Wechseln zu:Navigation, Suche
Wiki

UTM/APP/HTTP Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
K 1 Version importiert
Keine Bearbeitungszusammenfassung
 
(2 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 13: Zeile 13:
| [[#Virenscanner | ''SigQA'']] Übermittelt neue aber unbekannte Signaturen an unser AV-Labor
| [[#Virenscanner | ''SigQA'']] Übermittelt neue aber unbekannte Signaturen an unser AV-Labor
|  }}
|  }}
{{var | neu--Anlegen von weiteren Konfigurationsprofilen möglich
| Anlegen von  [[#Konfigurationsprofil_hinzuf%C3%BCgen|weiteren Konfigurationsprofilen ]] möglich
| Creating [[#Konfigurationsprofil_hinzuf%C3%BCgen|additional configuration profiles]] is possible }}


</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
{{Header|14.1.0|
{{Header|14.1.1|
* {{#var:neu--Anlegen von weiteren Konfigurationsprofilen möglich}}
|vorher=
* {{#var:neu--FastDiff}}
* {{#var:neu--FastDiff}}
* {{#var:neu--SigQA}}
* {{#var:neu--SigQA}}
|vorher=
|vorher-ver=14.1.0
* {{#var:neu--Virus-Scan-Pattern}}
|vorher-ver=12.7.2
|[[UTM/APP/HTTP_Proxy_v12.7.2| 12.7.2]]
|[[UTM/APP/HTTP_Proxy_v12.7.2| 12.7.2]]
[[UTM/APP/HTTP_Proxy_v12.6.2| 12.6.2]]
[[UTM/APP/HTTP_Proxy_v12.6.2| 12.6.2]]
Zeile 31: Zeile 34:
}}
}}
----
----


=== {{#var:Einleitung}} ===
=== {{#var:Einleitung}} ===
Zeile 38: Zeile 40:
</div>
</div>


 
=== {{#var:Globales Profil}} ===
=== {{Reiter|{{#var:Allgemein}} }} ===
<div class="Einrücken">{{Hinweis-box | {{#var:Globales Profil--Hinweis}} | gr | fs__icon=em2 | class=flex }}</div>
==== {{Reiter|{{#var:Allgemein}} }} ====


{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
! {{#var:cap}} !! class=mw10 | {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="15" | {{Bild| {{#var:Allgemein--Bild}} |{{#var:Allgemein--cap}}||HTTP-Proxy|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save}}
| class="Bild" rowspan="15" | {{Bild| {{#var:Allgemein--Bild}} |{{#var:Allgemein--cap}}||{{#var:Globales Konfigurationsprofil bearbeiten}}|{{#var:Anwendungen}}|HTTP-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|Proxy Port:}} || {{ic|8080|c}} || {{#var:Proxy Port--desc}}
| {{b|Proxy Port:}} || {{ic|8080|c}} || {{#var:Proxy Port--desc}}
Zeile 54: Zeile 57:
|-
|-
| {{b|{{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten}}:}} || {{ButtonAus|{{#var:nein}} }} || {{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten--desc}}
| {{b|{{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten}}:}} || {{ButtonAus|{{#var:nein}} }} || {{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten--desc}}
<!--
|-
|-
| {{b|{{#var:IPv4 DNS-lookup bevorzugen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:IPv4 DNS-lookup bevorzugen--desc}}
| {{b|{{#var:IPv4 DNS-lookup bevorzugen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:IPv4 DNS-lookup bevorzugen--desc}}-->
-->
|-
|-
| {{b|Logging (Syslog lokal):}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Logging--syslog--desc}}
| {{b|Logging (Syslog lokal):}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Logging--syslog--desc}}
Zeile 78: Zeile 83:
|- class="Leerzeile"
|- class="Leerzeile"
|
|
===== {{Reiter|{{#var:Authentifizierungsausnahmen}} }} =====
|-
|-
| {{KastenGrau|{{#var:Authentifizierungsausnahmen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Authentifizierungsausnahmen--desc}}  
| {{b|{{#var:Aktiviert}} }} || {{ButtonAus|{{#var:aus}} }} <br> <small>default</small> || {{#var:Authentifizierungsausnahmen--desc}}  
| class="Bild" rowspan="2" | {{Bild| {{#var:Authentifizierungsausnahmen--Bild}} |{{#var:Authentifizierungsausnahmen--cap}} }}
| class="Bild" rowspan="3" | {{Bild| {{#var:Authentifizierungsausnahmen--Bild}} |{{#var:Authentifizierungsausnahmen--cap}} }}
|-
| {{b|{{#var:Ausnahmen URL}} }} || {{ic|{{cb| \.ttt-point\.de|-}}|cb}} || {{#var:Ausnahmen URL--desc}}  
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="noborder"
| colspan="3" |
| colspan="3" |
=== {{Reiter|{{#var:Virenscanner}} }} ===
==== {{Reiter|{{#var:Allgemein}} }} ====


==== {{Reiter|{{#var:Virenscanner}} }} ====
|- class="noborder"
| colspan="3" |
===== {{Reiter|{{#var:Allgemein}} }} =====
|- class="noborder"
| colspan="3" |
{{#var:Virenscanner allgemein}}<br>
{{#var:Virenscanner allgemein}}<br>
{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.2.0|status=neu}} {{#var:FastDiff}} {{info| {{#var:FastDiff--info}} |icon=cli}}<br>
{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.2.0|status=neu}} {{#var:FastDiff}} {{info| {{#var:FastDiff--info}} |icon=cli}}<br>
Zeile 93: Zeile 105:
|-
|-
| rowspan="4" | {{b|{{#var:Virenscanner}}: }} || {{ButtonAn|{{#var:ein}} }} <i class="fas fa-check-circle fc__ja"></i>|| {{#var:Virenscanner--desc}}
| rowspan="4" | {{b|{{#var:Virenscanner}}: }} || {{ButtonAn|{{#var:ein}} }} <i class="fas fa-check-circle fc__ja"></i>|| {{#var:Virenscanner--desc}}
| class="Bild" rowspan="16" | {{Bild| {{#var:Virenscanner--Bild}} |{{#var:Virenscanner--cap}}||HTTP-Proxy|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save}}
| class="Bild" rowspan="10" | {{Bild| {{#var:Virenscanner--Bild}} |{{#var:Virenscanner--cap}} }}
|-
|-
| | {{ButtonAn|{{#var:ein}} }} <i class="fas fa-times-circle fc__down"></i> || {{#var:spfilterengine down}}<br> {{#var:Dienst starten}}
| | {{ButtonAn|{{#var:ein}} }} <i class="fas fa-times-circle fc__down"></i> || {{#var:spfilterengine down}}<br> {{#var:Dienst starten}}
Zeile 106: Zeile 118:
|-
|-
| {{b|Allowlist ICY-Protokoll:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Allowlist ICY-Protokoll--desc}}
| {{b|Allowlist ICY-Protokoll:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Allowlist ICY-Protokoll--desc}}
|-
<!--|-|-
| {{b|Allowlist:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Whitelist--desc}}
| {{b|Allowlist:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Whitelist--desc}}-->
|-
|-
| {{b|{{#var:Cache Updates}} }} {{Hinweis-box|{{#var:neu ab}} v12.7.2|gr|12.7.2|status=neu}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Cache Updates--desc}}
| {{b|{{#var:Cache Updates}} }} {{Hinweis-box|{{#var:neu ab}} v12.7.2|gr|12.7.2|status=neu}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Cache Updates--desc}}
|- class="noborder"
|-  
| colspan=3 | {{h4|{{#var:Mime-Type Blocklist}}|{{KastenGrau|{{#var:Mime-Type Blocklist}} }} }}
| {{b|{{#var:Mime-Type Blocklist}} }} || {{ic|application/x-shockwave-flash|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Blocklist--desc}}
|-
| {{Button|Mime Type|+}} || {{ic|application/x-shockwave-flash|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Blocklist--desc}}
<li class="list--element__alert list--element__hint">{{#var:Mime-Type Blocklist--Hinweis}}</li>
<li class="list--element__alert list--element__hint">{{#var:Mime-Type Blocklist--Hinweis}}</li>
{{Einblenden|{{#var:Erklärung der Funktionsweise anzeigen}}|{{#var:hide}}|true|dezent}}
{{Einblenden|{{#var:Erklärung der Funktionsweise anzeigen}}|{{#var:hide}}|true|dezent}}
{{#var:Mime-Type Blocklist--adv-desc}}
{{#var:Mime-Type Blocklist--adv-desc}}
</div></div></span>
</div></div></span>
|- class="noborder"
|- class=Leerzeile
| colspan=3 | {{h4|{{#var:Mime-Type Allowlist}}|{{KastenGrau|{{#var:Mime-Type Allowlist}} }} }}
|
|- class=Leerzeile
| colspan=3 | <br>
 
===== {{Reiter|Allowlist}} =====
|-
| {{b|{{#var:Aktiviert}} }} || {{ButtonAn|{{#var:an}} }} ||  {{#var:Allowlist--desc}}
|-
| {{b|{{#var:Mime-Type Allowlist}} }} || {{ic|application/pkcs10|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Allowlist--desc}}
<!--
|-
| class="floating-cell-top-left" | {{b| {{#var:Webseiten-Allowlist}} }} || class="floating-cell-top-right" | || rowspan="2" | {{#var:Webseiten-Allowlist--desc}}
|-
|-
| {{Button|Mime Type|+}} || {{ic|application/pkcs10|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Allowlist--desc}}
| class="floating-cell-bottom-left" | || class="floating-cell-bottom-right" | {{ic|{{cb|<nowiki>^[^:]*://download\.windowsupdate\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://database\.clamav\.net/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.geo\.kaspersky\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.mailsecurity\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/</nowiki>}} }}  
|- class="noborder"
-->
| colspan=3 | {{h4|{{#var:Webseiten-Allowlist}}|{{KastenGrau|{{#var:Webseiten-Allowlist}} }} }}
|-
|-
| {{Button|Regex|+}} || {{ic|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki> }} || {{#var:Webseiten-Allowlist--desc}}
| colspan=2 class=pd0 |
|- class="Leerzeile"
<div class="inline-table" style="height: 100%;">
|
<div style="display: table-cell; vertical-align: top; padding: 5px; border-right: 1px solid var(--border);">
{{b| {{#var:Webseiten-Allowlist}} }}
</div>
<div style="display: table-cell; vertical-align: top; padding: 5px;">
{{ic|{{cb|<nowiki>^[^:]*://download\.windowsupdate\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://database\.clamav\.net/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.geo\.kaspersky\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.mailsecurity\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/</nowiki>}} }}
</div>
</div>
| {{#var:Webseiten-Allowlist--desc}}
 
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |


=== {{Reiter|{{#var:Bandbreite}} }} ===
==== {{Reiter|{{#var:Bandbreite}} }} ====
|-
|-
| rowspan="3" | {{b|{{#var:Bandbreitenbegrenzung-Policy}}:}} || {{ic|None|dr|class=available}} || Default
| rowspan="3" | {{b|{{#var:Bandbreitenbegrenzung-Policy}}:}} || {{ic|{{#var:Keine}}|dr|class=available}} || Default
| class="Bild" rowspan="6" | {{Bild| {{#var:Bandbreite--Bild}} |{{#var:Bandbreite--cap}}||HTTP-Proxy|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save}}
| class="Bild" rowspan="6" | {{Bild| {{#var:Bandbreite--Bild}} |{{#var:Bandbreite--cap}} }}
|-
|-
| {{ic|{{#var:Gesamte Bandbreite begrenzen}}|dr|class=available}} || {{#var:Gesamte Bandbreite begrenzen--desc}}
| {{ic|{{#var:Gesamte Bandbreite begrenzen}}|dr|class=available}} || {{#var:Gesamte Bandbreite begrenzen--desc}}
Zeile 147: Zeile 175:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
=== {{Reiter|App Blocking}} ===
 
