Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-WAF-add-Microsoft-Lync

Fügen Sie eine Microsoft Lync-Regel hinzu

Sie können den HTTP-Datenverkehr, der zu und von einer Webanwendung fließt, steuern, indem Sie eine Microsoft Lync-Regel erstellen, die das IPv4-Protokoll verwendet.

  1. Gehe zu Regeln und Richtlinien > Firewall, wählen IPv4 und klicken Firewall-Regel hinzufügen.
  2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie deren Übereinstimmungskriterien nicht anwenden möchten.

  3. Geben Sie die allgemeinen Details ein.

    Name Beschreibung
    Regelname Geben Sie einen Namen ein.
    Regelposition

    Geben Sie die Position der Regel an.

    Verfügbare Optionen:

    • Spitze
    • Unten
    Regelgruppe

    Geben Sie die Regelgruppe an, der Sie die Firewall-Regel hinzufügen möchten. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste.

    Wenn Sie auswählen Automatisch: Die Firewall-Regel wird einer bestehenden Gruppe hinzugefügt, basierend auf der ersten Übereinstimmung mit Regeltyp und Quell-Ziel-Zonen.
    Aktion Wählen Schützen Sie sich mit Webserver-Schutz.
    Vorkonfigurierte Vorlage

    Wählen Sie eine Vorlage aus, die Sie anwenden möchten:

    • Keiner: Geben Sie die Details zum Schutz des Webservers an.
    • Exchange Autodiscover
    • Exchange Outlook Anywhere
    • Börsen allgemein
    • Microsoft Lync
    • Microsoft RDG
    • Microsoft RD Web

  4. Eingeben Gehosteter Server Details.

    Name Beschreibung
    Gehostete Adresse

    Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die dieser Schnittstelle zugewiesene IP-Adresse gebunden.

    Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die benötigte öffentliche IP-Adresse zu binden.

    Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, ruft der Webserver die in der WAF-Regel konfigurierte Schnittstellenadresse ab. Der HTTP-Header X-Forwarded-For enthält die IP-Adresse des Clients.
    Abhörport

    Geben Sie die Portnummer ein, über die der gehostete Webserver erreichbar sein soll. Standardmäßig werden Port 80 für HTTP und Port 443 für HTTPS verwendet.

    Stellen Sie sicher, dass sich die WAF in mindestens einem der folgenden Attribute vom VPN-Portal und dem SSL-VPN unterscheidet: WAN-IP-Adresse, Port, Protokoll. Siehe Gemeinsame Nutzung der Häfen durch die verschiedenen DiensteDie

    Einige Ports sind nicht nutzbar, da sie von der Firewall für Systemdienste reserviert sind. Weitere Informationen finden Sie unter [Link einfügen]. Reservierte Häfen.
    HTTPS Wenn Sie diese Option aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP erreichbar.
    HTTPS-Zertifikat

    Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus.

    Die Sophos Firewall unterstützt SNI (Server Name Indication), wodurch Sie mehrere virtuelle Webserver erstellen können, die über dieselbe IP-Adresse und denselben Port erreichbar sind. Jedem Server kann ein separates Zertifikat zugewiesen werden. Die Server werden den Clients anhand des angeforderten Hostnamens präsentiert.

    Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
    HTTP-Umleitung Wählen Sie diese Option, um den Datenverkehr von Port 80 auf Port 443 umzuleiten.
    Domänen

    Geben Sie den für den Webserver konfigurierten FQDN ein, zum Beispiel: shop.example.comDie

    Wenn Sie HTTPS aktiviert haben, werden die Domainnamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten, löschen oder neue Domainnamen hinzufügen.

    Sie können den Platzhalter verwenden *. Nur am Anfang eines Domainnamens.

    Beispiel: *.company.com

    Eine einzelne WAF-Richtlinie unterstützt mehrere Wildcard-Domänen. Virtuelle Webserver mit Wildcard-Domänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit spezifischen Domänen konfiguriert sind.

    Beispiel: Eine Clientanfrage an die Domain test.company.com wird mit folgender Anfrage übereinstimmen: test.company.com bevor es mit *.company.com vor dem Abgleich mit *.com.

  5. Geben Sie die Details des/der Geschützte Server: Sie können die Webserver, die Authentifizierungsmethode sowie zulässige und gesperrte Clientnetzwerke festlegen. Bei Auswahl von pfadspezifischem Routing können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, primäre und Backup-Server angeben und das WebSocket-Protokoll verwenden.

    Notiz

    Wenn Sie mehrere Webserver auswählen, werden die Anfragen gleichmäßig auf die Webserver verteilt.

    Wenn Sie kein pfadspezifisches Routing konfigurieren möchten, geben Sie Folgendes an: Webserver Und Zugriffsberechtigungen.

    Name Beschreibung
    Webserver Wählen Sie die Webserver aus der Liste aus. Liste der Webserver: Alternativ können Sie neue erstellen. Die ausgewählten Webserver werden unter folgendem Link angezeigt: Ausgewählte Webserver.
    Zulässige Clientnetzwerke

    Geben Sie die IP-Adressen und Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.

    Der Standardwert ist Beliebige IPv4-Adresse: Behalten Sie den Standardwert bei, wenn Sie keine IP-Adressen oder Netzwerke angeben möchten. Wenn Sie diese Einstellung leer lassen, funktioniert Ihre WAF-Regel nicht, und der Browser zeigt die Fehlermeldung „400 Bad Request“ an.
    Blockierte Client-Netzwerke Geben Sie die IP-Adressen und Netzwerke an, die vom Zugriff auf den gehosteten Webserver ausgeschlossen werden sollen.
    Authentifizierung Legen Sie ein Authentifizierungsprofil für Webanwendungen fest.
    Blockierte Länder Geben Sie die Länder oder Ländergruppen an, die Sie daran hindern möchten, eine Verbindung zum gehosteten Webserver herzustellen.
    IP-Adressen unbekannter Herkunftsländer blockieren

    Aktivieren Sie diese Option, um IP-Adressen unbekannten Ursprungs zu blockieren.

    Seien Sie vorsichtig beim Aktivieren dieser Funktion, da Sie möglicherweise von dieser Ressource blockiert werden, wenn Sie sich von einer IP-Adresse unbekannter Herkunft verbinden. Sie können überprüfen, ob Ihre IP-Adresse eine Herkunft hat oder nicht. Siehe GeoIP2-Datenbanken-Demo.

  6. Wählen Neue Ausnahme hinzufügen um die zu überspringenden Sicherheitsprüfungen anzugeben.

    Wählen Sie die Pfade, Quellen, Kategorien und Sicherheitsprüfungen aus, die übersprungen werden sollen. Weitere Informationen zu Kategorien finden Sie unter Filter für häufige Bedrohungen Einstellungen in Fügen Sie eine Schutzrichtlinie hinzu..

    Sie können in einer WAF-Regel mehrere Ausnahmen angeben.

    Name Beschreibung
    Wege Geben Sie die Pfade an, für die eine Ausnahme erstellt werden soll. Sie können Platzhalter in den Pfaden verwenden. Beispiel: /products/*/images/*
    Betrieb Wählen Sie die boolesche Operation für Pfade und Quellnetzwerke aus.
    Quellen Geben Sie die IP-Adressen, den Bereich, die Liste oder die Netzwerke an, aus denen der Datenverkehr stammt.
    Cookie-Anmeldung Die Überprüfung auf Cookie-Manipulation wird deaktiviert. Die Cookie-Signatur verhindert Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Manipulation von Cookies durchzuführen. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt. Dieses zweite Cookie enthält einen Hashwert, der aus dem Namen und Wert des primären Cookies sowie einem nur der Sophos Firewall bekannten Geheimnis berechnet wird. Kann eine Anfrage das korrekte Cookie-Paar nicht bereitstellen, wird das Cookie verworfen.
    Härtung statischer URLs

    Ermöglicht das Umschreiben von Links für die angegebenen Pfade und Quellnetzwerke.

    Die statische URL-Härtung verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Client eine Website anfordert, werden alle statischen URLs der Website mit einem Verfahren ähnlich der Cookie-Signierung signiert. Zusätzlich wird die Antwort des Webservers analysiert, um festzustellen, welche Links als Nächstes gültig angefordert werden können.

    Wenn Sie die statische URL-Härtung aktivieren, wird bei den Einträgen für URL-Pfade zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise den Pfad hinzufügen /rule.html und Benutzer geben ein /Rule.htmlDie Sophos Firewall meldet, dass die Signatur nicht gefunden werden konnte.
    Formhärtung Die Prüfung auf Manipulation von Webformularen wird übersprungen. Um Manipulationen an Formularen zu verhindern, speichert die Sophos Firewall die ursprüngliche Struktur eines Webformulars und signiert sie. Wenn sich die Struktur zum Zeitpunkt des Absendens des Formulars geändert hat, lehnt die Sophos Firewall die Anfrage ab.
    Antivirus Überspringt die Virenprüfung für Anfragen aus den angegebenen Quellnetzwerken und an die von Ihnen angegebenen Pfade.
    Kunden mit schlechtem Ruf blockieren Überspringt Prüfungen für Kunden mit schlechtem Ruf gemäß Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen.
    Ändern Sie niemals den HTML-Code während der statischen URL-Härtung oder Formularhärtung. Wenn Sie diese Ausnahme auswählen, führt die Firewall während der Härtung statischer URLs oder Formulare keine HTML-Umschreibung durch. Beispielsweise werden die Links innerhalb einer HTML-Seite nicht aktualisiert, und der vom Webserver zurückgegebene vollständige Link bleibt erhalten. Unter Umständen müssen Sie die Härtung statischer URLs oder Formulare deaktivieren, um den Zugriff auf diese Links zu ermöglichen. Wenn eine Webanwendung also Elemente der HTML-Seite benötigt, um zu funktionieren, werden diese nicht durch die HTML-Umschreibung entfernt.
    Ungehärtete Formulardaten akzeptieren Selbst wenn Sie die Option auswählen Formhärtung Ausnahme: Die Firewall akzeptiert keine Formulardaten, wenn die Formularhärtungssignatur fehlt. Mit dieser Option akzeptiert die Firewall auch ungehärtete Formulardaten.

  7. Legen Sie die erweiterten Schutzrichtlinien fest.

    Name Beschreibung
    Schutz Legen Sie eine Schutzrichtlinie für die Server fest.
    Einbruchsprävention

    Legen Sie eine Richtlinie zur Verhinderung von Eindringversuchen fest.

    Für die Nutzung der Intrusion Prevention mit WAF muss das Kommunikationsprotokoll zwischen Firewall und Webserver HTTP sein.
    Verkehrsgestaltung Legen Sie eine Traffic-Shaping-Richtlinie zur Bandbreitenzuweisung fest.

  8. Geben Sie die Fortschrittlich Einstellungen.

    Name Beschreibung
    Komprimierungsunterstützung deaktivieren

    Wenn Clients komprimierte Daten anfordern, sendet die Sophos Firewall die Daten in komprimierter Form.

    Wählen Sie diese Einstellung, um die Komprimierung zu deaktivieren, falls Webseiten fehlerhaft angezeigt werden oder Benutzer Probleme mit der Inhaltskodierung feststellen. Die Sophos Firewall fordert dann unkomprimierte Daten von den Webservern an und sendet diese unabhängig vom Kodierungsparameter der Anfrage an den Client.
    HTML umschreiben

    Wählen Sie diese Option, um die Links der zurückgegebenen Webseiten umzuschreiben und so die Gültigkeit der Links zu erhalten.

    Beispiel: Wenn der Hostname eines Webservers lautet yourcompany.localDer Hostname des gehosteten Webservers lautet jedoch yourcompany.comabsolute Links wie [a href="http://yourcompany.local/"] sind defekt, wenn der Link nicht umgeschrieben wird [a href="http://yourcompany.com/"] vor der Auslieferung an den Kunden.

    Sie müssen diese Option nicht auswählen, wenn yourcompany.com ist auf Ihrem Webserver konfiguriert oder ob interne Links auf Ihren Webseiten immer als relative Links realisiert werden.

    Wir empfehlen Ihnen die Option mit Microsoft Outlook Webzugriff oder SharePoint-Portalserver zu verwenden.

    HTML-Rewriting betrifft alle Dateien mit dem HTTP-Inhaltstyp text/* oder *xml*. * ist ein Platzhalter. Um Datenbeschädigungen während des HTML-Rewritings zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z. B. Binärdateien) den korrekten HTTP-Inhaltstyp aufweisen.
    Cookies umschreiben Wählen Sie diese Option, um die Cookies der zurückgegebenen Webseiten neu zu schreiben.
    Host-Header übergeben

    Wählen Sie diese Option, um den vom Client angeforderten Host-Header an den Webserver weiterzuleiten.

    Sie können dies verwenden, um den angeforderten Hostnamen dem Webserver zuzuordnen, wenn Sie mehr als eine Website auf einem Server hosten.

  9. Klicken Speichern: Beim Speichern einer WAF-Regel werden alle Webserver-Schutzregeln der Firewall neu gestartet. Aktive Verbindungen, die diese Regeln verwenden, gehen dabei verloren und müssen neu hergestellt werden.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen