KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 9: | Zeile 9: | ||
| Webfilter Konfiguration auf der UTM | | Webfilter Konfiguration auf der UTM | ||
| Webfilter configuration on the UTM }} | | Webfilter configuration on the UTM }} | ||
{{var | Voraussetzung | {{var | Voraussetzung | ||
| Voraussetzung | | Voraussetzung | ||
| Zeile 23: | Zeile 14: | ||
{{var | Voraussetzung--desc | {{var | Voraussetzung--desc | ||
| Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.<br> Dazu muss entweder | | Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.<br> Dazu muss entweder | ||
* die SSL-Interception ({{Menu-UTM|Anwendungen|HTTP-Proxy|SSL-Interception}}) aktiviert <br>'''und'''<br>der transparente Modus für https aktiviert werden (Menü {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus}})<br><br>'''oder'''<br> | * die SSL-Interception ({{Menu-UTM|Anwendungen|HTTP-Proxy|SSL-Interception}}) aktiviert <br>'''und'''<br> der transparente Modus für https aktiviert werden (Menü {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus}})<br><br> '''oder'''<br> | ||
* auf '''jedem Host''' wird die UTM als Proxy in '''jedem Browser''' eingerichtet. | * auf '''jedem Host''' wird die UTM als Proxy in '''jedem Browser''' eingerichtet. | ||
| In order for the UTM to "see" the network traffic it is supposed to filter, the proxy of the UTM must also be used for https. <br> Therefore either | | In order for the UTM to "see" the network traffic it is supposed to filter, the proxy of the UTM must also be used for https. <br> Therefore either | ||
* the SSL interception ({{Menu-UTM|Applications|HTTP proxy|SSL interception}}) <br>'''and'''<br>the transparent mode for https must be activated (menu {{Menu-UTM|Applications|HTTP proxy|Transparent mode}}).<br><br>'''or'''<br>on '''every host''' the UTM is set up as a proxy in '''every browser'''}} | * the SSL interception ({{Menu-UTM|Applications|HTTP proxy|SSL interception}}) <br>'''and'''<br>the transparent mode for https must be activated (menu {{Menu-UTM|Applications|HTTP proxy|Transparent mode}}).<br><br> '''or'''<br> on '''every host''' the UTM is set up as a proxy in '''every browser'''}} | ||
{{var | Übersicht | {{var | Übersicht | ||
| Übersicht | | Übersicht | ||
| Zeile 44: | Zeile 35: | ||
* The rule sets are checked in sequence to see whether they apply (in terms of content and time) }} | * The rule sets are checked in sequence to see whether they apply (in terms of content and time) }} | ||
{{var | Webfilter--Bild | {{var | Webfilter--Bild | ||
| UTM v12. | | UTM v12.7.0 Anwendungen Webfilter Allgemein.png | ||
| UTM v12. | | UTM v12.7.0 Anwendungen Webfilter Allgemein-en.png }} | ||
{{var | Anwendungen | |||
| Anwendungen | |||
| Applications }} | |||
{{var | Webfilter--cap | {{var | Webfilter--cap | ||
| Webfilter Übersicht | | Webfilter Übersicht | ||
| Webfilter overview }} | | Webfilter overview }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| Zeile 95: | Zeile 86: | ||
| Review all rule sets: }} | | Review all rule sets: }} | ||
{{var | Sämtliche Regelsätze überprüfen--nein--desc | {{var | Sämtliche Regelsätze überprüfen--nein--desc | ||
| Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht.<br>Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet. | | Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht.<br> Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet. | ||
| The first rule set (if applicable, the first with a valid time profile) is searched.<br>If no matching rule is found, the default behaviour of this rule set is applied. }} | | The first rule set (if applicable, the first with a valid time profile) is searched.<br> If no matching rule is found, the default behaviour of this rule set is applied. }} | ||
{{var | Sämtliche Regelsätze überprüfen--ja--desc | {{var | Sämtliche Regelsätze überprüfen--ja--desc | ||
| Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde.<br> Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil). | | Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde.<br> Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil). | ||
| Zeile 115: | Zeile 106: | ||
verbunden.<br> | verbunden.<br> | ||
{{Hinweis-box||g}} Für Profile gilt: | {{Hinweis-box||g}} Für Profile gilt: | ||
* Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren<br>'''Aber:''' Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein! | * Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren<br> '''Aber:''' Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein! | ||
* Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden. | * Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden. | ||
* Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause. | * Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause. | ||
| Zeile 193: | Zeile 184: | ||
| Rule sets }} | | Rule sets }} | ||
{{var | Regelsätze--Bild | {{var | Regelsätze--Bild | ||
| UTM v12. | | UTM v12.7.0 Anwendungen Webfilter Regelsätze.png | ||
| UTM v12. | | UTM v12.7.0 Anwendungen Webfilter Regelsätze-en.png }} | ||
{{var | Regelsätze--desc | {{var | Regelsätze--desc | ||
| In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen. | | In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen. | ||
| Zeile 213: | Zeile 201: | ||
| Fügt den aktuellen Regelsatz dem z.Zt. markierten Profil hinzu | | Fügt den aktuellen Regelsatz dem z.Zt. markierten Profil hinzu | ||
| Adds the current rule set to the currently selected profile }} | | Adds the current rule set to the currently selected profile }} | ||
{{var | Regelsatz kopieren | |||
| Regelsatz kopieren | |||
| Copy rule set }} | |||
{{var | Regelsatz kopieren--desc | |||
| Öffnet den Dialog zum Bearbeiten eines Regelsatzes mit den kopierten Eigenschaften der ausgewählten Regel | |||
| Opens the dialogue for editing a rule set with the copied properties of the selected rule }} | |||
{{var | Regelsatz hinzufügen | {{var | Regelsatz hinzufügen | ||
| Regelsatz hinzufügen | | Regelsatz hinzufügen | ||
| Zeile 230: | Zeile 224: | ||
{{var | Regelsatz bearbeiten | {{var | Regelsatz bearbeiten | ||
| Regelsatz bearbeiten | | Regelsatz bearbeiten | ||
| | | Edit rule set }} | ||
{{var | | {{var | Eindeutiger Name | ||
| Eindeutiger Name | | Eindeutiger Name | ||
| Unique name }} | | Unique name }} | ||
| Zeile 255: | Zeile 246: | ||
| Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird. | | Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird. | ||
| Defines access to websites whose host names use URL shortener services. Here, you can choose whether these are blocked or allowed regardless of the actual destination or whether the host name is resolved and then handled according to existing rules. }} | | Defines access to websites whose host names use URL shortener services. Here, you can choose whether these are blocked or allowed regardless of the actual destination or whether the host name is resolved and then handled according to existing rules. }} | ||
{{var | zulassen | {{var | zulassen | ||
| zulassen | | zulassen | ||
| Zeile 305: | Zeile 293: | ||
* Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist | * Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist | ||
* Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist | * Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist | ||
| Define here which websites are allowed or not to be reached. <br> The rules are processed in order: | | Define here which websites are allowed or not to be reached. <br> The rules are processed in order: | ||
# URL | # URL | ||
| Zeile 315: | Zeile 299: | ||
# Categories {{info|An overview of all categories can be found [[UTM/APP/Webfilter-CF_Kategorien | here]]}} | # Categories {{info|An overview of all categories can be found [[UTM/APP/Webfilter-CF_Kategorien | here]]}} | ||
* If a URL is allowed, data traffic is possible even if the corresponding category is blocked | * If a URL is allowed, data traffic is possible even if the corresponding category is blocked | ||
* If a URL regex is blocked, no data traffic is possible even if the domain is allowed | * If a URL regex is blocked, no data traffic is possible even if the domain is allowed }} | ||
{{var | Regel zulassen--desc | {{var | Regel zulassen--desc | ||
| Lässt den Datenverkehr zu | | Lässt den Datenverkehr zu | ||
| Zeile 349: | Zeile 330: | ||
| Architektur des Webfilters | | Architektur des Webfilters | ||
| Architecture of the Webfilter }} | | Architecture of the Webfilter }} | ||
{{var | Architektur des Webfilter--desc | {{var | Architektur des Webfilter--desc | ||
| Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> | | Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> Der Ablauf ist wie folgt:<br> Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.<br> Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.<br> Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten. | ||
Der Ablauf ist wie folgt:<br> | |||
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> | |||
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt. <br> | |||
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> | |||
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> | |||
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> | |||
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> | |||
Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> | |||
Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> | |||
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> | |||
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> | |||
Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.<br> | |||
Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> | |||
Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten. | |||
| The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br> | | The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br> | ||
The process is as follows:<br> | The process is as follows:<br> A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile.<br> If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> After a profile is recognised, the rule set associated with it is checked.<br> First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> If the requested URL is not listed, the system checks whether it fits into a category.<br> To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }} | ||
A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> | |||
Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile. <br> | |||
If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> | |||
After a profile is recognised, the rule set associated with it is checked.<br> | |||
First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> | |||
If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> | |||
If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> | |||
If the requested URL is not listed, the system checks whether it fits into a category.<br> | |||
To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> | |||
If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> | |||
Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> | |||
It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> | |||
If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }} | |||
---- | ---- | ||
UTM/APP/Webfilter.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki