Support-Portal
keyboard_arrow_right keyboard_arrow_left

SSL/TLS-Inspektionsregel hinzufügen

Sie können richtliniengesteuerte Inspektionsregeln festlegen, um eingehende und ausgehende SSL- und TLS-Verbindungen über TCP zwischen Clients und Webservern herzustellen und den Datenverkehr zu entschlüsseln.

SSL/TLS-Inspektion erkennt SSL/TLS-Datenverkehr auf jedem TCP-Port. Inspektionsregeln gelten für erkannte SSL/TLS-Verbindungen. Sie können Regeln für die Entschlüsselung des Datenverkehrs basierend auf Quelle, Ziel, Benutzern und Gruppen, Diensten, Websites und Webkategorien festlegen. Um wirksam zu werden, muss die Regel mit allen Kriterien übereinstimmen.

Sie können auch Entschlüsselungsprofile hinzufügen, um sichere Verbindungen zu erzwingen.

  1. Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln und klicken Sie auf Hinzufügen.
  2. Geben Sie die allgemeinen Regeldetails ein.

    Name

    Beschreibung

    Regelname

    Geben Sie einen Namen ein.

    Position der Regel

    Geben Sie die Position der Regel in der Regeltabelle an.

    • Oben
    • Unten

    XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie nachfolgende Regeln nicht mehr aus. Um die Reihenfolge der Regeln später zu ändern, können Sie die Regel durch Klicken und Ziehen in der Regeltabelle verschieben.

    Maßnahme

    Wählen Sie die Maßnahme aus:

    • Entschlüsseln: Stellt eine Verbindung her und entschlüsselt
    • Nicht entschlüsseln: Stellt die Verbindung her und entschlüsselt nicht. Verwenden Sie diese Option, um eine Ausschlussregel zu erstellen.

      Einschränkungen für Entschlüsselungsprofile gelten auch für Regeln, deren Maßnahme auf Nicht entschlüsseln gesetzt ist.

    • Ablehnen: Stellt keine Verbindung her
    Für TLS 1.3-Verbindungen müssen Sie die Aktion in SSL/TLS-Inspektionsregeln auf Entschlüsseln setzen, um Folgendes zu tun:
    • Wenden Sie die in den allgemeinen SSL/TLS-Einstellungen angegebene TLS-Kompatibilitätseinstellung Auf TLS 1.2 zurückstufen und entschlüsseln an.
    • Blockieren Sie Zertifikatfehler, und wenden Sie die in den Entschlüsselungsprofilen angegebene Mindestgröße für RSA-Schlüssel an.
    • Wenden Sie die im Entschlüsselungsprofil angegebene Sperrmaßnahme Ablehnen und benachrichtigen an. Wenn Sie ein solches Entschlüsselungsprofil auf SSL/TLS-Inspektionsregeln mit der Maßnahme Nicht entschlüsseln oder Ablehnen anwenden, wendet XG Firewall die Sperrmaßnahme Ablehnen an.

    Verbindungen protokollieren

    		 Auswählen, um die Verbindungen zu protokollieren.

    Entschlüsselungsprofil

    Wählen Sie ein Entschlüsselungsprofil aus, oder erstellen Sie eines. Sie können die Standardprofile hier nicht bearbeiten.

    Entschlüsselungsprofile überschreiben die standardmäßigen allgemeinen SSL/TLS-Einstellungen für die CA für erneute Signierungen und die Maßnahme für Datenverkehr, den wir nicht entschlüsseln können. Sie ermöglichen es Ihnen, eine richtliniengesteuerte Maßnahme für die Regel anzugeben.
    Anmerkung XG Firewall lehnt Verbindungen mit SSL 2.0 und 3.0, SSL-Komprimierung und Nicht erkannte Verschlüsselungssammlungen ab, wenn Sie die Maßnahme in den SSL/TLS-Inspektionsregeln auf Entschlüsseln setzen.

    Um diese Verbindungen zuzulassen, erstellen Sie ein Entschlüsselungsprofil, das auf Zulassen ohne Entschlüsselung gesetzt ist. Fügen Sie das Profil zu einer SSL/TLS-Inspektionsregel hinzu, wobei die Maßnahme auf Nicht entschlüsseln gesetzt sein muss.

  3. Wählen Sie die Übereinstimmungskriterien für die Quelle aus.
    NameBeschreibung

    Quellzonen

    Wählen Sie die Zonen aus, aus denen der Datenverkehr stammt.

    Sie können nur interne Zonen auswählen, da SSL/TLS-Inspektionsregeln nur für ausgehenden Datenverkehr gelten.

    Quellnetzwerke und Geräte

    Wählen Sie die Quellnetzwerke und -Geräte aus, oder erstellen Sie neue.

    Benutzer oder Gruppen

    Wählen Sie die Quell-Benutzer und -Gruppen aus. Die Regel gilt dann nur für Datenverkehr, der von den angegebenen Benutzern stammt.
  4. Wählen Sie Übereinstimmungskriterien für Ziel und Dienst aus.

    Name

    Beschreibung

    Zielzonen

    Wählen Sie die Zielzonen für den Datenverkehr aus.

    Zielnetzwerke

    Wählen Sie die Zielnetzwerke aus, oder erstellen Sie neue.

    Dienste

    Wählen Sie die Dienste aus, oder erstellen Sie einen neuen Dienst. Ein Dienst ist eine Kombination aus Protokollen und Ports.

    SSL/TLS-Verbindungen werden nicht über UDP durchgeführt.
  5. Legen Sie die Einstellungen für Websites und Webkategorien fest.

    Name

    Beschreibung

    Kategorien und Websites

    Wählen Sie die Webkategorien und Websites aus.

    Um eine einzelne Website hinzuzufügen, gehen Sie zu Internet > URL-Gruppen oder Kategorien und fügen Sie die Website einem vorhandenen oder neuen Objekt hinzu. Anschließend können Sie das Objekt in der SSL/TLS-Inspektionsregel auswählen.

    XG Firewall identifiziert Webkategorien und Websites basierend auf der SNI (Server Name Indication) im SSL/TLS-Handshake.
    Anmerkung XG Firewall setzt SSL/TLS-Inspektionsregeln und die URL-Gruppen ein, die Sie angeben, wenn Sie über eine Basislizenz verfügen. Sie können Webkategorien konfigurieren, aber Sie können sie nicht einsetzen ohne eine Web-Protection- Lizenz.
  6. Klicken Sie auf Speichern.