==== {{Reiter|App Blocking}} ====
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{#var:App Blocking--desc}}
| colspan="3" | {{#var:App Blocking--desc}}
Zeile 154: Zeile 183:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
=== {{Reiter|SSL-Interception}} ===
==== {{Reiter|SSL-Interception}} ====
{{#var:SSL-Interception--desc}}
{{#var:SSL-Interception--desc}}
|-
|-
{{:UTM/APP/SSL-Interception|Abb=true}}
{{:UTM/APP/SSL-Interception|Abb=true|Profil=global}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
=== {{Reiter|{{#var:Transparenter Modus}} }} ===
 
==== {{Reiter|{{#var:Transparenter Modus}} }} ====
|-
|-
| {{KastenGrau|{{#var:Transparenter Modus}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Transparenter Modus--desc}}
| {{KastenGrau|{{#var:Transparenter Modus}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Transparenter Modus--desc}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Transparenter Modus--Bild}} |{{#var:Transparenter Modus--cap}}||HTTP-Proxy|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Transparenter Modus--Bild}} |{{#var:Transparenter Modus--cap}} }}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 172: Zeile 202:
|-
|-
| {{b|{{#var:Protokoll}}:}} || {{ic|HTTP|dr|class=available}}<br> {{#var:oder}}<br> {{ic|HTTPS|dr|class=available}} || {{#var:Protokoll--desc}}
| {{b|{{#var:Protokoll}}:}} || {{ic|HTTP|dr|class=available}}<br> {{#var:oder}}<br> {{ic|HTTPS|dr|class=available}} || {{#var:Protokoll--desc}}
| class="Bild" rowspan="6" | {{Bild| {{#var:Transparente Regel hinzufügen--Bild}} |{{#var:Transparente Regel hinzufügen--cap}}||{{#var:Transparente Regel hinzufügen}}|{{#var:Anwendungen}}|HTTP-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class="Bild" rowspan="6" | {{Bild| {{#var:Transparente Regel hinzufügen--Bild}} |{{#var:Transparente Regel hinzufügen--cap}}||{{#var:Transparente Regel hinzufügen}}|{{#var:Anwendungen}}|HTTP-Proxy|{{#var:Globales Konfigurationsprofil bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| rowspan="2" | {{b|{{#var:Typ}}:}} || {{ic|INCLUDE|dr|class=available}} || {{#var:Typ-include--desc}}
| rowspan="2" | {{b|{{#var:Typ}}:}} || {{ic|INCLUDE|dr|class=available}} || {{#var:Typ-include--desc}}
Zeile 185: Zeile 215:
|}
|}


=== {{#var:Konfigurationsprofil hinzufügen}} ===
{{Hinweis-box|{{#var:neu ab}} v14.1.1|gr|14.1.2|status=update}}
==== {{Reiter|{{#var:Allgemein}} }} ====
{| class="sptable2 pd5 zh1 Einrücken"
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="12" | {{Bild| {{#var:Weiteres Konfigurationsprofil Allgemein--Bild}} |{{#var:Weiteres Konfigurationsprofil Allgemein--cap}}||{{#var:Konfigurationsprofil hinzufügen}}|{{#var:Anwendungen}}|HTTP-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|Name:}} || {{ic|{{#var:Konfigurationsprofil 2}} }} || {{#var:Name--desc}}
|-
| {{b|{{#var:Schnittstelle}} }} || {{ic|{{cb|LAN1|-}} }} || {{#var:Schnittstelle--desc}}
|-
| {{b|{{#var:Ausgehende Adresse}}:}} || {{ic||class=available}} || {{#var:Ausgehende Adresse--desc}}
# {{#var:Szenario Interface}}
# {{#var:Szenario Webserver im VPN-Netz}}
{{Einblenden| {{#var:Details zum Szenario}} 1| {{#var:hide}} |true|dezent}} {{#var:Details zum Szenario Interface--desc}}</div></span> {{Einblenden| {{#var:Details zum Szenario}} 2 | {{#var:hide}} |true|dezent}}{{#var:Details zum Szenario Webserver im VPN-Netz--desc}}</div></span>
|-
| {{b|{{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten}} :|class=inaktiv }}<br><small>{{#var:Hinweis Global}}</small> || {{ButtonAus|{{#var:nein}}|class=inaktiv }} || <!--{{#var:Anfragen an den systemweiten Parent-Proxy weiterleiten--desc}}-->
<!--
|-
| {{b|{{#var:IPv4 DNS-lookup bevorzugen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:IPv4 DNS-lookup bevorzugen--desc}}
-->
|-
| {{b|Logging (Syslog lokal):}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Logging--syslog--desc}}
|-
| <span id=Logging></span>{{b|Logging (Statistics):}}<br><small>{{#var:Logging Statistics--Hinweis}}</small> || {{ButtonAn|{{#var:ein}} }} || {{#var:Logging--statisitcs--desc}}
|-
| rowspan="5" | {{b|{{#var:Authentifizierungsmethode}}:}} || colspan="2" | {{#var:Authentifizierungsmethode--desc}}
|-
| {{ic|None|dr|class=available}} || {{#var:Keine--desc}}
|-
| {{ic|Basic|dr|class=available}} || {{#var:Basic--desc}}
|-
| {{ic|NTLM / Kerberos|dr|class=available}} || {{#var:NTLM-Kerberos--desc}}
|-
| {{ic|Radius|dr|class=available}} || {{#var:Radius--desc}}
|-
| {{b|{{#var:Zugriff nur aus internen Quellen erlauben}} }} || {{ButtonAn|{{#var:ja}} }}<br> <small>default</small>|| {{#var:Zugriff nur aus internen Quellen erlauben--desc}}
|-
| {{b|{{#var: Zugriff auf interne Ziele erlauben}} }} || {{ButtonAn|{{#var:ja}} }}<br> <small>default</small> || {{#var: Zugriff auf interne Ziele erlauben--desc}}
|-
| {{b|{{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten}} }} || {{ButtonAus|{{#var:nein}} }} || {{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten--desc}} {{info|{{#var:MS Authentifizierung weiterleiten--info}} }} {{Hinweis-box|{{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten--Hinweis}}|r}}
|- class=noborder
|
===== {{Reiter|{{#var:Authentifizierungsausnahmen}} }} =====
|-
| {{b|{{#var:Aktiviert}} }} || {{ButtonAus|{{#var:aus}} }} <br> <small>default</small> || {{#var:Authentifizierungsausnahmen--desc}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Authentifizierungsausnahmen--Bild}} |{{#var:Authentifizierungsausnahmen--cap}} }}
|-
| {{b|{{#var:Ausnahmen URL}} }} || {{ic|{{cb| \.ttt-point\.de|-}}|cb}} || {{#var:Ausnahmen URL--desc}}
|- class="Leerzeile"
|
|- class="noborder"
| colspan="3" |
==== {{Reiter|{{#var:Virenscanner}} }} ====
|- class="noborder"
| colspan="3" |
===== {{Reiter|{{#var:Allgemein}} }} =====
|- class="noborder"
| colspan="3" |
{{#var:Virenscanner allgemein}}<br>
{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.2.0|status=neu}} {{#var:FastDiff}} {{info| {{#var:FastDiff--info}} |icon=cli}}<br>
{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.2.0|status=neu}} {{#var:SigQA}} {{info| {{#var:SigQA--info}} |icon=cli}}<br>
|-
| rowspan="5" | {{b|{{#var:Virenscanner}}: }} || {{ButtonAus|{{#var:aus}} }} <i class="fas fa-check-circle fc__ja"></i>|| {{#var:Virenscanner2--desc}}
| class="Bild" rowspan="11" | {{Bild| {{#var:Virenscanner2--Bild}}  }}
|-
| {{ButtonAn|{{#var:ein}} }}  <i class="fas fa-check-circle fc__ja"></i>|| {{#var:Virenscanner3--desc}}
|-
| | {{ButtonAn|{{#var:ein}} }} <i class="fas fa-times-circle fc__down"></i> || {{#var:spfilterengine down}}<br> {{#var:Dienst starten}}
|-
| {{ButtonAn|{{#var:ein}} }} <i class="fas fa-exclamation-circle fc__rot"></i> || {{#var:spfilterengine down}}{{Hinweis-box| {{#var:Virenscanner--Hinweis}} }} <li class="list--element__alert list--element__positiv">{{#var:Virenscanner genug RAM}}</li>
|-
| {{ButtonAus|{{#var:aus}} }}  || {{#var:Virenscanner deaktiviert}}
|-
| {{b|{{#var:Größenbeschränkung von geprüften Dateien}}|class=inaktiv }}<br><small>{{#var:Hinweis Global}}</small> || <span class="inaktiv">{{ic|2|c|class=mw8}} Megabytes</span> || <!--{{#var:Größenbeschränkung von geprüften Dateien--desc}}-->
|-
| {{b|Trickle Time:|class=inaktiv}}<br><small>{{#var:Hinweis Global}}</small> || <span class="inaktiv">{{ic|5|c|class=mw8}} {{#var:Sekunden}}</span> || <!--{{#var:Trickle Time--desc}}-->
|-
| {{b|Allowlist ICY-Protokoll:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Allowlist ICY-Protokoll--desc}}
|- class=noborder
| colspan=3 |
|- class=Leerzeile
|
===== {{Reiter|Allowlist}} =====
|-
| {{b|{{#var:Aktiviert}} }} || {{ButtonAn|{{#var:an}} }} ||  {{#var:Allowlist--desc}}
|-
| {{b|{{#var:Mime-Type Allowlist}}|class=inaktiv }}<br><small>{{#var:Hinweis Global}}</small> || <span class="inaktiv">{{ic|application/pkcs10|dr}}<br> <small>{{#var:Beispiel}}</small></span> || <!--{{#var:Mime-Type Allowlist--desc}}-->
|-
| colspan=2 class=pd0 |
<div class="inline-table" style="height: 100%;">
<div style="display: table-cell; vertical-align: top; padding: 5px; border-right: 1px solid var(--border);">
{{b| {{#var:Webseiten-Allowlist}} }}
</div>
<div style="display: table-cell; vertical-align: top; padding: 5px;">
{{ic|{{cb|<nowiki>^[^:]*://download\.windowsupdate\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://database\.clamav\.net/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.geo\.kaspersky\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://[^\.]*\.mailsecurity\.at/</nowiki>}}<br>{{cb|<nowiki>^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/</nowiki>}} }}
</div>
</div>
| {{#var:Webseiten-Allowlist--desc}}
<!--
|-
| {{b|Allowlist:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Whitelist--desc}}-->
|-
| {{b|{{#var:Cache Updates}}|class=inaktiv }} {{Hinweis-box|{{#var:neu ab}} v12.7.2|gr|12.7.2|status=neu}}<br><small>{{#var:Hinweis Global}}</small> || <span class="inaktiv">{{ButtonAus|{{#var:aus}} }}</span> || <!--{{#var:Cache Updates--desc}}
|- class="noborder"
| colspan=3 | {{h4|{{#var:Mime-Type Blocklist}}|{{KastenGrau|{{#var:Mime-Type Blocklist}} }} }}
|-
| {{Button|Mime Type|+}} || {{ic|application/x-shockwave-flash|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Blocklist--desc}}
<li class="list--element__alert list--element__hint">{{#var:Mime-Type Blocklist--Hinweis}}</li>
{{Einblenden|{{#var:Erklärung der Funktionsweise anzeigen}}|{{#var:hide}}|true|dezent}}
{{#var:Mime-Type Blocklist--adv-desc}}
</div></div></span>
|- class="noborder"
| colspan=3 | {{h4|{{#var:Mime-Type Allowlist}}|{{KastenGrau|{{#var:Mime-Type Allowlist}} }} }}
|-
| {{Button|Mime Type|+}} || {{ic|application/pkcs10|dr}}<br> <small>{{#var:Beispiel}}</small> || {{#var:Mime-Type Allowlist--desc}}
|- class="noborder"
| colspan=3 | {{h4|{{#var:Webseiten-Allowlist}}|{{KastenGrau|{{#var:Webseiten-Allowlist}} }} }}
|-
| {{Button|Regex|+}} || {{ic|<nowiki>^[^:]*://[^\.]*\.ikarus\.at/</nowiki> }} || {{#var:Webseiten-Allowlist--desc}}-->
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |
==== {{Reiter|{{#var:Bandbreite}} }} ====
|-
| rowspan="3" | {{b|{{#var:Bandbreitenbegrenzung-Policy}}:}} || {{ic|{{#var:Keine}}|dr|class=available}} || Default
| class="Bild" rowspan="6" | {{Bild| {{#var:Bandbreite--Bild}} |{{#var:Bandbreite--cap}} }}
|-
| {{ic|{{#var:Gesamte Bandbreite begrenzen}}|dr|class=available}} || {{#var:Gesamte Bandbreite begrenzen--desc}}
|-
| {{ic|{{#var:Bandbreite per Host begrenzen}}|dr|class=available}} || {{#var:Bandbreite per Host begrenzen--desc}}
|-
| {{b|{{#var:Globale Bandbreite}}:}} || {{ic|2.000.000|c|class=mw6}} kbit/s || {{#var:Default-Wert}}
|-
| {{b|{{#var:Bandbreite per Host}}:}} || {{ic|64.000|c|class=mw6}} kbit/s || {{#var:Default-Wert}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |
==== {{Reiter|App Blocking}} ====
|- class="Leerzeile"
| colspan="3" | {{#var:App Blocking--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |
==== {{Reiter|SSL-Interception}} ====
{{#var:SSL-Interception--desc}}
|-
{{:UTM/APP/SSL-Interception|Abb=true|Profil=lokal}}
|- class="Leerzeile"
|
|}


=== {{Reiter|Captive Portal}} ===
=== {{Reiter|Captive Portal}} ===

Aktuelle Version vom 21. November 2025, 14:44 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

























































| 3= }}


| 3= }}























Konfiguration des HTTP-Proxy

Letzte Anpassung zur Version: 14.1.1(11.2025)

Neu:
  • FastDiff aktualisiert die Viruspattern in Echtzeit
  • SigQA Übermittelt neue aber unbekannte Signaturen an unser AV-Labor
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

12.7.2 12.6.2 12.5 12.4 12.2 11.8 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen HTTP-Proxy

Einleitung

Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz.
Die Clients stellen ihre Anfragen an den Proxy und dieser reicht sie an die entsprechenden Server weiter.
Die tatsächliche Adresse des Clients bleibt dem Server verborgen.
Auf diesem Wege ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.

notempty
Neu ab v14.1.1
Bei Bedarf kann man neben dem Standardprofil weitere Konfigurationsprofile hinzufügen.

Globales Profil

notempty
Das globale Profil gilt für alle Schnittstellen und den transparenten Proxy. Die meisten Einstellungen werden durch zusätzlich angelegte Profile überschrieben.

Allgemein




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden




























Beschriftung Wert Beschreibung Globales Konfigurationsprofil bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Bereich Allgemein
Proxy Port: 8080 Gibt an, auf welchem Port der Proxy anzusprechen ist
Ausgehende Adresse:     Die ausgehende Adresse wird für 2 Szenarien benutzt:
  1. Wenn der Proxy an ein Interface gebunden werden soll
  2. Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.
Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden:
  • Ausgangslage:
    • LAN1: ppp0 mit DSL 2000
    • LAN2: Internes Netz (Internes Interface hat die IP 192.168.175.1)
    • LAN3: ppp1 mit DSL 16000
  • Die IP des Internen Interface (hier: LAN2) muss in das Feld für die ausgehende Adresse eingetragen werden
  • Speichern der Einstellungen
  • Unter Netzwerk Netzwerk-Konfiguration  Bereich Routing wird eine neue Route angelegt:
    • Quelle: IP des Internen Interfaces
    • Router: ppp1
    • Ziel: 0.0.0.0/0
  • Speichern der Route
Nun ist der Proxy an die 2. Internetverbindung gebunden.
Anbindung an einen Webserver im VPN-Netz:
  • Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden.
  • Speichern der Einstellungen.
  • Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln
    • Anfragen an den systemweiten Parent-Proxy weiterleiten: Nein Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden.
    Die Konfiguration erfolgt unter

    Netzwerk Servereinstellungen  Bereich Systemweiter Proxy -->

    Logging (Syslog lokal): Aus Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: Log  Bereich Log
    Logging (Statistics):
    Nur auswählbar, wenn keine Anonymisierung für den HTTP-Proxy
    Einstellung unter Authentifizierung Datenschutz
    aktiviert wurde    		 Ein Schreibt ein statistisches Log Aufruf: Log  Bereich HTTP-Proxy Statistiken
    Authentifizierungsmethode: Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:
    None Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
    Basic Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Authentifizierung Benutzer  Bereich Benutzer auf der Firewall abgefragt
    NTLM / Kerberos Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung AD / LDAP Authentifizierung eingerichtet werden.
    Radius Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung Radius-Authentifizierung eingerichtet werden.
    Zugriff nur aus internen Quellen erlauben: Ja
    default    		 Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind:
    • lokale Netze
    • geroutete Netze ( Netzwerk Netzwerkkonfiguration  Bereich Routing)
    • VPN-Netze
    Zugriff auf interne Ziele erlauben: Ja
    default    		 Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Paketfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen).
    Durch die Deaktivierung wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Packetfilter explizit erlaubt werden.
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: Nein Bei Aktivierung ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich.
    Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet
    notempty
    Ist SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
    Authentifizierungsausnahmen
    Aktiviert Aus
    default    		 Wenn aktiviert: Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen.
    Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden.
    Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen
    Abschnitt Authentifizierungsausnahmen
    Ausnahmen (URL): \.ttt-point\.de Wenn man die Authentifizierungsausnahmen aktiviert, dann kann man hier eigene Ausnahmen festlegen

    Virenscanner

    Allgemein

    Der Virenscanner im HTTP-Proxy kann Datenverkehr auf Viren prüfen.

    notempty
    Neu ab v14.1.0
     Dabei werden mit FastDiff die Viruspattern in Echtzeit aktualisiert.
    Die Funktion lässt sich per CLI deaktivieren oder aktivieren.
    Per Default ist die Funktion aktiviert.
    FastDiff Deaktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 0 }
    FastDiff Aktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 1 }
    FastDiff Status abfragen:extc value get { application ikarus variable ENABLE_FASTDIFF }
    application|variable |value
    -----------+---------------+-----
    ikarus |ENABLE_FASTDIFF|1

    notempty
    Neu ab v14.1.0
     Zusätzlich werden mit der Funktion SigQA neue aber unbekannte Signaturen an unser AV-Labor übermittelt.
    Die Funktion lässt sich per CLI deaktivieren oder aktivieren.
    Per Default ist die Funktion aktiviert.
    SigQA Deaktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 0 }
    SigQA Aktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 1 }
    SigQA Status abfragen:extc value get { application ikarus variable ENABLE_SIGQA }
    application|variable |value
    -----------+------------+-----
    ikarus |ENABLE_SIGQA|1

    Virenscanner: Ein Der Virenscanner ist aktiviert und der zugehörige Dienst läuft
    (Default Einstellung)
    Bereich Virenscanner
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.
    Der Dienst kann gestartet werden über Menü Anwendungen Anwendungsstatus Virenscanner
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty
    Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten.
    Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen!
  • Sobald diese Konfiguration in einer Umgebung mit ausreichend RAM läuft, wird der Dienst wieder ausgeführt.
    • Aus Der Virenscanner ist deaktiviert.
    Größenbeschränkung von geprüften Dateien: 2 Megabytes Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen
    Trickle Time: 5 Sekunden Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht
    Allowlist ICY-Protokoll: Aus Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
    Cache Updates notempty
    Neu ab v12.7.2
    		 Aus Bei Aktivierung Ein werden die Aktualisierungen der Viren-Datenbanken nach dem initialen Download an die angeschlossenen Clients mit Securepoint Antivirus Pro verteilt.

    Auf diese Weise reduziert sich der Traffic und die Updates werden reibungslos ausgerollt.

    Mime-Type Blocklist application/x-shockwave-flash
    Beispiel    		 Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.
    Mit der Schaltfläche öffnet sich ein Dialog, in dem aus einem Dropdown-Menü ein Mime-Type ausgewählt oder ein individueller Typ eingetragen werden kann.
  • Diese Funktion ist nur aktiv, falls der Virenscanner aktiviert ist!

    • Die MIME-Type Erkennung erfolgt bereits nach den ersten paar Bytes der Datei, im Normalfall ist diese auch korrekt und die Blockliste wird angewendet. Außerdem gibt es einen Rescan-Mechanismus, dieser ermittelt den MIME-Type für Microsoft-Compound Storage Formate erneut, wenn die vollständige Datei vorliegt oder der geladene Anteil der Datei das Größenlimit des Virenscanners erreicht hat.
    Somit ist die Erkennung nicht immer 100 prozentig perfekt, stellt aber einen optimalen Kompromiss aus Effizienz und Treff­ge­nau­ig­keit dar.


    Allowlist
    Aktiviert Die Allowlist für MIME-Types und Webseiten ist standardmäßig aktiviert
    Mime-Type Allowlist application/pkcs10
    Beispiel    		 Hier aufgeführte Mime-Typen werden nicht gescannt
    Standard-Vorgabe:
    • audio/*
    • image/*
    • video/*

    Webseiten-Allowlist

    »^[^:]*://download\.windowsupdate\.com/
    »^[^:]*://database\.clamav\.net/
    »^[^:]*://[^\.]*\.geo\.kaspersky\.com/
    »^[^:]*://officecdn\.microsoft\.com/
    »^[^:]*://[^\.]*\.ikarus\.at/
    »^[^:]*://[^\.]*\.mailsecurity\.at/
    »^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/

    		Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
    notempty
    Diese Seiten werden nicht auf Viren geprüft!

    Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.
    Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.

    Bandbreite

    Bandbreitenbegrenzung-Policy: Keine Default
    Bereich Bandbreite
    Gesamte Bandbreite begrenzen Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt.
    (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
    Bandbreite per Host begrenzen Bandbreite für jeden einzelnen Host.
    Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
    Globale Bandbreite: 2.000.000 kbit/s Default-Wert, falls aktiviert
    Bandbreite per Host: 64.000 kbit/s Default-Wert, falls aktiviert

    App Blocking

    Das pauschale App-Blocking mit festen Ports wurde entfernt.
    Einzelne Apps, bzw. die von Ihnen genutzten Ports, können flexibel über den Paketfilter gesperrt werden.

    SSL-Interception

    Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt.
    Dazu ist es allerdings notwendig, eine CA unter Authentifizierung Zertifikate zu erstellen und dieses im Feld CA-Zertifikat auszuwählen.

    Beschriftung Wert Beschreibung Globales Konfigurationsprofil bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
    Aktiviert: Aus Die SSL-Interception ist ausgeschaltet
    Nur Webfilter basiert Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen.
    Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
    Immer Aktiviert die SSL-Interception
    SNI validieren:
    		 Ja Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen.
     Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
     Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
     Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
    Nicht erkannte Protokolle erlauben: Ja Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
    CA-Zertifikat: CA-SSL-Interception Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.
    Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen.
    Public-Key herunterladen Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
    Zertifikatsverifizierung:
    nicht bei Nur Webfilter basiert
    		 Ein Sollte unbedingt aktiviert werden!
    Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.

    Ausnahmen für SSL-Interception

    Ausnahmen für SSL-Interception

    nicht bei Nur Webfilter basiert
    Aktiviert: Aus Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert.
    Neue Ausnahmen fügt man direkt im Eingabefeld ein.
    Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de"
  • Regex-Ausnahmen gelten nicht für den transparenten Modus!
    • Ausnahmen mit SNI abgleichen:
    Verfügbar, wenn SNI validieren aktiv ist.    		 Aus Wendet die Server Name Indication Validierung nur auf aktivierte  Ausnahmen für SSL-Interception  an.
    Ausnahmen: .*\.ttt-point\.de
    Vordefiniert im Globalen Konfigurationsprofil:
    .*\.ikarus\.at.*\.mailsecurity\.at .*91\.212\.136\..*    		 Ausnahmen bestimmen, hier für ttt-point.de

    Ausnahmen für Zertifikatsverifizierung

    Ausnahmen für Zertifikatsverifizierung

    nur bei aktivierter Zertifikatsverifizierung
    Aktiviert: Aus Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.


    Transparenter Modus

     Transparenter Modus  Ein Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.
    Jedes Netzwerkobjekt bzw. jede Gruppe von Netzwerkobjekten, die den transparenten Proxy nutzen sollen, müssen hier hinterlegt werden.
    Bereich Transparenter Modus
    Transparente Regel hinzufügen
    Protokoll: HTTP
    oder
    HTTPS    		 Protokoll, das verwendet wird Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-ProxyGlobales Konfigurationsprofil bearbeiten Hinzufügen einer Transparenten Regel
    Typ: INCLUDE Der transparente Modus wird angewendet
    EXCLUDE Der transparente Modus wird nicht angewendet
    Quelle: internal-network Quell-Netzwerkobjekt, angelegt unter Firewall Paketfilter  Bereich Netzwerkobjekte
    Ziel: internet Ziel-Netzwerkobjekt

    Konfigurationsprofil hinzufügen

    notempty
    Neu ab v14.1.1

    Allgemein




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




























    Beschriftung Wert Beschreibung Konfigurationsprofil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Der Bereich Allgemein in einem weiteren Konfigurationsprofil
    Name: Konfigurationsprofil 2 Angabe des Namens für das Konfigurationsprofil
    Schnittstelle LAN1 Dieses Konfigurationsprofil einer Schnittstelle zuweisen wie z. B. LAN1
    Ausgehende Adresse:     Die ausgehende Adresse wird für 2 Szenarien benutzt:
    1. Wenn der Proxy an ein Interface gebunden werden soll
    2. Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.
    Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden:
    • Ausgangslage:
      • LAN1: ppp0 mit DSL 2000
      • LAN2: Internes Netz (Internes Interface hat die IP 192.168.175.1)
      • LAN3: ppp1 mit DSL 16000
    • Die IP des Internen Interface (hier: LAN2) muss in das Feld für die ausgehende Adresse eingetragen werden
    • Speichern der Einstellungen
    • Unter Netzwerk Netzwerk-Konfiguration  Bereich Routing wird eine neue Route angelegt:
      • Quelle: IP des Internen Interfaces
      • Router: ppp1
      • Ziel: 0.0.0.0/0
    • Speichern der Route
    Nun ist der Proxy an die 2. Internetverbindung gebunden.
    Anbindung an einen Webserver im VPN-Netz:
    • Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden.
    • Speichern der Einstellungen.
  • Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln
    • Anfragen an den systemweiten Parent-Proxy weiterleiten :
    Wird im globalen Konfigurationsprofil festgelegt    		 Nein
    Logging (Syslog lokal): Aus Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: Log  Bereich Log
    Logging (Statistics):
    Nur auswählbar, wenn keine Anonymisierung für den HTTP-Proxy
    Einstellung unter Authentifizierung Datenschutz
    aktiviert wurde    		 Ein Schreibt ein statistisches Log Aufruf: Log  Bereich HTTP-Proxy Statistiken
    Authentifizierungsmethode: Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:
    None Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
    Basic Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Authentifizierung Benutzer  Bereich Benutzer auf der Firewall abgefragt
    NTLM / Kerberos Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung AD / LDAP Authentifizierung eingerichtet werden.
    Radius Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter Authentifizierung Radius-Authentifizierung eingerichtet werden.
    Zugriff nur aus internen Quellen erlauben: Ja
    default    		 Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind:
    • lokale Netze
    • geroutete Netze ( Netzwerk Netzwerkkonfiguration  Bereich Routing)
    • VPN-Netze
    Zugriff auf interne Ziele erlauben: Ja
    default    		 Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Paketfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen).
    Durch die Deaktivierung wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Packetfilter explizit erlaubt werden.
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: Nein Bei Aktivierung ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich.
    Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet
    notempty
    Ist SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
    Authentifizierungsausnahmen
    Aktiviert: Aus
    default    		 Wenn aktiviert: Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen.
    Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden.
    Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen
    Abschnitt Authentifizierungsausnahmen
    Ausnahmen (URL): \.ttt-point\.de Wenn man die Authentifizierungsausnahmen aktiviert, dann kann man hier eigene Ausnahmen festlegen

    Virenscanner

    Allgemein

    Der Virenscanner im HTTP-Proxy kann Datenverkehr auf Viren prüfen.

    notempty
    Neu ab v14.1.0
     Dabei werden mit FastDiff die Viruspattern in Echtzeit aktualisiert.
    Die Funktion lässt sich per CLI deaktivieren oder aktivieren.
    Per Default ist die Funktion aktiviert.
    FastDiff Deaktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 0 }
    FastDiff Aktivieren: extc value set { application ikarus variable ENABLE_FASTDIFF value 1 }
    FastDiff Status abfragen:extc value get { application ikarus variable ENABLE_FASTDIFF }
    application|variable |value
    -----------+---------------+-----
    ikarus |ENABLE_FASTDIFF|1

    notempty
    Neu ab v14.1.0
     Zusätzlich werden mit der Funktion SigQA neue aber unbekannte Signaturen an unser AV-Labor übermittelt.
    Die Funktion lässt sich per CLI deaktivieren oder aktivieren.
    Per Default ist die Funktion aktiviert.
    SigQA Deaktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 0 }
    SigQA Aktivieren: extc value set { application ikarus variable ENABLE_SIGQA value 1 }
    SigQA Status abfragen:extc value get { application ikarus variable ENABLE_SIGQA }
    application|variable |value
    -----------+------------+-----
    ikarus |ENABLE_SIGQA|1

    Virenscanner: Aus Der Virenscanner ist deaktiviert, aber der zugehörige Dienst läuft
    (Default Einstellung)
    Ein Der Virenscanner ist aktiviert und der zugehörige Dienst läuft
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.
    Der Dienst kann gestartet werden über Menü Anwendungen Anwendungsstatus Virenscanner
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty
    Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten.
    Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen!
  • Sobald diese Konfiguration in einer Umgebung mit ausreichend RAM läuft, wird der Dienst wieder ausgeführt.
    • Aus Der Virenscanner ist deaktiviert.
    Größenbeschränkung von geprüften Dateien:
    Wird im globalen Konfigurationsprofil festgelegt    		 2 Megabytes
    Trickle Time:
    Wird im globalen Konfigurationsprofil festgelegt    		 5 Sekunden
    Allowlist ICY-Protokoll: Aus Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
    Allowlist
    Aktiviert: Die Allowlist für MIME-Types und Webseiten ist standardmäßig aktiviert
    Mime-Type Allowlist
    Wird im globalen Konfigurationsprofil festgelegt    		 application/pkcs10
    Beispiel

    Webseiten-Allowlist

    »^[^:]*://download\.windowsupdate\.com/
    »^[^:]*://database\.clamav\.net/
    »^[^:]*://[^\.]*\.geo\.kaspersky\.com/
    »^[^:]*://officecdn\.microsoft\.com/
    »^[^:]*://[^\.]*\.ikarus\.at/
    »^[^:]*://[^\.]*\.mailsecurity\.at/
    »^[^:]*://officecdn\.microsoft\.com\.edgesuite\.net/

    		Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
    notempty
    Diese Seiten werden nicht auf Viren geprüft!

    Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.
    Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.
    Cache Updates notempty
    Neu ab v12.7.2

    Wird im globalen Konfigurationsprofil festgelegt    		 Aus

    Bandbreite

    Bandbreitenbegrenzung-Policy: Keine Default
    Bereich Bandbreite
    Gesamte Bandbreite begrenzen Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt.
    (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
    Bandbreite per Host begrenzen Bandbreite für jeden einzelnen Host.
    Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
    Globale Bandbreite: 2.000.000 kbit/s Default-Wert, falls aktiviert
    Bandbreite per Host: 64.000 kbit/s Default-Wert, falls aktiviert

    App Blocking

    Das pauschale App-Blocking mit festen Ports wurde entfernt.
    Einzelne Apps, bzw. die von Ihnen genutzten Ports, können flexibel über den Paketfilter gesperrt werden.

    SSL-Interception

    Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt.
    Dazu ist es allerdings notwendig, eine CA unter Authentifizierung Zertifikate zu erstellen und dieses im Feld CA-Zertifikat auszuwählen.

    Beschriftung Wert Beschreibung Konfigurationsprofil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
    Aktiviert: Aus Die SSL-Interception ist ausgeschaltet
    Nur Webfilter basiert Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen.
    Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
    Immer Aktiviert die SSL-Interception
    SNI validieren:
    Wird im globalen Konfigurationsprofil festgelegt    		 Ja Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen.
     Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
     Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
     Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
    Nicht erkannte Protokolle erlauben: Ja Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
    CA-Zertifikat: CA-SSL-Interception Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.
    Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen.
    Public-Key herunterladen Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
    Zertifikatsverifizierung:
    nicht bei Nur Webfilter basiert
    Wird im globalen Konfigurationsprofil festgelegt    		 Ein Sollte unbedingt aktiviert werden!
    Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.

    Ausnahmen für SSL-Interception

    Ausnahmen für SSL-Interception

    nicht bei Nur Webfilter basiert
    Aktiviert: Aus Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert.
    Neue Ausnahmen fügt man direkt im Eingabefeld ein.
    Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de"
  • Regex-Ausnahmen gelten nicht für den transparenten Modus!
    • Ausnahmen mit SNI abgleichen:
    Verfügbar, wenn SNI validieren aktiv ist.    		 Aus Wendet die Server Name Indication Validierung nur auf aktivierte  Ausnahmen für SSL-Interception  an.
    Ausnahmen: .*\.ttt-point\.de
    Vordefiniert im Globalen Konfigurationsprofil:
    .*\.ikarus\.at.*\.mailsecurity\.at .*91\.212\.136\..*    		 Ausnahmen bestimmen, hier für ttt-point.de

    Ausnahmen für Zertifikatsverifizierung

    Ausnahmen für Zertifikatsverifizierung

    nur bei aktivierter Zertifikatsverifizierung
    Aktiviert: Aus Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.


    Captive Portal

    Das Captive Portal wird ab v12.1 in einem eigenen Menü unter Anwendungen Captive Portal konfiguriert. Hierzu gibt es einen eigenen Wiki-Artikel.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/HTTP_Proxy&oldid=99528