Microsoft Lync-Regel hinzufügen

Sie können den HTTP-Datenverkehr zu und von einer Webanwendung steuern, indem Sie eine Microsoft Lync-Regel erstellen, die das IPv4-Protokoll verwendet.

1. Gehen Sie zu Regeln und Richtlinien > Firewall. Wählen Sie IPv4 und dann Firewallregel hinzufügen.
2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die entsprechenden Kriterien nicht anwenden wollen.
3. Geben Sie die allgemeinen Regeldetails ein.

   Name	Beschreibung
   Regelname	Geben Sie einen Namen ein.
   Position der Regel	Geben Sie die Position der Regel an. Verfügbare Optionen: Oben Unten
   Regelgruppe	Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen. Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppe hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.
   Maßnahme	Wählen Sie Mit Webserver-Schutz schützen aus.
   Vorkonfigurierte Vorlage	Wählen Sie eine Vorlage aus, die angewendet werden soll: Keine: Geben Sie die Details zum Webserverschutz an. Exchange Autodiscover Exchange Outlook Anywhere Exchange General Microsoft Lync Microsoft Remote Desktop Gateway 2008 und R2 Microsoft Remote Desktop Web 2008 und R2 Microsoft Sharepoint 2010 und 2013

4. Geben Sie die Daten für den Gehosteten Server ein.

   Name	Beschreibung
   Gehostete Adresse	Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die der Schnittstelle zugewiesene IP-Adresse gebunden. Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die Schnittstelle an die erforderliche öffentliche IP-Adresse zu binden. Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, erhält der Webserver die Schnittstellenadresse der Web Application Firewall (WAF) und nicht die IP-Adresse des Clients. Der HTTP-Header X-Forwarded-For trägt die IP-Adresse des Clients.
   Lausch-Port	Geben Sie die Portnummer ein, über die der gehostete Webserver erreicht werden soll. Die Standardeinstellungen sind Port 80 für HTTP und Port 443 für HTTPS.
   HTTPS	Wenn Sie diese Option aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP erreichbar.
   HTTPS-Zertifikat	Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus. XG Firewall unterstützt SNI (Server Name Indication), sodass Sie mehr als einen virtuellen Webserver erstellen können, auf den über dieselbe IP-Adresse und denselben Port zugegriffen werden kann. Sie können jedem Server ein anderes Zertifikat zuweisen. Die Server werden den Clients basierend auf dem angeforderten Hostnamen zugeteilt. Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
   HTTP umleiten	Wählen Sie diese Option, um den Datenverkehr von Port 80 an Port 443 umzuleiten.
   Domänen	Geben Sie den für den Webserver konfigurierten FQDN ein, z.B. shop.example.com. Wenn Sie HTTPS aktiviert haben, werden die Domänennamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten oder löschen oder neue Domänennamen hinzufügen. Sie können den Platzhalter *. nur am Anfang eines Domänennamens verwenden. Beispiel: *.company.com Eine einzige WAF-Richtlinie unterstützt mehrere Platzhalterdomänen. Virtuelle Webserver mit Platzhalterdomänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit spezifischen konfigurierten Domänen vorhanden sind. Beispiel: Eine Client-Anfrage an die Domäne test.company.com wird eine Übereinstimmung mit test.company.com ergeben, bevor sie eine Übereinstimmung mit *.company.com ergibt, und bevor sie eine Übereinstimmung mit *.com ergibt.

5. Geben Sie die Details von Geschützte Server an. Sie können die Webserver, die Authentifizierungsmethode und die zulässigen und blockierten Client-Netzwerke angeben. Wenn Sie pfad-spezifisches Routing auswählen, können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, den primären und den Ersatzserver angeben und das WebSocket-Protokoll verwenden.
   Anmerkung Wenn Sie mehrere Webserver auswählen, werden die Anfragen zwischen den Webservern verteilt.

   Wenn Sie kein pfad-spezifisches Routing konfigurieren wollen, geben Sie Webserver und Zugriffsgenehmigungen an.

   Name	Beschreibung
   Webserver	Wählen Sie die Webserver aus Webserver-Liste aus. Alternativ können Sie neue erstellen. Die ausgewählten Webserver können Sie unter Ausgewählte Webserver sehen.
   Zugelassene Client-Netzwerke	Geben Sie die Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.
   Gesperrte Client-Netzwerke	Geben Sie die Netzwerke an, die sich nicht zum gehosteten Webserver verbinden können sollen.
   Authentifizierung	Geben Sie ein Authentifizierungsprofil für Webanwendungen an.

6. Wählen Sie Neue Ausnahme hinzufügen aus, um die auszulassenden Sicherheitsprüfungen anzugeben.

   Wählen Sie die Pfade, Quellen und Sicherheitsprüfungen aus, die ausgelassen werden sollen. Sie können in einer WAF-Regel mehr als eine Ausnahme angeben.

   Name	Beschreibung
   Pfade	Geben Sie den Pfade an, für die Sie eine Ausnahme erstellen wollen. Sie können Platzhalter in den Pfaden verwenden: Beispiel: /Produkte/*/Bilder/*
   Operation	Wählen Sie die Boolesche Operation für Pfade und Quellnetzwerke aus.
   Quellen	Geben Sie die IP-Adressen, den Bereich, die Liste oder die Netzwerke an, aus denen der Datenverkehr stammt.
   Cookie-Signierung	Lässt die Prüfung auf Manipulation von Cookies aus. Cookie-Signierung vereitelt Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält einen Hash, der aus Namen und Wert des primären Cookies erstellt ist, und ein Geheimnis, das nur XG Firewall bekannt ist. Wenn eine Anfrage kein stimmiges Cookie-Paar vorweisen kann, wird der Cookie verworfen.
   Statisches URL-Hardening	Ermöglicht das Umschreiben von Links für die angegebenen Pfade und Quellnetzwerke. Statisches URL-Hardening verhindert, dass Benutzer so genannte Deep Links manuell erstellen, über die sich Unbefugte Zugriff verschaffen können. Wenn ein Client eine Webseite anfragt, werden alle statischen URLs der Webseite signiert, wobei eine Methode ähnlich der Cookie-Signierung verwendet wird. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können.
   Form-Hardening	Lässt Prüfungen auf das Umschreiben von Webformularen aus. Um die Manipulation von Formularen zu verhindern, speichert XG Firewall die ursprüngliche Struktur des Webformulars und signiert sie. Wenn sich die Struktur beim Absenden des Formulars geändert hat, lehnt XG Firewall die Anfrage ab.
   Antivirus	Lässt Virenscans aus für Anfragen aus den angegebenen Quellnetzwerken und zu den von Ihnen angegebenen Pfaden.
   Clients mit schlechter Reputation sperren	Lässt Prüfungen auf Clients aus, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL) und der GeoIP-Information einen schlechte Reputation haben.

7. Geben Sie die erweiterten Schutzrichtlinien an.

   Name	Beschreibung
   Schutz	Geben Sie eine Schutzrichtlinie für die Server an.
   Angriffsvorbeugung	Geben Sie eine Richtlinie zur Angriffsvorbeugung an.
   Traffic Shaping	Geben Sie eine Traffic-Shaping-Richtlinie an, um Bandbreite zuzuweisen.

8. Legen Sie die Einstellungen für Erweitert fest.

   Name	Beschreibung
   Komprimierungsunterstützung deaktivieren	Wenn Clients komprimierte Daten anfordern, sendet XG Firewall Daten in komprimierter Form. Wählen Sie diese Einstellung aus, um die Komprimierung zu deaktivieren, wenn Webseiten falsch angezeigt werden oder wenn Benutzern Fehler bei der Inhaltskodierung begegnen. XG Firewall fordert dann unkomprimierte Daten von Webservern an und sendet sie unabhängig vom Kodierungsparameter der Anfrage an den Client.
   HTML umschreiben	Wählen Sie diese Option aus, um die Links der zurückgelieferten Webseiten umzuschreiben, um die Gültigkeit der Links zu erhalten. Beispiel: Wenn der Hostname eines Webservers yourcompany.local ist, aber der Hostname des Hostservers yourcompany.com ist, gehen absolute Links wie [a href="http://yourcompany.local/"] kaputt, wenn der Link nicht vor der Auslieferung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird. Sie brauchen diese Option nicht zu wählen, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links ausgegeben werden. Wir empfehlen die Verwendung dieser Option bei Microsoft Outlook Web Access oder SharePoint Portal Server. HTML-Umschreibung betrifft alle Dateien mit der HTTP-Inhaltsart text/* oder *xml*. * ist ein Platzhalter. Um Beschädigungen während der HTML-Umschreibung zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z.B. Binärdateien) die richtige HTTP-Inhaltsart haben.
   Cookies umschreiben	Wählen Sie diese Option aus, um Cookies der zurückgelieferten Webseiten umzuschreiben.
   Host-Header durchreichen	Wählen Sie diese Option aus, um den vom Client angeforderten Hostheader an den Webserver weiterzuleiten. Sie können dies verwenden, um den angeforderten Hostnamen mit dem Webserver abzugleichen, wenn Sie mehr als eine Website auf einem Server gehostet haben.

9. Klicken Sie auf Speichern.
   Wenn Sie eine neue oder bearbeitete Webserverschutz-Regel speichern, startet XG Firewall alle Webserverregeln neu. Live-Verbindungen, die eine dieser Regeln verwenden, brechen ab und müssen wiederhergestellt werden.