Die Firewall scannt HTTP(S) und FTP-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregeln festgelegt ist, und nach unangemessener Internetnutzung, wenn eine Internetrichtlinie für eine Regel ausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der auf Firewallregeln zutrifft, bei denen diese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende Dateigröße und zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, um Endbenutzern Zugriff auf Websites zu gewähren, die sonst gesperrt wären.
Schadprogramm- und Inhaltsscans
Konfigurieren Sie allgemeine Beschränkungen für das Scannen und um den Verkehr nach Typ und Protokoll zu beschränken.
Auswahl des Scan-Moduls
Scan-Module, das für allen Verkehr verwendet werden soll.
Anmerkung Wenn Sie Sandstorm verwenden, stellen Sie als Einzelscan-Modul Sophos ein oder wählen Sie den Zweifachscan.
Einzel-Modul Scannen Sie den Datenverkehr mithilfe des primären Antiviren-Moduls (standardmäßig Sophos). Diese Auswahl bietet optimale Leistung.
Zweifach-Modul Scannen Sie den Datenverkehr mit beiden Modulen, zunächst mit dem primären und dann mit dem sekundären. Diese Auswahl bietet eine maximale Erkennungsrate und Sicherheit, kann aber die Leistung beeinträchtigen.
Web-Proxy-Scanmodus
Scanmodus für HTTP- und HTTPS-Verkehr. Diese Option gilt nur für Web-Proxy-Filterung. Das DPI-Modul verwendet immer den Echtzeitmodus.
Stapel: Im Serienmodus wird kein einziger Teil einer heruntergeladenen Datei an den Browser weitergegeben, bevor die ganze Datei heruntergeladen und gescannt wurde. Der Serienmodus bietet maximalen Schutz, könnte aber die Leistung beim Surfen beeinträchtigen.
Echtzeit: Im Echtzeitmodus wird der heruntergeladene Dateiinhalt an den Browser weitergegeben, aber erst abgeschlossen, wenn er gescannt und als sauber eingestuft wurde.
Potenziell unerwünschte Anwendungen sperren
Schützt Benutzer vor dem Herunterladen potenziell unerwünschter Anwendungen (PUAs).
Autorisierte PUAs
Liste der PUAs, die Sie nicht sperren wollen.
Maßnahme beim Fehlschlagen des Schadprogramm-Scans
Maßnahme, die durchgeführt wird, sobald die Firewall Inhalte entdeckt, die nicht gescannt werden konnten.
Anmerkung Dateien, die nicht vollständig gescannt werden können, weil sie verschlüsselt oder beschädigt sind, könnten unentdeckte Bedrohungen beinhalten. Sperren bietet den besten Schutz.
Keine Dateien scannen, die größer sind als
Maximal erlaubte Größe von Dateien in MB, die bei HTTP(S) gescannt werden. Dateien, die diese Größe überschreiten, werden nicht gescannt.
Anmerkung Wenn Sie Sandstorm verwenden, wurde dieser Wert auf den empfohlenen minimalen Wert zurückgesetzt.
Maximale Datei-Scangröße für FTP
Maximal erlaubte Größe von Dateien in MB, die bei FTP gescannt werden. Dateien, die diese Größe überschreiten, werden nicht gescannt.
Audio- und Videodateien scannen
Scannt Audio- und Videoinhalte nach Schadprogrammen und Bedrohungen. Das Scannen könnte Probleme beim Abspielen von Audio- und Videodateien verursachen.
Pharming-Schutz aktivieren
Bei Pharming-Angriffen werden die Benutzer von seriösen Websites zu betrügerischen Websites umgeleitet, die genauso aussehen wie die seriösen. Benutzer vor DNS-Poisoning schützen, indem DNS-Lookups vor dem Verbinden wiederholt werden.
HTTPS-Entschlüsselung und -Scans
CA für HTTPS-Scans
CA für die Sicherung von gescannten HTTPS-Verbindungen. Dies wird nur vom Web-Proxy verwendet. Um die vom DPI-Modul verwendete Zertifizierungsstelle zu konfigurieren, verwenden Sie Entschlüsselungsprofile oder SSL/TLS-Inspektionseinstellungen.
Unbekannte SSL-Protokolle blockieren
Verhindert Verkehr, der HTTPS-Scans vermeidet, indem er ungültige SSL-Protokolle verwendet.
Ungültige Zertifikate sperren
Verbindet sich nur mit Seiten mit gültigem Zertifikat. Die Einstellung gilt nur für den We-Proxy. Um Einstellungen für die Zertifikatsprüfung für das DPI-Modul zu konfigurieren, verwenden Sie Entschlüsselungsprofile.
Um die Zertifikatsprüfung für bestimmte Websites, Webkategorien oder Quell- und Ziel-IP-Adressen zu deaktivieren, gehen Sie zu Internet > Ausnahmen.
Bei Fehlern und Sperr- oder Warnmaßnahmen bei HTTPS-Verbindungen, wenn „HTTPS entschlüsseln und scannen“ deaktiviert ist
Wenn eine HTTPS-Anfrage eine Sperr- oder Warnrichtlinienmaßnahme auslöst, bei der HTTPS entschlüsseln und scannen deaktiviert ist, können Sie dem Benutzer entweder eine Benachrichtigung anzeigen oder die Verbindung ohne Benutzerbenachrichtigung verwerfen.
Anmerkung Browser zeigen möglicherweise Zertifikatswarnungen an, wenn die HTTPS-CA nicht installiert ist.
Richtlinien-Umgehungen
Richtlinienumgehungen erlauben autorisierten Benutzern, sich selbst zeitlich begrenzten Zugriff auf Websites zu gewähren, welche normalerweise durch eine Internetrichtlinie gesperrt wären. Autorisierte Benutzer erstellen im Benutzerportal Richtlinienumgehungen, indem sie Websites und Kategorien, einen Zeitraum und Zugangscodes festlegen. Wenn ein Benutzer eine Seite besucht, für die eine Umgehung hinterlegt ist, enthält die Sperrseite ein zusätzliches Feld, in das der Benutzer einen Zugangscode eingeben kann.
Um die aktuell hinterlegten Umgehungen zu sehen und zu verwalten, klicken Sie auf Umgehungen sehen. Diese Einstellungen ermöglichen Ihnen, Umgehungen ein- und auszuschalten und Umgehungen zu löschen.
Richtlinien-Umgehung aktivieren
Autorisierten Benutzern erlauben, Internetrichtlinien-Umgehungen im Benutzerportal zu erstellen.
Autorisierte Benutzer und Gruppen
Benutzer und Gruppen, die Umgehungen erstellen und verwalten können.
Gesperrte Websites und Kategorien
Websites und Webkategorien, die nie durch Internetrichtlinien-Umgehungen umgangen werden können.
Manuelle Eingabe von Zugangscode zulassen
Angegebenen Benutzer ermöglichen, ihre eigenen Zugangscodes im Benutzerportal zu erstellen. Wenn diese Option nicht aktiviert ist, müssen Benutzer erzeugte Codes verwenden.
Wenn der Richtlinienumgehungsverkehr mit einer SSL/TLS-Inspektionsregel übereinstimmt, für die die Maßnahme auf Ablehnen gesetzt ist, wird die Umgehung nicht wirksam und die Website wird gesperrt. Um dies zu verhindern, gehen Sie zu Internet > Ausnahmen und erstellen Sie eine Ausnahme, um HTTPS-Entschlüsselung für die Übereinstimmungskriterien auszulassen.
Zugriff auf gesperrte Websites zulassen
Die folgende Richtlinienumgehung ermöglicht Benutzern in der Gruppe Lehrer, Endbenutzern Zugriff auf sonst gesperrte Websites zu gewähren. Wenn die Umgehung in Kraft ist, können Endbenutzer dennoch nicht auf Websites zugreifen, die zur Kategorie Alkohol und Tabak gehören.
Caching von Internetinhalten
Caching von Internetinhalten aktivieren
Behalten Sie eine Kopie von kürzlich besuchten Seiten, um den Bandbreitenverbrauch zu reduzieren und die Leistung zu verbessern.
XG Firewall setzt dies nur mit dem Web-Proxy durch.
Sophos Endpoint-Updates immer zwischenspeichern
Behalten Sie eine Kopie der Sophos Endpoint Protection Aktualisierungen, um die Leistung auf Ihrem Netzwerk zu verbessern.
Anmerkung Ist diese Option deaktiviert, kann es zu einer Netzwerküberlastung kommen, wenn viele Endgeräte gleichzeitig versuchen, Updates aus dem Internet herunterzuladen.
Web-Proxy-Konfiguration
Die Firewall fängt den Datenverkehr transparent ab und erzwingt Web Protection (zum Beispiel, Richtlinien- und Schadprogramm-Scans), wenn der Web-Proxy-Dienst für eine Netzwerkzone aktiviert ist. Der Dienst ist standardmäßig für LAN- und WLAN-Zonen aktiviert. Im Transparenzmodus erlaubt die Firewall HTTP-Verkehr auf Port 80 und HTTPS-Verkehr nur auf Port 443.
Sie können die Firewall so konfigurieren, dass sie als Proxy für konfigurierte Webbrowser agiert. Legen Sie dafür einen Web-Proxy Lausch-Port fest. Benutzer hinter dem Proxy müssen die LAN- oder WLAN-Adresse und den Port in den Web-Proxy-Konfigurationseinstellungen ihres Browsers festlegen. (Weitere Informationen finden Sie in der Dokumentation des Browsers.)
Legen Sie den Web-Proxy Lausch-Port fest und die zugelassenen Zielports, wenn Sie möchten, dass die Firewall als Web-Proxy für konfigurierte Webbrowser agiert.
Anmerkung Die IPS-Richtlinie ist auf den Datenverkehr zwischen Proxy und WAN anwendbar, aber nicht zwischen Benutzer und Proxy.
Anmerkung Die Traffic-Shaping-Richtlinie ist nicht auf den direkten Proxy-Datenverkehr anwendbar.
Web-Proxy Lausch-Port
Port, auf dem der Web-Proxy auf HTTP-Verbindungsanfragen wartet.
Zugelassene Zielports
Die Firewall könnte Anfragen erhalten, sich mit einem Nicht-Standardport auf entfernte Server zu verbinden. Legen Sie die Ports fest, auf denen der Proxy die Verbindung zulassen wird. (Diese Einstellung gilt nur, wenn der Web-Proxy Lausch-Port eingestellt ist.)
ACHTUNG Das Zulassen einer Verbindung auf Nicht-Standardports könnte ein Sicherheitsrisiko darstellen.
