Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Webfilter v12.7.0: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
K 1 Version importiert
Keine Bearbeitungszusammenfassung
 
Zeile 309: Zeile 309:
| Löscht die Regel
| Löscht die Regel
| Deletes the rule }}
| Deletes the rule }}
{{var | Whitelisting Beispiele
{{var | Allowlisting Beispiele
| Whitelisting Beispiele
| Allowlisting Beispiele
| Whitelisting example }}
| Allowlisting example }}
{{var | Whitelisting Beispiele--desc
{{var | Allowlisting Beispiele--desc
| In diesem Beispiel wurde die URL '''www.google.de''' und die Kategorie '''Ausbildung''' über die Funktion {{Button|+ Regel hinzufügen}} zum Whitelisting hinzugefügt.<br> {{Hinweis-box||g}} Da der Webfilter die Regeln von oben nach unten bearbeitet, musste in diesem Beispiel die Kategorie ''Ausbildung'' manuell an die erste Stelle geschoben werden.
| In diesem Beispiel wurde die URL '''www.google.de''' und die Kategorie '''Ausbildung''' über die Funktion {{Button|+ Regel hinzufügen}} zum Allowlisting hinzugefügt.<br> {{Hinweis-box||g}} Da der Webfilter die Regeln von oben nach unten bearbeitet, musste in diesem Beispiel die Kategorie ''Ausbildung'' manuell an die erste Stelle geschoben werden.
| In this example, the URL '''www.google.de''' and the category '''Education''' were added to the whitelisting via the function {{Button|+ Add rule}}.<br> {{Hinweis-box|g}} Since the web filter processes the rules from top to bottom, in this example the category ''Education'' had to be manually pushed to the first position. }}
| In this example, the URL '''www.google.de''' and the category '''Education''' were added to the allowlisting via the function {{Button|+ Add rule}}.<br> {{Hinweis-box|g}} Since the web filter processes the rules from top to bottom, in this example the category ''Education'' had to be manually pushed to the first position. }}
{{var | Whitelisting Beispiele--Bild
{{var | Allowlisting Beispiele--Bild
| UTM v12.6 Webfilter Whitelist Beispiele.png
| UTM v12.6 Webfilter Allowlist Beispiele.png
| UTM v12.6 Webfilter Whitelist Beispiele-en.png }}
| UTM v12.6 Webfilter Allowlist Beispiele-en.png }}
{{var | Sonstiges
{{var | Sonstiges
| Sonstiges
| Sonstiges
Zeile 331: Zeile 331:
| Architecture of the Webfilter }}
| Architecture of the Webfilter }}
{{var | Architektur des Webfilter--desc
{{var | Architektur des Webfilter--desc
| Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> Der Ablauf ist wie folgt:<br> Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.<br> Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.<br> Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.
| Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.<br><br> Der Ablauf ist wie folgt:<br> Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br> Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.<br> Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br> Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br> Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br> Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br> Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.<br> Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br> Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br> Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.<br> Nun wird überprüft, ob die Kategorie aufgelistet und auf einer Allow- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.<br> Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.<br> Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.
| The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br>
| The Webfilter works with URL and category rule sets that must be assigned to network groups or user groups in profiles.<br>
The process is as follows:<br> A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile.<br> If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> After a profile is recognised, the rule set associated with it is checked.<br> First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> If the requested URL is not listed, the system checks whether it fits into a category.<br> To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }}
The process is as follows:<br> A user accesses a web page via a browser or another application. The data packets, including the Uniform Resource Locator (URL) of the website, are routed through the HTTP proxy. Either by the HTTP proxy being set up as a transparent proxy or by the proxy configuration of the browser on the client.<br> Depending on whether a profile was first created for a user group or a network group, it is checked whether the username or the IP address matches a profile.<br> If neither the username nor the source IP address matches a group profile, the default action defined under ''Webfilter'' in the ''General'' section under ''No matching profile found:'' takes effect. These requests are either allowed or blocked, depending on the setting in the Webfilter.<br> After a profile is recognised, the rule set associated with it is checked.<br> First, the temporal validity of the rule set is reviewed. If this does not match, the Webfilter checks whether another rule set is stored for this profile. If this is not the case, the standard action of the Webfilter takes effect.<br> If the rule set is not timed or if the rule set matches in time, the next step is to check whether this rule set should block access in principle. This is the case if in the window ''Edit Rule set'' the check box ''Block Access:'' has been set.<br> If not everything is blocked with the rule set, the Webfilter checks the URLs stored here and compares them with the client's request. If the URL or parts of the URL are listed in the rule set, it is checked whether they are on the allowlist or on the blocklist and thus allowed or blocked.<br> If the requested URL is not listed, the system checks whether it fits into a category.<br> To do this, it first checks whether this URL has already been reviewed for assignment to a category and whether this request is still in the cache.<br> If this is not the case, a request is made to the Securepoint content filter servers via the UTM, which works similar to a DNS request: The URL is first transmitted to the server. The request is answered with an IP address that informs the Webfilter in which category this URL is listed.<br> Now it is checked whether the category is listed and on a allow or blocklist. The request to this URL is then allowed or blocked.<br> It is possible that a URL is listed in several categories. The request to the content filter servers is repeated and compared with the other entries in the list.<br> If neither the URL nor a suitable category are stored in the rules, the setting under "Edit rule set" "No suitable rule found" applies. Here, a different behaviour to the default rules can be set for each rule set. If the categories are not resolvable, the behaviour set under "Edit rule set" "Category irresolvable" also applies here. }}
Zeile 498: Zeile 498:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
{{h5| {{#var:Whitelisting Beispiele}} | {{#var:Whitelisting Beispiele}} }}
{{h5| {{#var:Allowlisting Beispiele}} | {{#var:Allowlisting Beispiele}} }}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{#var:Whitelisting Beispiele--desc}}
| colspan="3" | {{#var:Allowlisting Beispiele--desc}}
| class="Bild" rowspan="2" | {{Bild|{{#var:Whitelisting Beispiele--Bild}}| ||{{#var:Regelsatz bearbeiten}}|{{#var:Anwendungen}}|Webfilter|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class="Bild" rowspan="2" | {{Bild|{{#var:Allowlisting Beispiele--Bild}}| ||{{#var:Regelsatz bearbeiten}}|{{#var:Anwendungen}}|Webfilter|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|

Aktuelle Version vom 28. November 2025, 09:27 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht

























































































Webfilter Konfiguration auf der UTM

Letzte Anpassung zur Version: 12.7.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
  • Regeln können in der Übersicht kopiert werden
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen Webfilter


Voraussetzung

Damit die UTM den Netzwerkverkehr, den sie filtern soll überhaupt "zu sehen" bekommt, muss der Proxy der UTM auch für https genutzt werden.
Dazu muss entweder

  • die SSL-Interception ( Anwendungen HTTP-Proxy  Bereich SSL-Interception) aktiviert
    und
    der transparente Modus für https aktiviert werden (Menü Anwendungen HTTP-Proxy  Bereich Transparenter Modus)

    oder
  • auf jedem Host wird die UTM als Proxy in jedem Browser eingerichtet.


Übersicht

  • In den Regelsätzen wird der gesamte Zugang oder einzelne Domains, URLs oder Kategorien blockiert bzw. zugelassen
  • Die Regelsätze können in ihrer Gültigkeit nach Wochentag und Uhrzeit zeitlich beschränkt werden
  • Die Regelsätze werden Profilen zugeordnet
  • Die Profile sind Netzwerk- oder Benutzergruppen zugeordnet
  • Die Regelsätze werden der Reihe nach überprüft, ob sie zutreffen (inhaltlich und zeitlich)


Webfilter











Allgemeine Einstellungen

Allgemein
Beschriftung Wert Beschreibung Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Webfilter Übersicht
Webfilter: Ein Aktiviert (default) oder deaktiviert (Aus) die Webfilter-Funktionalität der UTM
Kein passendes Profil gefunden: Lässt den Datenverkehr für Netzwerk- und Benutzergruppen zu, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
Blockiert den Datenverkehr für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
Keine passende Regel gefunden: Lässt den Datenverkehr zu, wenn im Profil keine passende Regel gefunden wurde
  • Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
    • Blockiert den Datenverkehr, wenn im Profil keine passende Regel gefunden wurde
  • Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
    • Kategorie nicht auflösbar: Lässt den Datenverkehr zu, falls die Kategorie nicht aufgelöst wurde.
    (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)
  • Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
    • Blockiert den Datenverkehr, falls die Kategorie nicht aufgelöst wurde.
    (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)
  • Dieses Default-Verhalten kann in einem Regelsatz überschrieben werden
    • Sämtliche Regelsätze überprüfen: Nein Der erste Regelsatz (ggf. der Erste mit gültigem Zeitprofil) wird durchsucht.
    Wird keine passende Regel gefunden, wird das Standardverhalten dieses Regelsatzes angewendet.
    Ja Sämtliche Regelsätze (ggf. sofern sie ein gültiges Zeitprofil haben) werden der Reihe nach überprüft, bis eine passende Regel gefunden wurde.
    Wird keine passende Regel gefunden wird das Standardverhalten des letzten Regelsatzes angewendet (ggf. des letzten Regelsatzes mit gültigem Zeitprofil).

    Profile

    Profile
    In den einzelnen Profilen werden die Regelsätze mit
    • Netzwerkgruppen (transparenter Proxy Modus) oder
    • Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung)

    verbunden.

     Für Profile gilt:
    • Für jede Benutzergruppe bzw. für jedes Netzwerkobjekt kann nur ein Profil existieren
      Aber: Jeder Benutzer/jede Benutzerin und jedes Netzwerkobjekt kann Mitglied in mehreren Gruppen sein!
    • Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden.
    • Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.
    		 Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Webfilter - Abschnitt Profile
    Verschieben Die Elemente können durch drag and drop in der Reihenfolge verschoben werden
    Regelsatz wird überlagert von… Dieser Regelsatz wird ganz oder teilweise von einem anderen Regelsatz überlagert und wird daher ganz oder teilweise nicht angewendet
    Bearbeiten Öffnet den Dialog zum bearbeiten des Profils.
    Die Netzwerk- oder Benutzergruppe kann geändert werden
    Löschen Löscht das Profil
    Aus Profil entfernen Entfernt den Regelsatz aus einem Profil
    Profil hinzufügen Öffnet den Dialog zum Hinzufügen eines Profils Profil hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter
    Netzwerk- oder Benutzergruppe: administrator Netzwerk- oder Benutzergruppe, auf die das Profil angewendet werden soll
    Neuen Regelsatz generieren: Nein Wenn Ja, erzeugt automatisch einen neuen Regelsatz, der diesem Profil zugeordnet ist
    • Der Regelsatz erhält den Namen der Netzwerk- oder Benutzergruppe mit angehängtem _ruleset_#
    • Der Regelsatz enthält die Defaultvorgaben
    Regelsatz:
    (Nur, wenn Neuen Regelsatz generieren Nein deaktiviert wurde)    		 filter_ruleset Bestehender Regelsatz, der in diesem Profil gelten soll

    Regelsätze

    Regelsätze
    In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen. Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log Regelsätze
    Zu Profil hinzufügen Fügt den aktuellen Regelsatz dem z.Zt. markierten Profil hinzu
    Regelsatz kopieren
    notempty
    Neu ab v12.7.0
    		 Öffnet den Dialog zum Bearbeiten eines Regelsatzes mit den kopierten Eigenschaften der ausgewählten Regel
    Bearbeiten Öffnet die Einstellungen des Regelsatzes zum Bearbeiten
    Löschen Löscht einen Regelsatz
    Regelsatz hinzufügen Öffnet den Dialog zum Anlegen eines neuen Regelsatzes
    Regelsatz Details
    Regelsatz Details
    Allgemein
    Allgemein
    Name: security Eindeutiger Name Regelsatz bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter Anzeige beim Hinzufügen eines neuen oder bearbeiten eines bestehenden Regelsatzes
    Zugang blockieren: Nein Alle Webseiten werden gesperrt
    SafeSearch: Aus Inhalte, die nicht jugendfrei sind, werden nicht gefiltert.
    strict Texte, Bilder und Videos, die nicht jugendfrei sind, werden aus den Suchergebnissen herausgefiltert.
    moderat Bilder und Videos, die nicht jugendfrei sind, werden aus den Suchergebnissen herausgefiltert, entsprechende Texte aber nicht.
    URL-Shortener: zulassen
    blockieren
    auflösen    		 Definiert den Zugriff auf Webseiten, deren Hostnamen URL-Shortener-Dienste verwenden. Hier kann gewählt werden, ob diese unabhängig vom tatsächlichen Ziel blockiert oder zugelassen werden oder der Hostname aufgelöst und anschließend entsprechend bestehender Regeln behandelt wird.
    Securepoint Allowlist: Ein Zugriff auf URLs, die Securepoint als vertrauenswürdig bezeichnet
    Die Securepoint Allowlist enthält z.B.:
    Seriöse Adressen, öffentliche- und Unternehmensseiten, technische Dienste, welche nicht geblockt werden sollten.
  • URL Filterregeln werden priorisiert und können die Allowlist überschreiben
    • Keine passende Regel gefunden: default Übernimmt die globalen Einstellungen aus Webfilter Allgemein
    blockieren Blockiert den Datenverkehr, wenn im Regelsatz keine passende Regel gefunden wurde
    zulassen Lässt den Datenverkehr zu, wenn im Regelsatz keine passende Regel gefunden wurde
  • Der Datenverkehr kann durch weitere Regelsätze in einem Profil blockiert werden, wenn die Option Sämtliche Regelsätze durchsuchen aktiviert ist
    • Kategorie nicht auflösbar: default Übernimmt die globalen Einstellungen aus Webfilter Allgemein
    blockieren Blockiert den Datenverkehr, falls die Kategorie nicht aufgelöst wurde.
    (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)
    zulassen Lässt den Datenverkehr zu, falls die Kategorie nicht aufgelöst wurde.
    (Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.)
    Gültig
    Gültig
    Dem Regelsatz kann hier ein oder mehrere Zeiträume zugewiesen werden, in dem dieser gültig ist
    Regeln
    Regeln
    Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen.
    Die Regeln werden der Reihe nach abgearbeitet:
    1. URL
    2. URL Regex
    3. Domain
    4. Kategorien
      Eine Übersicht mit allen Kategorien ist hier zu finden
    • Wird eine URL erlaubt, ist der Datenverkehr möglich, selbst wenn die dazu gehörige Kategorie geblockt ist
    • Wird ein URL Regex blockiert, ist kein Datenverkehr möglich, selbst wenn die Domain zugelassen ist
    Verschieben Die Elemente können durch drag and drop in der Reihenfolge verschoben werden
    zulassen Lässt den Datenverkehr zu
    blockieren Blockiert den Datenverkehr
    Löschen Löscht die Regel
    Regel hinzufügen
    Regel hinzufügen
    Typ: Domain anyideas.com Domain in Klartext-Schreibweise. Es wird auf alle Subdomains und Unterseiten gefiltert. Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungen Filterregel
    Typ: URL *.anyideas.com/pages/* Es wird nur auf exakt die URL gefiltert (Wildcard * ist möglich)
    Typ: URL Regex .*\.anyideas\.com URL im Regex Format, das zahlreiche Platzhalter erlaubt
    Syntax der Regulären Ausdrücke - Regex
    Typ: Kategorie Unbekannt
    • Von Securepoint gepflegte Content Filter Liste.
      Eine Übersicht mit allen Kategorien ist hier zu finden.
  • Kategorie: Unbekannt
    Damit lässt sich der Zugriff auf alle Webseiten blockieren, die bisher von Securepoint nicht klassifiziert wurden
    • Meldung versehentlich falsch kategorisierter Seiten erfolgt hier.
    Allowlisting Beispiele
    Allowlisting Beispiele
    In diesem Beispiel wurde die URL www.google.de und die Kategorie Ausbildung über die Funktion + Regel hinzufügen zum Allowlisting hinzugefügt.
     Da der Webfilter die Regeln von oben nach unten bearbeitet, musste in diesem Beispiel die Kategorie Ausbildung manuell an die erste Stelle geschoben werden.     		Regelsatz bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter


    Sonstiges

    Beispiele für Ausnahmen für Windows-Updateserver

    Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter


    Architektur des Webfilters

    Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.

    Der Ablauf ist wie folgt:
    Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inklusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.
    Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.
    Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.
    Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.
    Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.
    Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.
    Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Allowlist oder auf der Blocklist stehen und dadurch zugelassen oder geblockt werden.
    Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
    Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
    Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.
    Nun wird überprüft, ob die Kategorie aufgelistet und auf einer Allow- oder Blocklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.
    Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt, sowie mit den weiteren Einträgen in der Liste abgeglichen.
    Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regelsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.


    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Webfilter_v12.7.0&oldid=99650