Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=web-SSL-TLS-inspection-decryption

Konfigurieren Sie die SSL/TLS-Prüfung und -Entschlüsselung

Sie können die SSL/TLS-Prüfung und HTTPS-Entschlüsselung im DPI- und Webproxy-Modus konfigurieren.

Nach der Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese erneut mit von dieser Zertifizierungsstelle signierten Zertifikaten. Um Fehler aufgrund nicht vertrauenswürdiger Zertifikate zu vermeiden, müssen Sie die signierende Zertifizierungsstelle auf den Benutzerendgeräten installieren.

Gehen Sie wie folgt vor:

  1. Überprüfen Sie, ob Sie über die SNAT-Standardregel zum Maskieren des Datenverkehrs verfügen.
  2. Konfigurieren Sie eine Webrichtlinie.
  3. Konfigurieren Sie eine Firewall-Regel zur Webfilterung.
  4. Wenden Sie die Überprüfungs- und Entschlüsselungsregeln und -einstellungen an.
  5. Laden Sie die signierende Zertifizierungsstelle herunter.
  6. Installieren Sie es auf den Endpunkten der Benutzer.

Überprüfen Sie die SNAT-Regel

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Überprüfen Sie die Regelliste für Standard-SNAT-IPv4.

    Dies ist eine SNAT-Standardregel zum Maskieren ausgehenden IPv4-Verkehrs.

  3. Wenn Sie die Regel nicht haben oder eine Regel für IPv6-Verkehr erstellen möchten, gehen Sie wie folgt vor:

    1. Klicken IPv4 oder IPv6 über der NAT-Regelliste.
    2. Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
    3. Geben Sie einen Namen ein.
    4. Satz Übersetzte Quelle (SNAT) Zu MASQ.
    5. Klicken Speichern.

Hinzufügen einer Webrichtlinie

Dieses Beispiel zeigt, wie Sie mithilfe von Webkategorien eine Webrichtlinienregel hinzufügen:

  1. Gehe zu Web > Richtlinien und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Klicken Regel hinzufügen.
  4. Unter Benutzer, klicken Sie auf die Dropdown-Liste, löschen Sie Jemandund klicken Sie auf Neues Element hinzufügen.
  5. Wählen Sie die gewünschten Benutzer und Gruppen aus und klicken Sie auf Ausgewählte Elemente anwenden.
  6. Unter Aktivitäten, klicken Sie auf die Dropdown-Liste, löschen Sie Der gesamte Webverkehrund klicken Sie auf Neues Element hinzufügen.
  7. Wählen Webkategorie Wählen Sie in der Aktivitätsliste die gewünschte Kategorie aus und klicken Sie auf Ausgewählte Elemente anwenden.
  8. Unter Aktion, wählen HTTP zulassen.
  9. Klicken Sie auf die Dropdown-Liste neben den HTTP-Aktionen und wählen Sie HTTPS zulassen.
  10. Unter Einschränkungen, wählen Sie eine Zeit zum Anwenden der Regel aus.
  11. Drehen Status An.
  12. Klicken Speichern.

Konfigurieren einer Firewallregel

Sie müssen die Webfiltereinstellungen in einer Firewall-Regel konfigurieren.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewallregel hinzufügen und dann Neue Firewall-Regel.
  3. Geben Sie einen Namen ein.
  4. Stellen Sie sicher Aktion ist eingestellt auf Akzeptieren.
  5. Legen Sie die Quellzonen Zu UND Und W-lan.
  6. Für Quellnetzwerke und -geräte, wählen Sie die gewünschten lokalen Subnetze aus.
  7. Legen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.
  9. Stellen Sie sicher Leistungen ist eingestellt auf Beliebig.
  10. Unter Sicherheitsfunktionenauf Webfilterung.
  11. Wählen Sie die Web-Richtlinie Sie haben aus der Dropdown-Liste ein neues erstellt.
  12. Wählen Sie unter Malware- und Inhaltsscans HTTP und entschlüsseltes HTTPS scannen.

  13. Unter Filtern gängiger Web-Ports, stellen Sie sicher, dass das Kontrollkästchen für Verwenden Sie einen Webproxy anstelle der DPI-Engine ist nicht ausgewählt.

    Hier ist ein Beispiel:

    Web filtering settings in firewall rule for DPI mode.

  14. Klicken Speichern.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewallregel hinzufügen und dann Neue Firewall-Regel.
  3. Geben Sie einen Namen ein.
  4. Ändern Sie die Aktion falls Sie es wollen.
  5. Legen Sie die Quellzonen Zu UND Und W-lan.
  6. Für Quellnetzwerke und -geräte, wählen Sie die gewünschten lokalen Subnetze aus.
  7. Legen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.

  9. Satz Leistungen Zu Beliebig.

    Wenn Sie bestimmte Dienste auswählen möchten, wählen Sie die Optionen basierend auf Ihrer Netzwerkkonfiguration:

    • Transparenter Proxy: HTTP Und HTTPS.
    • Direkter Proxy: HTTP, HTTPSund die Webproxy-Abhörport Sie konfiguriert unter Web > Allgemeine Einstellungen > Webproxy-Konfiguration.

  10. Unter Sicherheitsfunktionenauf Webfilterung.

  11. Wählen Sie die Web-Richtlinie Sie haben aus der Dropdown-Liste ein neues erstellt.
  12. Wählen Sie unter Malware- und Inhaltsscans HTTP und entschlüsseltes HTTPS scannen.
  13. Unter Filtern gängiger Web-Ports, wählen Verwenden Sie einen Webproxy anstelle der DPI-Engine.

  14. Wählen Entschlüsseln Sie HTTPS während der Webproxyfilterung.

    Hier ist ein Beispiel:

    Web filtering settings in firewall rule for web proxy.

  15. Klicken Speichern.

HTTPS-Entschlüsselung anwenden

Nach der Überprüfung und Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese erneut mit Zertifikaten der konfigurierten Zertifizierungsstelle. Dieses Beispiel zeigt die Anwendung der integrierten Signatur-Zertifizierungsstelle. Informationen zur Verwendung benutzerdefinierter Zertifizierungsstellen finden Sie unter Fügen Sie untergeordnete und Stammzertifizierungsstellen für TLS-Verkehr hinzu.

Im DPI-Modus konfigurieren Sie SSL/TLS-Überprüfungsregeln.

  1. Gehe zu Regeln und Richtlinien > SSL/TLS-Prüfung und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Regelnamen ein.
  3. Satz Aktion Zu Entschlüsseln.

  4. Satz Entschlüsselungsprofil Zu Blockieren Sie unsicheres SSL.

    Sie können die Einstellungen in Profile > Entschlüsselungsprofile.

    Action and decryption profile in SSL/TLS inspection rules.

  5. Legen Sie die Quellzonen Zu UND Und W-lan.

  6. Für Quellnetzwerke und -geräte, wählen Sie die gewünschten lokalen Subnetze aus.
  7. Legen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.
  9. Satz Leistungen Zu Beliebig.
  10. Klicken Speichern.
  1. Gehe zu Web > Allgemeine Einstellungen.
  2. Scrollen Sie nach unten zu HTTPS-Entschlüsselung und -Scan.

  3. Unter Zertifizierungsstelle (CA) für HTTPS-Scan, wählen Sie eine Zertifizierungsstelle aus, um gescannte HTTPS-Verbindungen zu sichern.

    Sie können das in der Sophos Firewall verfügbare integrierte bzw. interne Zertifikat auswählen oder eine externe Zertifizierungsstelle verwenden.

  4. Wählen Blockieren nicht erkannter SSL-Protokolle.

  5. Stellen Sie sicher Ungültige Zertifikate blockieren ausgewählt ist.

  6. Klicken Anwenden.

    Hier ist ein Beispiel:

    HTTPS decryption and scanning settings for web proxy.

  7. Unter Webproxy-Konfiguration, stellen Sie sicher TLS 1.1 ausgewählt ist.

  8. Klicken Anwenden.

    Setting minimum TLS configuration.

Laden Sie die signierende Zertifizierungsstelle herunter

  1. Gehe zu Profile > Entschlüsselungsprofile.
  2. Klicken Sie auf die Schaltfläche „Bearbeiten“ für das Profil Blockieren Sie unsicheres SSL Sie in der Prüfregel ausgewählt haben.
  3. Unter Neusignierende Zertifizierungsstelle, klicken Sie auf die Download-Schaltfläche neben der Einstellung für RSA erneut signieren mit und speichern Sie die signierende Zertifizierungsstelle.

  4. Optional: Klicken Sie auf die Download-Schaltfläche neben der Einstellung für EC erneut unterzeichnen mit und speichern Sie die signierende Zertifizierungsstelle basierend auf Ihrer Konfiguration.

    Download the re-signing CA.

  5. Klicken Stornieren zum Beenden.

Für den transparenten und direkten Proxy-Modus müssen Sie wie folgt vorgehen:

  1. Gehe zu Web > Allgemeine Einstellungen.
  2. Scrollen Sie nach unten zu HTTPS-Entschlüsselung und -Scan.

  3. Unter Zertifizierungsstelle (CA) für HTTPS-ScanKlicken Sie auf die Download-Schaltfläche neben der ausgewählten Zertifizierungsstelle.

    Download HTTPS signing CA for web proxy.

Um Fehlermeldungen zu nicht vertrauenswürdigen Zertifikaten zu vermeiden, müssen Sie diese Zertifizierungsstelle auf den Endpunkten Ihrer Benutzer installieren. Siehe Manuelles Hinzufügen einer Zertifizierungsstelle zu Endpunkten.

Für den direkten Proxy-Modus müssen Sie den Webproxy-Dienst für die Zonen Ihrer Benutzer zulassen. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Weitere Dienstleistungen > Webproxy, wählen UND Und W-lan.
  3. Klicken Anwenden.

Informationen zur Installation der Zertifizierungsstelle auf den Endpunkten der Benutzer finden Sie unter Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung