Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Filterprofile

01.12.15 00:00

Wenn Sie verschiedene Inhaltsfilter-Richtlinien oder Authentifizierungsarten in mehreren Netzwerken einrichten wollen, können Sie mehrere Filterprofile erstellen. Wenn Sie zum Beispiel für Ihr kabelgebundenes Netzwerk nur Unternehmenscomputer verwenden, die mit AD integriert sind und einen Standardmodus mit einem expliziten Proxy und AD SSO möchten. Das Drahtlosnetzwerk kann ein Browser-Login-Portal für die Mitarbeiter haben um ihre AD-Anmeldeinformationen einzugeben, sowie ein Gast-Login, welcher begrenzten Zugang hat.

Profile können unter Webfilterprofile > Filterprofile angelegt werden. Wenn eine Webanfrage gestellt wird, kontrolliert die UTM die Quell-IP und fügt das erste Profil hinzu, das eine Übereinstimmung mit Zugelassene Netzwerke und Betriebsmodus hat. Das Standard-Webfilterprofil wird auf der Seite Web Protection >Webfilter eingestellt. Es wird hier aufgeführt, um zu zeigen, dass es das letzte Profil ist, das übereinstimmt. Sobald ein Profil ausgewählt ist, wird die UTM Authentifizierung und Richtlinien anhand dieses Profils durchführen.

Um ein Filterprofil anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.

    Der Assistent Profil hinzufügen wird geöffnet.

  2. Geben Sie einen Namen und einen Kommentar ein.

  3. Wählen Sie die zugelassenen Netzwerke aus.

    Wählen Sie die Netzwerke aus, die den Webfilter verwenden dürfen. Der Webfilter wartet standardmäßig auf Anfragen an TCPClosed-Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist.

  4. Wählen Sie zulässige Endpoint-Gruppen aus.

    Wenn Endpoint Web Control aktiviert ist, wählen Sie die Endpoint-Gruppen aus, denen es erlaubt sein soll, den Webfilter zu verwenden.

  5. Wählen Sie einen Betriebsmodus aus.

    Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung wählen, sollten Sie auch die Benutzer und Gruppen angeben, die auf den Webfilter zugreifen dürfen. Die folgenden Betriebsmodi sind möglich:

    • Standardmodus: Im Standardmodus wartet der Webfilter standardmäßig auf Client-Anfragen auf Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.

      Wählen Sie die Standard-Authentifizierungsmethode aus.

      • Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.
      • Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell auf dem Computer angemeldet ist als Benutzer des Proxies zu authentifizieren (Single-Sign-On). Wenn der momentan angemeldete Benutzer ein gültiger AD-Benutzer ist, der die Erlaubnis hat den Proxy zu verwenden, sollte die Authentifizierung ohne Zutun des Benutzers erfolgen. Wählen Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben. Benutzer können sich entweder mit NTLM oder Kerberos authentifizieren.
      • Agent: Wählen Sie diese Option, um den SophosAuthentication Agent (SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren. Der Agent kann im Benutzerportal heruntergeladen werden. Siehe: Benutzerportal.
      • Apple OpenDirectory SSO: Wählen Sie diese Option, wenn Sie LDAP auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit der Proxy richtig funktioniert, müssen Sie zusätzlich eine MAC OS X Single Sign-On Kerberos-Schlüsseldatei auf der Registerkarte Web Protection > Filteroptionen > Sonstiges hochladen. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein. Beachten Sie, dass der Safari-Browser SSO nicht unterstützt.
      • Einfache Benutzerauthentifizierung: In diesem Modus muss sich jeder Client gegenüber dem Proxy authentifizieren, bevor er ihn verwendet. Weitere Informationen zu den unterstützten Authentifizierungsmethoden finden Sie unter Definitionen & Benutzer > Authentifizierungsdienste. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
      • Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich am Webfilter authentifizieren können. Dieser Modus ermöglicht die Benutzernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitige Browserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungen einrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und von den Benutzern akzeptiert werden müssen, bevor sie fortfahren können. Weitere Informationen zu Nutzungsbedingungen finden Sie im Kapitel Verwaltung> Anpassungen > Web-Meldungen.

        Hinweis – Wenn die Browser-Authentifizierung verwendet wird, wird von passthrough.fw-notify.net ein Popup generiert. Benutzer sollten sicherstellen, dass passthrough.fw-notify.net vom Popup-Blocker ihres Browsers ausgenommen ist.

      • eDirectory SSO: Wählen Sie diese Option, wenn Sie eDirectory auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben.

      Hinweis – Für eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fünfzehn Minuten; für Apple OpenDirectory und Active Directory SSO speichert nur die Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fünfzehn Minuten dauern kann, bis Änderungen an Benutzern, Gruppen oder dem Anmeldestatus der zugreifenden Benutzer vom Webfilter berücksichtigt werden.

      Wenn Sie einen Authentifizierungsmodus verwenden, der Benutzerauthentifizierung erfordert, wählen Sie Zugriff bei fehlgeschlagener Authentifizierung blockieren aus, um den Benutzern mit fehlgeschlagener Authentifizierung den Zugriff zu verweigern.

    • Transparenzmodus: Im Transparentmodus werden alle Verbindungen von Client-Browseranwendungen auf Port 80 (und Port 443, wenn SSLClosed verwendet wird) erkannt und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet. Der Client merkt dabei vom Webfilter nichts. Der große Vorteil dieses Modus ist, dass bei vielen Installationen keine zusätzliche Administration oder Client-seitige Konfiguration notwendig ist. Ein Nachteil ist es jedoch, dass nur HTTP-Anfragen behandelt werden können. Deshalb werden die Proxy-Einstellungen im Client-Browser unwirksam, wenn Sie den Transparenzmodus wählen.

      Hinweis – Im Transparenzmodus entfernt der Webfilter NTLM-Authentifizierungsheader von HTTP-Anfragen. Darüber hinaus kann der Webfilter keine FTPClosed-Anfragen in diesem Modus verarbeiten. Wenn Ihre Clients auf solche Dienste zugreifen wollen, müssen sie den Port (21) in der Firewall öffnen. Beachten Sie auch, dass manche Webserver einige Daten über einen anderen Port als Port 80 übermitteln, insbesondere Streaming-Video- und -Audiodaten. Diese Anfragen werden nicht beachtet, wenn der Webfilter im Transparenzmodus arbeitet. Um solchen Verkehr zu unterstützen, müssen Sie entweder einen anderen Modus wählen oder eine explizite Firewallregel anlegen, die diesen Verkehr erlaubt.

      • Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.

      • Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell auf dem Computer angemeldet ist als Benutzer des Proxies zu authentifizieren (Single-Sign-On). Wenn der momentan angemeldete Benutzer ein gültiger AD-Benutzer ist, der die Erlaubnis hat den Proxy zu verwenden, sollte die Authentifizierung ohne Zutun des Benutzers erfolgen. Wählen Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben. Clients können mit NTLM authentifiziert werden (bei Mac mit Kerberos). Für manche Umgebungen sind zusätzliche Konfigurationen auf dem Endpoint notwendig. Wenn Sie Probleme mit SSO im Transparenzmodus haben, finden Sie Informationen im Sophos Knowledgebase-Artikel 120791.

        Hinweis – Wenn Sie eine Active-Directory-Benutzergruppe anlegen, empfehlen wir dringend, im Feld Active-Directory-Gruppen die Namen der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben, statt die LDAP-Strings zu verwenden. Beispiel: Statt eines LDAP-Strings CN=ads_group1,CN=Users,DC=example,DC=com geben Sie einfach den Namen ads_group1 ein.

        Hinweis – Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benutzereinträge.

      • Agent: Wählen Sie diese Option, um den SophosAuthentication Agent (SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren.
      • Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich am Webfilter authentifizieren können. Dieser Modus ermöglicht die Benutzernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitige Browserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungen einrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und von den Benutzern akzeptiert werden müssen, bevor sie fortfahren können. Weitere Informationen zu Nutzungsbedingungen finden Sie im Kapitel Verwaltung> Anpassungen > Web-Meldungen.

        Hinweis – Wenn die Browser-Authentifizierung verwendet wird, wird von passthrough.fw-notify.net ein Popup generiert. Benutzer sollten sicherstellen, dass passthrough.fw-notify.net vom Popup-Blocker ihres Browsers ausgenommen ist.

    • Volltransparent (optional): Wählen Sie die Option, um die Quell-IPClosed der Clients zu erhalten, anstatt sie durch die IP des Gateways zu ersetzen. Das ist nützlich, wenn Ihre Clients öffentliche IP-Adressen verwenden, die nicht durch den Webfilter verschleiert werden sollen. Diese Option ist nur im Bridge-Modus verfügbar, da sie nur dort sinnvoll ist.

      Für Volltransparent stehen dieselben Authentifizierungsmodi zur Verfügung wie für Transparent. Siehe oben.

    Querverweis – Weitere Informationen zur Konfiguration der Browser-Authentifizierung im Standard-Modus finden Sie in der Sophos Knowledgebase.

    Wenn Sie Authentifizierung verwenden, können Sie die Option Zugriff bei fehlgeschlagener Authentifizierung blockieren auswählen. Wenn Sie AD SSO verwenden und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehlgeschlagene SSO Authentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zusätzlicher Link für ein Gäste-Login bereitgestellt, um nicht authentifizierten Zugriff zu erlauben.

  6. Aktivieren Sie die gerätespezifische Authentifizierung.

    Um die Authentifizierungsmethode für bestimmte Geräte zu konfigurieren, aktivieren Sie das Auswahlkästchen Gerätespezifische Authentifizierung aktivieren. Anschließend können Sie auf das grüne Plussymbol klicken und Gerätetypen sowie die Authentifizierungsmethode auswählen.

  7. Klicken Sie auf Weiter oder wählen Sie Richtlinien im oberen Bereich des Assistenten.

  8. Prüfen und erstellen Sie Richtlinien für Ihr Filterprofil.

    Um eine neue Richtlinie zu erstellen, gehen Sie folgendermaßen vor:

    1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.

      Das Dialogfeld Richtlinie hinzufügen öffnet sich.

    2. Nehmen Sie die folgenden Einstellungen vor:

      Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.

      Benutzer/Gruppen: Wählen Sie Benutzer oder Benutzergruppen aus oder fügen Sie neue Benutzer hinzu, die der Richtlinie zugewiesen werden sollen. Sie können auch einen neuen Benutzer oder eine neue Gruppe anlegen. Das Hinzufügen eines Benutzers wird auf der Seite Definitionen & Benutzer > Benutzer & Gruppen > Benutzer erläutert.

      Zeit-Ereignis: Die Richtlinie gilt für den von Ihnen ausgewählten Zeitraum. Wählen Sie Immer, damit die Richtlinie jederzeit aktiv ist. Sie können auch auf das grüne Plussymbol klicken um ein Zeit-Ereignis anzulegen. Zeitraumdefinitionen werden auf der Registerkarte Definitionen & Benutzer > Zeitraumdefinitionen verwaltet.

      Filteraktion: Wählen Sie eine vorhandene Filteraktion aus, die die Sicherheitsmerkmale beschreiben, die Sie in einer Richtlinie anwenden möchten. Sie können auch auf das grüne Plussymbol klicken um eine neue Filteraktion mit Hilfe des Filteraktionsassistents. Filteraktionen können außerdem auf der Registerkarte Webfilterprofile > Filteraktionen verwaltet werden.

      Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

      Erweiterte Einstellungen

      • Weisen Sie diese Richtlinie Anfragen zu, die aufgrund einer Ausnahme die Authentifizierung übersprungen haben: Ausnahmen können Sie auf der Seite Filteroptionen > Ausnahmen erstellen, um zum Beispiel die Authentifizierung für automatische Updates zu überspringen, die die Authentifizierung nicht verwenden können. Wählen Sie das Kontrollkästchen um diese Richtlinie Webanfragen zuzuweisen, die die Authentifizierung übersprungen haben.

    3. Klicken Sie auf Speichern.

      Die neue Richtlinie wird ganz oben in der Liste Richtlinien angezeigt.

    4. Aktivieren Sie die Richtlinie.

      Die neue Richtlinie ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler, um die Richtlinie zu aktivieren. Die Richtlinie ist jetzt aktiv (Schieberegler ist grün).

  9. Klicken Sie auf Speichern.

    Das neue Profil wird in der Liste Filterprofile angezeigt.

Wichtiger Hinweis – Wenn SSL-Scanning zusammen mit dem Transparenzmodus aktiviert ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um SSL-VPN-Verbindungen zu ermöglichen, fügen Sie den entsprechenden Zielhost zur Liste Transparenzmodus-Ausnahmen hinzu (siehe Web Protection > Filteroptionen > Sonstiges). Um darüber hinaus Zugang zu Hosts mit einem selbstsignierten Zertifikat zu haben, müssen Sie eine Ausnahme für diese Hosts anlegen und die Option Zertifikat-Vertrauensprüfung auswählen. Der Proxy wird deren Zertifikate dann nicht überprüfen.

Zum Bearbeiten oder Löschen eines Filterprofils klicken Sie auf den Namen des Profils in der Liste.

Related Topics Link IconVerwandte Themen
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren