Mithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wie der Manipulation von Cookies, URLs oder Formularen. Richtlinien verhindern auch verbreitete Bedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe. Die Firewall bietet Standardrichtlinien für die Verwendung mit gängigen Internetdiensten.
Schutzeinstellungen
- Cookie-Signierung
- Mit Cookie-Signierung können Sie Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen, vereiteln. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält einen Hash, der aus Namen und Wert des primären Cookies erstellt ist, und ein Geheimnis, das nur der Firewall bekannt ist. Wenn eine Anfrage kein stimmiges Cookie-Paar ergibt, wird der Cookie verworfen.
- Statisches URL-Hardening
- Statisches URL-Hardening verhindert, dass Benutzer so genannte „Deep Links“ manuell erstellen, über die sich Unbefugte Zugriff verschaffen können. Wenn ein Client eine Webseite anfragt, werden alle statischen URLs der Webseite signiert, wobei eine Methode ähnlich der Cookie-Signierung verwendet wird. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können.
- Form-Hardening
- Um SQL-Injection und andere Exploits zu verhindern, erhält Form-Hardening die ursprüngliche Struktur des Webformulars aufrecht und signiert es. Wenn sich die Struktur eines Formulars beim Abschicken verändert hat, weist die Firewall die Anfrage ab.
- Antivirus
- Einen Webserver vor Viren schützen.
- Clients mit schlechtem Ruf blockieren
- Clients blockieren, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL) und der GeoIP-Information einen schlechten Ruf haben. Als RBLs verwendet die Firewall Cyren IP reputation intelligence und SORBS. Für GeoIP verwendet die Firewall Maxmind. Die Firewall blockiert Clients, die zu den A1 (anonyme Proxys oder VPN-Dienste) und A2 (Satelliten-ISP) Klassifikationen gehören.
Allgemeiner Bedrohungsschutz
- Protokollverletzungen
- Einhaltung der RFC-Standardspezifikation des HTTP/S Protokolls erzwingen. Wenn diese Standards nicht eingehalten werden, weist dies in der Regel auf eine bösartige Absicht hin.
- Protokollanomalien
- Nach häufig auftretenden Benutzungsmustern suchen. Wenn solche Muster fehlen, weist dies häufig auf bösartige Anfragen hin. Zu diesen Mustern gehören unter anderem HTTP-Kopfzeilen wie „Host“ und „User-Agent“.
- Grenzwerte anfragen
- Angemessene Grenzwerte in Bezug auf die Anzahl und den Bereich von Anfrageargumenten erzwingen. Wenn übermäßig viele Anfrageargumente genutzt werden, ist dies ein typischer Angriffsvektor.
- HTTPS-Richtlinie
- Die zulässige Nutzung des HTTP-Protokolls einschränken. Webbrowser nutzen in der Regel nur einen begrenzten Teil aller möglichen HTTP-Optionen. Wenn selten genutzte Optionen nicht erlaubt sind, schützt dies vor Angreifern, die auf diese wenig unterstützten Optionen abzielen.
- Schädliche Roboter
- Nach Eigenschaften der Nutzungsmuster von Bots und Crawlern suchen. Indem diesen der Zugriff verweigert wird, können mögliche Schwachstellen Ihrer Webserver nicht so einfach entdeckt werden.
- Generische Angriffe
- Nach versuchten Ausführungen von Befehlen suchen, die häufig bei Angriffen zum Einsatz kommen. Wenn ein Angreifer einen Webserver erreicht hat, versucht er in der Regel auf dem Server Befehle auszuführen, zum Beispiel zur Erweiterung von Berechtigungen oder Manipulation von Datenspeichern. Indem nach diesen Ausführungsversuchen gesucht wird, können Angriffe erkannt werden, die ansonsten eventuell nicht bemerkt werden, zum Beispiel weil sie mittels legitimen Zugriff auf einen gefährdeten Dienst abzielen.
- SQL-Injection-Angriffe
- Die Anfrageargumente auf eingebettete SQL-Befehle und Maskierungszeichen prüfen. Die meisten Angriffe auf einen Webserver zielen auf die Eingabefelder ab, die für direkte eingebettete SQL-Befehle an die Datenbank verwendet werden.
- XSS-Angriffe
- Die Anfrageargumente auf eingebettete Script-Tags und Code prüfen. Typische Scripting-Angriffe über mehrere Webseiten hinweg zielen darauf ab, in die Eingabefelder eines Zielservers Script-Code zu injizieren, oftmals auf legitime Weise.
- Hohe Sicherheit
- Engmaschige Sicherheitsprüfungen für Anfragen durchführen, z.B. Prüfung auf verbotene Path-Traversal-Versuche.
- Trojaner
- Auf Nutzungsmuster prüfen, die typisch sind für Trojaner.
Hinweis: Diese Einstellung verhindert nicht die Installation von Trojanern. Der Schutz vor Trojanern wird durch Antiviren-Scans sichergestellt.
- Ausgehend
- Verhindern, dass Webserver Informationen an den Client preisgeben. Hierzu gehören unter anderem Fehlermeldungen, die von Servern versendet werden und die von Angreifern genutzt werden, um sensible Daten zu sammeln oder Schwachstellen zu erkennen.
