Ausnahmen

Auf der Registerkarte Network Protection > Intrusion Prevention > Ausnahmen können Sie Quell- und Zielnetzwerke definieren, die vom Angriffschutzsystem (IPS) ausgenommen werden.

Hinweis – Eine neue IPS-Ausnahme bezieht sich nur auf neue Verbindungen. Um eine neue IPS-Ausnahme einer bestehenden Verbindung zuzuweisen, können Sie das entsprechende Gerät zum Beispiel trennen oder neu starten.

Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.

    Das Dialogfeld Ausnahmenliste hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.

    Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen:

    • Intrusion Prevention: Wenn Sie diese Option aktivieren, wird das IPSClosed von Sophos UTM ausgeschaltet.
    • Portscan-Schutz: Wenn Sie diese Option aktivieren, verlieren Sie den Schutz vor Portscans, die Ihr System nach offenen Ports absuchen.
    • TCP-SYN-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der TCPClosed-SYNClosed-Flood-Schutz ausgeschaltet.
    • UDP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der UDPClosed-Flood-Schutz ausgeschaltet.
    • ICMP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der ICMPClosed-Flood-Schutz ausgeschaltet.

    Für alle Anfragen: Wählen Sie mindestens eine Bedingung, für die die Sicherheitsprüfungen ausgesetzt werden sollen. Sie können mehrere Bedingungen logisch miteinander verknüpfen, indem Sie entweder Und oder Oder aus der Auswahlliste vor einer Bedingung auswählen. Die folgenden Bedingungen können gesetzt werden:

    • Aus diesen Quellnetzwerken kommend: Wählen Sie diese Option, um Quellhosts/-netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke in das Feld Netzwerke ein, das nach Auswahl der Bedingung geöffnet wird.
    • Diese Dienste verwendend: Wählen Sie diese Option, um Dienste hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen. Fügen Sie die entsprechenden Dienste zum Feld Dienste hinzu, das nach Auswahl der Bedingung geöffnet wird.
    • Zu diesen Zielen gehend: Wählen Sie diese Option, um Zielhosts/-netzwerke hinzuzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke in das Feld Ziele ein, das nach Auswahl der Bedingung geöffnet wird.

    Tipp – Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.

  4. Aktivieren Sie die Ausnahme.

    Die neue Ausnahme ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler um die Ausnahme zu aktivieren.

    Die Ausnahme ist jetzt aktiv (Schieberegler ist grün).

Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Hinweis – Wenn Sie eine Intrusion Prevention Ausnahme für Pakete mit der Zieladresse des Gateways machen wollen, wird die Wahl Any im Feld Ziele nicht den gewünschten Effekt haben. Wählen Sie stattdessen eine Definition, die die IP-Adresse des Gateways enthält, zum Beispiel Internal (Address) oder die externe WAN-Adresse.

Hinweis – Wenn Sie einen UTM-Proxy verwenden, muss die Intrusion Prevention-Ausnahme folgendes berücksichtigen: Ein Proxy ersetzt die originale Quell-Adresse eines Pakets mit seiner eigenen Adresse. Deshalb, um Intrusion Prevention für Proxy-Pakete auszuschließen, müssen Sie die entsprechenden Schnittstellenadressdefinitionen der UTM in der Netzwerke-Liste der Quellen eintragen.