Geben Sie einen eindeutigen Namen für die IPS-Richtlinie ein.

Geben Sie eine Beschreibung für die Richtlinie ein.

Aktivieren Sie diese Option, um externen Microsoft Outlook-Clients zu erlauben, über Web Application Protection auf den Microsoft Exchange Server zuzugreifen. Microsoft Outlook-Datenverkehr wird durch Web Application Protection weder geprüft noch geschützt.

Wählen Sie in der Auswahlliste einen Modus aus.

Aktivieren Sie diese Option, um einen Webserver vor manipulierten Cookies zu schützen. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält den Namen des primären Cookies als Hash-Version, seinen Wert und ein Geheimnis, das nur der Web Application Protection bekannt ist. Wenn eine Anfrage kein korrektes Cookie-Paar anbieten kann, hat eine Manipulation stattgefunden und der Cookie wird abgewiesen.

Aktivieren Sie diese Option, um URLs vor dem Umschreiben zu schützen. Um dies zu erreichen, werden alle statischen URLs der Webseite signiert, wenn ein Client eine Webseite anfragt. Bei dieser Signierung kommt ein ähnlicher Prozess wie bei der Cookie-Signierung zum Einsatz. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können. Für URLs, die den Prozess des statischen URL-Hardening durchlaufen haben, kann darüber hinaus ein Lesezeichen gesetzt werden, um sie später erneut aufzurufen.

URL für statisches URL-Hardening festlegen:

Aktivieren Sie diese Option, um Webformulare vor dem Umschreiben zu schützen. Form-Hardening erhält die urpsprüngliche Struktur des Webformulars aufrecht und signiert es. Daher weist die Web Application Protection die Anfrage ab, wenn sich die Struktur eines Formulars verändert hat, wenn dieses übermittelt wird.

Aktivieren Sie diese Option, um einen Webserver vor Viren zu schützen.

Wählen Sie aus den verfügbaren Optionen einen Modus aus.

Wählen Sie in der Auswahlliste aus, ob nur Uploads oder nur Downloads oder beides gescannt werden soll.

Aktivieren Sie diese Option, um Dateien zu blockieren, die nicht gescannt werden können. Grund hierfür kann unter anderem sein, dass die Dateien verschlüsselt oder beschädigt sind.

Aktivieren Sie diese Option, um die Größenbeschränkung für den Scan in einem zusätzlichen Feld festzulegen. Geben Sie die Größenbeschränkung in Megabytes an.

Aktivieren Sie diese Option, um Clients zu blockieren, die gemäß ihrer Klassifizierung auf Basis der Daten von GeoIPClosed und RBLClosed einen schlechten Ruf haben. Sophos nutzt die folgenden Klassifizierungsanbieter: RBL-Quellen:

Als GeoIP-Quelle dient Maxmind. WAF blockiert Clients, die einer der folgenden Maxmind-Kategorien zugeordnet sind:

Aktivieren Sie diese Funktion, um die GeoIP-basierte Klassifizierung zu verwenden, die ausschließlich auf Informationen im Cache zurückgreift und daher wesentlich schneller ist. Da bei der Ruf-Abfrage Anfragen an entfernte Klassifizierungsanbieter gesendet werden, kann die Funktion das System verlangsamen.

Aktivieren Sie diese Option, um Ihre Webserver vor verschiedenen Bedrohungen zu schützen. Im Abschnitt „Bedrohungs-Filterkategorien“ können Sie die Bedrohungs-Filterkategorien festlegen, die Sie verwenden möchten. Alle Anfragen werden mit den Regeln der gewählten Kategorien abgeglichen. Abhängig von den Ergebnissen wird im Live-Protokoll entweder ein Hinweis oder eine Warnung angezeigt oder die Anfrage wird direkt blockiert.

Aktivieren Sie diese Option, um einige der gewählten Regeln zu verschärfen. Dies kann False Positives hervorrufen.

Einige der gewählten Bedrohungs-Filterkategorien können Regeln enthalten, die False Positives hervorrufen. Um False Positives durch eine bestimmte Regel zu vermeiden, tragen Sie in dieses Feld die Regelnummer ein, die Sie überspringen möchten.

Erzwingt die Einhaltung der Standardspezifikation in RFC des HTTP-Protokolls. Wenn diese Standards nicht eingehalten werden, weist dies in der Regel auf eine bösartige Absicht hin.

Sucht nach häufig auftretenden Benutzungsmustern. Wenn solche Muster fehlen, weist dies häufig auf bösartige Anfragen hin. Zu diesen Mustern gehören unter anderem HTTP-Kopfzeilen wie „Host“ und „User-Agent“.

Erzwingt angemessene Grenzwerte in Bezug auf die Anzahl und den Bereich von Anfragenargumenten. Wenn übermäßig viele Anfragenargumente genutzt werden, ist dies ein typischer Angriffsvektor.

Schränkt die erlaubte Nutzung des HTTP-Protokolls ein. Webbrowser nutzen in der Regel nur einen begrenzten Teil aller möglichen HTTP-Optionen. Wenn selten genutzte Optionen nicht erlaubt sind, schützt dies vor Angreifern, die auf diese wenig unterstützten Optionen abzielen.

Sucht nach Eigenschaften der Nutzungsmuster von Bots und Crawlern. Indem diesen der Zugriff verweigert wird, können mögliche Schwachstellen Ihrer Webserver nicht so einfach entdeckt werden.

Sucht nach versuchten Ausführungen von Befehlen, die häufig bei Attacken zum Einsatz kommen. Wenn ein Angreifer einen Webserver erreicht hat, versucht er in der Regel auf dem Server Befehle auszuführen, zum Beispiel zur Erweiterung von Berechtigungen oder Manipulation von Datenspeichern. Indem nach diesen Ausführungsversuchen gesucht wird, können Angriffe erkannt werden, die ansonsten eventuell nicht bemerkt werden, zum Beispiel weil sie mittels legitimen Zugriff auf einen gefährdeten Dienst abzielen.

Prüft die Anfragenargumente auf eingebettete SQL-Befehle und Fluchtzeichen. Die meisten Angriffe auf einen Webserver zielen auf die Eingabefelder ab, die für direkte eingebettete SQL-Befehle an die Datenbank verwendet werden.

Prüft die Anfragenargumente auf eingebettete Script-Tags und Code. Typische Scripting-Angriffe über mehrere Webseiten hinweg zielen darauf ab, in die Eingabefelder eines Zielservers Script-Code zu injizieren, oftmals auf legitime Weise.

Führt auf Wunsch engmaschige Sicherheitsprüfungen durch, zum Beispiel zur Prüfung auf verbotene Path Traversal-Versuche.

Sucht nach Nutzungsmustern, die für Trojaner typisch sind, und nach Anfragen, die auf einen aktiven Trojaner hinweisen. Verhindert jedoch nicht die Installation solcher Trojaner, da dies die Aufgabe der Virenscanner ist.

Verhindert, dass Webserver Daten an den Client freigegeben. Hierzu gehören unter anderem Fehlermeldungen, die von Servern versendet werden und die von Angreifern genutzt werden, um sensible Daten zu sammeln oder Schwachstellen zu erkennen.