UTM/APP/Webfilter: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
(Profile)
 
(12 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:UTMv11]]
+
{{DISPLAYTITLE:Webfilter}}
{{lowercase title}}  
+
== Informationen==
{{v11.6}}
+
Letze Anpassung zur Version: '''11.7'''
 +
<br>
 +
Bemerkung: Funktionserweiterung
 +
<br>
 +
Vorherige Versionen: [[UTM/APP/Webfilter_v11.6 | 11.6.12]] + [[UTM/APP/Webfilter-v11.5 | 11.5]]
  
==Webfilter ab der UTM Version 11.6==
+
==Einleitung==
[[Datei:UTM116_AI_MA.png|250px|thumb|right|Menüpunkt Webfilter]]
+
Der Webfilter ordnet Berechtigungen, den zugrunde liegenden Netzwerk- oder Benutzergruppen, in Profilen zu. In diesen Profilen befinden sich Regelsätze, die innerhalb eines Profils, von oben nach unten abgearbeitet werden. Mehrere Regelsätze innerhalb eines Profils machen gerade dann Sinn, wenn Gruppen zu bestimmten Zeiten (z. B. Mittagspause, nach Feierabend) unterschiedliche Berechtigungen zugeordnet werden sollen.
Der Webfilter wird ab der Version 11.6 als ein eigener Menüpunkt im Menü ''Anwendungen'' dargestellt und befindet sich nicht mehr in den ''HTTP-Proxy'' Einstellungen.
 
  
Im Webfilter können Netzwerk- und Benutzergruppen granulare Zugriffsrechte auf Webseiten gewährt werden. Zur Unterstützung stehen dazu Webseiten-Kategorien zur Verfügung.
+
==Der Webfilter==
 +
===Webfilter-Einstellungen===
 +
In den Allgemeinen Einstellungen des Webfilter kann die Funktion Ein- oder Ausgeschaltet werden.
 +
Zusätzlich kann das Standardverhalten des Webfilters, für die Punkte "Kein passendes Profil gefunden", "Keine passende Regel gefunden", auf blockieren oder zulassen gestellt werden.
 +
====Kein passendes Profil gefunden====
 +
Definiert das Verhalten für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.
 +
====Keine passende Regel gefunden====
 +
Definiert das Standardverhalten, wenn im aktiven Regelsatz keine passende Regel gefunden wurde.
 +
 
 +
====Kategorie nicht auflösbar====
 +
Definiert das Standardverhalten, falls die Kategorie nicht aufgelöst wurde. Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.
 +
 
 +
===Profile===
 +
[[Datei:utm_app_webfilter_01.png |200px|right|thumb|Profile]]
 +
In den einzelnen Profilen werden die Regelsätze mit entweder Netzwerkgruppen (transparenter
 +
Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden.
 +
Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die
 +
Profile von oben nach unten abgearbeitet werden.
 +
 
 +
[[UTM/AUTH/Benutzerverwaltung | Hier]] wird erklärt, wie eine Benutzergruppe und [[UTM/RULE/Portfilter#Netzwerkobjekte |hier]] wie ein Netzwerkobjekt angelegt werden kann.
 +
<br>
 +
 
 +
Wenn die entsprechende Netzwerk- oder Benutzergruppe angelegt wurde, kann ein Profil erstellt werden. Durch betätigen der Schaltfläche '''+ Profil hinzufügen''' kann eine Gruppe ausgewählt werden, für die ein Webfilterprofil erstellt werden soll. Standardmäßig wird für das neu angelegte Profil ein Regelsatz angelegt.
 +
<div>
 +
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
 +
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.</span></div>
 +
</div>
 +
<div style="clear: both;"></div>
 +
<br>
  
 +
===Regelsätze===
 +
[[Datei:Webfilter-01.jpg|300px|thumb|right|Regelsätze]]
 +
In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.
  
 +
<br><br><br><br>
 +
<br><br><br><br>
 +
<br>
  
  
 +
====Regelsatz hinzufügen====
 +
[[Datei:Webfilter-08.png|400px|thumb|right|Neuer Regelsatz]]
 +
Die automatisch erstellen Regelsätze können, um sie den Anforderungen an die Schutzmaßnahmen anzupassen, über den "Werkzeugschlüssel "bearbeitet werden Wenn ein eigener Regelsatz erstellt werden soll, ist dies möglich wenn die Schaltfläche '''+ Regelsatz hinzufügen''' betätigt wird.
 +
=====Allgemein=====
 +
'''Name:''' Hier wird der Regelname festgelegt.
 +
<br>
 +
'''Zugang blockieren:''' Alle Webseiten werden gesperrt.
 +
<br>
 +
'''SafeSearch:''' Inhalte mit anstößigen Inhalten werden gefiltert.
 +
<br>
 +
'''URL-Shortener:''' Definiert den Zugriff auf Webseiten, dessen Hostname URL-Shortener-Dienste verwendet. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
 +
<br>
 +
'''Securepoint Whitelist:''' Eine Sammlung von URLs, die Securepoint als vertrauenswürdig bezeichnet.
 +
<br>
 +
'''Keine passende Regel gefunden:''' Wie reagiert der Webfilter, wenn für die Netzwerk- bzw. Benutzergruppe keine Regel existiert?
 +
<br>
 +
'''Kategorie nicht auflösbar:''' Wie reagiert der Webfilter, wenn die Kategorie nicht ermittelt werden konnte.
 +
=====Gültig=====
 +
Dem Regelsatz kann hier ein Zeitraum zugewiesen werden, in dem dieser gültig ist.
 +
=====Regeln=====
 +
Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Der
 +
Webfilter bietet die Möglichkeit nach den Kriterien URL oder Kategorien zu filtern. Kategorien sind
 +
Sammlungen von Webseiten, ähnlich der Securepoint Whitelist, die bestimmten nach
 +
Themenbereichen zusammengestellt sind. Die Reihenfolge der Regeln ist immer URL, gefolgt von
 +
Kategorie.
 +
<br>
 +
Eine Übersicht mit allen Kategorien ist [[UTM/APP/Webfilter-CF_Kategorien | hier]] zu finden.
  
 +
==Sonstiges==
 +
===Beispiele für Ausnahmen für Windows-Updateserver===
 +
Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel [[UTM/KB/APP/HTTP_Proxy-Windows | Windows Updates mit HTTP-Proxy und Webfilter]]
  
===Arbeitsweise des Webfilter===
+
===Architektur des Webfilter===
 
[[Datei:Webfilter.png|800px|center]]
 
[[Datei:Webfilter.png|800px|center]]
 
 
Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.
 
Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.
  
 
Der Ablauf ist wie folgt:<br>
 
Der Ablauf ist wie folgt:<br>
 
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br>
 
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.<br>
 +
 
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt. <br>
 
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt. <br>
Im oben gezeigten Flussdiagramm wird in dieser Konstellation der Benutzername überprüft. Ist der Benutzer keinem Profil zugeordnet, wird anschließend überprüft, ob ein Profil existiert, bei der die Quell-IP in einer Netzwerkgruppe vorhanden ist.<br>
+
 
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.
+
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter ''Webfilter'' im Bereich ''Allgemein'' unter ''Kein passendes Profil gefunden:'' definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.<br>
  
 
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br>
 
Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.<br>
 +
 
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br>
 
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.<br>
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.
+
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster ''Regelsatz bearbeiten'' die Markierung bei ''Zugang blockieren:'' gesetzt wurde.<br>
  
 
Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.
 
Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.
Zeile 39: Zeile 107:
 
Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.
 
Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.
  
Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, wird die URL Anfrage zugelassen.
+
Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regalsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.
 
 
 
===Webfilter-Einstellungen===
 
====Allgemein====
 
Hier kann zunächst der Webfilter aktiviert bzw. deaktiviert werden.<br>
 
Zusätzlich kann das Standardverhalten des Webfilters auf blockieren oder zulassen gestellt werden. Dadurch wird der Zugriff für Hosts oder Benutzer blockiert bzw. zugelassen, für die kein Profil im Webfilter angelegt worden ist.
 
 
 
====Profil====
 
Für jede Netzwerk- und Benutzergruppe, die auf der Appliance konfiguriert ist, kann ein Webfilter Profil erstellt werden. Diesen Profilen können ein oder mehr Regelsätze zugewiesen werden, welche das Verhalten für das entsprechende Profil definieren.
 
 
 
<TABLE CELLPADDING=7 CELLSPACING=0>
 
<TR>
 
<TD WIDTH=60>
 
<P>[[Datei:UMA20_AHB_hinweispic.png|50px]]</P>
 
</TD>
 
<TD>
 
<P><B>Hinweis!</B><br>
 
Es ist darauf zu achten, dass bei zeitlichen Überschneidungen zwischen den Regelsätzen eines Profils, immer nur der erste Regelsatz angewendet wird ! Es ist nicht möglich in einem Profil mehrere Regelsätze von oben nach unten abarbeiten zu lassen.
 
</P>
 
</TD>
 
</TR>
 
</TABLE>
 
 
 
Netzwerk- und Benutzergruppen müssen in anderen Dialogen erstellt werden:
 
*''Netzwerkgruppen'' werden unter ''Firewall > Portfilter > Netzwerkobjekte'' angelegt. Hier werden Netzwerkobjekte zu Gruppen zusammengefasst.
 
*''Benutzergruppen'' werden unter ''Authentifizierung > Benutzer'' angelegt. Hier besteht die Möglichkeit bestimmten Benutzern Gruppen zuzuweisen, die durch die UTM oder externe Dienste (Radius, LDAP, AD) authentifiziert werden können. Damit die Zugriffsrechte des Webfilters greifen,  ist eine Authentifizierung am Proxy zwingend notwendig.
 
 
 
====Regelsatz====
 
Regelsätze müssen Profilen zugewiesen werden, um den Webzugriff für bestimmte Netzwerk- oder Benutzergruppe zu regulieren. Ein Regelsatz muss alles beinhalten, was anschließend für die Einschränkung des Profils benötigt wird.
 
 
 
Beim Anlegen/Bearbeiten eines Regelsatzes stehen folgende Optionen zur Verfügung:
 
<table>
 
    <tr>
 
      <td style="vertical-align:top; text-align:center;" colspan="2"><u>Allgemein</u></td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top;"><b>Name:</b></td>
 
        <td>Ein Name, der den Regelsatz beschreibt.</td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top; width:150px;"><b>Regelsatz kopieren:</b></td>
 
        <td>Zur schnelleren Konfiguration von Regelsätzen kann hier die Option genutzt werden einen anderen Regelsatz zu  kopieren und anschließend anzupassen. Ausgenommen davon ist der Name des Regelsatzes.</td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top; width:150px;"><b>Zugang blockieren:</b></td>
 
          <td>Die Aktivierung dieser Regel sorgt dafür, dass alle Webseiten gesperrt werden. Die Konfigurationen unter "Einstellungen" und "Regeln" werden dadurch nicht angewendet.</td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top; text-align:center;" colspan="2"><u>Gültig</u></td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top;"><b>Tage:</b></td>
 
          <td>In diesem Bereich wird definiert, an welchen Tagen der Regelsatz aktiv sein soll.</td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top; width:150px;"><b>Von:</b></td>
 
          <td>Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen beginnen soll.</td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top; width:150px;"><b>Bis:</b></td>
 
          <td>Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen enden soll.</td>
 
      </tr>
 
      <tr>
 
        <td style="vertical-align:top; text-align:center;" colspan="2"><u>Einstellungen</u></td>
 
      </tr>
 
      <tr>
 
          <td style="vertical-align:top; width:150px;"><b>SafeSearch:</b></td>
 
          <td>
 
Mit der Einstellung SafeSearch kann das für die Google Websuche geschaffene Filtersystem genutzt werden.<br>
 
Wird die Option "strict" gewählt, werden sexuell eindeutige Videos und Bilder sowie Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, aus den Google-Suchergebnisseiten gefiltert.<br>
 
Bei SafeSearch "moderat", werden sexuell eindeutige Videos und Bilder aus den Google-Suchergebnisseiten ausgeschlossen. Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, werden jedoch nicht gefiltert.<br>
 
Der Wert "aus" deaktiviert SafeSearch.
 
