Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-WAF-add-Microsoft-Remote-Desktop-Web

Hinzufügen einer Microsoft Remote Desktop-Webclientregel

Sie können den HTTP-Datenverkehr zu und von einer Webanwendung steuern, indem Sie eine Microsoft Remote Desktop-Webclientregel erstellen, die das IPv4-Protokoll verwendet.

  1. Gehe zu Regeln und Richtlinien > Firewall, wählen IPv4 und klicken Sie auf Firewallregel hinzufügen.
  2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die Übereinstimmungskriterien nicht anwenden möchten.

  3. Geben Sie die allgemeinen Details ein.

    Name Beschreibung
    Regelname Geben Sie einen Namen ein.
    Regelposition

    Geben Sie die Position der Regel an.

    Verfügbare Optionen:

    • Spitze
    • Unten*
    Regelgruppe

    Geben Sie die Regelgruppe an, zu der Sie die Firewall-Regel hinzufügen möchten. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste.

    Wenn Sie Automatisch, die Firewall-Regel wird einer vorhandenen Gruppe basierend auf der ersten Übereinstimmung mit Regeltyp und Quell-Ziel-Zonen hinzugefügt.
    Aktion Wählen Schützen Sie sich mit dem Webserver-Schutz.
    Vorkonfigurierte Vorlage

    Wählen Sie eine anzuwendende Vorlage aus:

    • Keiner: Geben Sie die Schutzdetails des Webservers an.
    • Exchange-AutoErmittlung
    • Exchange Outlook Anywhere
    • Austausch Allgemein
    • Microsoft Lync
    • Microsoft RDG
    • Microsoft RD Web

  4. Eingeben Gehosteter Server Einzelheiten.

    Name Beschreibung
    Gehostete Adresse

    Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die der Schnittstelle zugewiesene IP-Adresse gebunden.

    Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die erforderliche öffentliche IP-Adresse zu binden.

    Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, erhält der Webserver die in der WAF-Regel konfigurierte Schnittstellenadresse. Der HTTP-Header X-Forwarded-For trägt die IP-Adresse des Clients.
    Abhörport

    Geben Sie die Portnummer ein, über die der gehostete Webserver erreichbar ist. Die Standardwerte sind Port 80 für HTTP und Port 443 für HTTPS.

    Stellen Sie sicher, dass sich WAF in mindestens einem der folgenden Attribute vom VPN-Portal und SSL-VPN unterscheidet: WAN-IP-Adresse, Port, Protokoll. Siehe Portfreigabe zwischen Diensten.

    Einige Ports können nicht verwendet werden, da sie von der Firewall für Systemdienste reserviert sind. Weitere Informationen finden Sie unter Reservierte Ports.
    HTTPS Wenn Sie dies aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP zugänglich.
    HTTPS-Zertifikat

    Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus.

    Die Sophos Firewall unterstützt SNI (Server Name Indication). Dadurch können Sie mehrere virtuelle Webserver erstellen, die über dieselbe IP-Adresse und denselben Port erreichbar sind. Sie können jedem Server ein anderes Zertifikat zuweisen. Die Server werden den Clients basierend auf dem angeforderten Hostnamen angezeigt.

    Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
    HTTP umleiten Wählen Sie diese Option, um den Datenverkehr von Port 80 auf Port 443 umzuleiten.
    Domänen

    Geben Sie den für den Webserver konfigurierten FQDN ein, zum Beispiel shop.example.com.

    Wenn Sie HTTPS aktiviert haben, werden die Domänennamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten, löschen oder neue Domänennamen hinzufügen.

    Sie können den Platzhalter *. nur am Anfang eines Domänennamens.

    Beispiel: *.company.com

    Eine einzelne WAF-Richtlinie unterstützt mehrere Platzhalterdomänen. Virtuelle Webserver mit Platzhalterdomänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit bestimmten Domänen konfiguriert sind.

    Beispiel: Eine Client-Anfrage an die Domäne test.company.com wird mit test.company.com bevor es übereinstimmt mit *.company.com vor dem Abgleichen mit *.com.

  5. Geben Sie die Details der Geschützte ServerSie können die Webserver, die Authentifizierungsmethode sowie zulässige und blockierte Clientnetzwerke angeben. Wenn Sie pfadspezifisches Routing wählen, können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, den primären Server und den Backup-Server angeben und das WebSocket-Protokoll verwenden.

    Notiz

    Wenn Sie mehrere Webserver auswählen, werden die Anforderungen zwischen den Webservern ausgeglichen.

    Wenn Sie kein pfadspezifisches Routing konfigurieren möchten, geben Sie die Webserver Und Zugriffsberechtigungen.

    Name Beschreibung
    Webserver Wählen Sie die Webserver aus dem WebserverlisteAlternativ können Sie neue Webserver anlegen. Die ausgewählten Webserver finden Sie unter Ausgewählte Webserver.
    Erlaubte Clientnetzwerke

    Geben Sie die IP-Adressen und Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.

    Der Standardwert ist Jede IPv4Behalten Sie den Standardwert bei, wenn Sie keine IP-Adressen oder Netzwerke angeben möchten. Wenn Sie diese Einstellung leer lassen, funktioniert Ihre WAF-Regel nicht und der Browser zeigt den Fehler „400 Bad Request“ an.
    Blockierte Clientnetzwerke Geben Sie die IP-Adressen und Netzwerke an, deren Verbindung zum gehosteten Webserver blockiert werden soll.
    Authentifizierung Geben Sie ein Authentifizierungsprofil für Webanwendungen an.
    Gesperrte Länder Geben Sie die Länder oder Ländergruppen an, für die Sie die Verbindung zum gehosteten Webserver blockieren möchten.
    Blockieren Sie IP-Adressen unbekannter Herkunft

    Aktivieren Sie diese Option, um IP-Adressen zu blockieren, deren Herkunftsland unbekannt ist.

    Seien Sie vorsichtig, wenn Sie diese Option aktivieren, da Sie möglicherweise von dieser Ressource ausgeschlossen werden, wenn Sie sich von einer IP-Adresse unbekannten Ursprungs verbinden. Sie können überprüfen, ob Ihre IP-Adresse einen Ursprungsland hat oder nicht. Siehe GeoIP2-Datenbank-Demo.

  6. Wählen Neue Ausnahme hinzufügen um die zu überspringenden Sicherheitsprüfungen anzugeben.

    Wählen Sie die Pfade, Quellen, Kategorien und Sicherheitsprüfungen aus, die übersprungen werden sollen. Weitere Informationen zu Kategorien finden Sie im Gemeinsamer Bedrohungsfilter Einstellungen in Hinzufügen einer Schutzrichtlinie.

    Sie können in einer WAF-Regel mehr als eine Ausnahme angeben.

    Name Beschreibung
    Pfade Geben Sie die Pfade an, für die Sie eine Ausnahme erstellen möchten. Sie können Platzhalter in den Pfaden verwenden. Beispiel: /products/*/images/*
    Betrieb Wählen Sie die Boolesche Operation für Pfade und Quellnetzwerke aus.
    Quellen Geben Sie die IP-Adressen, Bereiche, Listen oder Netzwerke an, von denen der Datenverkehr stammt.
    Cookie-Signierung Überspringt die Überprüfung auf Cookie-Manipulation. Die Cookie-Signierung verhindert Versuche, private Sitzungsdaten abzugreifen und durch Cookie-Manipulation betrügerische Aktivitäten durchzuführen. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt. Dieses enthält einen Hash aus Name und Wert des primären Cookies und ein nur der Sophos Firewall bekanntes Geheimnis. Wenn eine Anfrage nicht das richtige Cookie-Paar bereitstellen kann, wird das Cookie gelöscht.
    Statische URL-Härtung

    Ermöglicht neu geschriebene Links für die angegebenen Pfade und Quellnetzwerke.

    Statische URL-Hardening verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Client eine Website anfordert, werden alle statischen URLs der Website mithilfe eines Verfahrens ähnlich der Cookie-Signierung signiert. Zusätzlich wird die Antwort des Webservers analysiert, um festzustellen, welche Links als nächstes gültig angefordert werden können.

    Wenn Sie die statische URL-Verstärkung aktivieren, wird bei den Einträgen für URL-Pfade die Groß- und Kleinschreibung berücksichtigt. Wenn Sie beispielsweise den Pfad /rule.html und Benutzer geben /Rule.html, Sophos Firewall meldet, dass die Signatur nicht gefunden werden kann.
    Formhärten Überspringt die Überprüfung auf Neuformulierungen von Webformularen. Um Manipulationen an Formularen zu verhindern, speichert die Sophos Firewall die ursprüngliche Struktur eines Webformulars und signiert es. Sollte sich die Struktur beim Absenden des Formulars geändert haben, lehnt die Sophos Firewall die Anfrage ab.
    Antivirus Überspringt die Virenprüfung für Anforderungen aus den angegebenen Quellnetzwerken und an die von Ihnen angegebenen Pfade.
    Blockieren Sie Kunden mit schlechtem Ruf Überspringt Prüfungen für Clients, die laut Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen einen schlechten Ruf haben.
    Ändern Sie niemals HTML während der statischen URL-Verfestigung oder Formularverfestigung Wenn Sie diese Ausnahme auswählen, führt die Firewall während der statischen URL- oder Formhärtung keine HTML-Umschreibung durch. Beispielsweise aktualisiert sie die Links innerhalb einer HTML-Seite nicht und behält den vollständigen, vom Webserver zurückgegebenen Link bei. Möglicherweise müssen Sie die statische URL- oder Formhärtung überspringen, um den Zugriff auf diese Links zu ermöglichen. Wenn eine Webanwendung also Elemente der HTML-Seite benötigt, um zu funktionieren, werden diese durch die HTML-Umschreibung nicht gelöscht.
    Akzeptieren Sie nicht gehärtete Formulardaten Auch wenn Sie die Formhärten Ausnahme: Die Firewall akzeptiert keine Formulardaten, wenn die Signatur zur Formularhärtung fehlt. Mit dieser Option akzeptiert die Firewall ungehärtete Formulardaten.

  7. Geben Sie die erweiterten Schutzrichtlinien an.

    Name Beschreibung
    Schutz Geben Sie eine Schutzrichtlinie für die Server an.
    Einbruchschutz

    Geben Sie eine Richtlinie zur Angriffsprävention an.

    Um Intrusion Prevention mit WAF zu verwenden, muss das Kommunikationsprotokoll zwischen der Firewall und dem Webserver HTTP sein.
    Verkehrsgestaltung Geben Sie eine Traffic-Shaping-Richtlinie an, um Bandbreite zuzuweisen.

  8. Geben Sie die Fortschrittlich Einstellungen.

    Name Beschreibung
    Komprimierungsunterstützung deaktivieren

    Wenn Clients komprimierte Daten anfordern, sendet Sophos Firewall die Daten in komprimierter Form.

    Wählen Sie diese Einstellung, um die Komprimierung zu deaktivieren, wenn Webseiten fehlerhaft angezeigt werden oder Benutzer Fehler bei der Inhaltskodierung feststellen. Die Sophos Firewall fordert dann unkomprimierte Daten von Webservern an und sendet sie unabhängig vom Kodierungsparameter der Anfrage an den Client.
    HTML neu schreiben

    Wählen Sie diese Option aus, um die Links der zurückgegebenen Webseiten neu zu schreiben und so die Linkgültigkeit beizubehalten.

    Beispiel: Wenn der Hostname eines Webservers yourcompany.local, aber der Hostname des gehosteten Webservers ist yourcompany.com, absolute Links wie [a href="http://yourcompany.local/"] sind kaputt, wenn der Link nicht neu geschrieben wird auf [a href="http://yourcompany.com/"] vor der Auslieferung an den Kunden.

    Sie müssen diese Option nicht auswählen, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder interne Links auf Ihren Webseiten immer als relative Links realisiert werden.

    Wir empfehlen Ihnen, die Option mit Microsoft Outlook-Webzugriff oder SharePoint-Portalserver zu verwenden.

    Die HTML-Umschreibung betrifft alle Dateien mit dem HTTP-Inhaltstyp „text/*“ oder „*xml*“. „*“ ist ein Platzhalter. Um Beschädigungen bei der HTML-Umschreibung zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z. B. Binärdateien) den richtigen HTTP-Inhaltstyp haben.
    Cookies neu schreiben Wählen Sie diese Option aus, um die Cookies der zurückgegebenen Webseiten neu zu schreiben.
    Host-Header übergeben

    Wählen Sie diese Option aus, um den vom Client angeforderten Host-Header an den Webserver weiterzuleiten.

    Sie können dies verwenden, um den angeforderten Hostnamen mit dem Webserver abzugleichen, wenn Sie mehr als eine Website auf einem Server gehostet haben.

  9. Klicken SpeichernWenn Sie eine WAF-Regel speichern, startet die Firewall alle Webserver-Schutzregeln neu. Live-Verbindungen, die eine dieser Regeln verwenden, gehen verloren und müssen neu hergestellt werden.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung