Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=web-server-protection-policies-add

Fügen Sie eine Schutzrichtlinie hinzu.

Fügen Sie eine Schutzrichtlinie hinzu, um die gewünschten Schutzeinstellungen für Ihren Webserver zu aktivieren.

Um eine Schutzrichtlinie hinzuzufügen, gehen Sie wie folgt vor:

  1. Gehe zu Webserver > Schutzrichtlinien und auswählen Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Legen Sie die Schutzeinstellungen für die Richtlinie fest.

    Name Beschreibung
    Outlook überallhin weitergeben Ermöglicht es externen Microsoft Outlook-Clients, den Webserverschutz zu umgehen, um auf den Microsoft Exchange Server zuzugreifen.
    Modus

    Wählen Sie die Aktion aus, die bei HTTP-Anfragen ausgeführt werden soll:

    • Monitor: Die Sophos Firewall protokolliert überwachte Anfragen.

      Wenn Sie diese Option für die Schutzrichtlinien der Web Application Firewall (WAF) auswählen, werden im Protokoll-Viewer keine Meldungen für Webserver angezeigt, die durch diese WAF-Regeln geschützt sind. In diesem Fall können Sie die Protokollmeldungen im reverseproxy.log Datei auswählen Ablehnen Um Protokollmeldungen im Protokollanzeigeprogramm für solche Webserver anzuzeigen.

    • Ablehnen
    Cookie-Anmeldung

    Schützt vor Manipulation von Cookies.

    Die Signierung von Cookies verhindert, dass durch Manipulation von Cookies private Sitzungsdaten erlangt und betrügerische Aktivitäten durchgeführt werden. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt. Dieses zweite Cookie enthält einen Hashwert, der aus dem Namen und Wert des ersten Cookies sowie einem nur der Sophos Firewall bekannten Geheimnis berechnet wird. Kann eine Anfrage das korrekte Cookie-Paar nicht bereitstellen, wird das Cookie verworfen.
    Härtung statischer URLs

    Geben Sie die URLs an, die Sie bereitstellen möchten. Diese URLs können ohne URL-Härtungssignatur aufgerufen werden.

    Dies ist nicht effektiv für dynamische URLs, die vom Endgerät erstellt werden, beispielsweise mithilfe von JavaScript.

    Die statische URL-Härtung verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Endgerät eine Website anfordert, werden alle statischen URLs der Website mit einem Verfahren signiert, das der Cookie-Signierung ähnelt. Zusätzlich wird die Antwort des Webservers analysiert, um gültige Links zu ermitteln, die zukünftig sicher angefordert werden können.

    Wenn Sie die statische URL-Härtung aktivieren, wird bei den Einträgen für URL-Pfade zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise den Pfad hinzufügen /rule.html und Benutzer geben ein /Rule.htmlDie Sophos Firewall meldet, dass die Signatur nicht gefunden werden konnte.
    Formhärtung

    Schützt vor dem Umschreiben von Webformularen.

    Um Manipulationen an Formularen zu verhindern, speichert die Sophos Firewall die ursprüngliche Struktur eines Webformulars und signiert es. Wenn sich die Struktur zum Zeitpunkt des Absendens des Formulars geändert hat, lehnt die Sophos Firewall die Anfrage ab.

    Maximale Formulargröße: 8000 Bytes
    Antivirus

    Schützt Webserver vor Viren. Wenn Sie diese Einstellung aktivieren, können Sie die folgenden zusätzlichen Verhaltensweisen festlegen:

    • Modus: Wählen Sie den Dual- oder Einzelscanmodus. Wenn Sie den Einzelscanmodus verwenden möchten, wählen Sie die Scan-Engine aus.
    • Richtung: Wählen Sie aus, ob Uploads, Downloads oder beides gescannt werden sollen.
    • Nicht scannbare Inhalte blockieren: Aktivieren Sie diese Option, um Inhalte zu blockieren, die nicht gescannt werden können, z. B. verschlüsselte oder beschädigte Dateien.
    • Scangröße begrenzen: Geben Sie die Dateigröße ein. Die Sophos Firewall scannt Anfragen bis zur angegebenen Größe. Um alle Dateien zu scannen, geben Sie Null ein oder lassen Sie dieses Feld leer.
      Die Scan-Größenbeschränkung bezieht sich auf das gesamte Upload-Volumen, nicht auf eine einzelne Datei. Wenn Sie beispielsweise die Scan-Größe auf 50 MB begrenzen und einen Upload mit Dateien von 45, 5 und 10 MB durchführen, wird die letzte Datei nicht gescannt und ein darin enthaltener Virus wird nicht erkannt.
    Kunden mit schlechtem Ruf blockieren

    Blockieren Sie Clients mit schlechtem Ruf gemäß Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen. Das Überspringen von Remote-Lookups für Clients mit schlechtem Ruf kann die Leistung verbessern.

    Für RBLs verwendet die Firewall Sophos Extensible List (SXL). Für GeoIP verwendet die Firewall MaxmindDie Firewall blockiert Clients, die zu den Kategorien A1 (anonyme Proxys oder VPN-Dienste) und A2 (Satelliten-ISP) gehören.

    Notiz

    Die Härtung statischer URLs und Formulare betrifft alle Dateien mit HTML- und XML-Inhalt. Dieser Schutz kann Binärdateien und andere Dateien beschädigen, wenn diese als HTML oder XML deklariert sind. Um sicherzustellen, dass diese Dateien nicht beeinträchtigt werden, ändern Sie die Einstellungen Ihres Webservers, sodass sie mit einem anderen Inhaltstyp ausgeliefert werden, zum Beispiel als HTML- oder XML-Datei. application/octet-stream.

  4. Einschalten Filter für häufige Bedrohungen und legen Sie die Einstellungen fest. Je nach Ergebnis wird im Live-Protokoll eine Benachrichtigung oder Warnung angezeigt oder die Anfrage direkt blockiert.

    Name Beschreibung
    Filterstärke

    Wählen Sie eine der folgenden Stufen aus:

    • Stufe 1 (Am nachgiebigsten): Verwenden Sie diese Einstellung für Bereitstellungen im Zusammenhang mit vielen Websites und Anwendungen sowie für Standard-Sicherheitsanforderungen. Sie erzeugt nur wenige Fehlalarme. Dies ist die Standardeinstellung.
    • Stufe 2: Bietet zusätzlichen Schutz, beispielsweise vor regulären Ausdrücken für SQL-Abfragen und XSS-Injection, und prüft zusätzliche Schlüsselwörter auf Code-Injection. Verwenden Sie diese Funktion für eine bessere Sicherheitsabdeckung und für Bereitstellungen mit höheren Sicherheitsanforderungen. Sie generiert zusätzliche Fehlalarme, die Sie behandeln müssen.
    • Stufe 3: Aktiviert zusätzliche Regeln und Stichwortlisten. Außerdem werden zusätzliche Beschränkungen für die Verwendung von Sonderzeichen festgelegt. Verwenden Sie diese Option bei höheren Sicherheitsanforderungen und basierend auf Ihrer Erfahrung im Umgang mit Fehlalarmen.
    • Stufe 4 (am restriktivsten): Fügt zusätzliche Beschränkungen für Sonderzeichen hinzu. Verwenden Sie diese Option für Umgebungen mit sehr hohen Sicherheitsanforderungen. Sie führt zu einer hohen Anzahl von Fehlalarmen. Wir empfehlen Ihnen, diese Probleme zu beheben, bevor Sie die Website veröffentlichen.

    Stufe 1 wird nicht protokolliert. Stufen 2 und höher werden protokolliert. /log/reverseproxy.logDie

    Um das Reverse-Proxy-Protokoll einzusehen, melden Sie sich über die Befehlszeilenschnittstelle an.
    Filterregeln überspringen

    Um die falsch positiven Ergebnisse zu korrigieren, fügen Sie die Regel-ID hinzu, die Sie überspringen möchten.

    Die Regel-IDs können Sie im Reverse-Proxy-Protokoll über die Befehlszeilenschnittstelle einsehen. Siehe Einzelne WAF-Regeln umgehen.
    Anwendungsangriffe

    Führt strenge Sicherheitsprüfungen bei Anfragen durch, z. B. bei Versuchen, verbotene Wege zu beschreiten.

    Die Sophos Firewall sucht auch nach versuchten Befehlsausführungen, die bei den meisten Angriffen üblich sind. Nach dem Eindringen in einen Webserver versucht ein Angreifer in der Regel, Befehle auf dem Server auszuführen, um seine Berechtigungen zu erweitern oder Datenspeicher zu manipulieren. Die Überprüfung dieser Ausführungsversuche nach dem Eindringen ermöglicht es der Sophos Firewall, Angriffe zu erkennen, die sonst unbemerkt bleiben könnten, beispielsweise Angreifer, die nach dem Erlangen legitimen Zugriffs einen anfälligen Dienst angreifen.
    SQL-Injection-Angriffe Prüft auf eingebettete SQL-Befehle und Escape-Zeichen in den Anfrageargumenten. Die meisten Angriffe auf Webserver zielen auf Eingabefelder ab, die zur Ausführung eingebetteter SQL-Befehle an die Datenbank verwendet werden können.
    XSS-Angriffe

    Prüft, ob in den Anfrageargumenten eingebettete Skript-Tags und Code vorhanden sind.

    Typische Cross-Site-Scripting-Angriffe zielen darauf ab, Skriptcode in Eingabefelder auf einem Zielwebserver einzuschleusen.
    Durchsetzung des Protokolls

    Sorgt für die Einhaltung der RFC-Standards für die HTTP- und HTTPS-Protokolle. Verstöße gegen diese Standards deuten in der Regel auf böswillige Absicht hin.

    Es wird nach gängigen Nutzungsmustern gesucht. Das Fehlen solcher Muster deutet oft auf schädliche Anfragen hin. Zu diesen Mustern gehören HTTP-Header wie beispielsweise … Host Und User-AgentDie

    Setzt angemessene Grenzen für die Anzahl und den Bereich der Anfrageargumente. Das Überladen von Anfrageargumenten ist eine typische Angriffsmethode. Beschränkt die zulässige Verwendung des HTTP-Protokolls. Webbrowser nutzen üblicherweise nur eine begrenzte Teilmenge der möglichen HTTP-Optionen. Das Verbot selten verwendeter Optionen verhindert Angriffe, die diese Optionen ausnutzen.
    Scannererkennung Prüft auf Nutzungsmuster, die für Bots und Crawler typisch sind. Wenn Sie ihnen den Zugriff verweigern, werden mögliche Sicherheitslücken auf Ihren Webservern seltener entdeckt.
    Datenleck Verhindert, dass Webserver Informationen an den Client weitergeben. Dies umfasst Fehlermeldungen, die von Servern gesendet werden und die Angreifer nutzen könnten, um sensible Informationen zu sammeln oder spezifische Sicherheitslücken aufzudecken.

    Tipp

    Bestimmte Arten von Datenlecks ähneln Anwendungs- und SQL-Injection-Angriffen. Wenn Sie Anwendungsangriffe oder SQL-Injection-Angriffe blockiert haben, empfehlen wir Ihnen, zusätzlich die Option „Datenleck“ zu aktivieren, um sicherzustellen, dass die Sophos Firewall Ihre Server auch vor den Angriffen schützt, die Sie mit diesen Einstellungen blockieren möchten.

  5. Einschalten HTTP Strict Transport Security um sicherzustellen, dass Ihre Website ausschließlich über HTTPS aufgerufen wird.

    Die Firewall erzwingt HTTPS-Zugriff, indem sie der Antwort des Webservers den folgenden Header hinzufügt:

    Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

    Notiz

    Die Firewall fügt den Header nur dann hinzu, wenn Sie die entsprechende Option ausgewählt haben. HTTP-Umleitung in der WAF-Regel.

    Die empfohlene Einstellung für max-age Ist 31536000was einem Jahr entspricht.

  6. Einschalten Schutz vor MIME-Typ-Sniffing um den Browser anzuweisen, den in der Antwort des Webservers angegebenen MIME-Typ zu verwenden.

    Die Firewall fügt die X-Content-Type-Options: nosniff Der Antwort des Webservers wird ein Header hinzugefügt, damit der Browser keinen Code zur MIME-Typ-Erkennung ausführt.

  7. In Beschränkung der Anfragegröße, legen Sie die maximale Größe des HTTP-Anfragetextes von 1 bis 1024 MB fest. Standardwert: 10 MB.

  8. Klicken Speichern.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen