UTM/APP/Webfilter: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 28. November 2025, 09:28 Uhr

Webfilter Konfiguration auf der UTM

Letzte Anpassung zur Version: 14.1.1 (11.2025)

Neu:

Neue Optionen zum Verschieben von Elementen verfügbar
Neues Feature Ähnlichkeitserkennung
Regelsätze werden in den Profilen jetzt als Label dargestellt (14.1.0)
Regelsätze werden jetzt direkt in den Profilen hinzugefügt oder entfernt (14.1.0)
Es werden internationale Domainnamen (z.B. Umlaute) unterstützt (14.1.0)

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.7.0 12.5 11.7 11.6.12 11.5

Voraussetzung

Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.
Dazu muss entweder

die SSL-Interception ( Anwendungen HTTP-Proxy Bereich SSL-Interception) aktiviert
und
der transparente Modus für https aktiviert werden (Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus)

oder
auf jedem Host wird die UTM als Proxy in jedem Browser eingerichtet.

Übersicht

In den Regelsätzen wird der gesamte Zugang oder einzelne Domains, URLs oder Kategorien blockiert bzw. zugelassen
Die Regelsätze können in ihrer Gültigkeit nach Wochentag und Uhrzeit zeitlich beschränkt werden
Die Regelsätze werden Profilen zugeordnet
Die Profile sind Netzwerk- oder Benutzergruppen zugeordnet
Die Regelsätze werden der Reihe nach überprüft, ob sie zutreffen (inhaltlich und zeitlich)

Webfilter

Allgemeine Einstellungen Allgemein
Beschriftung	Wert	Beschreibung	Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Webfilter Übersicht
Webfilter:	Ein	Aktiviert (default) oder deaktiviert (Aus) die Webfilter-Funktionalität der UTM
Kein passendes Profil gefunden:		Lässt den Datenverkehr für Netzwerk- und Benutzergruppen zu, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
Kein passendes Profil gefunden:		Blockiert den Datenverkehr für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
Keine passende Regel gefunden:		Lässt den Datenverkehr zu, wenn im Profil keine passende Regel gefunden wurde Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
Keine passende Regel gefunden:		Blockiert den Datenverkehr, wenn im Profil keine passende Regel gefunden wurde Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
Kategorie nicht auflösbar:		Lässt den Datenverkehr zu, falls die Kategorie nicht aufgelöst wurde. (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.) Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
Kategorie nicht auflösbar:		Blockiert den Datenverkehr, falls die Kategorie nicht aufgelöst wurde. (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.) Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
Sämtliche Regelsätze überprüfen:	Nein	Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht. Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet.
Sämtliche Regelsätze überprüfen:	Ja	Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde. Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil).
Schutz durch Ähnlichkeitserkennung: notempty Neu ab v14.1.1 Experimentell	Nein	Standardmäßig ist die Überprüfung deaktiviert, ob eine Domain einer bekannten Domain ähnelt und somit womöglich ein Risiko darstellt
	Ja	Bei Aktivierung dieser Einstellung blockiert der Webfilter bei aktiviertem HTTP Proxy den Zugriff auf potenziell gefährliche Domains, die den vertrauenswürdigen Domains der Ähnlichkeitserkennung ähneln. Diese Feature ist experimentell und sollte daher nur mit Bedacht verwendet werden!
Das ist ein Test

Das ist auch ein Test Profile Profile Profile allgemein
In den einzelnen Profilen werden die Regelsätze mit Netzwerkgruppen (transparenter Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden. Für Profile gilt: Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren Aber: Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein! Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden. Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.
Verschieben	Die Elemente können verschoben werden. notempty Neu ab v14.1.1 Weitere Optionen via Rechtsklick auf Icon verfügbar Listen-Elemente mit der Maus nach oben oder unten verschieben Bei Rechtsklick auf Icon Gruppe auswählen wie wg0-network falls vorhanden Position festlegen 7 via Direkteingabe oder durch die Pfeile Abschließend Speichern oder Abbrechen		Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Webfilter - Abschnitt Profile
security	notempty Neu ab v14.1.0 Regelsätze werden als Label angezeigt. Blau: Regelsatz wird angewendet
security	Grau: Regelsatz ist deaktiviert
security Regelsatz wird überlagert von…	Blau mit Warnhinweis: Dieser Regelsatz wird ganz oder teilweise von einem anderen Regelsatz überlagert und wird daher ganz oder teilweise nicht angewendet Details im jeweiligen Hovertext
Bearbeiten	Öffnet den Dialog zum bearbeiten des Profils. Es können: die Netzwerk- oder Benutzergruppe geändert werden notempty Neu an dieser Stelle ab v14.1.0 weitere Regelsätze können hinzugefügt werden
Löschen	Löscht das Profil

Profil hinzufügenProfil hinzufügen	Öffnet den Dialog zum Hinzufügen eines Profils
Netzwerk- oder Benutzergruppe:	administrator	Netzwerk- oder Benutzergruppe, auf die das Profil angewendet werden soll	Profil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter
Neuen Regelsatz generieren:	Ja Default	Erzeugt automatisch einen neuen Regelsatz, der diesem Profil zugeordnet ist Der Regelsatz erhält den Namen der Netzwerk- oder Benutzergruppe mit angehängtem _ruleset_# Der Regelsatz enthält die Defaultvorgaben
Regelsatz: (Nur, wenn Neuen Regelsatz generieren Nein deaktiviert wurde)	filter_ruleset	Bestehender Regelsatz, der in diesem Profil gelten soll Angaben wie im folgenden Abschnitt Profil bearbeiten

Profil bearbeiten Profil bearbeiten
Netzwerk- oder Benutzergruppe:	Darf nix	Netzwerk- oder Benutzergruppe, auf die das Profil angewendet werden soll	Profil bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter
Regelsatz:	filter_ruleset notempty Neu an dieser Stelle	Bestehender Regelsatz, der mit der Schaltfläche diesem Profil hinzugefügt werden soll
Status	Ein	Aktiviert bzw. deaktiviert Aus einen Regelsatz Geeignet zum Testen oder vorübergehendem Deaktivieren
Löschen		Entfernt den Regelsatz aus dem Profil

Regelsätze Regelsätze
In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.			Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Regelsätze
Regelsatz kopieren notempty Neu ab v12.7.0		Öffnet den Dialog zum Bearbeiten eines Regelsatzes mit den kopierten Eigenschaften der ausgewählten Regel
Bearbeiten		Öffnet die Einstellungen des Regelsatzes zum Bearbeiten
Löschen		Löscht einen Regelsatz
Regelsatz hinzufügen		Öffnet den Dialog zum Anlegen eines neuen Regelsatzes

Regelsatz Details Regelsatz Details Allgemein Allgemein
Name:	security	Eindeutiger Name	Regelsatz bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter Anzeige beim Hinzufügen eines neuen oder bearbeiten eines bestehenden Regelsatzes
Zugang blockieren:	Nein	Alle Webseiten werden gesperrt
SafeSearch:	Aus	Inhalte, die nicht jugendfrei sind, werden nicht gefiltert.
	strict	Texte, Bilder und Videos, die nicht jugendfrei sind, werden aus den Suchergebnissen herausgefiltert.
	moderat	Bilder und Videos, die nicht jugendfrei sind, werden aus den Suchergebnissen herausgefiltert, entsprechende Texte aber nicht.
URL-Shortener:	zulassen blockieren auflösen	Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird.
Securepoint Allowlist:	Ein	Zugriff auf URLs, die Securepoint als vertrauenswürdig bezeichnet Die Securepoint Allowlist enthält z.B.: Seriöse Adressen, öffentliche- und Unternehmensseiten, technische Dienste, welche nicht geblockt werden sollten. URL Filterregeln werden priorisiert und können die Allowlist überschreiben
Keine passende Regel gefunden:	default	Übernimmt die globalen Einstellungen aus Webfilter Allgemein
	blockieren	Blockiert den Datenverkehr, wenn im Regelsatz keine passende Regel gefunden wurde
	zulassen	Lässt den Datenverkehr zu, wenn im Regelsatz keine passende Regel gefunden wurde Der Datenverkehr kann durch weitere Regelsätze in einem Profil blockiert werden, wenn die Option Sämtliche Regelsätze durchsuchen aktiviert ist
Kategorie nicht auflösbar:	default	Übernimmt die globalen Einstellungen aus Webfilter Allgemein
	blockieren	Blockiert den Datenverkehr, falls die Kategorie nicht aufgelöst wurde. (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)
	zulassen	Lässt den Datenverkehr zu, falls die Kategorie nicht aufgelöst wurde. (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)

Gültig Gültig
Dem Regelsatz kann hier ein oder mehrere Zeiträume zugewiesen werden, in dem dieser gültig ist

Regeln Regeln
Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Die Regeln werden in dieser Reihenfolge abgearbeitet: URL URL Regex Syntax der Regulären Ausdrücke - Regex Domain Kategorien Eine Übersicht mit allen Kategorien ist hier zu finden Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist notempty Neu ab v14.1.0 Es werden internationale Domainnamen (IDN) unterstützt. Die Eingabe von Umlauten (äöü) ist z.B. möglich.
Verschieben		Die Elemente können verschoben werden. notempty Neu ab v14.1.1 Weitere Optionen via Rechtsklick auf Icon verfügbar Listen-Elemente mit der Maus nach oben oder unten verschieben Bei Rechtsklick auf Icon Gruppe auswählen wie wg0-network falls vorhanden Position festlegen 7 via Direkteingabe oder durch die Pfeile Abschließend Speichern oder Abbrechen
zulassen		Lässt den Datenverkehr zu
blockieren		Blockiert den Datenverkehr
Löschen		Löscht die Regel

Regel hinzufügen Regel hinzufügen
Typ: Domain	anyideas.com	Domain in Klartext-Schreibweise. Es wird auf alle Subdomains und Unterseiten gefiltert.	Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungen Filterregel
Typ: URL	.anyideas.com/pages/	Es wird nur auf exakt die URL gefiltert (Wildcard * ist möglich)
Typ: URL Regex	.*\.anyideas\.com	URL im Regex Format, das zahlreiche Platzhalter erlaubt Syntax der Regulären Ausdrücke - Regex
Typ: Kategorie	Unbekannt	Von Securepoint gepflegte Content Filter Liste. Eine Übersicht mit allen Kategorien ist hier zu finden. Kategorie: Unbekannt Damit lässt sich der Zugriff auf alle Webseiten blockieren, die bisher von Securepoint nicht klassifiziert wurden Meldung versehentlich falsch kategorisierter Seiten erfolgt hier.
Allowlisting Beispiele Allowlisting Beispiele
In diesem Beispiel wurde die URL www.google.de und die Kategorie Ausbildung über die Funktion + Regel hinzufügen zum Allowlisting hinzugefügt. Da der Webfilter die Regeln von oben nach unten bearbeitet, musste in diesem Beispiel die Kategorie Ausbildung manuell an die erste Stelle geschoben werden.			Regelsatz bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter

Ausführliche Anwendungsbeispiele finden sich auf einer extra Seite.

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

@@ Zeile 216: / Zeile 216: @@
 {{h5| {{#var:Allowlisting Beispiele}} | {{#var:Allowlisting Beispiele}} }}
 |- class="Leerzeile"
-| colspan="3" | {{#var:Whitelisting Beispiele--desc}}
+| colspan="3" | {{#var:Allowlisting Beispiele--desc}}
-| class="Bild" rowspan="2" | {{Bild|{{#var:Whitelisting Beispiele--Bild}}| ||{{#var:Regelsatz bearbeiten}}|{{#var:Anwendungen}}|Webfilter|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+| class="Bild" rowspan="2" | {{Bild|{{#var:Allowlisting Beispiele--Bild}}| ||{{#var:Regelsatz bearbeiten}}|{{#var:Anwendungen}}|Webfilter|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |- class="Leerzeile"
 |

Aktuelle Version vom 28. November 2025, 09:28 Uhr

Voraussetzung

Übersicht

Webfilter

Allgemeine Einstellungen

Profile

Profile allgemein

Profil hinzufügenProfil hinzufügen

Profil bearbeiten

Regelsätze

Regelsatz Details

Allgemein

Gültig

Regeln

Regel hinzufügen

Allowlisting Beispiele

Beispiele für Ausnahmen für Windows-Updateserver