Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-WAF-add

Hinzufügen einer Web Application Firewall (WAF)-Regel

Mit WAF-Regeln können Sie Webanwendungen vor Angriffen und Datenlecks schützen, indem Sie den HTTP-Verkehr filtern.

Sie konfigurieren eine WAF-Regel für eine IP-Adresse, die einer Netzwerkschnittstelle, einem Port und einem oder mehreren Domänennamen zugewiesen ist. Die Firewall gleicht den Datenverkehr basierend auf der der Schnittstelle zugewiesenen IP-Adresse ab.

Für HTTPS-Verkehr wird die Server Name Indication (SNI) verwendet, um den Server zu bestimmen, der dem Hostnamen in der Client-Anforderung entspricht.

Beschränkung

Sie können maximal 60 WAF-Regeln erstellen. Siehe WAF-Beschränkung.

  1. Gehe zu Regeln und Richtlinien > Firewall, wählen IPv4 und klicken Sie auf Firewallregel hinzufügen.
  2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die Übereinstimmungskriterien nicht anwenden möchten.

  3. Geben Sie die allgemeinen Details ein.

    Einstellung Beschreibung
    Regelname Geben Sie einen Namen ein.
    Regelposition

    Geben Sie die Position der Regel an.

    Verfügbare Optionen:

    • Spitze
    • Unten
    Regelgruppe

    Geben Sie die Regelgruppe an, zu der Sie die Firewall-Regel hinzufügen möchten. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste.

    Wenn Sie Automatisch, wird die Firewall-Regel basierend auf der ersten Übereinstimmung mit dem Regeltyp und den Quell-Ziel-Zonen zu einer vorhandenen Gruppe hinzugefügt.
    Aktion Wählen Schützen Sie sich mit dem Webserver-Schutz.
    Vorkonfigurierte Vorlage

    Wählen Sie eine anzuwendende Vorlage aus:

    • Keiner: Geben Sie die Schutzdetails des Webservers an.
    • Exchange-AutoErmittlung
    • Exchange Outlook Anywhere
    • Austausch Allgemein
    • Microsoft Lync
    • Microsoft RDG
    • Microsoft RD Web

  4. Geben Sie den Gehosteter Server Einzelheiten.

    Einstellung Beschreibung
    Gehostete Adresse

    Wählen Sie die öffentliche IP-Adresse einer Schnittstelle aus, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die der Schnittstelle zugewiesene IP-Adresse gebunden.

    Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die erforderliche öffentliche IP-Adresse zu binden.

    Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, erhält der Webserver die in der WAF-Regel konfigurierte Schnittstellenadresse. Der HTTP-Header X-Forwarded-For trägt die IP-Adresse des Clients.
    Abhörport

    Geben Sie die Portnummer ein, über die der gehostete Webserver erreichbar ist. Die Standardwerte sind Port 80 für HTTP und Port 443 für HTTPS.

    Stellen Sie sicher, dass sich WAF in mindestens einem der folgenden Attribute vom VPN-Portal und SSL-VPN unterscheidet: WAN-IP-Adresse, Port, Protokoll. Siehe Portfreigabe zwischen Diensten.

    Einige Ports können nicht verwendet werden, da sie von der Firewall für Systemdienste reserviert sind. Weitere Informationen finden Sie unter Reservierte Ports.
    HTTPS Wenn Sie dies aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP zugänglich.
    HTTPS-Zertifikat

    Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus.

    Der Zertifikatsname darf nur alphanumerische Zeichen aus dem US-ASCII-Zeichensatz enthalten.

    Die Domänen des ausgewählten Zertifikats erscheinen automatisch unter Domänen und überschreiben Sie die vorhandenen.

    Die Firewall unterstützt SNI (Server Name Indication). Dadurch können Sie mehrere virtuelle Webserver erstellen, die über dieselbe IP-Adresse und denselben Port erreichbar sind. Sie können jedem Server ein anderes Zertifikat zuweisen. Server werden Clients basierend auf dem angeforderten Hostnamen angezeigt.

    Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
    HTTP umleiten Wählen Sie diese Option, um den Datenverkehr von Port 80 auf Port 443 umzuleiten.
    Domänen

    Geben Sie den für den Webserver konfigurierten FQDN ein, zum Beispiel shop.example.com.

    Verwenden Sie keine Unterstriche (_) auf der Domänenbezeichnung ganz links. Domänennamen müssen RFC-konforme DNS-Namen sein. Weitere Informationen finden Sie unter 2.3.1. Bevorzugte Namenssyntax.

    Wenn Sie HTTPS aktiviert haben, werden die Domänennamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten, löschen oder neue Domänennamen hinzufügen.

    Sie können den Platzhalter *. nur am Anfang eines Domänennamens.

    Beispiel: *.company.com

    Eine einzelne WAF-Richtlinie unterstützt mehrere Platzhalterdomänen. Virtuelle Webserver mit Platzhalterdomänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit bestimmten Domänen konfiguriert sind.

    Beispiel: Eine Client-Anfrage an die Domäne test.company.com wird mit test.company.com bevor es übereinstimmt mit *.company.com vor dem Abgleichen mit *.com.

  5. Geben Sie die Details der Geschützte ServerSie können die Webserver, die Authentifizierungsmethode sowie zulässige und blockierte Clientnetzwerke angeben. Wenn Sie pfadspezifisches Routing wählen, können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, den primären Server und den Backup-Server angeben und das WebSocket-Protokoll verwenden.

    Notiz

    Wenn Sie mehrere Webserver auswählen, werden die Anforderungen zwischen den Webservern ausgeglichen.

    Wenn Sie kein pfadspezifisches Routing konfigurieren möchten, geben Sie die Webserver Und Zugriffsberechtigungen.

    Einstellung Beschreibung
    Webserver Wählen Sie die Webserver aus dem WebserverlisteAlternativ können Sie neue Webserver anlegen. Die ausgewählten Webserver finden Sie unter Ausgewählte Webserver.
    Erlaubte Clientnetzwerke

    Geben Sie die IP-Adressen und Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.

    Der Standardwert ist Jede IPv4Behalten Sie den Standardwert bei, wenn Sie keine IP-Adressen oder Netzwerke angeben möchten. Wenn Sie diese Einstellung leer lassen, funktioniert Ihre WAF-Regel nicht und der Browser zeigt den Fehler „400 Bad Request“ an.
    Blockierte Clientnetzwerke Geben Sie die IP-Adressen und Netzwerke an, deren Verbindung zum gehosteten Webserver blockiert werden soll.
    Authentifizierung Geben Sie ein Authentifizierungsprofil für Webanwendungen an.
    Gesperrte Länder Geben Sie die Länder oder Ländergruppen an, für die Sie die Verbindung zum gehosteten Webserver blockieren möchten.
    Blockieren Sie IP-Adressen unbekannter Herkunft

    Aktivieren Sie diese Option, um IP-Adressen zu blockieren, deren Herkunftsland unbekannt ist.

    Seien Sie vorsichtig, wenn Sie diese Option aktivieren, da Sie möglicherweise von dieser Ressource ausgeschlossen werden, wenn Sie sich von einer IP-Adresse unbekannten Ursprungs verbinden. Sie können überprüfen, ob Ihre IP-Adresse einen Ursprungsland hat oder nicht. Siehe GeoIP2-Datenbank-Demo.

  6. Wählen Pfadspezifisches Routing um bestimmte Pfadanfragen an die ausgewählten Webserver weiterzuleiten. Wenn Sie beispielsweise die Domäne www.test.com, der Pfad /webund der Webserver Web server 1, eine Anfrage für www.test.com/web wird weitergeleitet an Web server 1.

    Notiz

    Die Firewall wertet Anfragen nicht anhand der Pfadreihenfolge aus. Sie wendet die Pfade an, beginnend mit dem längsten Pfad und endend mit der Standardroute. Der Standardpfad wird nur verwendet, wenn ein spezifischerer Pfad nicht mit der Anfrage übereinstimmt.

    In den folgenden Fällen können Sie pfadspezifisches Routing angeben:

    • Senden Sie Anfragen mit einem bestimmten Pfad (Beispiel: /products/) an einen bestimmten Webserver.
    • Binden Sie jede Sitzung mithilfe eines Sticky Session Cookies an einen Webserver. Beispiel: Sie hosten eine E-Commerce-Site und möchten, dass ein einzelner Server die Benutzer während einer Shopping-Sitzung bedient.
    • Senden Sie alle Anfragen an den angegebenen Webserver, während die anderen im Hot-Standby-Modus als Backup-Server verbleiben.
    Einstellung Beschreibung
    Standardpfad (Pfad /) Wählen Sie die Schaltfläche „Bearbeiten“ und wählen Sie einen Webserver als Standardpfad aus. Anfragen, die nicht mit einem aufgelisteten Pfad übereinstimmen, werden an die Standardroute gesendet. Wenn Sie die Standardroute löschen, lehnt die Firewall Anfragen ab, die nicht mit einem aufgelisteten Pfad übereinstimmen. 404 Not found Antwort.
    Neuen Pfad hinzufügen

    Wählen Sie diese Option aus, um einen neuen Pfad hinzuzufügen.

    Sie können einen Pfad hinzufügen, wenn Sie einen Webserver hinzugefügt haben.
    Weg Geben Sie den Website-Pfad ein. Beispiel: /products/
    Webserver Wählen Sie die Webserver aus dem WebserverlisteAlternativ können Sie neue Webserver anlegen. Die ausgewählten Webserver finden Sie unter Ausgewählte Webserver.
    Authentifizierung Geben Sie ein Authentifizierungsprofil für Webanwendungen an.
    Erlaubte Clientnetzwerke Geben Sie die IP-Adressen und Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können. Die Firewall implementiert nur den Schutz für IP-Hosttypen IP Und Netzwerk. Geben Sie keinen IP-Bereich oder IP-Liste.
    Blockierte Clientnetzwerke

    Geben Sie die IP-Adressen und Netzwerke an, deren Verbindung zum gehosteten Webserver blockiert werden soll.

    Die Firewall implementiert nur den Schutz für IP-Host-Typ IP Und Netzwerk. Geben Sie keinen IP-Bereich oder IP-Liste.
    Gesperrte Länder Geben Sie die Länder oder Ländergruppen an, für die Sie die Verbindung zum gehosteten Webserver blockieren möchten.
    Blockieren Sie IP-Adressen unbekannter Herkunft

    Aktivieren Sie diese Option, um IP-Adressen zu blockieren, deren Herkunftsland unbekannt ist.

    Seien Sie vorsichtig, wenn Sie diese Option aktivieren, da Sie möglicherweise von dieser Ressource ausgeschlossen werden, wenn Sie sich von einer IP-Adresse unbekannten Ursprungs verbinden. Sie können überprüfen, ob Ihre IP-Adresse einen Ursprungsland hat oder nicht. Siehe GeoIP2-Datenbank-Demo.
    Dauerhaftes Sitzungscookie

    Aktivieren Sie diese Option, um eine Sitzung an einen Webserver zu binden. Die Firewall leitet ein Cookie an den Browser des Benutzers weiter, sodass Anfragen vom Browser an denselben Webserver weitergeleitet werden können.

    Wenn der Server nicht verfügbar ist, wird das Cookie aktualisiert und die Sitzung auf einen anderen Webserver umgeschaltet.
    Hot-Standby-Modus

    Aktivieren Sie diese Option, um alle Anfragen an den ersten ausgewählten Webserver zu senden. Die anderen Webserver bleiben als Backup-Server erhalten und werden verwendet, wenn der erste Server ausfällt.

    Sobald der Hauptserver wieder funktioniert, werden die Sitzungen wieder auf ihn umgeschaltet. Wenn Sie Dauerhaftes Sitzungscookie, die Sitzung wird mit dem Backup-Webserver fortgesetzt.
    WebSocket-Passthrough

    Aktivieren Sie es, um Anwendungen, die auf dem angegebenen Site-Pfad gehostet werden, die Verwendung des WebSocket-Protokolls zu ermöglichen.

    Da die RFC-Standards das Datenformat des Protokolls nicht spezifizieren, können keine Prüfungen durchgeführt werden und der WebSocket-Verkehr ist ohne Schutz zulässig.

  7. Wählen Neue Ausnahme hinzufügen um die zu überspringenden Sicherheitsprüfungen anzugeben.

    Wählen Sie die Pfade, Quellen, Kategorien und Sicherheitsprüfungen aus, die übersprungen werden sollen. Weitere Informationen zu Kategorien finden Sie im Gemeinsamer Bedrohungsfilter Einstellungen in Hinzufügen einer Schutzrichtlinie.

    Sie können in einer WAF-Regel mehr als eine Ausnahme angeben.

    Einstellung Beschreibung
    Pfade

    Geben Sie die Pfade an, für die Sie eine Ausnahme erstellen möchten.

    Bei der Eingabe des Pfads wird zwischen Groß- und Kleinschreibung unterschieden. Platzhalter können in den Pfaden verwendet werden.

    Beispiel: /products/\*/images/\*
    Betrieb Wählen Sie die Boolesche Operation für Pfade und Quellnetzwerke aus.
    Quellen Geben Sie die IP-Adressen, Bereiche, Listen oder Netzwerke an, von denen der Datenverkehr stammt.
    Cookie-Signierung Überspringt die Überprüfung auf Cookie-Manipulation. Die Cookie-Signierung verhindert Versuche, private Sitzungsdaten abzugreifen und durch Cookie-Manipulation betrügerische Aktivitäten durchzuführen. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt, das einen Hash enthält, der aus Name und Wert des primären Cookies und einem nur der Firewall bekannten Geheimnis erstellt wurde. Wenn eine Anfrage nicht das richtige Cookie-Paar bereitstellen kann, wird das Cookie gelöscht.
    Statische URL-Härtung

    Ermöglicht neu geschriebene Links für die angegebenen Pfade und Quellnetzwerke.

    Statische URL-Hardening verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Client eine Website anfordert, werden alle statischen URLs der Website mithilfe eines Verfahrens ähnlich der Cookie-Signierung signiert. Zusätzlich wird die Antwort des Webservers analysiert, um festzustellen, welche Links als nächstes gültig angefordert werden können.

    Wenn Sie die statische URL-Verstärkung aktivieren, wird bei den Einträgen für URL-Pfade die Groß- und Kleinschreibung berücksichtigt. Wenn Sie beispielsweise den Pfad /rule.html und Benutzer geben /Rule.html, meldet die Firewall, dass die Signatur nicht gefunden werden kann.
    Formhärtung Überspringt die Überprüfung auf das Umschreiben von Webformularen. Um Manipulationen an Formularen zu verhindern, speichert die Firewall die ursprüngliche Struktur eines Webformulars und signiert es. Sollte sich die Struktur beim Absenden des Formulars geändert haben, lehnt die Firewall die Anfrage ab.
    Antivirus Überspringt die Virenprüfung für Anforderungen aus den angegebenen Quellnetzwerken und an die von Ihnen angegebenen Pfade.
    Blockieren Sie Kunden mit schlechtem Ruf Überspringt Prüfungen für Clients, die laut Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen einen schlechten Ruf haben.
    Ändern Sie niemals HTML während der statischen URL-Verfestigung oder Formularverfestigung Wenn Sie diese Ausnahme auswählen, führt die Firewall während der statischen URL- oder Formhärtung keine HTML-Umschreibung durch. Beispielsweise aktualisiert sie die Links innerhalb einer HTML-Seite nicht und behält den vollständigen, vom Webserver zurückgegebenen Link bei. Möglicherweise müssen Sie die statische URL- oder Formhärtung überspringen, um den Zugriff auf diese Links zu ermöglichen. Wenn eine Webanwendung also Elemente der HTML-Seite benötigt, um zu funktionieren, werden diese durch die HTML-Umschreibung nicht gelöscht.
    Akzeptieren Sie nicht gehärtete Formulardaten Auch wenn Sie die Formhärten Ausnahme: Die Firewall akzeptiert keine Formulardaten, wenn die Signatur zur Formularhärtung fehlt. Mit dieser Option akzeptiert die Firewall ungehärtete Formulardaten.

  8. Geben Sie die erweiterten Schutzrichtlinien an.

    Einstellung Beschreibung
    Schutz Geben Sie eine Schutzrichtlinie für die Server an.
    Einbruchschutz

    Geben Sie eine Richtlinie zur Angriffsprävention an.

    Um Intrusion Prevention mit WAF zu verwenden, muss das Kommunikationsprotokoll zwischen der Firewall und dem Webserver HTTP sein.
    Verkehrsgestaltung Geben Sie eine Traffic-Shaping-Richtlinie an, um Bandbreite zuzuweisen.

  9. Geben Sie die Fortschrittlich Einstellungen.

    Einstellung Beschreibung
    Komprimierungsunterstützung deaktivieren

    Wenn Clients komprimierte Daten anfordern, sendet die Firewall die Daten in komprimierter Form.

    Wählen Sie diese Einstellung, um die Komprimierung zu deaktivieren, wenn Webseiten fehlerhaft angezeigt werden oder Benutzer Fehler bei der Inhaltskodierung feststellen. Die Firewall fordert dann unkomprimierte Daten von Webservern an und sendet diese unabhängig vom Kodierungsparameter der Anfrage an den Client.
    HTML neu schreiben

    Wählen Sie diese Option aus, um die Links der zurückgegebenen Webseiten neu zu schreiben und so die Linkgültigkeit beizubehalten.

    Beispiel: Wenn der Hostname eines Webservers yourcompany.local, aber der Hostname des gehosteten Webservers ist yourcompany.com, absolute Links wie [a href="http://yourcompany.local/"] sind kaputt, wenn der Link nicht neu geschrieben wird auf [a href="http://yourcompany.com/"] vor der Auslieferung an den Kunden.

    Sie müssen diese Option nicht auswählen, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder interne Links auf Ihren Webseiten immer als relative Links realisiert werden.

    Wir empfehlen Ihnen, die Option mit Microsoft Outlook-Webzugriff oder SharePoint-Portalserver zu verwenden.

    Die HTML-Umschreibung betrifft alle Dateien mit dem HTTP-Inhaltstyp „text/*“ oder „*xml*“. „*“ ist ein Platzhalter. Um Beschädigungen bei der HTML-Umschreibung zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z. B. Binärdateien) den richtigen HTTP-Inhaltstyp haben.
    Cookies neu schreiben Wählen Sie diese Option aus, um die Cookies der zurückgegebenen Webseiten neu zu schreiben.
    Host-Header übergeben

    Wählen Sie diese Option aus, um den vom Client angeforderten Host-Header an den Webserver weiterzuleiten.

    Sie können dies verwenden, um den angeforderten Hostnamen mit dem Webserver abzugleichen, wenn Sie mehr als eine Website auf einem Server gehostet haben.

  10. Klicken SpeichernWenn Sie eine WAF-Regel speichern, startet die Firewall alle Webserver-Schutzregeln neu. Live-Verbindungen, die eine dieser Regeln verwenden, gehen verloren und müssen neu hergestellt werden.

Sie können die von Ihnen erstellte WAF-Regel im Firewall-Regeln Tisch.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung