Wechseln zu:Navigation, Suche
Wiki

AV/KB/HTTP Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
Pascalm (Diskussion | Beiträge)
3.653 Bearbeitungen
KKeine Bearbeitungszusammenfassung
 
(12 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:HTTP-Proxy und Securepoint Antivirus}}
{{Set_lang}}
== Informationen ==
Letze Anpassung zur Version: '''2.14.43'''
<br>
Bemerkung: -
<br>
Vorherige Versionen: -
<br>


== Einleitung ==
{{#vardefine:headerIcon|spicon-utm}}
Unser Securepoint Antivirus Pro prüft regelmäßig, ob neue Updates vorhanden sind. Dabei wird dies auf einem Updateserver geprüft und dann von Update-Mirrors heruntergeladen.
{{:AV/KB/HTTP_Proxy.lang}}
Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe reglementieren.


In einer Netzwerkumgebung können diese fehlenden Regeln aber schnell negative Auswirkungen haben, so dass es ratsam ist, den Datenverkehr über den Portfilter und die Proxys zu filtern, so Schadsoftware so wenig Angriffsfläche wie möglich zu bieten und sich auszubreiten.
</div>{{TOC2}}{{Select_lang}}
{{Header|02.2026|
* {{#var:neu--Layoutanpassung}}
| Anw=UTM | URL=true
|vorher-ver=
|[[AV/KB/HTTP_Proxy-0623 | Proxy-0623]]
|<!--{{Menu-UTM|Anwendungen|Webfilter}}-->
}}<div class="new_design"></div>


Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt. Das bedeutet für die meisten Benutzer, die auf Webseiten im Internet zugreifen, dass dieser Zugriff über den HTTP-Proxy geschiet, so dass Webseitenaufrufe über den Webfilter geregelt und die Datenpakete auf Viren gescannt werden.


In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy und den Webfilter zulassen, wenn in den Client Einstellungen die UTM als Proxy eingetragen wird, diese also nicht als transparenter Proxy dazwischen steht.
=== {{#var:Einleitung}} ===
<div class="Einrücken">
{{#var:Einleitung--desc}}
</div>


===Szenario 1: Standard Proxy ohne Authentifizierung===
====Webfilter====
In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im '''Webfilter''' nur die für die Kommunikation benötigten Webseiten freigegeben werden. Diese werden folgendermaßen in einer '''Webfilterregel''' eingetragen:


<pre>*.ikarus.at/*</pre>
=== {{#var:Standard Proxy ohne Authentifizierung}} ===
<pre>*.mailsecurity.at/*</pre>
<div class="Einrücken">
==== Webfilter ====
{{Bild|{{#var:Webfilter--Bild}}|{{#var:Webfilter--cap}}||Webfilter|{{#var:Anwendungen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}


Die Sterne vor und nach den URLs sind Wildcards.
<div class="Einrücken">
{{#var:Webfilter--nav}}
<div class="Einrücken">
<p>{{#var:Standard Proxy ohne Authentifizierung1--desc}}</p>
<p>{{#var:Standard Proxy ohne Authentifizierung2--desc}}</p>
<br clear=all>
</div>
</div>


Nachdem diese URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet.
{| class="sptable2 pd5 zh1 Einrücken"
 
|- class=noborder
Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe ''internal-networks'' hinzugefügt. Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden.
| colspan=3 |
 
<div class=Einrücken>
Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen.<br>
===== {{#var:Regeln hinzufügen}} =====
Ebenfalls unter Anwendungen wird das Menü '''HTTP-Proxy''' aufgerufen.
|-
 
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle ''internal-network'', mit dem Ziel ''internet'' und dem Protokoll ''HTTP'' über den Proxy leiten soll.
| class="Bild" rowspan="3" | {{Bild| {{#var:Regelsatz bearbeiten--Bild}} |{{#var:Regelsatz bearbeiten--cap}} }}
 
|-
====Virenscanner====
| || {{Button||w|class=icon|Anw=UTM}} <span class=Hover>{{#var:Bearbeiten}}</span> ||  {{#var:Regelsatz bearbeiten--desc}}
Der Virenscanner vom HTTP-Proxy überprüft die Pakete, welche über den Proxy gehen.
|- class=Leerzeile
 
|
Damit der Download von Updates ohne Probleme funktioniert, müssen Ausnahmen im Virenscanner erstellt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein. <br>
|- class=Leerzeile
Die regulären Ausdrücke für die URLs im '''Virenscanner''' lauten folgendermaßen:
| colspan=3 | {{Kasten|{{#var:Allgemein}}|UTM }}
 
|-
<pre>^[^:]*://[^\.]*\.ikarus\.at/</pre>
| {{b|{{#var:Keine passende Regel gefunden}} }} || {{ic|{{#var:blockieren}} |dr}} ||  {{#var:Keine passende Regel gefunden--desc}}
<pre>^[^:]*://[^\.]*\.mailsecurity\.at/</pre>
| class="Bild" rowspan="3" | {{Bild| {{#var:Regelsatz bearbeiten für Securepoint Antivirus--Bild}} |{{#var:Regelsatz bearbeiten für Securepoint Antivirus--cap}}||{{#var:Regelsatz bearbeiten}}|{{#var:Anwendungen}}|Webfilter|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 
|-
===Szenario 2: Standard Proxy mit Authentifizierung ===
| || {{Button|+ {{#var:Regel hinzufügen}} }} || {{#var:Regel hinzufügen--desc}}
====Authentifizierungsausnahme====
|- class=Leerzeile
Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber '''Authentifizierungsausnahmen''' benötigt, da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht wieder mit regulären Ausdrücken:
|
 
|-
<pre>.*\.ikarus\.at</pre>
| {{b|{{#var:Typ}} }} || {{Button|URL||class=aktiv}} || {{#var:Regeltyp URL}}
<pre>.*\.mailsecurity\.at</pre>
| class="Bild" rowspan="8" | {{Bild| {{#var:Regel hinzufügen--Bild}} |{{#var:Regel hinzufügen--cap}}||{{#var:Regel hinzufügen}}|{{#var:Anwendungen}}|Webfilter|{{#var:Regelsatz bearbeiten}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 
|-
Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.
| {{b|URL}} || {{ic|<nowiki>*.ikarus.at/*</nowiki> }} || {{#var:Die folgende URL hinzufügen}}: ''<nowiki>*.ikarus.at/*</nowiki>''
 
|-
===Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception===
| {{b|{{#var:Aktion}} }} || {{ButtonAn|check|UTM}} || {{#var:Aktion zulassen}}
====SSL-Interception====
|- class=noborder
Wenn die '''SSL-Interception''' zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als '''Ausnahmen für SSL-Interception''' hinterlegt werden.<br>
| || {{Button-dialog||fa-save|hover={{#var:Speichern}} }} || {{#var:URL speichern}}
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.
|-
 
| {{b|URL}} || {{ic|<nowiki>*.mailsecurity.at/*</nowiki> }} || {{#var:Die folgende URL hinzufügen}}: ''<nowiki>*.mailsecurity.at/*</nowiki>''
<pre>.*\.ikarus\.at</pre>
|-
<pre>*\.mailsecurity\.at</pre>
| {{b|{{#var:Aktion}} }} || {{ButtonAn|check|UTM}} || {{#var:Aktion zulassen}}
 
|- class=noborder
Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier genauso eingerichtet wie auch schon in den Szenarien 1 und 2.
| || {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:URL speichern und schliessen}}
 
|- class=noborder
====Transparente SSL-Interception====
| colspan=3 | {{Hinweis-box|{{#var:Regelsatz einem Profil zuordnen}}|gelb }}
Wenn die <b>Transparente </b> SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für SSL-Interception hinterlegt werden.
|- class=Leerzeile
Dazu wird das gesamte Netzwerk freigegeben.
|
 
