Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=web-server-protection-policies-add

Hinzufügen einer Schutzrichtlinie

Fügen Sie eine Schutzrichtlinie hinzu, um die gewünschten Schutzeinstellungen für Ihren Webserver zu aktivieren.

Um eine Schutzrichtlinie hinzuzufügen, gehen Sie wie folgt vor:

  1. Gehe zu Webserver > Schutzrichtlinien und wählen Sie Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Geben Sie die Schutzeinstellungen für die Richtlinie an.

    Name Beschreibung
    Pass Outlook überall Ermöglicht externen Microsoft Outlook-Clients, den Webserver-Schutz zu umgehen, um auf den Microsoft Exchange Server zuzugreifen.
    Modus

    Wählen Sie die Aktion aus, die für HTTP-Anfragen ausgeführt werden soll:

    • Monitor: Die Sophos Firewall protokolliert überwachte Anfragen.

      Wenn Sie diese Option für WAF-Schutzrichtlinien (Web Application Firewall) auswählen, zeigt die Firewall im Protokoll-Viewer keine Meldungen für Webserver an, die durch diese WAF-Regeln geschützt sind. In diesem Fall können Sie die Protokollmeldungen im reverseproxy.log Datei. Wählen Sie Ablehnen um Protokollnachrichten im Protokoll-Viewer für solche Webserver anzuzeigen.

    • Ablehnen
    Cookie-Signierung

    Schützt vor Cookie-Manipulation.

    Die Cookie-Signierung verhindert Versuche, private Sitzungsdaten abzugreifen und durch Cookie-Manipulation betrügerische Aktivitäten durchzuführen. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt. Dieses enthält einen Hash, der aus dem Namen und Wert des primären Cookies und einem nur der Sophos Firewall bekannten Geheimnis erstellt wird. Wenn eine Anfrage nicht das richtige Cookie-Paar bereitstellen kann, wird das Cookie gelöscht.
    Statische URL-Härtung

    Geben Sie die URLs an, die Sie bereitstellen möchten. Auf diese URLs kann zugegriffen werden, ohne dass eine URL-Hardening-Signatur erforderlich ist.

    Dies ist nicht wirksam für dynamische URLs, die vom Endpunktgerät erstellt werden, beispielsweise mit JavaScript.

    Statische URL-Hardening verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Endgerät eine Website anfordert, werden alle statischen URLs der Website mithilfe eines Verfahrens ähnlich der Cookie-Signierung signiert. Zusätzlich wird die Antwort des Webservers analysiert, um Links zu ermitteln, die gültig sind und zukünftig sicher aufgerufen werden können.

    Wenn Sie die statische URL-Verstärkung aktivieren, wird bei den Einträgen für URL-Pfade die Groß- und Kleinschreibung berücksichtigt. Wenn Sie beispielsweise den Pfad /rule.html und Benutzer geben /Rule.html, Sophos Firewall meldet, dass die Signatur nicht gefunden werden kann.
    Formhärten

    Schützt vor dem Umschreiben von Webformularen.

    Um Manipulationen an Formularen zu verhindern, speichert die Sophos Firewall die ursprüngliche Struktur eines Webformulars und signiert es. Sollte sich die Struktur beim Absenden des Formulars geändert haben, lehnt die Sophos Firewall die Anfrage ab.

    Maximale Formulargröße: 8000 Bytes
    Antivirus

    Schützt Webserver vor Viren. Wenn Sie diese Einstellung aktivieren, können Sie die folgenden zusätzlichen Verhaltensweisen festlegen:

    • Modus: Wählen Sie den Dual- oder Single-Scan-Modus. Wenn Sie den Single-Scan-Modus anwenden möchten, wählen Sie die Scan-Engine aus.
    • Richtung: Wählen Sie die Suche nach Uploads, Downloads oder beidem aus.
    • Blockieren Sie nicht scannbare Inhalte: Aktivieren Sie diese Option, um Inhalte zu blockieren, die nicht gescannt werden können, beispielsweise verschlüsselte oder beschädigte Dateien.
    • Scangröße begrenzen: Geben Sie die Dateigröße ein. Die Sophos Firewall prüft die Anfragen bis zur angegebenen Größe. Um alle Dateien zu prüfen, geben Sie 0 ein oder lassen Sie dieses Feld leer.
      Die Scangrößenbeschränkung bezieht sich auf das gesamte Upload-Volumen, nicht auf eine einzelne Datei. Wenn Sie beispielsweise die Scangröße auf 50 MB begrenzen und einen Upload mit Dateien von 45, 5 und 10 MB durchführen, wird die letzte Datei nicht gescannt und ein darin enthaltener Virus nicht erkannt.
    Blockieren Sie Kunden mit schlechtem Ruf

    Blockieren Sie Clients, die laut Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen einen schlechten Ruf haben. Das Überspringen von Remote-Lookups für Clients mit schlechtem Ruf kann die Leistung verbessern.

    Für RBLs verwendet die Firewall die Sophos Extensible List (SXL). Für GeoIP verwendet die Firewall MaxmindDie Firewall blockiert Clients der Klassifizierungen A1 (anonyme Proxys oder VPN-Dienste) und A2 (Satelliten-ISP).

    Notiz

    Statische URL- und Formularhärtung betreffen alle Dateien mit HTML- und XML-Inhalten. Dieser Schutz kann Binärdateien und andere Dateien beschädigen, wenn sie als HTML oder XML angegeben sind. Um sicherzustellen, dass diese Dateien nicht betroffen sind, ändern Sie die Einstellungen Ihres Webservers, um sie mit einem anderen Inhaltstyp auszuliefern, zum Beispiel application/octet-stream.

  4. Einschalten Gemeinsamer Bedrohungsfilter und legen Sie die Einstellungen fest. Abhängig vom Ergebnis wird ein Hinweis bzw. eine Warnung im Live-Protokoll angezeigt oder die Anfrage direkt blockiert.

    Name Beschreibung
    Filterstärke

    Wählen Sie eine der folgenden Ebenen:

    • Stufe 1 (am freizügigsten): Verwenden Sie diese Option für Bereitstellungen im Zusammenhang mit vielen Websites und Anwendungen sowie für Standardsicherheitsanforderungen. Sie generiert nur minimale Fehlalarme. Dies ist die Standardeinstellung.
    • Stufe 2: Bietet zusätzlichen Schutz, z. B. vor Regexp-basierter SQL- und XSS-Injection, und prüft zusätzliche Schlüsselwörter auf Code-Injections. Nutzen Sie diese Option für eine bessere Sicherheitsabdeckung und für Bereitstellungen mit höheren Sicherheitsanforderungen. Sie generiert zusätzliche Fehlalarme, die Sie behandeln müssen.
    • Stufe 3: Aktiviert zusätzliche Regeln und Schlüsselwortlisten. Außerdem werden zusätzliche Beschränkungen für die Verwendung von Sonderzeichen festgelegt. Verwenden Sie diese Option bei höheren Sicherheitsanforderungen und basierend auf Ihrer Erfahrung im Umgang mit Fehlalarmen.
    • Stufe 4 (am restriktivsten): Legt zusätzliche Einschränkungen für Sonderzeichen fest. Verwenden Sie diese Option für Bereitstellungen mit sehr hohen Sicherheitsanforderungen. Sie führt zu einer hohen Anzahl von Fehlalarmen. Wir empfehlen Ihnen, diese Probleme zu beheben, bevor Sie die Website live schalten.

    Level 1 wird nicht protokolliert. Level 2 und höher werden protokolliert /log/reverseproxy.log.

    Um das Reverse-Proxy-Protokoll zu überprüfen, melden Sie sich mit der Befehlszeilenschnittstelle an.
    Filterregeln überspringen

    Um die Fehlalarme zu korrigieren, fügen Sie die Regel-ID hinzu, die Sie überspringen möchten.

    Um die Regel-IDs anzuzeigen, überprüfen Sie das Reverse-Proxy-Protokoll über die Befehlszeilenschnittstelle. Siehe Umgehen einzelner WAF-Regeln.
    Anwendungsangriffe

    Führt strenge Sicherheitsüberprüfungen bei Anfragen durch, beispielsweise bei Versuchen, verbotene Pfade zu durchqueren.

    Die Sophos Firewall sucht auch nach versuchten Befehlsausführungen, die bei den meisten Angriffen üblich sind. Nach dem Eindringen in einen Webserver versucht ein Angreifer in der Regel, Befehle auf dem Server auszuführen, um seine Berechtigungen zu erweitern oder Datenspeicher zu manipulieren. Durch die Überprüfung dieser Ausführungsversuche nach dem Eindringen kann die Sophos Firewall Angriffe erkennen, die möglicherweise unbemerkt bleiben, beispielsweise Angreifer, die nach dem Erlangen legitimen Zugriffs einen anfälligen Dienst angreifen.
    SQL-Injection-Angriffe Prüft, ob eingebettete SQL-Befehle und Escapezeichen in Anforderungsargumenten vorhanden sind. Die meisten Angriffe auf Webserver zielen auf Eingabefelder ab, die zum Senden eingebetteter SQL-Befehle an die Datenbank verwendet werden können.
    XSS-Angriffe

    Überprüft, ob Anforderungsargumente eingebettete Skript-Tags und Code enthalten.

    Typische Cross-Site-Scripting-Angriffe zielen darauf ab, Skriptcode in Eingabefelder auf einem Ziel-Webserver einzuschleusen.
    Protokolldurchsetzung

    Erzwingt die Einhaltung der RFC-Standards für HTTP- und HTTPS-Protokolle. Verstöße gegen diese Standards deuten in der Regel auf böswillige Absichten hin.

    Sucht nach gängigen Nutzungsmustern. Das Fehlen solcher Muster deutet oft auf bösartige Anfragen hin. Zu diesen Mustern gehören HTTP-Header wie Host Und User-Agent.

    Setzt sinnvolle Grenzen für Anzahl und Umfang von Anfrageargumenten. Überladene Anfrageargumente sind ein typischer Angriffsvektor. Schränkt die zulässige Nutzung des HTTP-Protokolls ein. Webbrowser nutzen üblicherweise nur eine begrenzte Anzahl der möglichen HTTP-Optionen. Das Verbot selten genutzter Optionen verhindert Angriffe, die diese Optionen nutzen.
    Scannererkennung Überprüft die für Bots und Crawler typischen Nutzungsmuster. Wenn Sie ihnen den Zugriff verweigern, ist die Wahrscheinlichkeit geringer, dass mögliche Schwachstellen auf Ihren Webservern entdeckt werden.
    Datenlecks Verhindert, dass Webserver Informationen an den Client weitergeben. Dazu gehören auch von Servern gesendete Fehlermeldungen, die Angreifer nutzen können, um vertrauliche Informationen zu sammeln oder bestimmte Schwachstellen zu erkennen.

    Tipp

    Einige Arten von Datenlecks ähneln Anwendungs- und SQL-Injection-Angriffen. Wenn Sie Anwendungsangriffe oder SQL-Injection-Angriffe aktiviert haben, empfehlen wir Ihnen, Datenlecks zu aktivieren, um sicherzustellen, dass die Sophos Firewall Ihre Server vor Angriffen schützt, die Sie mit diesen Einstellungen blockieren möchten.

  5. Einschalten HTTP Strikte Transportsicherheit um sicherzustellen, dass auf Ihre Site nur über HTTPS zugegriffen wird.

    Die Firewall erzwingt den HTTPS-Zugriff, indem sie der Antwort des Webservers den folgenden Header hinzufügt:

    Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

    Notiz

    Die Firewall fügt den Header nur hinzu, wenn Sie ausgewählt haben HTTP umleiten in der WAF-Regel.

  6. Einschalten MIME-Type-Sniffing-Schutz um den Browser anzuweisen, den in der Antwort des Webservers angegebenen MIME-Typ zu verwenden.

    Die Firewall fügt die X-Content-Type-Options: nosniff Header zur Antwort des Webservers, damit der Browser keinen MIME-Typ-Erkennungscode ausführt.

  7. Klicken Speichern.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung