Wechseln zu:Navigation, Suche
Wiki
Zeile 148: Zeile 148:
* <nowiki>http://beispiel.net*</nowiki>
* <nowiki>http://beispiel.net*</nowiki>
* <nowiki>http://beispiel.net</nowiki>
* <nowiki>http://beispiel.net</nowiki>
* anstatt des http:// geht auch https://

Version vom 17. September 2013, 09:55 Uhr

Vorlage:V11

Einleitung

Mit einem Content filter kann man bestimmte Inhalte auf einer Webseite für ein Netzwerk oder für gewisse Benutzer verbieten. Dadurch ist es zum Beispiel möglich, in öffentlich/privaten Einichtungen anstößige oder jugendgefährdende Webseiten zu sperren.


Was sind die Ziele in diesem Howto?

Diese Anleitung zeigt Ihnen, wie Sie den Webfilter der UTM v11 im Zusammenhang mit mehreren Benutzergruppen konfigurieren können.

Folgende 4 Voraussetzungen sollen erfüllt werden:

  • 1. Die Geschäftsführung, darf frei Surfen, bis auf welche mit pornografischen Inhalt.
  • 2. Die Technik darf keine Soziale Netzwerke und Seiten mit pornografischen Inhalt aufrufen.
  • 3. Der Vertrieb darf nur Firmenwebseiten aufrufen.
  • 4. Des Weiteren dürfen um die Mittagszeit von 12:00 Uhr bis 13:00 Uhr die Mitarbeiter frei surfen, bis auf Seiten die zur Kategorie Porno und Erotik gehören.


In diesem Beispiel ist die UTM an ein Active Directory angebunden, welches ein Windows 2008 R2 Standard Server ist. Die Einrichtungshinweise dazu finden Sie hier. Alternative können Sie den Contentfilter auch mit einer lokalen Authentifizierung auf der Firewall oder auf IP - Basis einrichten.

Webfilter Konfigurieren

Benuztergruppen mit dem AD verknüpfen

  • Gehen Sie auf Authentifizierung -> Benutzer -> Gruppen
  • Fügen Sie für jede Abteilung eine separate Gruppe hinzu
  • Unter Berechtigungen setzen Sie den Haken Http Proxy
  • Unter Active Directory wählen Sie die entsprechende AD Gruppe aus.


Filterregeln für den Webfilter erstellen

  • Um die Regelsätze für den Webfilter einzustellen, öffnen Sie die Http Proxy Einstellungen, klicken auf den Reiter Webfilter und wechseln dort zu dem Punkt Regelsätze.
  • Klicken Sie auf Regelsatz hinzufügen
  • Geben Sie dem Regelsatz einen Namen
  • In unserem Beispiel heißen die Regelsätze:
  1. filter_Geschaetfsfuehrung
  2. filter_Technik
  3. filter_Vertrieb
  4. filter_mittag
  • Die Regelsätze filter_ruleset und deny_access werden von der Firewall automatisch angelegt.


Filter: Geschaeftsfuehrung

  • Klicken Sie auf das Schraubenschlüsselsymbol um den Filter zu editieren.
  • Bei Aktion wählen Sie blacklist-cat aus und dann bei der Kategorie Porno und Erotik und klicken auf das + Symbol
  • Klicken Sie auf speichern. Das Fenster für diesen Filter schließt sich danach automatisch.
Filter geschauftsfuehrung.jpg

Filter: Technik

  • Editieren Sie den Filter für die Technik Gruppe
  • Bei der blacklist-cat wählen Sie Erotik und Porno und Soziale Netzwerke aus
  • Klicken Sie auf speichern.
Filter technik.jpg


Filter: Vertrieb

Als nächtes editieren Sie den Filter für den Vertrieb. Dieser darf nur auf Firmenwebseiten zugreifen.

  • Als Aktion wählen Sie whitelist-url und tippen dann die entsprechende Domain ein.
In unserem Beispiel darf der Vertrieb auf Seiten die zu Securepoint, Medical-IT, Wortmann und D-Link gehören zugreifen.
Filter vertrieb.jpg


Filter: Mittag

Zuletzt kommt der Regelsatz der, um die Mittagszeit, alles freigibt, bis auf "Porno und Erotik".

  • Bei Aktion wählen Sie wieder Porno und Erotik als blackilist-cat aus.
  • Bei Punkt Zeit setzen wir einen Haken bei Aktivieren
  • Die Startzeit ist 12:00 Uhr
  • Die End Time ist 13:00 Uhr
  • Nun klicken wir noch die Checkboxen an, an welchen Tagen diese Filterregel greifen soll. In unserem Beispiel soll er an allen 5 Werktagen um die Mittagszeit das surfen freigeben.
Filter mittag.jpg


Profile für den Webfilter einstellen

  • Um die Regelsätze den Benutzergruppen zu zuweisen, klicken Sie auf Profile
  • Dort klicken Sie auf Profil hinzufügen
  • Als Netzwerk- oder Benutzergruppe wählen Sie die entsprechende Benutzergruppe.(Geschäftsführung, Technik oder Vertrieb) Bei Regelsatz wählen Sie den entsprechenden Regelsatz/Regelsätze der für diese Gruppe gelten soll und klicken auf das "+ Symbol".


Profil Geschäftsführung

  • Bei dem Profil für die Geschäftsführung wählen Sie die Benutzergruppe Geschaestfuehrung und bei Regelsatz filter_Geschaetsfuehrung aus.
  • Klicken Sie auf das +Symbol und anschließend Speichern Sie die Einstellungen.
Profil geschaetfsfuehrung.jpg


Profil Technik

  • Wählen Sie die Gruppe Technik aus
  • Fügen Sie die Regelsätze filter_mittag und filter_Technik hinzu.
  • Beachten Sie dass der filter_mittag über den filter_Technik stehen muss. Die Reihenfolge können Sie mit den Hoch/Runter Buttons Einstellen.
Die Filterregeln werden von oben nach unten abgearbeitet. Deswegen muss der filter_mittag ganz oben stehen. Denn der Contentfilter soll erst überprüfen ob die Ausnahme um die Mittagszeit aktiviert werden soll oder nicht.
  • filter_mittag hat den Rang 0
  • filter_Technik hat den Rang 1
Profil technik.jpg


Profil Vertrieb

  • Wählen Sie die Gruppe Technik aus
  • Fügen Sie die Regelsätze filter_mittag, filter_Vertrieb und deny_acces hinzu.
  • Beachten Sie, wie auch bei der Technik, die richtige Reihenfolge der Regelsätze.
Beim Vertrieb soll der Contentfilter erst prüfen, ob der Mittag Filter aktiviert werden soll. Anschließend überprüft der Filter ob die aufgerufene URL als whitelist-url beim Regelsatz filter_Vertrieb hinterlegt ist. Wenn ja wird die Seite freigegeben wenn nicht greif der deny_acces Regelsatz der alles blockiert.
  • filter_mittag hat Rang 0
  • filter_Vertrieb hat den Rang 1
  • deny_acces hat den Rang 2
Profil vertrieb2.jpg

Proxy Einstellungen und Webfilter aktivieren

  • Deaktivieren Sie den transparenten Proxy und stellen Sie die Authentifizierungsmethode auf NTLM.
  • Gehen Sie in die Webfilter Einstellungen und setzen den Hacken bei Webfilter aktivieren.
Eine Authentifizierung und der transparente Modus können nicht gleichzeitig verwendet werden.

URL's white/blacklisten

Hier noch einige Beispiele was Sie bei whitelist-url oder blacklist-url eintragen können:

  • *beispiel*
  • *.beispiel.*
  • *beispiel.net (oder .de, .com etc.)
  • http://*beispiel.net*
  • http://*beispiel.*
  • http://beispiel.net*
  • http://beispiel.net
  • anstatt des http:// geht auch https://