|- class=noborder
<pre>91.212.136.0/24</pre>
| colspan=3 |
==== {{#var:Virenscanner der UTM}} ====
{{#var:Virenscanner--nav}}
|- class=noborder
| colspan=3 | <div class=Einrücken>{{#var:Paketprüfung}}<br>{{ic|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki> }}<br>
{{ic|<nowiki>^[^:]*://[^\.]*\.mailsecurity\.at/</nowiki> }}
|-
| || {{Button||w|class=icon|Anw=UTM}} <span class=Hover>{{#var:Bearbeiten}}</span> ||  {{#var:Profil bearbeiten--desc}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Standardprofil bearbeiten--Bild}} |{{#var:Standardprofil bearbeiten--cap}}||HTTP-Proxy|{{#var:Anwendungen}}||icon=fa-chart-bar|icon-text=HTTP-Proxy Log|Alerts=true}}
|- class=noborder
| colspan=3 | <li class="list--element__alert list--element__hint">{{#var:Hinweis Profile}}</li>
|- class=Leerzeile
|
|- class=noborder
| colspan=3 | {{Reiter|{{#var:Virenscanner}} }}<br><br>{{Reiter|Allowlist }}
|-{{ic|{{cb
| rowspan=2 | {{b|{{#var:Webseiten-Allowlist}} }}: || {{ic|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki> }} || rowspan=2 | {{#var:Ausnahmen hinzufügen}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Virenscanner Regeln hinzufügen--Bild}} |{{#var:Virenscanner Regeln hinzufügen--cap}}||{{#var:Profil bearbeiten}}|{{#var:Anwendungen}}|HTTP-Proxy|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|Alerts=true}}
|-
| {{ic|<nowiki>^[^:]*://[^\.]*\.mailsecurity\.at/</nowiki> }}
|- class=Leerzeile
|
|- class=noborder
| colspan=3 |
=== {{#var:Standard Proxy mit Authentifizierung}} ===
{{#var:HTTP-Proxy--nav}}
|- class=noborder
| colspan=3 | <div class=Einrücken> {{#var:Standard Proxy mit Authentifizierung--Intro}}
|-
| rowspan=3 | {{b|{{#var:Authentifizierungsmethode}}: }} || {{ic|Basic|dr}} || {{#var:Basic--desc}}
| class="Bild" rowspan="4" | {{Bild| {{#var:Authentifizierungsmethode--Bild}} |{{#var:Authentifizierungsmethode--cap}} }}
|-
| {{ic|NTLM/Kerberos|dr}} || {{#var:NTLM-Kerberos--desc}}
|-
| {{ic|Radius|dr}} || {{#var:Radius--desc}}
|- class=Leerzeile
|
|- class=noborder
| colspan=3 | <div class="Einrücken">
==== {{#var:Authentifizierungsausnahmen}} ====
|- class=noborder
| colspan=3 | {{#var:Authentifizierungsausnahmen--desc}}
|-
| {{b| {{#var:Aktiviert}}: }} || {{ButtonAn|Ein|UTM}} || {{#var:Aktiviert--desc}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Authentifizierungsausnahmen--Bild}} |{{#var:Authentifizierungsausnahmen--cap}} }}
|-
| {{b| {{#var:Ausnahmen}}: }} || {{ic|<nowiki>\.ikarus\.at</nowiki> }} <br>{{ic|<nowiki>\.mailsecurity\.at</nowiki> }} || {{#var:Ausnahmen--desc}}</div>
|- class=Leerzeile
|
|- class=noborder
| colspan=3 |
=== {{#var:Szenario 3}} ===
|- class=noborder
| colspan=3 |
==== {{Reiter|SSL-Interception}} ====
|- class=noborder
| colspan=3 | {{#var:SSL-Interception--desc}}
|-
| {{b|{{#var:Aktiviert}}: }} || {{Button|{{#var:Immer}}|class=aktiv}} || {{#var:Immer--desc}}
| class="Bild" rowspan="9" | {{Bild| {{#var:Ausnahmen für SSL Interception--Bild}} |{{#var:Ausnahmen für SSL Interception--cap}} }}
|- class=Leerzeile
|
|- class=noborder
| colspan=3 |
===== {{Reiter|{{#var:Ausnahmen für SSL-Interception}} }} =====
|- class=noborder
|
|-
| rowspan=3 | {{b|{{#var:Ausnahmen2}}: }} || {{ic|.*\.ikarus\.at}} || rowspan=2 | {{#var:Ausnahmen--desc}}
|-
| {{ic|.*\.mailsecurity\.at}}
|-
| {{ic|<nowiki>.*91\.212\.136\..*</nowiki>}} || {{#var:Ausnahmen2--desc}}
|- class=Leerzeile
|
|- class=noborder
| colspan=3 |
==== {{Reiter|{{#var:Transparenter Modus}} }} ====
|- class=Leerzeile
|
|-
| || {{ButtonAn|Ein|UTM}} || {{#var:An--desc}}
|- class=Leerzeile
|
|}
</div>
</div>
</div>
</div>

Aktuelle Version vom 3. Februar 2026, 13:12 Uhr





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
















































| }}













Konfiguration einer UTM bei Verwendung eines HTTP-Proxys und Securepoint Antivirus Pro

Letzte Anpassung: 02.2026

Neu:
  • Layoutanpassung

notemptyDieser Artikel bezieht sich auf eine Beta-Version

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115


Einleitung

Securepoint Antivirus Pro prüft regelmäßig auf neue Updates und lädt sie herunter.
Dabei ist Folgendes zu beachten:

  • Bei direkter Internetverbindung eines Windows-Clients stellt das kein Problem dar, weil es normalerweise keine Regeln zur Reglementierung von Webseitenaufrufen gibt
  • In einer Netzwerkumgebung hingegen haben Arbeitsplatzrechner in der Regel keinen direkten Internetzugang.
    Der Datenverkehr wird über Paketfilter und Proxys gefiltert.
    Das bietet Schadsoftware so wenig Angriffsfläche wie möglich.

notemptyBei einer guten Firewall-Konfiguration bekommt jeder Client nur die Freigaben, die er auch wirklich benötigt.

Dieser Artikel stellt drei Szenarien vor, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.


Szenario 1: Standard Proxy ohne Authentifizierung

Webfilter

Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Der UTM Webfilter

Aufruf in Menü Anwendungen Webfilter

In diesem Fall wird der HTTP-Proxy im Transparenten Modus genutzt.
Im Webfilter werden nur die für die Kommunikation benötigten Webseiten freigegeben.

Jeder User von Securepoint Antivirus Pro muss in einen Regelsatz eingebunden sein, der die Update-Server von Securepoint Antivirus Pro freigibt.

Dazu kann man entweder

Der Regelsatz security enthält diese Regeln bereits.


Regeln hinzufügen für Securepoint Antivirus Pro
Beschriftung Wert Beschreibung
Regelsatz bearbeiten
Bearbeiten Klick auf die entsprechende Schaltfläche zum Bearbeiten des Regelsatzes
Allgemein
Keine passende Regel gefunden blockieren Auswahl von blockieren 1 Regelsatz bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter Regelsatz bearbeiten für Securepoint Antivirus
+ Regel hinzufügen Klick auf die Schaltfläche, um eine Regel zu ergänzen. 2
Es öffnet sich ein neuer Dialog
Typ: URL Als Regeltyp URL wählen Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenWebfilterRegelsatz bearbeiten URL hinzufügen
URL *.ikarus.at/* Die folgende URL hinzufügen: *.ikarus.at/*
Aktion Aktion zulassen
Speichern URL speichern
URL *.mailsecurity.at/* Die folgende URL hinzufügen: *.mailsecurity.at/*
Aktion Aktion zulassen
Speichern und schließen URL speichern und den Dialog schließen
notemptyDamit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, das den entsprechenden Rechner beinhaltet!

Virenscanner der UTM

Aufruf in Menü Anwendungen HTTP-Proxy

Im Virenscanner des HTTP-Proxys sind die Ausnahmen für ikarus.at und mailsecurity.at bereits im Standardprofil enthalten.

Wenn diese gelöscht wurden, dann kann man die Regeln entweder dem Standardprofil oder alternativ einem weiteren Konfigurationsprofil zuweisen.
^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/

Bearbeiten Konfigurationsprofil/Globales Konfigurationsprofil bearbeiten HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log 42 Ein Profil bearbeiten
  • Wenn die Ausnahmen im Standardprofil wiederhergestellt werden, dann greifen sie auch bei selbst angelegten weiteren Konfigurationsprofilen.
    Falls die Ausnahmen nur für ein weiteres Konfigurationsprofil (oder mehrere Profile) gelten soll, dann fügt man die Ausnahmen dort ein.
    • Virenscanner

    Allowlist
    Webseiten-Allowlist: ^[^:]*://[^\.]*\.ikarus\.at/ Ausnahmen für ikarus und mailsecurity hinzufügen Konfigurationsprofil / Globales Konf… bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy HTTP-Proxy Log 42 Regeln für den Virenscanner hinzufügen
    ^[^:]*://[^\.]*\.mailsecurity\.at/

    Szenario 2: Standard Proxy mit Authentifizierung

    Aufruf in Menü Anwendungen HTTP-Proxy  Bereich Allgemein

    Zur Erhöhung der Sicherheit kann man in der Securepoint NextGen UTM-Firewall eine Authentifizierungsmethode auswählen.
    Authentifizierungsmethode: Basic Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Authentifizierung Benutzer  Bereich Benutzer auf der Firewall abgefragt
    Auswahl einer Authentifizierungsmethode
    NTLM/Kerberos Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung AD / LDAP Authentifizierung eingerichtet werden.
    Radius Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung Radius-Authentifizierung eingerichtet werden.

    Authentifizierungsausnahmen

    Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich Authentifizierungsausnahmen benötigt.

    Die Ausnahmen für ikarus und mailsecurity sind standardmäßig bereits vorhanden. Sie greifen nach der Aktivierung der Authentifizierungsausnahmen Ein

    Wenn die Ausnahmen gelöscht wurden, dann fügt man sie erneut hinzu.

    Aktiviert: Ein Authentifizierungsausnahmen sind zu aktivieren
    Authentifizierungsausnahmen für ikarus und mailsecurity
    Ausnahmen (URL): \.ikarus\.at
    \.mailsecurity\.at    		 Ergänzung von Ausnahmen für ikarus und mailsecurity

    Szenario 3: Standard Proxy mit Authentifizierung über NTLM und mit SSL-Interception

    SSL-Interception

    Sowohl bei der SSL Interception als auch beim Transparenten Modus sind die Ausnahmen für die SSL-Interception bereits systemseitig hinterlegt. Sie greifen bei der Aktivierung der SSL Interception und des Transparenten Modus.

    Falls sie nicht mehr vorhanden sind, dann fügt man sie manuell hinzu

    Aktiviert: Immer Die SSL-Interception wurde aktiviert
    Ausnahmen für SSL-Interception
    Ausnahmen: .*\.ikarus\.at Ergänzung von Ausnahmen für ikarus und mailsecurity
    .*\.mailsecurity\.at
    .*91\.212\.136\..* Freigabe der Server-IP-Adressen für den Transparenten Modus

    Transparenter Modus

    Ein Der Transparente Modus ist aktiv.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=AV/KB/HTTP_Proxy&oldid=100654