        </td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top; width:150px;"><b>URL-Shortener:</b></td>
 
        <td>Erweitert die verkürzt dargestellten URLs in die Langform. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.</td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top; text-align:center;" colspan="2"><u>Regeln</u></td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top;" colspan="2">
 
An dieser Stelle werden dem Regelsatz die gewünschten Regeln zugewiesen. Für jede Regel kann einzeln eingestellt werden, ob der Zugriff zugelassen oder blockiert wird. Die Regeln können per Drag & Drop in die gewünschte Reihenfolge gebracht werden, das ist wichtig, da die Regeln von oben nach unten abgearbeitet werden und der erste Treffer gilt. Es können URL-Regeln und Kategorie-Regeln zugewiesen werden:
 
        </td>
 
    </tr>
 
    <tr>
 
        <td style="vertical-align:top; width:150px;"><b>URL:</b></td>
 
        <td>
 
Hier wird die gewünschte URL oder eine passende Wildcard angegeben. Dazu einige Beispiele:<br>
 
                                        <ul>
 
                                            <li>*beispiel*</li>
 
                                            <li>*.beispiel.*</li>
 
                                            <li>*beispiel.net (oder .de, .com etc.)</li>
 
                                            <li>http://*beispiel.net*</li>
 
                                            <li>http://*beispiel.*</li>
 
                                            <li>http://beispiel.net*</li>
 
                                            <li>http://beispiel.net</li>
 
                                            <li>(statt http:// ist auch https:// möglich)</li>
 
                                        </ul>
 
Bei Regeln, mit aktivierter SSL-Interception, differiert das Filterverhalten zu Regeln ohne SSL-Interception. Ist SSL-Interception deaktiviert, wird der Proxy bei HTTPS-Verbindungen nur den Host-Namen, jedoch nicht die komplette URL der angesprochenen Webseite erkennen.
 
        </td>
 
      </tr>
 
      <tr>
 
        <td class="mw-headline" id="Kategorie" style="vertical-align:top; width:150px;"><b>Kategorie:</b></td>
 
        <td>
 
Die Webseiten werden passenden Kategorien zugewiesen, so dass diese entsprechend ihrer Kategorien gefiltert werden können.<br>
 
                                        <table>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><b>Kategorie</b></td>
 
                                                <td><b>Beschreibung</b></td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Casting:</i></td>
 
                                                <td>Seiten zum Thema Models, Casting, Schauspielen, Singen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Porno und Erotik:</i></td>
 
                                                <td>Pornographische oder vorwiegend sexuelle Inhalte</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Offene Bilder<br> Suche:</i></td>
 
                                                <td>Bilder- und Video Suchmaschinen inklusive pornografischer Suche aber ohne 'Safe Search' Schalter</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Erotik möglich:</i></td>
 
                                                <td>Webseiten mit möglicherweise pornographischem Inhalt</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Waffen:</i></td>
 
                                                <td>Waffenshops, Waffeninfos, Militaria, militärische Inhalte, Sportschützen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Abstoßend:</i></td>
 
                                                <td>Extrem blutig, Anleitung oder Aufruf zu Mord, Selbstmord und Gewalt, Ekelerregend</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>BPJM<br>Kinder-/Jugendschutz:</i></td>
 
                                                <td>Content nicht geeignet für Kinder und Jugendliche nach deutscher BPjM</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Spiele:</i></td>
 
                                                <td>Spiele zum Download, Online Spiele, Gewinnspiele, Lotto, Glücksspiele</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Chat:</i></td>
 
                                                <td>Chatanbieter, Blogs, Foren, Boards und Communities zu diversen Themen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Events:</i></td>
 
                                                <td>Kulturelle Veranstaltungen, Freizeitplanung, Tickets, Events</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Investments:</i></td>
 
                                                <td>Aktien, Börse, Investments, Kredite, Versicherungen, Banken</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Geld verdienen:</i></td>
 
                                                <td>Geld schnell verdienen, reich werden, Beteiligungen, Kettenbriefe</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Ausbildung:</i></td>
 
