UTM/APP/Webfilter: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
(Profile)
 
(46 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:UTMv11]]
+
{{DISPLAYTITLE:Webfilter}}
{{lowercase title}}  
+
== Informationen==
{{v11.6}}
+
Letze Anpassung zur Version: '''11.7'''
 +
<br>
 +
Bemerkung: Funktionserweiterung
 +
<br>
 +
Vorherige Versionen: [[UTM/APP/Webfilter_v11.6 | 11.6.12]] + [[UTM/APP/Webfilter-v11.5 | 11.5]]
  
==Webfilter ab der Version 11.6==
+
==Einleitung==
Im Webfilter können Netzwerk- und Benutzergruppen granulare Zugriffsrechte auf Webseiten gewährt werden. Zur Unterstützung stehen dazu Webseiten-Kategorien zur Verfügung.
+
Der Webfilter ordnet Berechtigungen, den zugrunde liegenden Netzwerk- oder Benutzergruppen, in Profilen zu. In diesen Profilen befinden sich Regelsätze, die innerhalb eines Profils, von oben nach unten abgearbeitet werden. Mehrere Regelsätze innerhalb eines Profils machen gerade dann Sinn, wenn Gruppen zu bestimmten Zeiten (z. B. Mittagspause, nach Feierabend) unterschiedliche Berechtigungen zugeordnet werden sollen.
  
Änderungen werden bestätigt, indem abschließend auf "Speichern" geklickt wird.
+
==Der Webfilter==
===Allgemein:===
+
===Webfilter-Einstellungen===
Hier kann zunächst der Webfilter aktiviert bzw. deaktiviert werden.<br>
+
In den Allgemeinen Einstellungen des Webfilter kann die Funktion Ein- oder Ausgeschaltet werden.
Zusätzlich kann das Standardverhalten des Webfilters auf blockieren oder zulassen gestellt werden. Dadurch wird der Zugriff für Netzwerk- und Benutzergruppen blockiert bzw. zugelassen, für die kein Profil im Webfilter angelegt worden ist.
+
Zusätzlich kann das Standardverhalten des Webfilters, für die Punkte "Kein passendes Profil gefunden", "Keine passende Regel gefunden", auf blockieren oder zulassen gestellt werden.  
 +
====Kein passendes Profil gefunden====
 +
Definiert das Verhalten für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
 +
====Keine passende Regel gefunden====
 +
Definiert das Standardverhalten, wenn im aktiven Regelsatz keine passende Regel gefunden wurde.
  
===Profil:===
+
====Kategorie nicht auflösbar====
Für jede Netzwerk- und Benutzergruppe, die auf der Appliance konfiguriert ist, kann ein Webfilter Profil erstellt werden. Diesen Profilen können ein oder mehr Regelsätze zugewiesen werden, welche das Verhalten für das entsprechende Profil definieren.
+
Definiert das Standardverhalten, falls die Kategorie nicht aufgelöst wurde. Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.
  
<TABLE CELLPADDING=7 CELLSPACING=0>
+
===Profile===
<TR>
+
[[Datei:utm_app_webfilter_01.png |200px|right|thumb|Profile]]
<TD WIDTH=60>
+
In den einzelnen Profilen werden die Regelsätze mit entweder Netzwerkgruppen (transparenter
<P>[[Datei:UMA20_AHB_hinweispic.png|50px]]</P>
+
Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden.
</TD>
+
Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die
<TD>
+
Profile von oben nach unten abgearbeitet werden.
<P><B>Hinweis!</B><br>
 
Es ist darauf zu achten, dass bei zeitlichen Überschneidungen zwischen den Regelsätzen eines Profils, immer nur der erste Regelsatz angewendet wird ! Es ist nicht möglich in einem Profil mehrere Regelsätze von oben nach unten abarbeiten zu lassen.
 
