Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 33: | Zeile 33: | ||
Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> | Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> | ||
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> | Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> | ||
Ist das nicht der Fall, wird über die UTM eine Anfrage bei den Securepoint Contentfilter-Servern gestartet, die wie eine DNS Anfrage funktioniert | Ist das nicht der Fall, wird über die UTM eine Anfrage bei den Securepoint Contentfilter-Servern gestartet, die wie eine DNS Anfrage funktioniert: Die URL wird zum Server gesendet und es kommt eine IP-Adresse zurück, die dem Webfilter mitteilt, in welcher Kategorie sich diese URL befindet. | ||
Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage zugelassen oder geblockt. | Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage zugelassen oder geblockt. | ||
Da es sein kann, dass die URL in mehreren Kategorien enthalten ist, wird die Anfrage an den Contentfilter-Servern wiederholt und mit den weiteren Einträgen in der Liste abgeglichen. | |||
Sind weder die URL noch eine passende Kategorie in der Liste des Regelsatzes hinterlegt, wird die URL Anfrage zugelassen. | |||
Version vom 8. Dezember 2015, 16:24 Uhr
Webfilter ab der UTM Version 11.6
Der Webfilter wird ab der Version 11.6 als ein eigener Menüpunkt im Menü Anwendungen dargestellt und befindet sich nicht mehr in den HTTP-Proxy Einstellungen.
Im Webfilter können Netzwerk- und Benutzergruppen granulare Zugriffsrechte auf Webseiten gewährt werden. Zur Unterstützung stehen dazu Webseiten-Kategorien zur Verfügung.
Arbeitsweise des Webfilter
Der Webfilter arbeitet auf Basis von URLs und Kategorien und es müssen Profile für Netzwerkgruppen oder Benutzergruppen angelegt werden, an die entsprechende Regelsätze gebunden werden können.
Der Ablauf ist wie folgt:
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Der Uniform Resource Locator (URL) der Webseite wird über den HTTP Proxy geleitet. Entweder dadurch dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder weil im Browser des Client die Proxy Anfrage eingerichtet wurde.
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP Adresse mit einem Profil übereinstimmt.
In der oben gezeigten Ablauf Grafik wird zunächst der Benutzername überprüft. Sollte dieser keinem Profil zugeordnet sein, wird anschließend überprüft ob ein Profil existiert bei der die Quell-IP mit einer Netzwerkgruppe übereinstimmt.
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert werden kann. Also werden diese Anforderungen je nach Einstellung des Webfilter entweder zugelassen oder geblockt.
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.
Zunächst wird die Zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, schaut der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift wieder die Standard Aktion wenn kein Profil gefunden wurde.
Ist der Regelsatz nicht Zeitlich geregelt oder stimmt der Regelsatz Zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.
Wird mit dem Regelsatz nicht alles blockiert, schaut sich der Webfilter nun die hier hinterlegten URLs an und vergleicht diese mit der Anforderung der Client. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geschaut, ob diese auf der Whitelist oder auf der Blacklist steht und wird entsprechend zugelassen oder geblockt.
Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
Ist das nicht der Fall, wird über die UTM eine Anfrage bei den Securepoint Contentfilter-Servern gestartet, die wie eine DNS Anfrage funktioniert: Die URL wird zum Server gesendet und es kommt eine IP-Adresse zurück, die dem Webfilter mitteilt, in welcher Kategorie sich diese URL befindet.
Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage zugelassen oder geblockt.
Da es sein kann, dass die URL in mehreren Kategorien enthalten ist, wird die Anfrage an den Contentfilter-Servern wiederholt und mit den weiteren Einträgen in der Liste abgeglichen.
Sind weder die URL noch eine passende Kategorie in der Liste des Regelsatzes hinterlegt, wird die URL Anfrage zugelassen.
Webfilter-Einstellungen
Allgemein
Hier kann zunächst der Webfilter aktiviert bzw. deaktiviert werden.
Zusätzlich kann das Standardverhalten des Webfilters auf blockieren oder zulassen gestellt werden. Dadurch wird der Zugriff für Hosts oder Benutzer blockiert bzw. zugelassen, für die kein Profil im Webfilter angelegt worden ist.
Profil
Für jede Netzwerk- und Benutzergruppe, die auf der Appliance konfiguriert ist, kann ein Webfilter Profil erstellt werden. Diesen Profilen können ein oder mehr Regelsätze zugewiesen werden, welche das Verhalten für das entsprechende Profil definieren.
Hinweis! |
Netzwerk- und Benutzergruppen müssen in anderen Dialogen erstellt werden:
- Netzwerkgruppen werden unter Firewall > Portfilter > Netzwerkobjekte angelegt. Hier werden Netzwerkobjekte zu Gruppen zusammengefasst.
- Benutzergruppen werden unter Authentifizierung > Benutzer angelegt. Hier besteht die Möglichkeit bestimmten Benutzern Gruppen zuzuweisen, die durch die UTM oder externe Dienste (Radius, LDAP, AD) authentifiziert werden können. Damit die Zugriffsrechte des Webfilters greifen, ist eine Authentifizierung am Proxy zwingend notwendig.
Regelsatz
Regelsätze müssen Profilen zugewiesen werden, um den Webzugriff für bestimmte Netzwerk- oder Benutzergruppe zu regulieren. Ein Regelsatz muss alles beinhalten, was anschließend für die Einschränkung des Profils benötigt wird.
Beim Anlegen/Bearbeiten eines Regelsatzes stehen folgende Optionen zur Verfügung:
Allgemein | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Name: | Ein Name, der den Regelsatz beschreibt. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Regelsatz kopieren: | Zur schnelleren Konfiguration von Regelsätzen kann hier die Option genutzt werden einen anderen Regelsatz zu kopieren und anschließend anzupassen. Ausgenommen davon ist der Name des Regelsatzes. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Zugang blockieren: | Die Aktivierung dieser Regel sorgt dafür, dass alle Webseiten gesperrt werden. Die Konfigurationen unter "Einstellungen" und "Regeln" werden dadurch nicht angewendet. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gültig | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tage: | In diesem Bereich wird definiert, an welchen Tagen der Regelsatz aktiv sein soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Von: | Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen beginnen soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bis: | Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen enden soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SafeSearch: |
Mit der Einstellung SafeSearch kann das für die Google Websuche geschaffene Filtersystem genutzt werden. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL-Shortener: | Erweitert die verkürzt dargestellten URLs in die Langform. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Regeln | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
An dieser Stelle werden dem Regelsatz die gewünschten Regeln zugewiesen. Für jede Regel kann einzeln eingestellt werden, ob der Zugriff zugelassen oder blockiert wird. Die Regeln können per Drag & Drop in die gewünschte Reihenfolge gebracht werden, das ist wichtig, da die Regeln von oben nach unten abgearbeitet werden und der erste Treffer gilt. Es können URL-Regeln und Kategorie-Regeln zugewiesen werden: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL: |
Hier wird die gewünschte URL oder eine passende Wildcard angegeben. Dazu einige Beispiele:
Bei Regeln, mit aktivierter SSL-Interception, differiert das Filterverhalten zu Regeln ohne SSL-Interception. Ist SSL-Interception deaktiviert, wird der Proxy bei HTTPS-Verbindungen nur den Host-Namen, jedoch nicht die komplette URL der angesprochenen Webseite erkennen. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Kategorie: |
Die Webseiten werden passenden Kategorien zugewiesen, so dass diese entsprechend ihrer Kategorien gefiltert werden können.
|
Die letzten beiden Kategorien sind im Webfilter nicht auswählbar.
Einrichtung eines Webfilterprofils
Nachdem eine Netzwerk- oder Benutzergruppe angelegt wurde, steht diese auch für den Webfilter zur Verfügung.
Da beim Anlegen eines Profils immer auch gleich ein Regelsatz mit angelegt wird, beginnt die Prozedur durch einen Klick auf die Schaltfläche
In diesem Beispiel wurde die Benutzergruppe Webfilter-Grp angelegt, die nun ausgewählt wird.
Im Webfilter befindet sich nun das Profil Webfilter-Grp und ein neuer Regelsatz Webfilter-Grp_ruleset_1 welcher mit dem Profil verknüpft ist.
Mit einem Mausklick auf den Editier-Button kann nun der Regelsatz bearbeitet werden.
Nachdem sich der Regelsatz zur Bearbeitung geöffnet hat, besteht die Möglichkeit, Regeln aus einem anderen Regelsatz zu kopieren.
Da Regeln innerhalb eines Profils nicht nacheinander abgearbeitet werden können, muss ein einzelner Regelsatz immer alle notwendigen Regeln beinhalten.
Im Abschnitt Allgemein wird also der gewünschte Regelsatz zum Kopieren ausgewählt und die dort hinterlegten Regeln mit einem Klick auf die Schaltfläche der gerade bearbeiteten Regel hinzugefügt.
Soll der Filter für die Google Websuche aktiviert werden, wird die SafeSearch' Einstellung auf strict gesetzt.
Nun können URLs in das URL-Feld eingegeben oder Kategorien ausgewählt werden und über die Schaltfläche dem Regelsatz hinzugefügt werden.
Der Button in der Spalte Aktion hat zwei Zustände:
Blockiert den Zugriff auf die URL oder die Kategorie | |
Erlaubt den Zugriff auf die URL oder die Kategorie |
Sind alle Regeln eingetragen, wird dieser Regelsatz mit einem Klick auf den Button gespeichert.