Sie können den HTTP-Datenverkehr zu und von einer Webanwendung steuern, indem Sie eine Regel für Microsoft SharePoint 2010 und 2013 erstellen, die das IPv4-Protokoll verwendet.
Name |
Beschreibung |
---|---|
Regelname |
Geben Sie einen Namen ein. |
Position der Regel |
Geben Sie die Position der Regel an. Verfügbare Optionen:
|
Regelgruppe |
Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen. Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppe hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen. |
Maßnahme | Wählen Sie Mit Webserver-Schutz schützen aus. |
Vorkonfigurierte Vorlage |
Wählen Sie eine Vorlage aus, die angewendet werden soll: Keine: Geben Sie die Details zum Webserverschutz an. Exchange Autodiscover Exchange Outlook Anywhere Exchange General Microsoft Lync Microsoft Remote Desktop Gateway 2008 und R2 Microsoft Remote Desktop Web 2008 und R2 Microsoft Sharepoint 2010 und 2013 |
Name |
Beschreibung |
---|---|
Gehostete Adresse |
Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die der Schnittstelle zugewiesene IP-Adresse gebunden. Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die Schnittstelle an die erforderliche öffentliche IP-Adresse zu binden. Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, erhält der Webserver die Schnittstellenadresse der Web Application Firewall (WAF) und nicht die IP-Adresse des Clients. Der HTTP-Header X-Forwarded-For trägt die IP-Adresse des Clients. |
Lausch-Port |
Geben Sie die Portnummer ein, über die der gehostete Webserver erreicht werden soll. Die Standardeinstellungen sind Port 80 für HTTP und Port 443 für HTTPS. |
HTTPS |
Wenn Sie diese Option aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP erreichbar. |
HTTPS-Zertifikat |
Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus. XG Firewall unterstützt SNI (Server Name Indication), sodass Sie mehr als einen virtuellen Webserver erstellen können, auf den über dieselbe IP-Adresse und denselben Port zugegriffen werden kann. Sie können jedem Server ein anderes Zertifikat zuweisen. Die Server werden den Clients basierend auf dem angeforderten Hostnamen zugeteilt. Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate. |
HTTP umleiten |
Wählen Sie diese Option, um den Datenverkehr von Port 80 an Port 443 umzuleiten. |
Domänen |
Geben Sie den für den Webserver konfigurierten FQDN ein, z.B. shop.example.com. Wenn Sie HTTPS aktiviert haben, werden die Domänennamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten oder löschen oder neue Domänennamen hinzufügen. Sie können den Platzhalter *. nur am Anfang eines Domänennamens verwenden. Beispiel: *.company.com Eine einzige WAF-Richtlinie unterstützt mehrere Platzhalterdomänen. Virtuelle Webserver mit Platzhalterdomänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit spezifischen konfigurierten Domänen vorhanden sind. Beispiel: Eine Client-Anfrage an die Domäne test.company.com wird eine Übereinstimmung mit test.company.com ergeben, bevor sie eine Übereinstimmung mit *.company.com ergibt, und bevor sie eine Übereinstimmung mit *.com ergibt. |
Wenn Sie kein pfad-spezifisches Routing konfigurieren wollen, geben Sie Webserver und Zugriffsgenehmigungen an.
Name |
Beschreibung |
---|---|
Webserver |
Wählen Sie die Webserver aus Webserver-Liste aus. Alternativ können Sie neue erstellen. Die ausgewählten Webserver können Sie unter Ausgewählte Webserver sehen. |
Zugelassene Client-Netzwerke |
Geben Sie die Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können. |
Gesperrte Client-Netzwerke |
Geben Sie die Netzwerke an, die sich nicht zum gehosteten Webserver verbinden können sollen. |
Authentifizierung |
Geben Sie ein Authentifizierungsprofil für Webanwendungen an. |
Wählen Sie die Pfade, Quellen und Sicherheitsprüfungen aus, die ausgelassen werden sollen. Sie können in einer WAF-Regel mehr als eine Ausnahme angeben.
Name |
Beschreibung |
---|---|
Pfade |
Geben Sie den Pfade an, für die Sie eine Ausnahme erstellen wollen. Sie können Platzhalter in den Pfaden verwenden: Beispiel: /Produkte/*/Bilder/* |
Operation |
Wählen Sie die Boolesche Operation für Pfade und Quellnetzwerke aus. |
Quellen |
Geben Sie die IP-Adressen, den Bereich, die Liste oder die Netzwerke an, aus denen der Datenverkehr stammt. |
Cookie-Signierung |
Lässt die Prüfung auf Manipulation von Cookies aus. Cookie-Signierung vereitelt Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält einen Hash, der aus Namen und Wert des primären Cookies erstellt ist, und ein Geheimnis, das nur XG Firewall bekannt ist. Wenn eine Anfrage kein stimmiges Cookie-Paar vorweisen kann, wird der Cookie verworfen. |
Statisches URL-Hardening |
Ermöglicht das Umschreiben von Links für die angegebenen Pfade und Quellnetzwerke. Statisches URL-Hardening verhindert, dass Benutzer so genannte Deep Links manuell erstellen, über die sich Unbefugte Zugriff verschaffen können. Wenn ein Client eine Webseite anfragt, werden alle statischen URLs der Webseite signiert, wobei eine Methode ähnlich der Cookie-Signierung verwendet wird. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können. |
Form-Hardening |
Lässt Prüfungen auf das Umschreiben von Webformularen aus. Um die Manipulation von Formularen zu verhindern, speichert XG Firewall die ursprüngliche Struktur des Webformulars und signiert sie. Wenn sich die Struktur beim Absenden des Formulars geändert hat, lehnt XG Firewall die Anfrage ab. |
Antivirus |
Lässt Virenscans aus für Anfragen aus den angegebenen Quellnetzwerken und zu den von Ihnen angegebenen Pfaden. |
Clients mit schlechter Reputation sperren |
Lässt Prüfungen auf Clients aus, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL) und der GeoIP-Information einen schlechte Reputation haben. |
Name | Beschreibung |
---|---|
Schutz |
Geben Sie eine Schutzrichtlinie für die Server an. |
Angriffsvorbeugung |
Geben Sie eine Richtlinie zur Angriffsvorbeugung an. |
Traffic Shaping |
Geben Sie eine Traffic-Shaping-Richtlinie an, um Bandbreite zuzuweisen. |
Name |
Beschreibung |
---|---|
Komprimierungsunterstützung deaktivieren |
Wenn Clients komprimierte Daten anfordern, sendet XG Firewall Daten in komprimierter Form. Wählen Sie diese Einstellung aus, um die Komprimierung zu deaktivieren, wenn Webseiten falsch angezeigt werden oder wenn Benutzern Fehler bei der Inhaltskodierung begegnen. XG Firewall fordert dann unkomprimierte Daten von Webservern an und sendet sie unabhängig vom Kodierungsparameter der Anfrage an den Client. |
HTML umschreiben |
Wählen Sie diese Option aus, um die Links der zurückgelieferten Webseiten umzuschreiben, um die Gültigkeit der Links zu erhalten. Beispiel: Wenn der Hostname eines Webservers yourcompany.local ist, aber der Hostname des Hostservers yourcompany.com ist, gehen absolute Links wie [a href="http://yourcompany.local/"] kaputt, wenn der Link nicht vor der Auslieferung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird. Sie brauchen diese Option nicht zu wählen, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links ausgegeben werden. Wir empfehlen die Verwendung dieser Option bei Microsoft Outlook Web Access oder SharePoint Portal Server. HTML-Umschreibung betrifft alle Dateien mit der HTTP-Inhaltsart text/* oder *xml*. * ist ein Platzhalter. Um Beschädigungen während der HTML-Umschreibung zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z.B. Binärdateien) die richtige HTTP-Inhaltsart haben. |
Cookies umschreiben |
Wählen Sie diese Option aus, um Cookies der zurückgelieferten Webseiten umzuschreiben. |
Host-Header durchreichen |
Wählen Sie diese Option aus, um den vom Client angeforderten Hostheader an den Webserver weiterzuleiten. Sie können dies verwenden, um den angeforderten Hostnamen mit dem Webserver abzugleichen, wenn Sie mehr als eine Website auf einem Server gehostet haben. |