                                                <td>Schulen und Ausbildungsinstitute, Universitäten</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Gesundheit Schönheit:</i></td>
 
                                                <td>Themen Gesundheit und Schönheit, medizinische Infos, Ärzte, Kliniken, Abnehmen/Diät, Kosmetik, Wellness</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Haus und Garten:</i></td>
 
                                                <td>Themen zur Hauseinrichtung, Garten, Pflanzen, Möbel, Dekoration</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Download:</i></td>
 
                                                <td>Software Downloads, Dateidownloads</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Computer:</i></td>
 
                                                <td>Computer Ratgeber, Computertechnologie, Computer Themen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Fernwartung:</i></td>
 
                                                <td>Fernwartungsprogramme, entfernter Desktop, Desktop-Sharing</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Hacking:</i></td>
 
                                                <td>Ratgeber zum Thema Hacking, Warez, Malware bauen, Systeme überlisten, Abofallen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Proxy:</i></td>
 
                                                <td>Anonymisierungsproxies und Listen dieser Rechner</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Kommunikation:</i></td>
 
                                                <td>E-Mail Anbieter, SMS Dienste, Kommunikationsdienste</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Soziale Lesezeichen:</i></td>
 
                                                <td>Lesezeichendienste für das WWW</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Personensuche:</i></td>
 
                                                <td>Personensuchdienste</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Soziale Netzwerke:</i></td>
 
                                                <td>Soziale Netzwerke</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Jobs:</i></td>
 
                                                <td>Arbeit suchen, Jobsuche, Stellenangebote, Arbeitnehmersuche</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>News:</i></td>
 
                                                <td>Nachrichten, News, Tagesthemen, Prominews, Branchennews</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Dating:</i></td>
 
                                                <td>Dating, Kennenlernen, Partnerschaftssuche, Freunde finden</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Lexika:</i></td>
 
                                                <td>Lexika, Nachschlagewerke, Übersetzer, gesammelte Informationen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Portale:</i></td>
 
                                                <td>Internetportale, Suchmaschinen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Kult:</i></td>
 
                                                <td>Religion, Kult, Astrologie, Esoterik, Horoskope, Ideologie, Verschwörungstheorien</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Shopping:</i></td>
 
                                                <td>Shoppingseiten, online Einkaufen</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Auktionen:</i></td>
 
                                                <td>Internet Auktionen, Kleinanzeigen, Annoncenmarkt</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Immobilien:</i></td>
 
                                                <td>Wohnungs/Haus-Kauf, Vermietungen, Grundstücke</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Essen:</i></td>
 
                                                <td>Rezepte und Ernährung, Essen, Restaurants</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Sport:</i></td>
 
                                                <td>Sport jeglicher Art, Ratgeber, Fanseiten, Clubs und Vereine</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Reisen:</i></td>
 
                                                <td>Reisen, Buchungsdienste, Last-Minute, Reiseinfos</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Fahrzeuge:</i></td>
 
                                                <td>Fahrzeuge jeglicher Art, Automagazine, Motorrad, Boote, Fahrrad</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Humor:</i></td>
 
                                                <td>Witzige Seiten, Satire</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Video:</i></td>
 
                                                <td>Videos, Filme, Bilder, Comics, Kino- und Filmthemen sowie kategoriebezogene Downloads</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Audio:</i></td>
 
                                                <td>Audio/Musik, Bands und Musikthemen sowie kategoriebezogene Downloads</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Kinder:</i></td>
 
                                                <td>Babys und Kinder, Erziehung</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Tiere:</i></td>
 
                                                <td>Tierratgeber, Tierforen, Züchtung</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Consumertechnik:</i></td>
 
                                                <td>Home Entertainment, Elektronik, Testberichte und Ratgeber für Digitalkameras, Handys, MP3-Player, Navis,...</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Kurz-URL-Dienst:</i></td>
 
                                                <td>URL Kürzungs Dienste</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>Werbe Dienste:</i></td>
 
                                                <td>Werbe Dienste</td>
 
                                            </tr>
 
                                            <tr style='border-bottom: 1px dotted black'>
 
                                                <td style='vertical-align:top;'><i>Update Server:</i></td>
 
                                                <td>Server und Dienste für wichtige Sofwareupdates, als Whitelist vorgesehen</td>
 
                                            </tr>
 
                                            <tr bgcolor='gray' style='border-bottom: 1px dotted black'>
 
                                                <td style='vertical-align:top;'><i>Nicht spezifiziert:</i></td>
 
                                                <td>Nicht identifizierte oder nicht kategorisierbare Seiten</td>
 
                                            </tr>
 
                                            <tr bgcolor='gray' style='border-bottom: 1px dotted gray'>
 
                                                <td style='vertical-align:top;'><i>White:</i></td>
 
                                                <td>Seriöse Adressen, öffentliche- und Unternehmensseiten, technische Dienste welche nicht geblockt werden sollten.</td>
 
                                          </tr>
 
                                      </table>
 
        </td>
 
      </tr>
 
</table>
 
 
 
Die letzten beiden Kategorien sind im Webfilter nicht auswählbar.
 
 
 
===Einrichtung eines Webfilterprofils===
 
[[Datei:UTM116_AI_WF1.png|250px|thumb|right|Webfilter]]
 
Nachdem eine Netzwerk- oder Benutzergruppe angelegt wurde, steht diese auch für den Webfilter zur Verfügung.<br>
 
Da beim Anlegen eines Profils immer auch gleich ein Regelsatz mit angelegt wird, beginnt die Prozedur durch einen Klick auf die Schaltfläche [[Datei:UTM116_AI_WFprofhinzB.png|100px]]
 
 
 
In diesem Beispiel wurde die Benutzergruppe ''Webfilter-Grp'' angelegt, die nun ausgewählt wird.
 
[[Datei:UTM116_AI_WFprofhinz.png|300px|center]]
 
 
 
 
 
 
 
[[Datei:UTM116_AI_WF2.png|250px|thumb|right|Webfilter mit neuem Profil]]
 
Im Webfilter befindet sich nun das Profil ''Webfilter-Grp'' und ein neuer Regelsatz ''Webfilter-Grp_ruleset_1'' welcher mit dem Profil verknüpft ist.
 
 
 
 
 
 
 
 
 
Mit einem Mausklick auf den Editier-Button [[Datei:UTM116_AI_WFeditB.png|25px]] kann nun der Regelsatz bearbeitet werden.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
[[Datei:UTM116_AI_WFrs.png|250px|thumb|right|Webfilter Regelsatz]]
 
Nachdem sich der Regelsatz zur Bearbeitung geöffnet hat, besteht die Möglichkeit, Regeln aus einem anderen Regelsatz zu kopieren.<br>
 
Da Regeln innerhalb eines Profils nicht nacheinander abgearbeitet werden können, muss ein einzelner Regelsatz <u>'''immer'''</u> alle notwendigen Regeln beinhalten.
 
 
 
Im Abschnitt ''Allgemein'' wird also der gewünschte Regelsatz zum Kopieren ausgewählt und die dort hinterlegten Regeln mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_WFregkopB.png|25px]] der gerade bearbeiteten Regel hinzugefügt.
 
 
 
Soll der Filter für die Google Websuche aktiviert werden, wird die ''SafeSearch' Einstellung auf ''strict'' gesetzt.
 
 
 
Nun können URLs in das URL-Feld eingegeben oder Kategorien ausgewählt werden und über die Schaltfläche [[Datei:UTM116_AI_hinzB.png|25px]] dem Regelsatz hinzugefügt werden.
 
 
 
Der Button in der Spalte Aktion hat zwei Zustände:
 
{|
 
|[[Datei:UTM116_AI_WFblockB.png|70px]] ||Blockiert den Zugriff auf die URL oder die Kategorie
 
|-
 
||[[Datei:UTM116_AI_WFallowB.png|70px]] ||Erlaubt den Zugriff auf die URL oder die Kategorie
 
|}
 
 
 
 
 
Sind alle Regeln eingetragen, wird dieser Regelsatz mit einem Klick auf den Button [[Datei:UTM116_AI_SaveB.png|60px]] gespeichert.
 

Aktuelle Version vom 10. Juli 2017, 10:29 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktionserweiterung
Vorherige Versionen: 11.6.12 + 11.5

Einleitung

Der Webfilter ordnet Berechtigungen, den zugrunde liegenden Netzwerk- oder Benutzergruppen, in Profilen zu. In diesen Profilen befinden sich Regelsätze, die innerhalb eines Profils, von oben nach unten abgearbeitet werden. Mehrere Regelsätze innerhalb eines Profils machen gerade dann Sinn, wenn Gruppen zu bestimmten Zeiten (z. B. Mittagspause, nach Feierabend) unterschiedliche Berechtigungen zugeordnet werden sollen.

Der Webfilter

Webfilter-Einstellungen

In den Allgemeinen Einstellungen des Webfilter kann die Funktion Ein- oder Ausgeschaltet werden. Zusätzlich kann das Standardverhalten des Webfilters, für die Punkte "Kein passendes Profil gefunden", "Keine passende Regel gefunden", auf blockieren oder zulassen gestellt werden.

Kein passendes Profil gefunden

Definiert das Verhalten für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.

Keine passende Regel gefunden

Definiert das Standardverhalten, wenn im aktiven Regelsatz keine passende Regel gefunden wurde.

Kategorie nicht auflösbar

Definiert das Standardverhalten, falls die Kategorie nicht aufgelöst wurde. Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.

Profile

Profile

In den einzelnen Profilen werden die Regelsätze mit entweder Netzwerkgruppen (transparenter Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden. Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden.

Hier wird erklärt, wie eine Benutzergruppe und hier wie ein Netzwerkobjekt angelegt werden kann.

Wenn die entsprechende Netzwerk- oder Benutzergruppe angelegt wurde, kann ein Profil erstellt werden. Durch betätigen der Schaltfläche + Profil hinzufügen kann eine Gruppe ausgewählt werden, für die ein Webfilterprofil erstellt werden soll. Standardmäßig wird für das neu angelegte Profil ein Regelsatz angelegt.

Alert-yellow.png
Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.


Regelsätze

Regelsätze

In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.











Regelsatz hinzufügen

Neuer Regelsatz

Die automatisch erstellen Regelsätze können, um sie den Anforderungen an die Schutzmaßnahmen anzupassen, über den "Werkzeugschlüssel "bearbeitet werden Wenn ein eigener Regelsatz erstellt werden soll, ist dies möglich wenn die Schaltfläche + Regelsatz hinzufügen betätigt wird.

Allgemein

Name: Hier wird der Regelname festgelegt.
Zugang blockieren: Alle Webseiten werden gesperrt.
SafeSearch: Inhalte mit anstößigen Inhalten werden gefiltert.
URL-Shortener: Definiert den Zugriff auf Webseiten, dessen Hostname URL-Shortener-Dienste verwendet. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
Securepoint Whitelist: Eine Sammlung von URLs, die Securepoint als vertrauenswürdig bezeichnet.
Keine passende Regel gefunden: Wie reagiert der Webfilter, wenn für die Netzwerk- bzw. Benutzergruppe keine Regel existiert?
Kategorie nicht auflösbar: Wie reagiert der Webfilter, wenn die Kategorie nicht ermittelt werden konnte.

Gültig

Dem Regelsatz kann hier ein Zeitraum zugewiesen werden, in dem dieser gültig ist.

Regeln

Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Der Webfilter bietet die Möglichkeit nach den Kriterien URL oder Kategorien zu filtern. Kategorien sind Sammlungen von Webseiten, ähnlich der Securepoint Whitelist, die bestimmten nach Themenbereichen zusammengestellt sind. Die Reihenfolge der Regeln ist immer URL, gefolgt von Kategorie.
Eine Übersicht mit allen Kategorien ist hier zu finden.

Sonstiges

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

Architektur des Webfilter

Webfilter.png

Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.

Der Ablauf ist wie folgt:
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.

Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.

Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.

Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.

Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.

Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.

Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.

Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.

Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.

Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regalsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.