuft wird.
Der Reputationsfaktor einer URL wird vom Global Threat
Intelligence-Dienst festgelegt, der von McAfee bereitgestellt wird. Er
wird von diesem Dienst durch das URL Filter-Modul abgerufen.
Uncategorized URLs (Nicht kategorisierte URLs)
Schlüsselelement für das Behandeln von URLs, die während des URL-Filterungsprozesses keiner
Kategorie zugeordnet werden konnten
Produkthandbuch
397
11
Web-Filterung
URL-Filterung
Tabelle 11-13 Uncategorized URLs (Nicht kategorisierte URLs)
Option
Definition
Uncategorized URLs (Nicht
kategorisierte URLs)
Wenn Sie Block (Blockieren) auswählen, wird eine Regel aktiviert, die
Anfragen für den Zugriff auf Web-Objekte mit URLs blockiert, die während
des URL-Filterungsprozesses nicht kategorisiert werden konnten.
Wenn Sie Allow (Zulassen) auswählen, wird von dieser Regel keine Aktion
ausgeführt. Bei der URL-Filterung wird mit der Verarbeitung der nächsten
Regel fortgefahren.
Konfigurieren der URL-Filterung mithilfe der vollständigen
Regelansicht
Sie können die URL-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks
anzupassen.
Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der
Regelansicht arbeiten.
Vorgehensweise
1
Prüfen Sie die Regeln im Regelsatz für die URL-Filterung.
Standardmäßig ist dies der Regelsatz URL Filtering.
2
Ändern Sie diese Regeln nach Bedarf.
•
Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren
•
Die von diesen Regeln verwendeten Listen bearbeiten
Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und
Sie Einträge hinzufügen müssen.
•
3
Einstellungen des URL Filter-Moduls ändern
Konfigurieren von Einstellungen für das Modul „URL Filter“
Sie können das Modul „URL Filter“ konfigurieren und ändern, auf welche Weise Informationen zu
URL-Kategorien und Reputationsfaktoren aus dem Global Threat Intelligence-System abgerufen
werden.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die URL-Filterung aus.
Im Standard-Regelsatzsystem sind Regelsätze für die URL-Filterung den Regelsätzen für die
Inhaltsfilterung untergeordnet.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Suchen Sie nach der Regel, die eine Blockierungsliste für Kategorien verwendet.
Hierbei handelt es sich standardmäßig um die Regel Block URLs whose category is in Category
BlockList.
398
Produkthandbuch
Web-Filterung
URL-Filterung
5
11
Dieser Name wird neben der Eigenschaft URL.Categories angezeigt. Standardmäßig lautet er
Default.
für das Modul „URL Filter“.
6
7
8
Siehe auch
URL-Filtereinstellungen auf Seite 399
URL-Filtereinstellungen
Die URL-Filtereinstellungen werden für das Konfigurieren der Art und Weise verwendet, auf die das
URL-Filtermodul Informationen aus dem Global Threat Intelligence-System abruft.
Extended List (erweiterte Liste)
Einstellungen für erweiterte Listen
Tabelle 11-14 Extended List (erweiterte Liste)
Option
Definition
Use the extended list (Erweiterte Liste
verwenden)
Zeigt eine Auswahlliste der erweiterten Listen an.
Add (Hinzufügen)
Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen
einer erweiterten Liste.
Edit (Bearbeiten)
Öffnet das Fenster Edit List (Extended List) (Liste bearbeiten,
erweiterte Liste) zur Bearbeitung der ausgewählten erweiterten
Liste.
Rating Settings (Bewertungseinstellungen)
Einstellungen für das Abrufen von auf Kategorien und Reputationsfaktoren basierenden
Bewertungsinformationen zu URLs
Tabelle 11-15 Rating Settings (Bewertungseinstellungen)
Option
Definition
Search the CGI parameters for rating
Bei Auswahl dieser Option werden CGI-Parameter nach
(CGI-Parameter nach Bewertungsinformationen Informationen durchsucht.
durchsuchen)
Durch CGI-Parameter (Common Gateway Interface) in einer
URL wird beim Zugriff auf diese URL der Start von Skripten
oder Programmen ausgelöst. Informationen über CGIs werden
bei der Kategorisierung von URLs einbezogen.
Search for and rate embedded URLs
(Eingebettete URLs suchen und bewerten)
Bei Auswahl dieser Option werden eingebettete URLs nach
Informationen durchsucht und bewertet.
Informationen über eingebettete URLs werden bei der
Kategorisierung der einbettenden URL einbezogen.
Die Suche nach eingebetteten URLs kann sich auf die
allgemeine Leistung auswirken.
Produkthandbuch
399
11
Web-Filterung
URL-Filterung
Tabelle 11-15 Rating Settings (Bewertungseinstellungen) (Fortsetzung)
Option
Definition
Do a forward DNS lookup to rate URLs
(DNS-Suche zur Bewertung von URLs
durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, eine DNS-Suche
durchgeführt.
Die IP-Adresse, nach der gesucht wurde, wird für eine weitere
Suche verwendet.
Do a backward DNS lookup for unrated
IP-based URLs (Umgekehrte DNS-Suche für
unbewertete IP-basierte URLs durchführen)
Bei Auswahl dieser Option wird für eine URL, zu der keine
relevanten Informationen gefunden wurden, basierend auf der
IP-Adresse der URL eine umgekehrte DNS-Suche durchgeführt.
Der Host-Name, nach dem gesucht wurde, wird für eine
weitere Suche verwendet.
Use the built-in keyword list (Integrierte
Schlüsselwortliste verwenden)
Bei Auswahl dieser Option wird die integrierte
Schlüsselwortliste in die Suche einbezogen.
Only use online GTI web reputation and
categorization services (Nur Online-Dienste für
GTI-Web-Reputation und Kategorisierung
verwenden)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren ausschließlich aus
dem Global Threat Intelligence-System abgerufen.
Use online GTI web reputation and
categorization services if local rating yields no
results (Online-Dienste für GTI-Web-Reputation
und Kategorisierung verwenden, wenn lokale
Bewertung keine Ergebnisse liefert)
Bei Auswahl dieser Option werden Informationen zu
URL-Kategorien und Reputationsfaktoren nur dann aus dem
Global Threat Intelligence-System abgerufen, wenn die Suche
in den internen Datenbanken keine Ergebnisse liefert.
Use default GTI server for web reputation and
categorization services (Standard-GTI-Server
für Web-Reputations- und
Kategorisierungsdienste verwenden)
Bei Auswahl dieser Option verbindet sich die Appliance mit
dem standardmäßigen Server, um vom Global Threat
Intelligence-System Informationen zu URL-Kategorien und
Reputationsfaktoren abzurufen.
• IP of the server (IP-Adresse des Servers): Gibt die IP-Adresse
des Servers an, über den die Verbindung mit dem Global
Threat Intelligence-System erfolgt, wenn nicht der
Standard-Server verwendet wird.
Format: <Domänenname> oder <IPv4-Adresse> oder
<einer IPv6-Adresse zugeordnete IPv4-Adresse>
Es können keine regulären IPv6-Adressen angegeben
werden.
• Port of the server (Port des Servers): Gibt die Nummer des Ports
auf diesem Server an, der den Eingang von Anfragen der
Appliance überwacht.
Zulässiger Bereich: 1–65535
Erweiterte Einstellungen für das URL-Filtermodul
400
Produkthandbuch
Web-Filterung
URL-Filterung
11
Option
Definition
Treat connection problems to the cloud as Bei Auswahl dieser Option werden Probleme mit der Verbindung
errors (Verbindungsprobleme mit Cloud
zwischen Appliance und Global Threat Intelligence-Server als
als Fehler behandeln)
Fehler protokolliert.
Es werden Eigenschaften für den Umgang mit diesen Fehlern
festgelegt und gegebenenfalls entsprechende Regeln eines
Regelsatzes für den Umgang mit Fehlern ausgeführt.
Do a backward DNS lookup also for private Bei Auswahl dieser Option werden private IP-Adressen in die
addresses (Umgekehrte DNS-Suche auch umgekehrte DNS-Suche einbezogen.
für private Adressen durchführen)
Wenn diese Adressen nicht in die Suche einbezogen werden, wirkt
sich dies positiv auf die Leistung bei der URL-Filterung aus.
Standardmäßig ist diese Option deaktiviert.
Die Suche umfasst folgende Adresstypen:
• IPv4
• private Adressen
• Zeroconf-Adressen
• IPv6
• lokale Link-Adressen
• lokale Website-Adressen
• eindeutige lokale Adressen
Konfigurationseinstellungen für einen Proxy, den die Appliance für die Verbindung mit dem Global
Threat Intelligence™-System verwenden kann
Tabelle 11-17 Proxy Settings (Proxy-Einstellungen)
Option
Definition
Use upstream proxy (Upstream-Proxy
verwenden)
Bei Auswahl dieser Option nutzt die Appliance einen Proxy für die
Verbindung mit dem Global Threat Intelligence-Server, auf dem
Suchen nach Informationen zu URL-Kategorien (auch als
Cloud-Suche bezeichnet) durch geführt werden können.
IP or name of the proxy (IP-Adresse oder
Name des Proxys)
Gibt die IP-Adresse oder den Host-Namen des Proxys an.
Port of the proxy (Port des Proxys)
Gibt die Nummer des Ports auf dem Proxy an, der den Eingang
von Suchanfragen der Appliance überwacht.
Gibt den Benutzernamen der Appliance für die Anmeldung am
Proxy an.
Password (Kennwort)
Legt ein Kennwort für die Appliance fest.
Set (Festlegen)
Öffnet ein Fenster zum Festlegen eines Kennworts.
Einstellungen für die Protokollierung der URL-Filteraktivitäten auf der Appliance
Produkthandbuch
401
11
Web-Filterung
URL-Filterung
Tabelle 11-18 Logging (Protokollierung)
Option
Definition
Enable logging
(Protokollierung
aktivieren)
Bei Auswahl dieser Option werden alle URL-Filteraktivitäten auf der Appliance
protokolliert.
Log level (Protokollebene)
Enthält eine Auswahlliste der verfügbaren Protokollebenen.
Wenn diese Option nicht ausgewählt ist, werden die folgenden
Protokollierungsoptionen abgeblendet.
Es sind folgende Ebenen vorhanden:
• 00 FATAL: Protokolliert nur schwere Fehler.
• 01 ERRORS: Protokolliert alle Fehler.
• 02 WARNING: Protokolliert Fehler und Warnungen.
• 03 INFO: Protokolliert Fehler, Warnungen und zusätzliche Informationen.
• 04 DEBUG1 ... 013 DEBUG9: Protokolliert Informationen, die für das
Debugging von URL-Filteraktivitäten erforderlich sind.
Die Menge der protokollierten Daten steigt von Ebene DEBUG1 bis Ebene
DEBUG9 kontinuierlich an.
• 14 TRACE: Protokolliert Informationen, die für die Verfolgung von
URL-Filteraktivitäten erforderlich sind.
• 15 ALL: Protokolliert alle URL-Filteraktivitäten
(Log area) (Zu
protokollierender
Bereich)
Enthält eine Reihe von Optionen zur Auswahl verschiedener Bereiche der
URL-Filteraktivitäten in die Protokollierung.
• LOG_AREA_ALL: Mit dieser Option werden alle URL-Filteraktivitäten
protokolliert.
• LOG_AREA_NETWORK: Mit dieser Option werden Aktivitäten hinsichtlich der für
die URL-Filterung verwendeten Netzwerkverbindungen protokolliert.
• LOG_AREA_DATABASE_SEARCH: Mit dieser Option werden Aktivitäten bezüglich
des für die URL-Filterung ausgeführten Datenabrufs aus der internen
Datenbank protokolliert.
• LOG_AREA_DNS: Mit dieser Option werden Aktivitäten bezüglich der für die
URL-Filterung durchgeführten DNS-Suche protokolliert.
• LOG_AREA_URL: Mit dieser Option werden Aktivitäten bezüglich des Umgangs
mit URLs protokolliert, z. B. das Analysieren von URLs,.
• LOG_AREA_CLOUD: Mit dieser Option werden Aktivitäten bezüglich des
Abrufens von Informationen aus dem Global Threat Intelligence-System
protokolliert.
Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten
in die Whitelist mithilfe von URL-Eigenschaften
URL-Eigenschaften wie URL, URL.Host, URL.Host.BelongsToDomains usw. können für Regelkriterien
verwendet werden, um Web-Objekte in die Whitelist aufzunehmen.
Wenn ein Objekt in der Whitelist enthalten ist, dürfen Benutzer darauf zugreifen, beispielsweise um
eine Webseite anzuzeigen oder eine Datei herunterzuladen. Die Regeln zur Aufnahme in die Whitelist
werden in die entsprechenden Regelsätze innerhalb des Regelsatz-Systems von Web Gateway
eingetragen. Üblicherweise beenden sie die weitere Verarbeitung von Regeln bezüglich der aktuellen
Zugriffsanfrage für ein Web-Objekt, damit dieser Zugriff nicht durch andere Regeln blockiert wird.
402
Produkthandbuch
Web-Filterung
URL-Filterung
11
Die Aufnahme in die Whitelist kann auf unterschiedliche Weise mit unterschiedlichen
URL-Eigenschaften erfolgen. Wenn der Zugriff auf ein einzelnes Web-Objekt erlaubt werden soll,
beispielsweise, wenn gewährleistet werden soll, dass die Benutzer eine bestimmte Datei herunterladen
können, verwenden Sie am besten die Eigenschaft URL in Kombination mit einer Liste, in der die
vollständige URL dieser Datei enthalten ist.
Anhand der folgenden Beispiele wird gezeigt, welche URL-Eigenschaften sich am besten für welche
Arten der Whitelist-Aufnahme eignen, und welche Schritte dafür erforderlich sind.
Außerdem werden einige Tipps und Beispiele zu folgenden Aspekten vorgestellt:
•
Werte, auf die unterschiedliche URLs eingestellt werden, wenn eine Beispiel-URL verarbeitet wird,
die im Rahmen einer Anfrage für den Web-Zugriff an Web Gateway gesendet wurde
•
Verwendung der beiden Operatoren is in list und matches in list in den Kriterien einer Regel
•
Geeignete und ungeeignete Einträge in den Listen, die mit unterschiedlichen URL-Eigenschaften
verwendet werden
Aufnahme einzelner Web-Objekte in die Whitelist – URL
Ziel
Benutzern den Zugriff auf einzelne Web-Objekte gestatten.
Beispiel: Download der Datei Stinger.exe, auf die unter der URL http://
download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe zugegriffen
werden kann.
Erforderliche
Schritte
Setzen Sie in den Kriterien einer Regel die Zeichenfolgeneigenschaft URL mit
einer Liste vollständiger URLs ein.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL is in list URLWhiteList –> Stop Rule Set
Wenn Sie die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe in die Liste
URLWhiteList eintragen, wird die Datei Stinger.exe bei der Verarbeitung der Regel in die Whitelist
aufgenommen.
Auf ähnliche Weise können Sie den Zugriff auf die Datei auch blockieren, und zwar mit der
folgenden Regel aus dem standardmäßigen Regelsatz zur URL-Filterung:
URL matches in list URLBlockList –> Block
Wenn Sie die betreffende URL in die Liste URLBlockList eintragen, wird die Datei bei
Verarbeitung der Regel blockiert.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Web-Objekte in die Whitelist verwendet werden.
Sollen jedoch alle Web-Objekte eines bestimmten Hosts in die Whitelist aufgenommen werden, kann
dies mithilfe der Eigenschaft URL.Host auf unkompliziertere Weise erreicht werden.
Produkthandbuch
403
11
Web-Filterung
URL-Filterung
Aufnahme von Hosts in die Whitelist – URL.Host
Ziel
Benutzern den Zugriff auf die von bestimmten Hosts bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei,
die vom Host download.mcafee.com bereitgestellt wird.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die Zeichenfolgen-Eigenschaft
URL.Host mit einer Liste der Host-Namen.
Eine Regel, in der die Eigenschaft URL.Host verwendet wird, könnte z. B. so konfiguriert sein:
URL.Host is in list HostWhiteList –> Stop Rule Set
Wenn Sie den Host download.mcafee.com in die Liste HostWhiteList eintragen, werden alle von diesem
Host bereitgestellten Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der
Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft
kann anschließend auch für die Aufnahme mehrerer Hosts in die Whitelist verwendet werden.
Sollen jedoch alle Hosts einer bestimmten Domäne in die Whitelist aufgenommen werden, kann dies
mithilfe der Eigenschaft URL.Host.BelongsToDomains auf unkompliziertere Weise erreicht werden.
Aufnahme von Domänen in die Whitelist – URL.Host.BelongsToDomains
Ziel
Benutzern den Zugriff auf die auf bestimmten Domänen bereitgestellten
Web-Objekte erlauben.
Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei, die
vom Host download.mcafee.com bereitgestellt wird, bzw. jeder anderen
herunterladbaren Datei beliebiger anderer Hosts auf der Domäne mcafee.com.
Erforderliche
Schritte
Verwenden Sie in den Kriterien einer Regel die boolesche Eigenschaft
URL.Host:BelongsToDomains mit einer Liste der Domänennamen.
Die entsprechende Regel könnte z. B. so konfiguriert sein:
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
Wenn Sie die Domäne mcafee.com in die Liste Domain List eintragen, werden alle auf dieser Domäne
verfügbaren Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen.
Die Liste Domain List ist als Parameter der Eigenschaft URL.Host:BelongsToDomains konfiguriert.
Diese Eigenschaft ist vom Typ „Boolean“.
Wenn beispielsweise die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe
verarbeitet wird, richtet sich der Wert der Eigenschaft (true oder false) danach, ob sich die Domäne
mcafee.com in die Liste Domain List befindet.
Das folgende Beispiel zeigt, welche Einträge in der Liste Domain List zu einer Übereinstimmung
führen, wenn diese Eigenschaft für die Whitelist-Aufnahme verwendet wird:
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
404
Produkthandbuch
Web-Filterung
URL-Filterung
11
Das Kriterium:
URL.Host.BelongsToDomains("Domain List") equals true
ergibt dann Übereinstimmungen für folgende URLs:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
jedoch nicht für diese URLs:
https://www.mymcafee.com
http://www.treasury.ga.us
http://malicioustwitter.com
Durch Verwendung der Eigenschaft URL.Host.BelongsToDomains kann außerdem das Erstellen
komplizierterer Lösungen für eine im Endeffekt gleiche Zielsetzung vermieden werden, z. B.:
•
Verwenden von zwei Einträgen in einer Liste von Platzhalterausdrücken, wie z. B.:
twitter.com
*twitter.com
•
Nutzung eines einzelnen komplexen Eintrags in einer Liste mit Platzhalterausdrücken, wie z. B.:
regex((.*\.|.?)twitter\.com)
Eigenschaftswerte von Beispiel-URLs
Beim Verarbeiten der Beispiel-URL http://www.mcafee.com/us/products/web-gateway.aspx werden
für die aufgeführten URL-Eigenschaften die jeweils nebenstehenden Werte eingestellt.
Eigenschaft
Wert für die Beispiel-URL
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true oder false
In der als Parameter dieser Eigenschaft konfigurierten Liste müsste
für die Domäne folgendes eingetragen werden: mcafee.com.
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
Verwendung von Operatoren für unterschiedliche Übereinstimmungsarten
Es besteht ein grundlegender Unterschied zwischen der Verwendung des Operators is in list und des
Operators matches in list innerhalb der Kriterien einer Regel.
Produkthandbuch
405
11
Web-Filterung
URL-Filterung
Operator
Beschreibung
is in list
Erfordert eine exakte Übereinstimmung der Zeichenfolgen.
Wenn in einem Listeneintrag Platzhalterzeichen vorhanden sind, werden diese als
Literale interpretiert.
matches in list Lässt Platzhalter in Listeneinträgen zu und wertet diese aus.
Geeignete und ungeeignete Einträge in Listen für URL-Eigenschaften
Einträge in den von unterschiedlichen URL-Eigenschaften genutzten Listen können geeignet und
ungeeignet sein, je nachdem, wie sinnvoll sie für den Verwendungszweck einer Eigenschaft sind. Im
Folgenden sind Beispiele für geeignete und ungeeignete Listeneinträge aufgeführt.
URL-Eigenschaft
Geeignete und ungeeignete Listeneinträge
URL mit Operator is in list
Geeignet
http://www.mcafee.com/us/products/web-gateway.aspx
Es wird, wie für diese Eigenschaft erforderlich, die vollständige URL
eingegeben. Es sind keine Platzhalter angegeben, da diese bei
Verwendung des Operators is in list nicht ausgewertet werden.
Ungeeignet
www.mcafee.com/us/products/web-gateway.aspx
Im Eintrag ist nicht die vollständige URL angegeben, da die
Information bezüglich des Protokolls (http://) fehlt.
URL mit Operator matches in Geeignet
list
http://www.mcafee.com/*
Dieser Eintrag enthält einen Platzhalter, um den Zugriff auf alle
vom Host www.mcafee.com bereitgestellten Web-Objekte
zuzulassen. Bei Verwendung des Operators matches in list ist dies
eine passende Angabe.
Dieser Eintrag ergibt für http://mcafee.com/ keine
Übereinstimmung.
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
Dieser Eintrag ist komplexer, da hier reguläre Ausdrücke verwendet
werden. Bei der Übereinstimmungsprüfung erlaubt er sowohl unter
dem Protokoll HTTP- als auch unter HTTPS Zugriff auf alle
Web-Objekte unter der Domäne mcafee.com sowie unter deren
untergeordneten Domänen.
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?))
Dieser Eintrag ist grundsätzlich mit dem vorhergehenden identisch,
zeigt jedoch, wie auch andere Top-Level-Domänen wie .com
oder .co.us in die Whitelist aufgenommen werden können.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise zu einer Übereinstimmung mit der URL
http://malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com.
406
Produkthandbuch
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator is in
list
Geeignet
11
www.mcafee.com
Es wird ein Host-Name eingegeben, was für den
Verwendungszweck dieser Eigenschaft sinnvoll ist. Da der Operator
is in list verwendet wird, ist es ebenfalls sinnvoll, dass keine
Platzhalter angegeben sind.
Ungeeignet
mcafee.com
Der Eintrag selbst gibt einen Domänennamen an (mcafee.com),
während der Wert der Eigenschaft ein Host-Name ist
(www.mcafee.com, wenn z. B. die URL http://
www.mcafee.com/us/products/web-gateway.aspx verarbeitet
wird).
Auf diese Weise werden keinerlei Übereinstimmungen gefunden
werden.
*.mcafee.com
Der Eintrag enthält einen Platzhalter, der jedoch bei Verwendung
des Operators is in list nicht ausgewertet wird.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
Außerdem ist ein Platzhalter angegeben, der bei Verwendung des
Operators is in list überhaupt nicht ausgewertet wird.
Produkthandbuch
407
11
Web-Filterung
URL-Filterung
URL-Eigenschaft
URL.Host mit Operator
matches in list
Geeignet
*.mcafee.com
Der Eintrag erbringt Übereinstimmungen für jeden beliebigen Host
unter der Domäne mcafee.com, jedoch nicht für mcafee.com
selbst.
regex((.*\.|\.?)mcafee.com)
Bei diesem Eintrag werden mithilfe regulärer Ausdrücke die
Domäne mcafee.com sowie alle darin enthaltenen Hosts in die
Whitelist aufgenommen.
Ungeeignet
*.mcafee.com*
Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen
kommen, beispielsweise mit http://
www.mcafee.com .malicious-download-site.cc/.
*.mcafee.com/us*
Der Eintrag enthält Pfadinformationen (/us), die nicht zum
Verwendungszweck der Eigenschaft passen.
URL.HostBelongsToDomains
Geeignet
mcafee.com wurde in die Liste Domain List eingegeben, die als
Parameter der Eigenschaft konfiguriert ist.
Der Eintrag ergibt Übereinstimmungen mit der Domäne
mcafee.com sowie mit allen darin enthaltenen Hosts, z. B.
www.mcafee.com oder secure.mcafee.com.
www.mcafee.com
Der Eintrag gibt zwar keine konkrete Domäne an, ist jedoch gültig.
Hierbei wird ausschließlich der Host www.mcafee.com in die
Whitelist aufgenommen.
Dieses Ziel kann ebenfalls durch Hinzufügen des Eintrags
zu einer Liste für die Eigenschaft URL.Host erreicht
werden, wenn diese in Kombination mit dem Operator is in
list verwendet wird.
Ungeeignet
*.mcafee.com
Der Eintrag enthält einen Platzhalter, was nicht zum
Verwendungszweck der Eigenschaft passt.
Diese Eigenschaft ist dafür vorgesehen, um den aufwändigen
Einsatz von Platzhaltern in Listeneinträgen zu vermeiden. Hier ist
eine exakte Übereinstimmung mit einem Domänennamen
erforderlich, z. B. eine Übereinstimmung mit mcafee.com.
URL Filtering (Regelsatz)
Der Regelsatz „URL Filtering“ ist der Standard-Regelsatz für die URL-Filterung.
Standard-Regelsatz – URL Filtering
Criteria – Always
Cycles – Requests (and IM), responses, embedded objects
408
Produkthandbuch
Web-Filterung
URL-Filterung
11
Allow URLs that match in URL WhiteList
URL matches in list URLWhiteList –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Whitelist vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die
auf die Whitelist-Regel folgenden Blockierungsregeln werden nicht verarbeitet.
Mithilfe dieser Regel können Sie URLs von der Filterung ausnehmen und dadurch gewährleisten, dass
sie für die Benutzer des Netzwerks verfügbar sind und nicht von einer der nachfolgenden
Blockierungsregeln blockiert werden. Der Abgleich mit der Whitelist erhöht außerdem die Leistung,
da zu den jeweiligen URLs nicht erst Informationen abgerufen werden müssen.
Block URLs that match in URL BlockList
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<Default>
Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen
Blockierungsliste vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung aller Regeln beendet, und
die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise
ist der Zugriff auf den Web-Server blockiert.
In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber
erhält.
Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und
Malware-Infektionen. Die Ereignisparameter geben den zu erhöhenden Zähler und die
entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls
„Statistics“ angegeben, das die Zählung durchführt.
Enable SafeSearchEnforcer
Always –> Continue — Enable SafeSearchEnforcer<Default>
Die Regel aktiviert SafeSearchEnforcer. Dies ist ein zusätzliches Modul zum Filtern des Zugriffs auf
Websites mit nicht jugendfreien Inhalten.
Die Aktivierung erfolgt durch Ausführen eines Ereignisses. Die Einstellungen des Moduls werden mit
dem Ereignis bestimmt.
Anschließend wird die Verarbeitung mit der nächsten Regel fortgesetzt.
Allow uncategorized URLs
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
Die Regel überprüft mithilfe der Eigenschaft List.OfCategory.IsEmpty (diese hat die Eigenschaft
„URL.Categories“ als Parameter), ob die Kategorienliste zur Kategorisierung einer URL leer ist. Dies
würde heißen, dass die URL nicht kategorisiert ist, da sie keiner vorhandenen Kategorie zugeordnet
werden konnte. Die Angabe der Eigenschaft „URL.Categories“ als Parameter gewährleistet, dass eine
bestimmte Kategorienliste überprüft wird. Hierbei handelt es sich um die Liste, die den Wert dieser
Eigenschaft darstellt.
Damit dem Wert der Eigenschaft „URL.Categories“ eine Kategorienliste zugeordnet werden kann,
wird das Modul „URL Filter“ aufgerufen, das diese Liste vom Global Threat Intelligence-System
abruft. Das Modul wird mit den festgelegten Standardeinstellungen ausgeführt.
Wenn eine URL nicht kategorisiert ist, wird die Verarbeitung des Regelsatzes beendet, und die auf
diese Regel folgenden Blockierungsregeln werden nicht verarbeitet. Die Anfrage für die URL wird an
den entsprechenden Web-Server weitergeleitet, und dem Benutzer wird der Zugriff auf das durch
Übermitteln der URL angefragte Web-Objekt erlaubt, sofern der Zugriff auf die URL nicht im
Antwortzyklus bzw. im Zyklus für eingebettete Objekte blockiert wird.
Block URLs whose category is in URL Category BlockList
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
Produkthandbuch
409
11
Web-Filterung
URL-Filterung
Die Regel überprüft mithilfe der Eigenschaft URL.Categories, ob eine der Kategorien, zu der eine
bestimmte URL gehört, auf der angegebenen Blockierungsliste vorhanden ist. Das für den
Informationsabruf zu diesen Kategorien aufgerufene Modul „URL Filter“ wird mit den
Standardeinstellungen ausgeführt, die in der Eigenschaft angegeben sind.
Wenn eine der Kategorien der URL in der Liste vorhanden ist, wird die Verarbeitung aller Regeln
beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf
diese Weise ist der Zugriff auf den Web-Server blockiert.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
Block URLs with bad reputation
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment (“
BlockedByURLFilter”,1)<default>
Die Regel überprüft mithilfe der Eigenschaft URL.IsHighRisk, ob eine URL eine Reputation hat,
aufgrund der ein Zugriff darauf sehr risikoreich erscheint. Wenn der Wert dieser Eigenschaft „true“
(wahr) ist, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht
an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server
blockiert.
Der Reputationsfaktor wird vom Modul „URL Filter“ abgerufen, das mit den gemäß der Eigenschaft
festgelegten Einstellungen ausgeführt wird.
Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über
die Blockierung informiert wird.
Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung
in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für
einzelne URLs.
URL-Filterung mit Dynamic Content Classifier
URLs können für die Filterung mit Dynamic Content Classifier kategorisiert werden.
Dynamic Content Classifier (DCC) ist neben der lokalen Datenbank und Global Threat Intelligence eine
weitere Quelle für Kategorisierungsinformationen hinsichtlich URLs.
Sie können konfigurieren, dass Dynamic Content Classifier genutzt wird, wenn Suchanfragen nach
URL-Kategorien bei den anderen beiden Quellen kein Ergebnis liefern.
Konfigurieren von Dynamic Content Classifier
Sie können konfigurieren, dass Dynamic Content Classifier zum Erkennen von URL-Kategorien
verwendet wird, wenn andere Erkennungsmethoden keine Ergebnisse liefern.
Vorgehensweise
1
2
Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz mit Regeln für die URL-Filterung aus.
Im Standard-Regelsatzsystem ist dies z. B. der Regelsatz URL Filtering.
Die Regeln werden im Einstellungsbereich angezeigt.
3
4
Wählen Sie die Regel zum Verarbeiten von URL-Kategorien aus, für die die Verwendung von
Dynamic Content Classifier konfiguriert werden soll.
Im Regelsatz „URL Filtering“ ist dies z. B. die Regel Block URLs whose category is in Category BlockList.
410
Produkthandbuch
Web-Filterung
URL-Filterung
5
11
Klicken Sie auf die Einstellungen des URL Filter-Moduls in den Regelkriterien.
In der Beispielregel sind dies die Einstellungen für Default (Standard) im Kriterium URL.Categories
<Default> at least one in list Category BlockList.
des URL Filter-Moduls.
6
Vergewissern Sie sich, dass unter Rating Settings (Bewertungseinstellungen) die Option Enable the
Dynamic Content Classifier if GTI web categorization yields no results (Dynamic Content Classifier aktivieren, wenn
GTI-Web-Kategorisierung keine Ergebnisse liefert) ausgewählt ist.
7
[Optional] Bearbeiten Sie die Liste der URL-Kategorien, die von Dynamic Content Classifier erkannt
werden sollen.
a
Klicken Sie über der Liste Categories that will be dynamically detected (Dynamisch erkannte Kategorien)
auf das Symbol Edit (Bearbeiten).
Daraufhin öffnet sich das Fenster Edit (Bearbeiten).
b
Erweitern Sie unter DCC category (DCC-Kategorie) den Ordner Supported Categories (Unterstützte
Kategorien).
c
Aktivieren und deaktivieren Sie URL-Kategorien nach Bedarf.
d
Klicken Sie auf OK.
Das Fenster Edit (Bearbeiten) wird nun geschlossen, und die ausgewählten Kategorien werden in
der Liste angezeigt.
Sie können eine URL-Kategorie aus der Liste entfernen, indem Sie auf das Symbol Delete
(Löschen) klicken und den Vorgang im angezeigten Fenster bestätigen.
8
9
Dynamic Content Classifier wird nun an der Überprüfung beteiligt, ob eine in einer Anfrage für
Web-Zugriff gesendete URL in eine der konfigurierten URL-Kategorien fällt.
Verwenden einer eigenen URL-Filter-Datenbank
Die URL-Filterung kann unter Verwendung von Informationen durchgeführt werden, die aus einer Ihrer
eigenen Datenbanken abgerufen werden.
Die URL-Filterung auf einer Web Gateway-Appliance verwendet Informationen über die Kategorien, in
die URLs fallen, und die Web-Reputationsfaktoren, die ihnen zugeordnet sind. Diese Informationen
werden aus der lokalen URL-Filterdatenbank, dem Global Threat Intelligence-System oder dem
Dynamic Content Classifier abgerufen, abhängig davon, wie die Einstellungen des Moduls für die
URL-Filterung konfiguriert sind.
Die Informationen in der lokalen Datenbank resultieren aus dem dortigen Speichern von Kategorien
und Web-Reputationsfaktoren, nachdem diese durch das Global Threat Intelligence-System für
bestimmte URLs ermittelt wurden. Wenn eine Suche in der lokalen Datenbank keine Treffer ergibt,
können zusätzlich die beiden anderen Informationsquellen verwendet werden.
Anstelle der lokalen Datenbank können Sie eine eigene Datenbank verwenden, in der Informationen
zu Kategorien und Web-Reputationsfaktoren enthalten sind. Um die lokale Datenbank zu ersetzen,
müssen Sie beim Konfigurieren der Einstellungen für die zentrale Verwaltung die URL des Servers
angeben, auf dem sich Ihre Datenbank befindet.
Produkthandbuch
411
11
Web-Filterung
URL-Filterung
Sie können sowohl Ihre eigene Datenbank als Quelle verwenden, die zuerst zum Abrufen von
URL-Filterinformationen durchsucht wird, als auch die beiden anderen Quellen deaktivieren und den
Filterungsprozess auf die Verwendung der in Ihrer Datenbank gespeicherten Informationen
beschränken.
Konfigurieren der Verwendung einer eigenen URL-Filter-Datenbank
Wenn Sie URL-Filterinformationen aus einer eigenen Datenbank abrufen möchten, konfigurieren Sie
die Verwendung dieser Datenbank im Rahmen der Einstellungen für die zentrale Verwaltung.
Vorgehensweise
1
2
Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die die Informationen aus Ihrer
Datenbank verwenden soll, und klicken Sie auf Central Management (Zentrale Verwaltung).
3
Führen Sie einen Bildlauf nach unten zu Advanced Update Settings (Erweiterte
Aktualisierungseinstellungen) aus.
4
Geben Sie im Feld Enter a special custom parameter for an update server (Speziellen benutzerdefinierten
Parameter für einen Aktualisierungs-Server eingeben) die URL des Servers ein, auf dem sich Ihre
Datenbank befindet.
5
Wenn URLs mithilfe von Datenbankinformationen auf der Appliance gefiltert werden, werden diese
nicht aus der lokalen Datenbank, sondern aus Ihrer eigenen Datenbank abgerufen.
Sie können zudem andere Quellen von URL-Filterinformationen deaktivieren, um den Filtervorgang auf
die in der eigenen Datenbank gespeicherten Informationen zu beschränken.
Beschränken der URL-Filterung auf die Verwendung von
Datenbankinformationen
Wenn nur Datenbankinformationen für die URL-Filterung verwendet werden sollen, deaktivieren Sie die
Verwendung des Global Threat Intelligence-Systems und des Dynamic Content Classifier.
Wenn Sie die Verwendung einer eigenen URL-Filter-Datenbank konfiguriert haben, werden
Filterinformationen ausschließlich aus dieser Datenbank abgerufen.
Vorgehensweise
1
2
Wählen Sie unter Engines | URL Filter (Module | URL-Filter) die URL-Filter-Einstellungen aus, für die
Informationsquellen deaktiviert werden sollen.
3
Deaktivieren Sie unter Rating Settings (Bewertungseinstellungen) nacheinander die folgenden beiden
Kontrollkästchen:
4
412
•
Enable the Dynamic Content Classifier if GTI web categorization yields no result (Dynamic Content Classifier aktivieren,
wenn GTI-Web-Kategorisierung kein Ergebnis liefert)
•
Use online GTI web reputation and categorization services if local rating yields no result (Online-Dienste für
GTI-Web-Reputation und Kategorisierung verwenden, wenn lokale Bewertung kein Ergebnis liefert)
Produkthandbuch
Web-Filterung
URL-Filterung
11
URL-Filterung mithilfe eines IFP-Proxys
Die URL-Filterung kann für Web-Zugriffsanfragen durchgeführt werden, die unter dem IFP-Protokoll
übermittelt werden.
Zum Anwenden der URL-Filterung auf Anfragen dieser Art sind folgende Schritte erforderlich:
•
Einrichten eines IFP-Proxys
•
Implementieren geeigneter Filterregeln
Filteraktivitäten für IFP-Anfragen werden im Dashboard der Benutzeroberfläche angezeigt. Für diese
Aktivitäten kann auch eine Verbindungsverfolgung durchgeführt werden.
Einrichten eines IFP-Proxys
Für die Verarbeitung und das Filtern von Web-Zugriffsanfragen, die Benutzer von ihren
Client-Systemen aus unter dem IFP-Protokoll stellen, müssen die Proxy-Funktionen der Appliance
entsprechend konfiguriert werden. Es muss ein IFP-Proxy eingerichtet werden, der diese Anfragen
abfängt und sie für die URL-Filterung bereitstellt.
Für das Einrichten des Proxys müssen Sie auf der Benutzeroberfläche unter Configuration | Proxies
(Konfiguration | Proxys) verschiedene Einstellungen festlegen. Diese Einstellungen umfassen:
•
Aktivieren bzw. Deaktivieren des Proxys
•
Liste der Proxy-Ports mit folgenden Angaben für jeden Proxy:
•
•
IP-Adresse und Port-Nummer
•
Meldungsmodus (zur Angabe, ob eine Blockierungsmeldung als umgeleitete oder als normale
Meldung unter dem IFP-Protokoll gesendet wurde)
Höchstanzahl gleichzeitiger IFP-Anfragen
Mit dieser Einstellung können Sie die Überlastung des IFP-Proxys verhindern.
Regeln für das Filtern von IFP-Anfragen
Für das Steuern des Filtervorgangs für IFP-Anfragen steht kein standardmäßiger bzw.
Bibliotheks-Regelsatz zur Verfügung. Sie können jedoch selbst einen Regelsatz erstellen und die
IFP-Proxy-Funktionen auch in vorhandenen Regelsätzen verwenden.
Beim Erstellen eines Regelsatzes zur Filterung von IFP-Anfragen müssen Sie die Nutzung des
IFP-Protokolls als Regelsatzkriterium festlegen, damit der Regelsatz grundsätzlich auf Anfragen, die
unter diesem Protokoll gestellt werden, angewendet wird. Dies erreichen Sie, indem Sie die
Eigenschaft Connection.Protocol zu den Kriterien hinzufügen und das IFP-Protokoll als Operanden
konfigurieren.
Da das IFP-Protokoll nur Anfragen abdeckt, können Sie die Filterung von Antworten und eingebetteten
Objekten als Aktivitäten, auf die der Regelsatz angewendet werden soll, ausschließen.
Die im Regelsatz enthaltenen Regeln können die gleichen wie im Standard-Regelsatz „URL Filtering“
sein.
Wenn die URL-Filterung nur für über das IFP-Protokoll gesendete Anfragen durchgeführt werden soll,
sollten Sie den Standard-Regelsatz „URL Filtering“ löschen und ausschließlich den auf hier
beschriebenem Wege erstellten Regelsatz zur IFP-Filterung anzuwenden.
Die Nutzung der IFP-Proxy-Funktionen in bestehenden Regelsätzen kann beispielsweise dann eine
Option sein, wenn bereits Authentifizierungsvorgänge für Anfragen unter verschiedenen anderen
Protokollen implementiert sind und Sie die Authentifizierung für IFP-Anfragen hinzufügen möchten.
Produkthandbuch
413
11
Web-Filterung
URL-Filterung
Der Bibliotheks-Regelsatz „Authentication Server (Time/IP-based Session)“ enthält einen
eingebetteten Regelsatz mit Regeln zur Überprüfung, ob für einen anfragenden Client bereits eine
authentifizierte Sitzung besteht. Andernfalls wird die Anfrage an den Authentifizierungs-Server
umgeleitet.
Der eingebettete Regelsatz umfasst Protokolle wie HTTP oder HTTPS. Durch Nutzung der Eigenschaft
Connection.Protocol können Sie die Kriterien erweitern und auch das IFP-Protokoll aufnehmen.
Einschränkungen bei der IFP-Filterung
Bei der Verwendung eines IFP-Proxys zur Filterung von URLs sollten Sie folgende Einschränkungen
berücksichtigen:
•
Eingeschränkte Nutzung von SafeSearch Enforcer
Während der IFP-Filterung kann SafeSearch Enforcer ausschließlich für das Filtern von mit Google
durchgeführten Suchanfragen angewendet werden.
Das liegt daran, dass lediglich Google für das Senden der Suchkriterien URLs verwendet. Alle
anderen Suchmaschinen hingegen nutzen Cookies. Diese können jedoch nicht vom IFP-Proxy einer
Appliance verarbeitet werden.
•
HTTP-Proxy für bestimmte Funktionen erforderlich
Wenn Sie die folgenden Aktionen durchführen möchten, ist die Einrichtung eines HTTP-Proxys
zusätzlich zum IFP-Proxy erforderlich:
•
Von einer Filterregel blockierte IFP-Anfragen an eine Blockierungsseite umleiten, damit auf dem
Client des anfragenden Benutzers eine Blockierungsmeldung angezeigt wird.
•
Authentifizieren von Benutzern auf der Appliance durch Überprüfung ihrer
Anmeldeinformationen auf dem internen Authentifizierungs-Server.
•
Beschränkung des Web-Zugangs von Benutzern durch Implementieren des
Bibliotheks-Regelsatzes für Zeitkontingente.
IFP-Filteraktivitäten im Dashboard
Das Dashboard auf der Benutzeroberfläche enthält Informationen zu verschiedenen Aktivitäten der
IFP-Filterung.
•
Anzahl der verarbeiteten IFP-Anfragen
Diese Information wird unter Web Traffic Summary | Requests per protocol (Zusammenfassung
Web-Datenverkehr | Anfragen nach Protokoll) angezeigt.
•
Domänen, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Information wird unter Web Traffic | Top Level Domains by Number of Requests (Web-Datenverkehr |
Top-Level-Domänen nach Anzahl der Anfragen) angezeigt.
•
Websites, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen)
In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein.
Diese Informationen werden unter Web Traffic | Destinations by Number of Requests (Web-Datenverkehr |
Ziel-Websites nach Anzahl der Anfragen) angezeigt.
Verbindungsverfolgung für IFP-Filteraktivitäten
Bei der Filterung von IFP-Anfragen kann eine Verbindungsverfolgung durchgeführt werden.
414
Produkthandbuch
Web-Filterung
URL-Filterung
11
Bei aktivierter Verbindungsverfolgung werden Verfolgungsdateien angelegt und gespeichert. Auf diese
Dateien kann auf der Benutzeroberfläche im übergeordneten Menü Troubleshooting (Fehlerbehebung)
zugegriffen werden.
Konfigurieren der IFP-Proxy-Einstellungen
Sie können die IFP-Proxy-Einstellungen konfigurieren, um einen Proxy für die Verarbeitung von
Anfragen für den Web-Zugriff einzurichten, die unter diesem Protokoll gesendet werden.
Vorgehensweise
1
2
Erweitern Sie in der Appliances-Baumstruktur die Appliance, für die Sie die IFP-Proxy-Einstellungen
konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP,
ICAP und IM)).
3
Führen Sie im Bereich für Einstellungen einen Bildlauf nach unten zum Abschnitt IFP Proxy
(IFP-Proxy) aus.
4
Konfigurieren Sie die Einstellungen in diesem Abschnitt nach Bedarf.
5
IFP-Proxy-Einstellungen
Mit den IFP-Proxy-Einstellungen wird ein Proxy konfiguriert, der unter dem IFP-Protokoll gesendete
Anfragen für Web-Zugriff abfängt und für die URL-Filterung verfügbar macht.
IFP Proxy (IFP-Proxy)
Einstellungen für das Konfigurieren eines IFP-Proxys
Tabelle 11-19 IFP Proxy (IFP-Proxy)
Option
Definition
Enable IFP proxy (IFP-Proxy aktivieren)
Bei Auswahl dieser Option wird der IFP-Proxy auf einer
Appliance aktiviert.
IFP port definition list (Liste von IFP-Port-Definitionen)
Ermöglicht Ihnen das Erstellen einer Liste von Ports, die
IFP-Anfragen empfangen.
Maximum number of concurrent IFP requests allowed
(Maximal zulässige Anzahl gleichzeitiger IFP-Anfragen)
Beschränkt die Anzahl gleichzeitig verarbeiteter
IFP-Anfragen auf den angegebenen Wert.
Sie können mithilfe dieser Eigenschaft eine Überlastung
des IFP-Proxys verhindern.
In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben.
Tabelle 11-20 IFP Port Definition (IFP-Port-Definition)
Option
Definition
Gibt die IP-Adresse und die Port-Nummer eines Ports an, der
IFP-Anfragen empfängt.
Send error message as redirect (Bei
Umleitung Fehlermeldung senden)
Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat,
durch Umleiten der Anfrage auf eine Fehlermeldungsseite
benachrichtigt, z. B. über eine Blockierung der Anfrage.
Andernfalls werden die relevanten Informationen als normale
Nachricht unter dem IFP-Protokoll gesendet.
Comment (Kommentar)
Gibt einen Kommentar (Nur-Text-Format) zu einem Port an, der
IFP-Anfragen empfängt.
Produkthandbuch
415
11
Web-Filterung
URL-Filterung
Erstellen eines Regelsatzes zum Filtern von IFP-Anfragen
Sie können einen Regelsatz mit Regeln zum Filtern von Web-Zugriffsanfragen erstellen, die unter dem
IFP-Protokoll gestellt werden.
Vorgehensweise
1
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze), klicken Sie anschließend auf Add (Hinzufügen),
und wählen Sie dann Rule Set (Regelsatz) aus.
2
Geben Sie im Feld Name einen geeigneten Namen für den Regelsatz ein, z. B. Filter IFP
Requests.
3
Deaktivieren Sie unter Applies to (wird angewendet auf) die Optionen Responses (Antworten) und
Embedded Objects (eingebettete Objekte).
4
Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is
matched (Wenn folgende Kriterien erfüllt sind) aus.
5
Konfigurieren Sie die Regelsatzkriterien.
a
Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced criteria
(Erweiterte Kriterien) aus.
b
Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus.
c
Wählen Sie in der Liste der Operatoren equals (ist gleich) aus.
d
Geben Sie im Eingabefeld für Operanden IFP ein.
e
Klicken Sie auf OK.
Das Fenster Add Criteria (Kriterien hinzufügen) wird nun geschlossen, und das Kriterium wird im
Feld Criteria (Kriterien) angezeigt.
6
Klicken Sie auf OK.
Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird nun geschlossen, und der neue
Regelsatz wird in der Regelsatz-Baumstruktur angezeigt.
Wenn die Erstellung des-Regelsatzes abgeschlossen ist, müssen Sie dort Regeln zur URL-Filterung
einfügen. Beispielsweise können Sie Regeln aus dem Standard-Regelsatz für URL-Filterung kopieren
und nach Bedarf anpassen.
Bearbeiten eines Authentifizierungs-Regelsatzes zur Einbindung des IFPProtokolls
Sie können das IFP-Protokoll in die Kriterien eines Authentifizierungs-Regelsatzes einbinden, um die
Authentifizierung für Anfragen zu aktivieren, die unter diesem Protokoll übermittelt werden.
Vorgehensweise
1
Importieren Sie einen Authentifizierung-Regelsatz aus der Bibliothek.
a
Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, klicken Sie auf Add (Hinzufügen), und
wählen Sie dann Top Level Rule Set (Regelsatz der obersten Ebene) aus.
Daraufhin öffnet sich das Fenster Add Top Level Rule Set (Regelsatz der obersten Ebene hinzufügen).
416
Produkthandbuch
Web-Filterung
Medientyp-Filterung
b
11
Klicken Sie auf Import rule set from Rule Set Library (Regelsatz aus Regelsatz-Bibliothek importieren).
c
Wählen Sie in der Liste Rule Set Library (Regelsatz-Bibliothek) d

McAfee Web Gateway 7.6.0 Produkthandbuch

Transcription

Similar documents

McAfee Web Gateway 7.5.0 Produkthandbuch

Web Gateway 7.4.1 Produkthandbuch

Sidewinder - Westcon Security