Beispiel einer Webfiltereinrichtung mit Benutzer- und Netzwerkgruppen
Vorgaben
In diesem Wiki soll einmal Beispielhaft die Verwendung des Webfilter im HTTP-Proxy der Version 11.6 in Verbindung mit Benutzer- und Netzwerkgruppen beschrieben werden. Als Ausgangssituation gehen wir von folgenden Vorgaben aus:
1. Benutzergruppen:
Wir haben drei Benutzergruppen mit unterschiedlichen Berechtigungen beim aufrufen von Webseiten. Jeweils eine für die Chefetage, für die Mitarbeiter und für die Auszubildenden.
- Benutzergruppe Proxy_chef soll keine Einschränkungen enthalten, die Chefetage soll aber vor Webseiten geschützt werden, auf denen Schadsoftware enthalten ist. Daher sollen hier die Kategorien Danger und Hacking auf eine Blacklist gesetzt werden.
- Benutzergruppe "Proxy_mitarbeiter soll ebenfalls vor Webseiten mit Schadsoftware geschützt werden. Weiterhin bekommt diese Gruppe noch Einschränkungen durch die Kategorien Porno und Erotik, Soziale Netzwerke und Shopping. Es muss allerdings die Möglichkeit bestehen, bei der Wortmann AG Online einzukaufen.
- Benutzergruppe "Proxy_Azubi" soll keine Webseiten aufrufen dürfen, mit Ausnahme der Webseite der Securepoint GmbH. Zusätzlich soll hier die Möglichkeit geschaffen werden, dass die Benutzer dieser Gruppe in einem definierten Zeitfenster ihre Sozialen Kontakte bei Facebook pflegen können.
2. Netzwerkgruppen:
Durch Netzwerkgruppen soll gewährleistet werden, dass Geräte die sich nicht authentifizieren können, trotzdem einen Schutz über den HTTP Proxy und den Webfilter erhalten, der später weiter angepasst werden kann. Dazu wird zwischen drei Netzwerkgruppen unterschieden:
- Netzwerkgruppe "nw_grp_GF" soll für Geräte der Geschäftsführung mit dem IP-Netz 10.1.10.0/24 eingesetzt werden. Auch hier sollen die Clients wieder durch die auf einer Blacklist angelegten Webfilter Kategorien Danger und Hacking vor Schadsoftware geschützt werden.
- Netzwerkgruppe "nw_grp_IT" soll Geräte in der Technischen Abteilung mit dem IP-Netz 10.1.20.0/24, wie auch schon Geräte der Geschäftführung, mit den gleichen Maßnahmen vor Schadsoftware geschützt werden.
- Netzwerkgruppe "nw_grp_VT" mit den IP-Netz 10.1.30.0/24 für den Vertrieb bekommt die selben Einstellungen wie auch schon die Geschäftsführung und die Technik. Zusätzlich sollen aber beim Vertrieb noch Werbe Dienste geblockt werden.
Einrichtung der Gruppen
Benutzergruppen
Benutzergruppen werden im Menü Authentifizierung, Untermenü Benutzer unter dem Reiter Gruppen mit einen Klick auf den Button hinzugefügt.
Im Feld Gruppenname: wird ein Name für die Benutzergruppe vergeben. Dieser wird dann auch als Name für das Webfilterprofil und als Basis für den automatisch angelegten Webfilter-Regelsatz verwendet.
Damit diese Gruppe auf den HTTP-Proxy und den Webfilter zugreifen kann, muss hier die Berechtigung HTTP-Proxy aktiviert werden.
Sollen Active Directory Gruppen zur Authentifizierung verwendet werden, wird die entsprechende AD-Gruppe im Reiter Verzeichnis Dienst ausgewählt. Eine genaue Beschreibung dazu befindet sich im Wiki zu den AD-Benutzergruppen ab der Version 11.5.
Für jeden der drei Benutzergruppen Proxy_chef, Proxy_mitarbeiter und Proxy_azubi wird eine eigene Benutzergruppe angelegt.