KKeine Bearbeitungszusammenfassung |
Andreb (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| (10 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 9: | Zeile 9: | ||
| Webfilter Konfiguration auf der UTM | | Webfilter Konfiguration auf der UTM | ||
| Webfilter configuration on the UTM }} | | Webfilter configuration on the UTM }} | ||
{{var | Voraussetzung | {{var | Voraussetzung | ||
| Voraussetzung | | Voraussetzung | ||
| Zeile 23: | Zeile 14: | ||
{{var | Voraussetzung--desc | {{var | Voraussetzung--desc | ||
| Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.<br> Dazu muss entweder | | Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.<br> Dazu muss entweder | ||
* die SSL-Interception ({{Menu-UTM|Anwendungen|HTTP-Proxy|SSL-Interception}}) aktiviert <br>'''und'''<br>der transparente Modus für https aktiviert werden (Menü {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus}})<br><br>'''oder'''<br> | * die SSL-Interception ({{Menu-UTM|Anwendungen|HTTP-Proxy|SSL-Interception}}) aktiviert <br>'''und'''<br> der transparente Modus für https aktiviert werden (Menü {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus}})<br><br> '''oder'''<br> | ||
* auf '''jedem Host''' wird die UTM als Proxy in '''jedem Browser''' eingerichtet. | * auf '''jedem Host''' wird die UTM als Proxy in '''jedem Browser''' eingerichtet. | ||
| In order for the UTM to "see" the network traffic it is supposed to filter, the proxy of the UTM must also be used for https. <br> Therefore either | | In order for the UTM to "see" the network traffic it is supposed to filter, the proxy of the UTM must also be used for https. <br> Therefore either | ||
* the SSL interception ({{Menu-UTM|Applications|HTTP proxy|SSL interception}}) <br>'''and'''<br>the transparent mode for https must be activated (menu {{Menu-UTM|Applications|HTTP proxy|Transparent mode}}).<br><br>'''or'''<br>on '''every host''' the UTM is set up as a proxy in '''every browser'''}} | * the SSL interception ({{Menu-UTM|Applications|HTTP proxy|SSL interception}}) <br>'''and'''<br>the transparent mode for https must be activated (menu {{Menu-UTM|Applications|HTTP proxy|Transparent mode}}).<br><br> '''or'''<br> on '''every host''' the UTM is set up as a proxy in '''every browser'''}} | ||
{{var | Übersicht | {{var | Übersicht | ||
| Übersicht | | Übersicht | ||
| Zeile 44: | Zeile 35: | ||
* The rule sets are checked in sequence to see whether they apply (in terms of content and time) }} | * The rule sets are checked in sequence to see whether they apply (in terms of content and time) }} | ||
{{var | Webfilter--Bild | {{var | Webfilter--Bild | ||
| UTM | | UTM v14.1.1 Anwendungen Webfilter Allgemein.png | ||
| UTM | | UTM v14.1.1 Anwendungen Webfilter Allgemein-en.png }} | ||
{{var | Anwendungen | |||
| Anwendungen | |||
| Applications }} | |||
{{var | Webfilter--cap | {{var | Webfilter--cap | ||
| Webfilter Übersicht | | Webfilter Übersicht | ||
| Webfilter overview }} | | Webfilter overview }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| Zeile 95: | Zeile 86: | ||
| Review all rule sets: }} | | Review all rule sets: }} | ||
{{var | Sämtliche Regelsätze überprüfen--nein--desc | {{var | Sämtliche Regelsätze überprüfen--nein--desc | ||
| Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht.<br>Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet. | | Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht.<br> Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet. | ||
| The first rule set (if applicable, the first with a valid time profile) is searched.<br>If no matching rule is found, the default behaviour of this rule set is applied. }} | | The first rule set (if applicable, the first with a valid time profile) is searched.<br> If no matching rule is found, the default behaviour of this rule set is applied. }} | ||
{{var | Sämtliche Regelsätze überprüfen--ja--desc | {{var | Sämtliche Regelsätze überprüfen--ja--desc | ||
| Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde.<br> Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil). | | Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde.<br> Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil). | ||
| Zeile 104: | Zeile 95: | ||
| Profiles }} | | Profiles }} | ||
{{var | Profile--Bild | {{var | Profile--Bild | ||
| UTM | | UTM v14.1.0 Anwendungen Webfilter Profile.png | ||
| UTM | | UTM v14.1.0 Anwendungen Webfilter Profile-en.png }} | ||
{{var | Profile--cap | {{var | Profile--cap | ||
| Webfilter - Abschnitt Profile | | Webfilter - Abschnitt Profile | ||
| Zeile 114: | Zeile 105: | ||
* Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) | * Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) | ||
verbunden.<br> | verbunden.<br> | ||
{{ | {{Alert|g}} Für Profile gilt: | ||
* Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren<br>'''Aber:''' Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein! | * Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren<br> '''Aber:''' Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein! | ||
* Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden. | * Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden. | ||
* Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause. | * Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause. | ||
| Zeile 126: | Zeile 117: | ||
* A profile can contain several sets of rules, e.g. exceptions for lunch break. }} | * A profile can contain several sets of rules, e.g. exceptions for lunch break. }} | ||
{{var | Profil bearbeiten--desc | {{var | Profil bearbeiten--desc | ||
| Öffnet den Dialog zum bearbeiten des Profils.<br> | | Öffnet den Dialog zum bearbeiten des Profils.<br>Es können: | ||
| Opens the | * die Netzwerk- oder Benutzergruppe geändert werden | ||
* {{Hinweis-box|Neu an dieser Stelle ab v14.1.0 | gr| 14.2.0|status=update}} weitere Regelsätze können hinzugefügt werden | |||
| Opens the dialog for editing the profile.<br>You can: | |||
* the network or user group can be changed | |||
* {{Hinweis-box|New at this point from v14.1.0 | gr| 14.2.0|status=update}} further rule sets can be added }} | |||
{{var | Regelsatz überlagert | {{var | Regelsatz überlagert | ||
| Regelsatz wird überlagert von… | | Regelsatz wird überlagert von… | ||
| Rule set is overlaid by… }} | | Rule set is overlaid by… }} | ||
{{var | Regelsatz überlagert--desc | {{var | Regelsatz überlagert--desc | ||
| Dieser Regelsatz wird ganz oder teilweise von einem anderen Regelsatz überlagert und wird daher ganz oder teilweise '''nicht angewendet''' | | Blau mit Warnhinweis: Dieser Regelsatz wird ganz oder teilweise von einem anderen Regelsatz überlagert und wird daher ganz oder teilweise '''nicht angewendet'''<br>Details im jeweiligen Hovertext | ||
| This rule set is completely or partially overlaid by another rule set and is therefore completely or partially '''not applied''' }} | | This rule set is completely or partially overlaid by another rule set and is therefore completely or partially '''not applied'''<br>Details in the responsive hovertext }} | ||
{{var | Verschieben | {{var | Verschieben | ||
| Verschieben | | Verschieben | ||
| Arrange }} | | Arrange }} | ||
{{var | Verschieben--desc | {{var | Verschieben--desc | ||
| Die Elemente können | | Die Elemente können verschoben werden. | ||
| | | The elements can be moved. }} | ||
{{var | Weitere Optionen via Rechtsklick verfügbar | |||
| Weitere Optionen via Rechtsklick auf Icon {{spc|drag|o|-}} verfügbar | |||
| Additional options available by right-clicking on the icon {{spc|drag|o|-}} }} | |||
{{var | Bearbeiten | {{var | Bearbeiten | ||
| Bearbeiten | | Bearbeiten | ||
| Zeile 163: | Zeile 161: | ||
{{var | Profil hinzufügen--desc | {{var | Profil hinzufügen--desc | ||
| Öffnet den Dialog zum Hinzufügen eines Profils | | Öffnet den Dialog zum Hinzufügen eines Profils | ||
| Opens the dialogue for adding a profile }} | | Opens the dialogue for adding a profile }} | ||
{{var | Netzwerk- oder Benutzergruppe | {{var | Netzwerk- oder Benutzergruppe | ||
| Netzwerk- oder Benutzergruppe: | | Netzwerk- oder Benutzergruppe: | ||
| Zeile 174: | Zeile 172: | ||
| Generate new rule set: }} | | Generate new rule set: }} | ||
{{var | Neuen Regelsatz generieren--desc | {{var | Neuen Regelsatz generieren--desc | ||
| | | Erzeugt automatisch einen neuen Regelsatz, der diesem Profil zugeordnet ist | ||
* Der Regelsatz erhält den Namen der Netzwerk- oder Benutzergruppe mit angehängtem ''_ruleset_#'' | * Der Regelsatz erhält den Namen der Netzwerk- oder Benutzergruppe mit angehängtem ''_ruleset_#'' | ||
* Der Regelsatz enthält die Defaultvorgaben | * Der Regelsatz enthält die Defaultvorgaben | ||
| Zeile 187: | Zeile 185: | ||
| Only if ''generate new rule set'' {{ButtonAus|No}} is deactivated }} | | Only if ''generate new rule set'' {{ButtonAus|No}} is deactivated }} | ||
{{var | Regelsatz--desc | {{var | Regelsatz--desc | ||
| Bestehender Regelsatz, der in diesem Profil gelten soll | | Bestehender Regelsatz, der in diesem Profil gelten soll<br><small>Angaben wie im folgenden Abschnitt ''Profil bearbeiten'' </small> | ||
| Existing rule set to apply in this profile }} | | Existing rule set to apply in this profile<br><small>Information as in the following section ''edit Profile'' </small> }} | ||
{{var | Regelsätze | {{var | Regelsätze | ||
| Regelsätze | | Regelsätze | ||
| Rule sets }} | | Rule sets }} | ||
{{var | Regelsätze--Bild | {{var | Regelsätze--Bild | ||
| UTM | | UTM v14.1.0 Anwendungen Webfilter Regelsätze.png | ||
| UTM | | UTM v14.1.0 Anwendungen Webfilter Regelsätze-en.png }} | ||
{{var | Regelsätze--desc | {{var | Regelsätze--desc | ||
| In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen. | | In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen. | ||
| Zeile 213: | Zeile 208: | ||
| Fügt den aktuellen Regelsatz dem z.Zt. markierten Profil hinzu | | Fügt den aktuellen Regelsatz dem z.Zt. markierten Profil hinzu | ||
| Adds the current rule set to the currently selected profile }} | | Adds the current rule set to the currently selected profile }} | ||
{{var | Regelsatz kopieren | |||
| Regelsatz kopieren | |||
| Copy rule set }} | |||
{{var | Regelsatz kopieren--desc | |||
| Öffnet den Dialog zum Bearbeiten eines Regelsatzes mit den kopierten Eigenschaften der ausgewählten Regel | |||
| Opens the dialogue for editing a rule set with the copied properties of the selected rule }} | |||
{{var | Regelsatz hinzufügen | {{var | Regelsatz hinzufügen | ||
| Regelsatz hinzufügen | | Regelsatz hinzufügen | ||
| Zeile 230: | Zeile 231: | ||
{{var | Regelsatz bearbeiten | {{var | Regelsatz bearbeiten | ||
| Regelsatz bearbeiten | | Regelsatz bearbeiten | ||
| | | Edit rule set }} | ||
{{var | | {{var | Eindeutiger Name | ||
| Eindeutiger Name | | Eindeutiger Name | ||
| Unique name }} | | Unique name }} | ||
| Zeile 255: | Zeile 253: | ||
| Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird. | | Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird. | ||
| Defines access to websites whose host names use URL shortener services. Here, you can choose whether these are blocked or allowed regardless of the actual destination or whether the host name is resolved and then handled according to existing rules. }} | | Defines access to websites whose host names use URL shortener services. Here, you can choose whether these are blocked or allowed regardless of the actual destination or whether the host name is resolved and then handled according to existing rules. }} | ||
{{var | zulassen | {{var | zulassen | ||
| zulassen | | zulassen | ||
| Zeile 297: | Zeile 292: | ||
| Regeln | | Regeln | ||
| Rules }} | | Rules }} | ||
{{var | Regeln--desc | {{var | 1=Regeln--desc | ||
| Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. < | | 2=Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. | ||
<li class="list--element__alert list--element__hint">Die Regeln werden in dieser Reihenfolge abgearbeitet:</li> | |||
# URL | # URL | ||
# URL Regex {{info| Syntax der [[UTM/APP/Regex | Regulären Ausdrücke - Regex]]}} | # URL Regex {{info| Syntax der [[UTM/APP/Regex | Regulären Ausdrücke - Regex]]}} | ||
| Zeile 305: | Zeile 301: | ||
* Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist | * Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist | ||
* Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist | * Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist | ||
| 3=Define here which websites are allowed or not to be reached.<li class="list--element__alert list--element__hint">The rules are processed in this order:</li> | |||
| Define here which websites are allowed or not to be reached. < | |||
# URL | # URL | ||
# URL Regex {{info| Syntax of [[UTM/APP/Regex | regular expressions - Regex]]}} | # URL Regex {{info| Syntax of [[UTM/APP/Regex | regular expressions - Regex]]}} | ||
| Zeile 315: | Zeile 307: | ||
# Categories {{info|An overview of all categories can be found [[UTM/APP/Webfilter-CF_Kategorien | here]]}} | # Categories {{info|An overview of all categories can be found [[UTM/APP/Webfilter-CF_Kategorien | here]]}} | ||
* If a URL is allowed, data traffic is possible even if the corresponding category is blocked | * If a URL is allowed, data traffic is possible even if the corresponding category is blocked | ||
* If a URL regex is blocked, no data traffic is possible even if the domain is allowed | * If a URL regex is blocked, no data traffic is possible even if the domain is allowed }} | ||
{{var | Regel zulassen--desc | {{var | Regel zulassen--desc | ||
| Lässt den Datenverkehr zu | | Lässt den Datenverkehr zu | ||
| Zeile 328: | Zeile 317: | ||
| Löscht die Regel | | Löscht die Regel | ||
| Deletes the rule }} | | Deletes the rule }} | ||
{{var | | {{var | Allowlisting Beispiele | ||
| | | Allowlisting Beispiele | ||
| | | Allowlisting example }} | ||
{{var | | {{var | Allowlisting Beispiele--desc | ||
| In diesem Beispiel wurde die URL '''www.google.de''' und die Kategorie '''Ausbildung''' über die Funktion {{Button|+ Regel hinzufügen}} zum | | In diesem Beispiel wurde die URL '''www.google.de''' und die Kategorie '''Ausbildung''' über die Funktion {{Button|+ Regel hinzufügen}} zum Allowlisting hinzugefügt.<br> {{Hinweis-box||g}} Da der Webfilter die Regeln von oben nach unten bearbeitet, musste in diesem Beispiel die Kategorie ''Ausbildung'' manuell an die erste Stelle geschoben werden. | ||
| In this example, the URL '''www.google.de''' and the category '''Education''' were added to the | | In this example, the URL '''www.google.de''' and the category '''Education''' were added to the allowlisting via the function {{Button|+ Add rule}}.<br> {{Hinweis-box||g}} Since the web filter processes the rules from top to bottom, in this example the category ''Education'' had to be manually pushed to the first position. }} | ||
{{var | | {{var | Allowlisting Beispiele--Bild | ||
| UTM v12.6 Webfilter | | UTM v12.6 Webfilter Allowlist Beispiele.png | ||
| UTM v12.6 Webfilter | | UTM v12.6 Webfilter Allowlist Beispiele-en.png }} | ||
{{var | Sonstiges | {{var | Sonstiges | ||
| Sonstiges | | Sonstiges | ||
| Zeile 345: | Zeile 334: | ||
{{var | Beispiele für Ausnahmen für Windows-Updateserver--desc | {{var | Beispiele für Ausnahmen für Windows-Updateserver--desc | ||
| Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel [[UTM/KB/APP/HTTP_Proxy-Windows | Windows Updates mit HTTP-Proxy und Webfilter]] | | Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel [[UTM/KB/APP/HTTP_Proxy-Windows | Windows Updates mit HTTP-Proxy und Webfilter]] | ||
| For more examples on setting up the Webfilter, authentication exceptions, virus scanner and SSL interception regarding Windows updates, see the Knowledge Base article [ | | For more examples on setting up the Webfilter, authentication exceptions, virus scanner and SSL interception regarding Windows updates, see the Knowledge Base article [{{#var:host}}UTM/KB/APP/HTTP_Proxy-Windows Windows Updates with HTTP proxy and webfilter] }} | ||
{{var | Architektur des Webfilter | {{var | Architektur des Webfilter | ||
| Architektur des Webfilters | | Architektur des Webfilters | ||
| Architecture of the Webfilter }} | | Architecture of the Webfilter }} | ||
{{var | Architektur des Webfilter--desc | {{var | Architektur des Webfilter--desc | ||
| Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> | | Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> Der Ablauf ist wie folgt:<br> Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.<br> Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> Nun wird überprüft, ob die Kategorie aufgelistet und auf einer Allow- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.<br> Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten. | ||
Der Ablauf ist wie folgt:<br> | |||
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> | |||
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt. <br> | |||
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> | |||
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> | |||
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> | |||
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> | |||
Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> | |||
Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> | |||
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> | |||
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> | |||
Nun wird überprüft, ob die Kategorie aufgelistet und auf einer | |||
Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> | |||
Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten. | |||
| The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br> | | The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br> | ||
The process is as follows:<br> | The process is as follows:<br> A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile.<br> If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> After a profile is recognised, the rule set associated with it is checked.<br> First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> If the requested URL is not listed, the system checks whether it fits into a category.<br> To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }} | ||
A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> | {{var | Profil bearbeiten | ||
Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile. <br> | | Profil bearbeiten | ||
If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> | | Edit profile }} | ||
After a profile is recognised, the rule set associated with it is checked.<br> | {{var | Profil bearbeiten--Bild | ||
First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> | | UTM v14.1.0 Anwendungen Webfilter Profile bearbeiten.png | ||
If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> | | }} | ||
If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> | {{var | Profil bearbeiten--cap | ||
If the requested URL is not listed, the system checks whether it fits into a category.<br> | | Dialog ''Profil bearbeiten'' | ||
To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> | | ''Edit profile'' dialog }} | ||
If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> | {{var | Netzwerk- oder Benutzergruppe--val | ||
Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> | | Darf nix | ||
It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> | | May nothing }} | ||
If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }} | {{var | Profil bearbeiten Regelsatz hinzufügen--desc | ||
| Bestehender Regelsatz, der mit der Schaltfläche {{Button||+|class=small}} diesem Profil hinzugefügt werden soll | |||
| Existing rule set to be added to this profile with the {{Button||+|class=small}} button }} | |||
{{var | Regelsatz entfernen--desc | |||
| Entfernt den Regelsatz aus dem Profil | |||
| Removes the rule set from the profile }} | |||
{{var | Status | |||
| Status | |||
| Status }} | |||
{{var | Status--desc | |||
| Aktiviert bzw. deaktiviert {{ButtonAus|{{#var:aus}}|class=small}} einen Regelsatz {{info|Geeignet zum Testen oder vorübergehendem Deaktivieren}} | |||
| Activates or deactivates {{ButtonAus|{{#var:aus}}|class=small}} a rule set {{info|Suitable for testing or temporary deactivation}} }} | |||
{{var | Label-blau--desc | |||
| Regelsätze werden als Label angezeigt.<br>Blau: Regelsatz wird angewendet | |||
| Rule sets are displayed as labels.<br>Blue: Rule set is applied }} | |||
{{var | Label-grau--desc | |||
| Grau: Regelsatz ist deaktiviert | |||
| Gray: Rule set is decativated }} | |||
{{var | Profile allgemein | |||
| Profile allgemein | |||
| General profile }} | |||
{{var | IDN möglich | |||
| Es werden internationale Domainnamen (IDN) unterstützt.<br>Die Eingabe von Umlauten (äöü) ist z.B. möglich. | |||
| International domain names (IDN) are supported.<br>The entry of umlauts (äöü), for example, is possible. }} | |||
{{var | Beispiel-Hinweis | |||
| Ausführliche Anwendungsbeispiele finden sich auf [[UTM/APP/Webfilter-Beispiel|einer extra Seite]]. | |||
| Detailed application examples can be found on [{{#var:host}}UTM/APP/Webfilter-Beispiel a separate page]. }} | |||
{{var | Schutz durch Ähnlichkeitserkennung | |||
| Schutz durch Ähnlichkeitserkennung: | |||
| }} | |||
{{var | Schutz durch Ähnlichkeitserkennung--nein--desc | |||
| Standardmäßig ist die Überprüfung deaktiviert, ob eine Domain einer bekannten Domain ähnelt und somit womöglich ein Risiko darstellt | |||
| }} | |||
{{var | Schutz durch Ähnlichkeitserkennung--ja--desc | |||
| Bei Aktivierung dieser Einstellung blockiert der Webfilter bei aktiviertem HTTP Proxy den Zugriff auf potenziell gefährliche Domains, die den vertrauenswürdigen Domains der Ähnlichkeitserkennung ähneln. | |||
| }} | |||
{{var | Hinweis-Experimentell | |||
| Diese Feature ist experimentell und sollte daher nur mit Bedacht verwendet werden! | |||
| }} | |||
---- | ---- | ||
UTM/APP/Webfilter.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki