Allgemein

Auf der Registerkarte Web Protection > Webfilter > Allgemein können Sie die Grundeinstellungen für den Webfilter vornehmen.

Um den Webfilter zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den Webfilter auf der Registerkarte Allgemein.

   Klicken Sie auf den Schieberegler.

   Der Schieberegler wird grün und der Bereich Standard-Webfilterprofil kann nun bearbeitet werden.

2. Wählen Sie die zugelassenen Netzwerke aus.

   Wählen Sie die Netzwerke aus, die den Webfilter verwenden dürfen. Der Webfilter wartet standardmäßig auf Anfragen an TCPTransmission Control Protocol-Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist.

   Warnung – Wählen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre Appliance einem hohen Risiko für Angriffe aus dem Internet aussetzen würden.

3. Wählen Sie einen Betriebsmodus aus.

   Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung wählen, sollten Sie auch die Benutzer und Gruppen angeben, die auf den Webfilter zugreifen dürfen. Die folgenden Betriebsmodi sind möglich:

   • Standardmodus: Im Standardmodus wartet der Webfilter standardmäßig auf Client-Anfragen auf Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.

     Wählen Sie die Standard-Authentifizierungsmethode aus.

     • Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.
     • Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell auf dem Computer angemeldet ist als Benutzer des Proxies zu authentifizieren (Single-Sign-On). Wenn der momentan angemeldete Benutzer ein gültiger AD-Benutzer ist, der die Erlaubnis hat den Proxy zu verwenden, sollte die Authentifizierung ohne Zutun des Benutzers erfolgen. Wählen Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben. Benutzer können sich entweder mit NTLM oder Kerberos authentifizieren.
     • Agent: Wählen Sie diese Option, um den SophosAuthentication Agent (SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren. Der Agent kann im Benutzerportal heruntergeladen werden. Siehe: Benutzerportal.
     • Apple OpenDirectory SSO: Wählen Sie diese Option, wenn Sie LDAP auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit der Proxy richtig funktioniert, müssen Sie zusätzlich eine MAC OS X Single Sign-On Kerberos-Schlüsseldatei auf der Registerkarte Web Protection > Filteroptionen > Sonstiges hochladen. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein. Beachten Sie, dass der Safari-Browser SSO nicht unterstützt.
     • Einfache Benutzerauthentifizierung: In diesem Modus muss sich jeder Client gegenüber dem Proxy authentifizieren, bevor er ihn verwendet. Weitere Informationen zu den unterstützten Authentifizierungsmethoden finden Sie unter Definitionen & Benutzer > Authentifizierungsdienste. In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
     • Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich am Webfilter authentifizieren können. Dieser Modus ermöglicht die Benutzernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitige Browserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungen einrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und von den Benutzern akzeptiert werden müssen, bevor sie fortfahren können. Weitere Informationen zu Nutzungsbedingungen finden Sie im Kapitel Verwaltung> Anpassungen > Web-Meldungen.

       Hinweis – Wenn die Browser-Authentifizierung verwendet wird, wird von passthrough.fw-notify.net ein Pop-up generiert. Benutzer sollten sicherstellen, dass passthrough.fw-notify.net vom Pop-up-Blocker ihres Browsers ausgenommen ist.

     • eDirectory SSO: Wählen Sie diese Option, wenn Sie eDirectory auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben.

     Hinweis – Für eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fünfzehn Minuten; für Apple OpenDirectory und Active Directory SSO speichert nur die Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fünfzehn Minuten dauern kann, bis Änderungen an Benutzern, Gruppen oder dem Anmeldestatus der zugreifenden Benutzer vom Webfilter berücksichtigt werden.

     Wenn Sie einen Authentifizierungsmodus verwenden, der Benutzerauthentifizierung erfordert, wählen Sie Zugriff bei fehlgeschlagener Authentifizierung blockieren aus, um den Benutzern mit fehlgeschlagener Authentifizierung den Zugriff zu verweigern.

   • Transparenzmodus: Im Transparenzmodus werden alle Verbindungen von Client-Browseranwendungen auf Port 80 (und Port 443, wenn SSLSecure Sockets Layer verwendet wird) erkannt und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet. Der Client merkt dabei vom Webfilter nichts. Der große Vorteil dieses Modus ist, dass bei vielen Installationen keine zusätzliche Administration oder Client-seitige Konfiguration notwendig ist. Ein Nachteil ist es jedoch, dass nur HTTP-Anfragen behandelt werden können. Deshalb werden die Proxy-Einstellungen im Client-Browser unwirksam, wenn Sie den Transparenzmodus wählen.

     Hinweis – Im Transparenzmodus entfernt der Webfilter NTLM-Authentifizierungsheader von HTTP-Anfragen. Darüber hinaus kann der Webfilter keine FTPFile Transfer Protocol-Anfragen in diesem Modus verarbeiten. Wenn Ihre Clients auf solche Dienste zugreifen wollen, müssen sie den Port (21) in der Firewall öffnen. Beachten Sie auch, dass manche Webserver einige Daten über einen anderen Port als Port 80 übermitteln, insbesondere Streaming-Video- und -Audiodaten. Diese Anfragen werden nicht beachtet, wenn der Webfilter im Transparenzmodus arbeitet. Um solchen Verkehr zu unterstützen, müssen Sie entweder einen anderen Modus wählen oder eine explizite Firewallregel anlegen, die diesen Verkehr erlaubt.

     • Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.

     • Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell auf dem Computer angemeldet ist als Benutzer des Proxies zu authentifizieren (Single-Sign-On). Wenn der momentan angemeldete Benutzer ein gültiger AD-Benutzer ist, der die Erlaubnis hat den Proxy zu verwenden, sollte die Authentifizierung ohne Zutun des Benutzers erfolgen. Wählen Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Server konfiguriert haben. Clients können mit NTLM authentifiziert werden (bei Mac mit Kerberos). Für manche Umgebungen sind zusätzliche Konfigurationen auf dem Endpoint notwendig. Wenn Sie Probleme mit SSO im Transparenzmodus haben, finden Sie Informationen im Sophos Knowledgebase-Artikel 120791.

       Hinweis – Wenn Sie eine Active-Directory-Benutzergruppe anlegen, empfehlen wir dringend, im Feld Active-Directory-Gruppen die Namen der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben, statt die LDAP-Strings zu verwenden. Beispiel: Statt eines LDAP-Strings CN=ads_group1,CN=Users,DC=example,DC=com geben Sie einfach den Namen ads_group1 ein.

       Hinweis – Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benutzereinträge.

     • Agent: Wählen Sie diese Option, um den SophosAuthentication Agent (SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren.
     • Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich am Webfilter authentifizieren können. Dieser Modus ermöglicht die Benutzernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitige Browserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungen einrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und von den Benutzern akzeptiert werden müssen, bevor sie fortfahren können. Weitere Informationen zu Nutzungsbedingungen finden Sie im Kapitel Verwaltung> Anpassungen > Web-Meldungen.

       Hinweis – Wenn die Browser-Authentifizierung verwendet wird, wird von passthrough.fw-notify.net ein Pop-up generiert. Benutzer sollten sicherstellen, dass passthrough.fw-notify.net vom Pop-up-Blocker ihres Browsers ausgenommen ist.

   • Volltransparent (optional): Wählen Sie die Option, um die Quell-IPInternet Protocol der Clients zu erhalten, anstatt sie durch die IP des Gateways zu ersetzen. Das ist nützlich, wenn Ihre Clients öffentliche IP-Adressen verwenden, die nicht durch den Webfilter verschleiert werden sollen. Diese Option ist nur im Bridge-Modus verfügbar, da sie nur dort sinnvoll ist.

     Für Volltransparent stehen dieselben Authentifizierungsmodi zur Verfügung wie für Transparent. Siehe oben.

   Querverweis – Weitere Informationen zur Konfiguration der Browser-Authentifizierung im Standard-Modus finden Sie in der Sophos Knowledgebase.

   Wenn Sie Authentifizierung verwenden, können Sie die Option Zugriff bei fehlgeschlagener Authentifizierung blockieren auswählen. Wenn Sie AD SSO verwenden und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehlgeschlagene SSO Authentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zusätzlicher Link für ein Gäste-Login bereitgestellt, um nicht authentifizierten Zugriff zu erlauben.

4. Aktivieren Sie die gerätespezifische Authentifizierung.

   Um die Authentifizierungsmethode für bestimmte Geräte zu konfigurieren, aktivieren Sie das Auswahlkästchen Gerätespezifische Authentifizierung aktivieren. Anschließend können Sie auf das grüne Plussymbol klicken und Gerätetypen sowie die Authentifizierungsmethode auswählen.

5. Klicken Sie auf Übernehmen.

   Ihre Einstellungen werden gespeichert.

Wichtiger Hinweis – Wenn SSL-Scanning zusammen mit dem Transparenzmodus aktiviert ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um SSL-VPN-Verbindungen zu ermöglichen, fügen Sie den entsprechenden Zielhost zur Liste Transparenzmodus-Ausnahmen hinzu (siehe Web Protection > Filteroptionen > Sonstiges). Um darüber hinaus Zugang zu Hosts mit einem selbstsignierten Zertifikat zu haben, müssen Sie eine Ausnahme für diese Hosts anlegen und die Option Zertifikat-Vertrauensprüfung auswählen. Der Proxy wird deren Zertifikate dann nicht überprüfen.

Live-Protokoll

Das Webfilter-Live-Protokoll stellt Informationen zu Webanfragen bereit. Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um das Webfilter-Live-Protokoll in einem neuen Fenster zu öffnen.

Verwandte Themen

• Anpassungen > Web-Meldungen
• Authentifizierungsdienste
• Server
• Web Protection > Filteroptionen > Sonstiges