Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=web-SSL-TLS-inspection-decryption

SSL/TLS-Prüfung und -Entschlüsselung konfigurieren

Sie können die SSL/TLS-Inspektion und die HTTPS-Entschlüsselung im DPI- und Web-Proxy-Modus konfigurieren.

Nach der Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese Inhalte erneut mit Zertifikaten, die von dieser Zertifizierungsstelle signiert wurden. Um Fehler aufgrund nicht vertrauenswürdiger Zertifikate zu vermeiden, müssen Sie die signierende Zertifizierungsstelle auf den Endgeräten der Benutzer installieren.

Gehen Sie wie folgt vor:

  1. Prüfen Sie, ob Sie die Standard-SNAT-Regel zur Verschleierung des Datenverkehrs haben.
  2. Konfigurieren Sie eine Webrichtlinie.
  3. Konfigurieren Sie eine Firewall-Regel für die Webfilterung.
  4. Wenden Sie die Inspektions- und Entschlüsselungsregeln und -einstellungen an.
  5. Laden Sie das Signaturzertifikat herunter.
  6. Installieren Sie es auf den Endgeräten der Benutzer.

Überprüfen Sie die SNAT-Regel

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Überprüfen Sie die Regelliste für Standard-SNAT IPv4.

    Dies ist eine Standard-SNAT-Regel zur Verschleierung des ausgehenden IPv4-Datenverkehrs.

  3. Falls Sie keine entsprechende Regel haben oder eine Regel für IPv6-Datenverkehr erstellen möchten, gehen Sie wie folgt vor:

    1. Klicken IPv4 oder IPv6 oberhalb der NAT-Regelliste.
    2. Klicken NAT-Regel hinzufügen und klicken Neue NAT-Regel.
    3. Geben Sie einen Namen ein.
    4. Satz Übersetzter Quelltext (SNAT) Zu MASQ.
    5. Klicken Speichern.

Fügen Sie eine Webrichtlinie hinzu.

Dieses Beispiel zeigt, wie man eine Webrichtlinienregel mithilfe von Webkategorien hinzufügt:

  1. Gehe zu Web > Richtlinien und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Klicken Regel hinzufügen.
  4. Unter Benutzer: Klicken Sie auf die Dropdown-Liste, löschen Sie Jemand: und klicken Sie Neuen Eintrag hinzufügen.
  5. Wählen Sie die gewünschten Benutzer und Gruppen aus und klicken Sie auf „Weiter“. Ausgewählte Elemente anwenden.
  6. Unter Aktivitäten: Klicken Sie auf die Dropdown-Liste, löschen Sie Der gesamte Webverkehr: und klicken Sie Neuen Eintrag hinzufügen.
  7. Wählen Webkategorie Wählen Sie in der Aktivitätsliste die gewünschte Kategorie aus und klicken Sie auf Ausgewählte Elemente anwenden.
  8. Unter Aktion, wählen HTTP zulassen.
  9. Klicken Sie auf die Dropdown-Liste neben den HTTP-Aktionen und wählen Sie aus HTTPS zulassen.
  10. Unter Einschränkungen: Wählen Sie einen Zeitpunkt aus, zu dem die Regel angewendet werden soll.
  11. Drehen Status An.
  12. Klicken Speichern.

Konfigurieren einer Firewall-Regel

Sie müssen die Webfiltereinstellungen in einer Firewall-Regel konfigurieren.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewall-Regel hinzufügen und dann Neue Firewall-Regel.
  3. Geben Sie einen Namen ein.
  4. Stellen Sie sicher Aktion ist eingestellt auf Akzeptieren.
  5. Stellen Sie die Quellzonen Zu UND Und W-lan.
  6. Für Quellnetzwerke und Geräte: Wählen Sie die gewünschten lokalen Subnetze aus.
  7. Stellen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.
  9. Stellen Sie sicher Dienstleistungen ist eingestellt auf Beliebig.
  10. Unter Sicherheitsmerkmale, klicken Webfilterung.
  11. Wählen Sie die Webrichtlinie Sie haben aus der Dropdown-Liste erstellt.
  12. Wählen Sie unter Malware- und Inhaltsprüfung die Option aus. HTTP-Scan und entschlüsseltes HTTPS.

  13. Unter Filtern gängiger Webports: Stellen Sie sicher, dass das Kontrollkästchen für Verwenden Sie einen Webproxy anstelle der DPI-Engine. ist nicht ausgewählt.

    Hier ein Beispiel:

    Web filtering settings in firewall rule for DPI mode.

  14. Klicken Speichern.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewall-Regel hinzufügen und dann Neue Firewall-Regel.
  3. Geben Sie einen Namen ein.
  4. Ändern Sie die Aktion falls Sie es wollen.
  5. Stellen Sie die Quellzonen Zu UND Und W-lan.
  6. Für Quellnetzwerke und Geräte: Wählen Sie die gewünschten lokalen Subnetze aus.
  7. Stellen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.

  9. Satz Dienstleistungen Zu Beliebig.

    Wenn Sie bestimmte Dienste auswählen möchten, wählen Sie die Optionen entsprechend Ihrer Netzwerkkonfiguration aus:

    • Transparenter Proxy: HTTP Und HTTPS.
    • Direkter Proxy: HTTP, HTTPS: und die Web-Proxy-Port Sie haben unter konfiguriert Web > Allgemeine Einstellungen > Web-Proxy-Konfiguration.

  10. Unter Sicherheitsmerkmale, klicken Webfilterung.

  11. Wählen Sie die Webrichtlinie Sie haben aus der Dropdown-Liste erstellt.
  12. Wählen Sie unter Malware- und Inhaltsprüfung die Option aus. HTTP-Scan und entschlüsseltes HTTPS.
  13. Unter Filtern gängiger Webports, wählen Verwenden Sie einen Webproxy anstelle der DPI-Engine..

  14. Wählen HTTPS-Verschlüsselung während der Webproxy-Filterung.

    Hier ein Beispiel:

    Web filtering settings in firewall rule for web proxy.

  15. Klicken Speichern.

HTTPS-Entschlüsselung anwenden

Nach der Prüfung und Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese Inhalte erneut mit Zertifikaten, die von der von Ihnen konfigurierten Zertifizierungsstelle signiert wurden. Dieses Beispiel zeigt die Anwendung der integrierten Signatur-CA. Informationen zur Verwendung benutzerdefinierter CAs finden Sie unter [Link einfügen]. Fügen Sie untergeordnete und Stammzertifizierungsstellen für den TLS-Verkehr hinzu..

Im DPI-Modus konfigurieren Sie SSL/TLS-Inspektionsregeln.

  1. Gehe zu Regeln und Richtlinien > SSL/TLS-Prüfung und klicken Hinzufügen.
  2. Geben Sie einen Regelnamen ein.
  3. Satz Aktion Zu Entschlüsseln.

  4. Satz Entschlüsselungsprofil Zu Unsichere SSL-Verbindungen blockieren.

    Die Einstellungen können Sie hier einsehen: Profile > Entschlüsselungsprofile.

    Action and decryption profile in SSL/TLS inspection rules.

  5. Stellen Sie die Quellzonen Zu UND Und W-lan.

  6. Für Quellnetzwerke und Geräte: Wählen Sie die gewünschten lokalen Subnetze aus.
  7. Stellen Sie die Zielzonen Zu VAN.
  8. Satz Zielnetzwerke Zu Beliebig.
  9. Satz Dienstleistungen Zu Beliebig.
  10. Klicken Speichern.
  1. Gehe zu Web > Allgemeine Einstellungen.
  2. Scrollen Sie nach unten zu HTTPS-Entschlüsselung und -Scan.

  3. Unter HTTPS-Scan-Zertifizierungsstelle (CA): Wählen Sie eine Zertifizierungsstelle aus, um gescannte HTTPS-Verbindungen zu sichern.

    Sie können das in der Sophos Firewall integrierte oder interne Zertifikat auswählen oder eine externe Zertifizierungsstelle verwenden.

  4. Wählen Nicht erkannte SSL-Protokolle blockieren.

  5. Stellen Sie sicher Ungültige Zertifikate blockieren ist ausgewählt.

  6. Klicken Anwenden.

    Hier ein Beispiel:

    HTTPS decryption and scanning settings for web proxy.

  7. Unter Web-Proxy-Konfiguration, stellen Sie sicher TLS 1.1 ist ausgewählt.

  8. Klicken Anwenden.

    Setting minimum TLS configuration.

Laden Sie das Signatur-CA herunter.

  1. Gehe zu Regeln und Richtlinien > SSL/TLS-Prüfregeln und klicken SSL/TLS-Inspektionseinstellungen.
  2. Unter RSA neu unterzeichnen mit: Klicken Sie auf die Download-Schaltfläche. Download selected CA certificate. neben der ausgewählten CA.

  3. Optional: Unter EC erneut unterzeichnen mit: Klicken Sie auf die Download-Schaltfläche. Download selected CA certificate. neben der ausgewählten Zertifizierungsstelle. Dies ist nur erforderlich, wenn eine andere Zertifizierungsstelle ausgewählt wird.

    SSL/TLS inspection settings certificates.

  4. Klicken Stornieren.

Für den transparenten und direkten Proxy-Modus müssen Sie wie folgt vorgehen:

  1. Gehe zu Web > Allgemeine Einstellungen.
  2. Scrollen Sie nach unten zu HTTPS-Entschlüsselung und -Scan.

  3. Unter HTTPS-Scan-Zertifizierungsstelle (CA): Klicken Sie auf die Schaltfläche „Herunterladen“ neben der von Ihnen ausgewählten CA.

    Download HTTPS signing CA for web proxy.

Um Fehlermeldungen aufgrund nicht vertrauenswürdiger Zertifikate zu vermeiden, müssen Sie diese Zertifizierungsstelle auf den Endgeräten Ihrer Benutzer installieren. Siehe Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.

Im direkten Proxy-Modus müssen Sie den Webproxy-Dienst für die Zonen Ihrer Benutzer zulassen. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Sonstige Dienstleistungen > Webproxy, wählen UND Und W-lan.
  3. Klicken Anwenden.

Informationen zur Installation der Zertifizierungsstelle auf den Endgeräten der Benutzer finden Sie unter Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen