Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite können Sie den HTTP-Verkehr kontrollieren, der von und zu einer Webanwendung fließt. Mithilfe dieser Seite können Sie eine WAF-Regel (Web Server Protection) für Verkehr erstellen, welcher das IPv4-Protokoll verwendet.
1. Gehen Sie zu Schützen > Firewall und stellen Sie sicher, dass IPv4 ausgewählt ist.
2. Klicken Sie auf +Firewallregel hinzufügen und Unternehmensanwendungsregel.
3. Geben Sie die grundlegenden Regel-Details ein.
Anwendungsvorlage
Wählen Sie Web Server Protection (WAF), um eine Anwendungsfilter-Richtlinie für HTTP-basierte Anwendungen zu definieren.
Regelname
Geben Sie einen Namen für die Regel ein.
Beschreibung
Geben Sie eine Beschreibung für die Regel ein.
Position der Regel
Geben Sie die Position der Regel an.
Verfügbare Optionen:
Oben
Unten
4. Geben Sie die Details für den Gehosteten Server ein.
Gehostete Adresse
Wählen Sie die Schnittstelle des gehosteten Servers aus, auf welchen die Regel angewendet werden soll. Dies ist die öffentliche IP-Adresse, über welche die Internetnutzer auf den internen Server/Hosts zugreifen können.
* Wenn ein Client eine Verbindung zum Webserver aufbaut und auf ihn zugreift, erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält die Adresse der Schnittstelle, die von der Web Application Firewall (WAF) benutzt wird, da die Verbindung über die WAF hergestellt wurde. Die wirkliche IP-Adresse des Clients ist in der HTTP-Kopfzeile
Lauschport
Geben Sie die Nummer des Ports ein, über welchen der gehostete Webserver extern über das Internet erreicht werden kann. Der Standardwert ist Port 80 für Klartext (HTTP) und Port 443 für Verschlüsselung (HTTPS).
HTTPS
Wählen Sie die Option, um Scannen von HTTPS-Verkehr zu aktivieren oder zu deaktivieren.
HTTPS-Zertifikat (nur verfügbar wenn HTTPS ausgewählt ist)
Wählen Sie, welches HTTPS-Zertifikat verwendet werden soll.
HTTP umleiten (nur verfügbar wenn HTTPS ausgewählt ist)
Klicken, um HTTP-Anfragen umzuleiten. Dadurch werden Benutzer, die die URL ohne https:// eingeben, automatisch an den gehosteten Server weitergeleitet.
* Eine HTTP-Anfrage erfordert einen Host-Header, wenn HTTP weiterleiten aktiviert ist.
Domänen
Geben Sie den vollständigen Domänenname (FQDN) der Domänen an, für die der Webserver verantwortlich ist. Platzhalter sind nicht erlaubt.
Beispiele:
example.com
www.example.com
subdomain.example.com
(wenn HTTPS akiviert ist): Domänen, die nicht Teil des ausgewählten HTTPS-Zertifikats sind, sind automatisch im Feld Domänen verfügbar.
5. Geben Sie die Details für den/die Geschützten Server ein.
Pfad-spezifisches Routing
Sie können das Pfad-spezifische Routing aktivieren, um einen Pfad festzulegen, an welchen eingehende Anfragen von Webservern weitergeleitet werden sollen.
Sie können definieren, dass alle URLs mit einem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webserver gesendet werden. Sie können für eine bestimmte Anfrage auch mehr als einen Webserver zulassen und Regeln hinzufügen, wie die Anfragen auf die Server verteilt werden sollen. Sie können zudem festlegen, dass jede Sitzung über ihre gesamte Lebensdauer hinweg mit einem Webserver verbunden bleibt (permanente Sitzung). Dies kann notwendig sein, wenn Sie als Host eines Online-Shops sicherstellen möchten, dass ein Benutzer während seiner gesamten Einkaufssession mit demselben Server verbunden bleibt. Sie können außerdem konfigurieren, dass alle Anfragen an einen Webserver gesendet werden und die anderen Server nur als Reserve genutzt werden.
Für jeden gehosteten Webserver wird automatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliance wendet die Site-Path-Routen automatisch auf die effektivste Weise an: beginnend mit den restriktivsten, d.h. längsten Pfaden bis hin zu den Standard-Pfad-Routen, die nur verwendet werden, wenn auf die eingehende Anfrage keine spezifischere Pfad-Route passt. Die Reihenfolge der Liste der Site-Pfad-Routen ist nicht relevant. Wenn auf eine eingehende Anfrage keine Route passt (wenn zum Beispiel die Standard-Route gelöscht wurde), wird die Anfrage verweigert.
Neuen Pfad hinzufügen (nur verfügbar wennPfad-spezifische Weiterleitung ausgewählt ist)
Klicken Sie auf Pfad hinzufügen, um einen neuen Pfad zu definieren.
* Neuen Pfad hinzufügen ist erst aktiv, wenn mindestens ein Webserver und ein gehosteter Webserver erstellt worden sind.
Webserver (nicht, wenn Pfad-spezifisches Routing ausgewählt ist)
Mit dieser Option wählen Sie, welche Webserver geschützt werden sollen. Wählen Sie einen Webserver aus der Webserver-Liste aus. Der ausgewählte Webserver wird in der Tabelle rechts unter Ausgewählte(r) Webserver angezeigt.
Ein neuer Webserver kann auf der Seite Schützen > Webserver > Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (nicht, wenn Pfad-spezifisches Routing aktivieren ausgewählt ist).
Zugelassene Client-Netzwerke
Wählen Sie aus, welche Netzwerke zugelassen sind und sich mit dem gehosteten Webserver verbinden können.
Blockierte Client-Netzwerke
Wählen Sie, welche Netzwerke nicht zugelassen sind und von Ihrem gehosteten Webserver blockiert werden sollen.
Authentifizierung
Wählen Sie ein Authentifizierungsprofil für eine Webanwendung oder klicken Sie auf Neue erstellen um ein neues Authentifizierungsprofil zu erstellen. Sie können ein Authentifizierungsprofil auch auf der Seite Schützen > Webserver > Authentifizierungs-Richtlinien erstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.
8. Legen Sie die erweiterten Einstellungen fest.
a. Geben Sie Richtlinien für Business-Anwendungen an.
Schutz
Geben Sie für den Server eine Anwendungsschutz-Richtlinie ein oder erstellen Sie eine neue. Eine neue Anwendungsfilter-Richtlinie kann direkt auf dieser Seite oder über die Seite Schützen > Webserver > Richtlinien zum Schutz erstellt werden. Sie können auch auswählen, dass Sie Keinen Anwendungsschutz wünschen.
Angriffsvorbeugung
Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eine neue. Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Schützen > Angriffsvorbeugung > IPS-Richtlinien erstellt werden. Sie können auch auswählen, dass Sie Keine Intrusion Prevention wünschen.
Traffic Shaping
Die Traffic Shaping-Richtlinie weist den Benutzern Bandbreite zur Nutzung zu und beschränkt diese.
Wählen Sie für die Regel eine Traffic Shaping-Richtlinie oder erstellen Sie eine neue. Eine neue Traffic-Shaping-Richtlinie kann direkt auf dieser Seite oder über die Seite System > Systemdienste > Traffic Shaping erstellt werden. Sie können auch auswählen, dass Sie Kein Traffic Shaping wünschen.
b. Legen Sie die Zusätzlichen Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützung deaktivieren
Dieses Auswahlkästchen ist standardmäßig deaktiviert. Der Inhalt wird komprimiert versendet, wenn der Client komprimierte Daten anfordert. Durch die Komprimierung wird die Übertragungsgeschwindigkeit erhöht und die Ladezeit der Seiten reduziert. Wenn jedoch Webseiten falsch angezeigt werden oder wenn Benutzer beim Zugriff auf Ihre Webserver Codierungsfehler in Bezug auf den Inhalt erfahren, kann es notwendig sein, die Unterstützung der Komprimierung zu deaktivieren. Wenn das Auswahlkästchen aktiviert ist, fordert die WAF von den Webservern dieses gehosteten Webservers unkomprimierte Daten an und sendet diese unkomprimiert an den Client weiter, unabhängig von den Kodierungsparametern der HTTP-Anfrage.
HTML umschreiben
Wählen Sie diese Option, wenn die Appliance die Links der zurückgegebenen Webseiten umschreiben soll, damit diese gültig bleiben. Beispiel: Eine Ihrer Webserverinstanzen hat den Hostnamen yourcompany.local, der Hostnamen des gehosteten Webservers auf der Appliance ist jedoch yourcompany.com. Absolute Links wie [a href="http://yourcompany.local/"] funktionieren daher erst, wenn der Link vor Zustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird. Sie müssen diese Option jedoch nicht aktivieren, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links ausgegeben werden. Wir empfehlen die Verwendung dieser Option bei Zugriff auf Microsoft Outlook Web Access oder SharePoint Portal Server.
* Das HTML-Rewriting betrifft alle Dateien mit einer HTTP-Inhaltsart wie text/* oder *xml*, wobei * eine Wildcard ist. Stellen Sie sicher, dass andere Dateitypen, z.B. binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werden sie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben (nur wenn HTML umschreiben ausgewählt ist)
Wählen Sie diese Option, damit das Gerät die Cookies der zurückgegebenen Webseiten umschreiben kann.
Host-Header durchreichen
Wenn Sie diese Option wählen, bleibt die Host-Kopfzeile wie vom Client angefragt erhalten und wird gemeinsam mit der Webanfrage an den Webserver weitergeleitet. Ob das Durchreichen der Host-Kopfzeile in Ihrer Umgebung notwendig ist, hängt von der Konfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
* Sobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder eine vorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alle HTTP-basierten Unternehmensregeln neu gestartet. Jede zugrundeliegende Client-Verbindung, die eine HTTP-basierte Unternehmensregel verwendet, geht verloren und muss wiederhergestellt werden.
 
Die Business-Anwendungsregel wurde erstellt und erscheint auf der Seite Firewall, wenn der Filter IPv4 eingestellt ist.

Mit der Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen finden Sie in unseren Datenschutzvereinbarungen