</P>
 
</TD>
 
</TR>
 
</TABLE>
 
  
Netzwerk- und Benutzergruppen müssen in anderen Dialogen erstellt werden:
+
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe und [[UTM/RULE/Portfilter#Netzwerkobjekte |hier]] wie ein Netzwerkobjekt angelegt werden kann.
*''Netzwerkgruppen'' werden unter ''Firewall > Portfilter > Netzwerkobjekte'' angelegt. Hier werden Netzwerkobjekte zu Gruppen zusammengefasst.
+
<br>
*''Benutzergruppen'' werden unter ''Authentifizierung > Benutzer'' angelegt. Hier besteht die Möglichkeit bestimmten Benutzern Gruppen zuzuweisen, die durch die UTM oder externe Dienste (Radius, LDAP, AD) authentifiziert werden können. Damit die Zugriffsrechte des Webfilters greifen,  ist eine Authentifizierung am Proxy zwingend notwendig.
 
  
===Regelsatz:===
+
Wenn die entsprechende Netzwerk- oder Benutzergruppe angelegt wurde, kann ein Profil erstellt werden. Durch betätigen der Schaltfläche '''+ Profil hinzufügen''' kann eine Gruppe ausgewählt werden, für die ein Webfilterprofil erstellt werden soll. Standardmäßig wird für das neu angelegte Profil ein Regelsatz angelegt.
Regelsätze müssen Profilen zugewiesen werden, um den Webzugriff für bestimmte Netzwerk- oder Benutzergruppe zu regulieren. Ein Regelsatz muss alles beinhalten, was anschließend für die Einschränkung des Profils benötigt wird.
+
<div>
 +
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
 +
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.</span></div>
 +
</div>
 +
<div style="clear: both;"></div>
 +
<br>
  
Beim Anlegen/Bearbeiten eines Regelsatzes stehen folgende Optionen zur Verfügung:
+
===Regelsätze===
<table>
+
[[Datei:Webfilter-01.jpg|300px|thumb|right|Regelsätze]]
    <tr>
+
In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.
      <td style="vertical-align:top; text-align:center;" colspan="2"><u>Allgemein</u></td>
+
 
    </tr>
+
<br><br><br><br>
    <tr>
+
<br><br><br><br>
        <td style="vertical-align:top;"><b>Name:</b></td>
+
<br>
        <td>Ein Name, der den Regelsatz beschreibt.</td>
+
 
    </tr>
+
 
    <tr>
+
====Regelsatz hinzufügen====
        <td style="vertical-align:top; width:170px;"><b>Regelsatz kopieren:</b></td>
+
[[Datei:Webfilter-08.png|400px|thumb|right|Neuer Regelsatz]]
        <td>Zur schnelleren Konfiguration von Regelsätzen kann hier die Option genutzt werden einen anderen Regelsatz zu  kopieren und anschließend anzupassen. Ausgenommen davon ist der Name des Regelsatzes.</td>
+
Die automatisch erstellen Regelsätze können, um sie den Anforderungen an die Schutzmaßnahmen anzupassen, über den "Werkzeugschlüssel "bearbeitet werden Wenn ein eigener Regelsatz erstellt werden soll, ist dies möglich wenn die Schaltfläche '''+ Regelsatz hinzufügen''' betätigt wird.
      </tr>
+
=====Allgemein=====
      <tr>
+
'''Name:''' Hier wird der Regelname festgelegt.
          <td style="vertical-align:top; width:170px;"><b>Zugang blockieren:</b></td>
+
<br>
          <td>Die Aktivierung dieser Regel sorgt dafür, dass alle Webseiten gesperrt werden. Die Konfigurationen unter "Einstellungen" und "Regeln" werden dadurch nicht angewendet.</td>
+
'''Zugang blockieren:''' Alle Webseiten werden gesperrt.
      </tr>
+
<br>
      <tr>
+
'''SafeSearch:''' Inhalte mit anstößigen Inhalten werden gefiltert.
          <td style="vertical-align:top; text-align:center;" colspan="2"><u>Gültig</u></td>
+
<br>
      </tr>
+
'''URL-Shortener:''' Definiert den Zugriff auf Webseiten, dessen Hostname URL-Shortener-Dienste verwendet. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
      <tr>
+
<br>
          <td style="vertical-align:top;"><b>Tage:</b></td>
+
'''Securepoint Whitelist:''' Eine Sammlung von URLs, die Securepoint als vertrauenswürdig bezeichnet.
          <td>In diesem Bereich definieren Sie, an welchen Tagen der Regelsatz aktiv sein soll.</td>
+
<br>
      </tr>
+
'''Keine passende Regel gefunden:''' Wie reagiert der Webfilter, wenn für die Netzwerk- bzw. Benutzergruppe keine Regel existiert?
      <tr>
+
<br>
          <td style="vertical-align:top; width:170px;"><b>Von:</b></td>
+
'''Kategorie nicht auflösbar:''' Wie reagiert der Webfilter, wenn die Kategorie nicht ermittelt werden konnte.
          <td>Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen beginnen soll.</td>
+
=====Gültig=====
      </tr>
+
Dem Regelsatz kann hier ein Zeitraum zugewiesen werden, in dem dieser gültig ist.
      <tr>
+
=====Regeln=====
          <td style="vertical-align:top; width:170px;"><b>Bis:</b></td>
+
Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Der
          <td>Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen enden soll.</td>
+
Webfilter bietet die Möglichkeit nach den Kriterien URL oder Kategorien zu filtern. Kategorien sind
      </tr>
+
Sammlungen von Webseiten, ähnlich der Securepoint Whitelist, die bestimmten nach
      <tr>
+
Themenbereichen zusammengestellt sind. Die Reihenfolge der Regeln ist immer URL, gefolgt von
        <td style="vertical-align:top; text-align:center;" colspan="2"><u>Einstellungen</u></td>
+
Kategorie.
      </tr>
+
<br>
      <tr>
+
Eine Übersicht mit allen Kategorien ist [[UTM/APP/Webfilter-CF_Kategorien | hier]] zu finden.
          <td style="vertical-align:top; width:170px;"><b>SafeSearch:</b></td>
+
 
          <td>
+
==Sonstiges==
Mit der Einstellung SafeSearch können Sie das für die Google Websuche geschaffene Filtersystem nutzen.<br>
+
===Beispiele für Ausnahmen für Windows-Updateserver===
Wählen Sie "strict", werden sexuell eindeutige Videos und Bilder sowie Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, aus den Google-Suchergebnisseiten gefiltert.<br>
+
Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel [[UTM/KB/APP/HTTP_Proxy-Windows | Windows Updates mit HTTP-Proxy und Webfilter]]
Bei SafeSearch "moderat", werden sexuell eindeutige Videos und Bilder aus den Google-Suchergebnisseiten ausgeschlossen. Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, werden jedoch nicht gefiltert.<br>
+
 
Um SafeSearch zu deaktivieren, setzen Sie hier den Wert "aus".
+
===Architektur des Webfilter===
        </td>
+
[[Datei:Webfilter.png|800px|center]]
    </tr>
+
Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.
    <tr>
+
 
        <td style="vertical-align:top; width:170px;"><b>URL-Shortener:</b></td>
+
Der Ablauf ist wie folgt:<br>
        <td>Erweitert die verkürzt dargestellten URLs in die Langform. Wählen Sie, ob diese blockiert, zugelassen oder aufgelöst werden sollen.</td>
+
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br>
    </tr>
+
 
    <tr>
+
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt. <br>
        <td style="vertical-align:top; text-align:center;" colspan="2"><u>Regeln</u></td>
+
 
    </tr>
+
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br>
    <tr>
+
 
        <td style="vertical-align:top;" colspan="2">
+
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br>
An dieser Stelle werden dem Regelsatz die gewünschten Regeln zugewiesen. Für jede Regel kann einzeln eingestellt werden, ob der Zugriff zugelassen oder blockiert wird. Die Regeln können per Drag & Drop in die gewünschte Reihenfolge gebracht werden, das ist wichtig, da die Regeln von oben nach unten abgearbeitet werden und der erste Treffer gilt. Es können URL-Regeln und Kategorie-Regeln zugewiesen werden:
+
 
        </td>
+
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br>
    </tr>
+
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br>
    <tr>
+
 
        <td style="vertical-align:top; width:170px;"><b>URL:</b></td>
+
Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.
        <td>
+
 
Hier wird die gewünsche URL oder eine passende Wildcard angegeben. Dazu einige Beispiele:<br>
+
Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.<br>
                                        <ul>
+
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.<br>
                                            <li>*beispiel*</li>
+
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.
                                            <li>*.beispiel.*</li>
+
 
                                            <li>*beispiel.net (oder .de, .com etc.)</li>
+
Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.
                                            <li>http://*beispiel.net*</li>
+
 
                                            <li>http://*beispiel.*</li>
+
Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.
                                            <li>http://beispiel.net*</li>
+
 
                                            <li>http://beispiel.net</li>
+
Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regalsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.
                                            <li>(statt http:// ist auch https:// möglich)</li>
 
                                        </ul>
 
Bei Regeln, mit aktivierter SSL-Interception, differiert das Filterverhalten zu Regeln ohne SSL-Interception. Ist SSL-Interception deaktiviert, wird der Proxy bei HTTPS-Verbindungen nur den Host-Namen, jedoch nicht die komplette URL der angesprochenen Webseite erkennen.
 
                                    </td>
 
                                </tr>
 
                                <tr>
 
                                    <td style="vertical-align:top; width:170px;"><b>Kategorie:</b></td>
 
                                    <td>
 
Die Webseiten werden passenden Kategorien zugewiesen, so dass diese entsprechend ihrer Kategorien gefiltert werden können.<br>
 
                                        <table>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><b>Kategorie</b></td>
 
                                                <td><b>Beschreibung</b></td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Casting:</i></td>
 
                                                <td>Seiten zum Thema Models, Casting, Schauspielen, Singen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Porno und Erotik:</i></td>
 
                                                <td>Pornographische oder vorwiegend sexuelle Inhalte</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Offene Bilder Suche:</i></td>
 
                                                <td>Bilder- und Video Suchmaschinen inklusive pornografischer Suche aber ohne 'Safe Search' Schalter</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Erotik möglich:</i></td>
 
                                                <td>Webseiten mit möglicherweise pornographischem Inhalt</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Waffen:</i></td>
 
                                                <td>Waffenshops, Waffeninfos, Militaria, militärische Inhalte, Sportschützen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Abstoßend:</i></td>
 
                                                <td>Extrem blutig, Anleitung oder Aufruf zu Mord, Selbstmord und Gewalt, Ekelerregend</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>BPJM<br>Kinder-/Jugendschutz:</i></td>
 
                                                <td>Content nicht geeignet für Kinder und Jugendliche nach deutscher BPjM</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Spiele:</i></td>
 
                                                <td>Spiele zum Download, Online Spiele, Gewinnspiele, Lotto, Glücksspiele</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Chat:</i></td>
 
                                                <td>Chatanbieter, Blogs, Foren, Boards und Communities zu diversen Themen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Events:</i></td>
 
                                                <td>Kulturelle Veranstaltungen, Freizeitplanung, Tickets, Events</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Investments:</i></td>
 
                                                <td>Aktien, Börse, Investments, Kredite, Versicherungen, Banken</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Geld verdienen:</i></td>
 
                                                <td>Geld schnell verdienen, reich werden, Beteiligungen, Kettenbriefe</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Ausbildung:</i></td>
 
                                                <td>Schulen und Ausbildungsinstitute, Universitäten</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Gesundheit Schönheit:</i></td>
 
                                                <td>Themen Gesundheit und Schönheit, medizinische Infos, Ärzte, Kliniken, Abnehmen/Diät, Kosmetik, Wellness</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Haus und Garten:</i></td>
 
                                                <td>Themen zur Hauseinrichtung, Garten, Pflanzen, Möbel, Dekoration</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Download:</i></td>
 
                                                <td>Software Downloads, Dateidownloads</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Computer:</i></td>
 
                                                <td>Computer Ratgeber, Computertechnologie, Computer Themen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Fernwartung:</i></td>
 
                                                <td>Fernwartungsprogramme, entfernter Desktop, Desktop-Sharing</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Hacking:</i></td>
 
                                                <td>Ratgeber zum Thema Hacking, Warez, Malware bauen, Systeme überlisten, Abofallen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Proxy:</i></td>
 
                                                <td>Anonymisierungsproxies und Listen dieser Rechner</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Kommunikation:</i></td>
 
                                                <td>E-Mail Anbieter, SMS Dienste, Kommunikationsdienste</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Soziale Lesezeichen:</i></td>
 
                                                <td>Lesezeichendienste für das WWW</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Personensuche:</i></td>
 
                                                <td>Personensuchdienste</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Soziale Netzwerke:</i></td>
 
                                                <td>Soziale Netzwerke</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Jobs:</i></td>
 
                                                <td>Arbeit suchen, Jobsuche, Stellenangebote, Arbeitnehmersuche</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>News:</i></td>
 
                                                <td>Nachrichten, News, Tagesthemen, Prominews, Branchennews</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Dating:</i></td>
 
                                                <td>Dating, Kennenlernen, Partnerschaftssuche, Freunde finden</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Lexika:</i></td>
 
                                                <td>Lexika, Nachschlagewerke, Übersetzer, gesammelte Informationen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Portale:</i></td>
 
                                                <td>Internetportale, Suchmaschinen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Kult:</i></td>
 
                                                <td>Religion, Kult, Astrologie, Esoterik, Horoskope, Ideologie, Verschwörungstheorien</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Shopping:</i></td>
 
                                                <td>Shoppingseiten, online Einkaufen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Auktionen:</i></td>
 
                                                <td>Internet Auktionen, Kleinanzeigen, Annoncenmarkt</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Immobilien:</i></td>
 
                                                <td>Wohnungs/Haus-Kauf, Vermietungen, Grundstücke</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Essen:</i></td>
 
                                                <td>Rezepte und Ernährung, Essen, Restaurants</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Sport:</i></td>
 
                                                <td>Sport jeglicher Art, Ratgeber, Fanseiten, Clubs und Vereine</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Reisen:</i></td>
 
                                                <td>Reisen, Buchungsdienste, Last-Minute, Reiseinfos</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Fahrzeuge:</i></td>
 
                                                <td>Fahrzeuge jeglicher Art, Automagazine, Motorrad, Boote, Fahrrad</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Humor:</i></td>
 
                                                <td>Witzige Seiten, Satire</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Video:</i></td>
 
                                                <td>Videos, Filme, Bilder, Comics, Kino- und Filmthemen sowie kategoriebezogene Downloads</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Audio:</i></td>
 
                                                <td>Audio/Musik, Bands und Musikthemen sowie kategoriebezogene Downloads</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Kinder:</i></td>
 
                                                <td>Babys und Kinder, Erziehung</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Tiere:</i></td>
 
                                                <td>Tierratgeber, Tierforen, Züchtung</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Consumertechnik:</i></td>
 
                                                <td>Home Entertainment, Elektronik, Testberichte und Ratgeber für Digitalkameras, Handys, MP3-Player, Navis,...</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Kurz-URL-Dienst:</i></td>
 
                                                <td>URL Kürzungs Dienste</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Werbe Dienste:</i></td>
 
                                                <td>Werbe Dienste</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Update Server:</i></td>
 
                                                <td>Server und Dienste für wichtige Sofwareupdates, als Whitelist vorgesehen</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>Nicht spezifiziert:</i></td>
 
                                                <td>Nicht identifizierte oder nicht kategorisierbare Seiten</td>
 
                                            </tr>
 
                                            <tr class='panel panel-default'>
 
                                                <td style='vertical-align:top;'><i>White:</i></td>
 
                                                <td>Seriöse Adressen, öffentliche- und Unternehmensseiten, technische Dienste welche nicht geblockt werden sollten.</td>
 
                                            </tr>
 
                                        </table>
 
                                    </td>
 
                                </tr>
 
                        </table>
 

Aktuelle Version vom 10. Juli 2017, 10:29 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktionserweiterung
Vorherige Versionen: 11.6.12 + 11.5

Einleitung

Der Webfilter ordnet Berechtigungen, den zugrunde liegenden Netzwerk- oder Benutzergruppen, in Profilen zu. In diesen Profilen befinden sich Regelsätze, die innerhalb eines Profils, von oben nach unten abgearbeitet werden. Mehrere Regelsätze innerhalb eines Profils machen gerade dann Sinn, wenn Gruppen zu bestimmten Zeiten (z. B. Mittagspause, nach Feierabend) unterschiedliche Berechtigungen zugeordnet werden sollen.

Der Webfilter

Webfilter-Einstellungen

In den Allgemeinen Einstellungen des Webfilter kann die Funktion Ein- oder Ausgeschaltet werden. Zusätzlich kann das Standardverhalten des Webfilters, für die Punkte "Kein passendes Profil gefunden", "Keine passende Regel gefunden", auf blockieren oder zulassen gestellt werden.

Kein passendes Profil gefunden

Definiert das Verhalten für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.

Keine passende Regel gefunden

Definiert das Standardverhalten, wenn im aktiven Regelsatz keine passende Regel gefunden wurde.

Kategorie nicht auflösbar

Definiert das Standardverhalten, falls die Kategorie nicht aufgelöst wurde. Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.

Profile

Profile

In den einzelnen Profilen werden die Regelsätze mit entweder Netzwerkgruppen (transparenter Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden. Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden.

Hier wird erklärt, wie eine Benutzergruppe und hier wie ein Netzwerkobjekt angelegt werden kann.

Wenn die entsprechende Netzwerk- oder Benutzergruppe angelegt wurde, kann ein Profil erstellt werden. Durch betätigen der Schaltfläche + Profil hinzufügen kann eine Gruppe ausgewählt werden, für die ein Webfilterprofil erstellt werden soll. Standardmäßig wird für das neu angelegte Profil ein Regelsatz angelegt.

Alert-yellow.png
Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.


Regelsätze

Regelsätze

In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.











Regelsatz hinzufügen

Neuer Regelsatz

Die automatisch erstellen Regelsätze können, um sie den Anforderungen an die Schutzmaßnahmen anzupassen, über den "Werkzeugschlüssel "bearbeitet werden Wenn ein eigener Regelsatz erstellt werden soll, ist dies möglich wenn die Schaltfläche + Regelsatz hinzufügen betätigt wird.

Allgemein

Name: Hier wird der Regelname festgelegt.
Zugang blockieren: Alle Webseiten werden gesperrt.
SafeSearch: Inhalte mit anstößigen Inhalten werden gefiltert.
URL-Shortener: Definiert den Zugriff auf Webseiten, dessen Hostname URL-Shortener-Dienste verwendet. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
Securepoint Whitelist: Eine Sammlung von URLs, die Securepoint als vertrauenswürdig bezeichnet.
Keine passende Regel gefunden: Wie reagiert der Webfilter, wenn für die Netzwerk- bzw. Benutzergruppe keine Regel existiert?
Kategorie nicht auflösbar: Wie reagiert der Webfilter, wenn die Kategorie nicht ermittelt werden konnte.

Gültig

Dem Regelsatz kann hier ein Zeitraum zugewiesen werden, in dem dieser gültig ist.

Regeln

Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Der Webfilter bietet die Möglichkeit nach den Kriterien URL oder Kategorien zu filtern. Kategorien sind Sammlungen von Webseiten, ähnlich der Securepoint Whitelist, die bestimmten nach Themenbereichen zusammengestellt sind. Die Reihenfolge der Regeln ist immer URL, gefolgt von Kategorie.
Eine Übersicht mit allen Kategorien ist hier zu finden.

Sonstiges

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

Architektur des Webfilter

Webfilter.png

Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.

Der Ablauf ist wie folgt:
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.

Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.

Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.

Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.

Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.

Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.

Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.

Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.

Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.

Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regalsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.