Support-Portal
keyboard_arrow_right keyboard_arrow_left

Regel für Web Server Protection (WAF) hinzufügen

Mit WAF-Regeln können Sie Webanwendungen vor Angriffen und Datenlecks schützen, indem Sie HTTP-Datenverkehr filtern.

Sie konfigurieren eine WAF-Regel für eine IP-Adresse, die einer Netzwerkschnittstelle, einem Port und einem oder mehreren Domänennamen zugewiesen ist. XG Firewall gleicht den Datenverkehr anhand der der Schnittstelle zugewiesenen IP-Adresse ab.

Für HTTPS-Datenverkehr wird Server Name Indication (SNI) verwendet, um den Server zu bestimmen, der dem Hostnamen in der Clientanfrage entspricht.

  1. Gehen Sie zu Regeln und Richtlinien > Firewall. Wählen Sie IPv4 und dann Firewallregel hinzufügen.
  2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die entsprechenden Kriterien nicht anwenden wollen.
  3. Geben Sie die allgemeinen Regeldetails ein.

    Name

    Beschreibung

    Regelname

    		 Geben Sie einen Namen ein.

    Position der Regel

    Geben Sie die Position der Regel an.

    Verfügbare Optionen:
    • Oben
    • Unten

    Regelgruppe

    Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen.

    Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppe hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.
    Maßnahme Wählen Sie Mit Webserver-Schutz schützen aus.

    Vorkonfigurierte Vorlage

    Wählen Sie eine Vorlage aus, die angewendet werden soll:

    Keine: Geben Sie die Details zum Webserverschutz an.

    Exchange Autodiscover

    Exchange Outlook Anywhere

    Exchange General

    Microsoft Lync

    Microsoft Remote Desktop Gateway 2008 und R2

    Microsoft Remote Desktop Web 2008 und R2

    Microsoft Sharepoint 2010 und 2013
  4. Geben Sie die Details zu Gehosteter Server ein.

    Name

    Beschreibung

    Gehostete Adresse

    Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die der Schnittstelle zugewiesene IP-Adresse gebunden.

    Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die Schnittstelle an die erforderliche öffentliche IP-Adresse zu binden.

    Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, erhält der Webserver die Schnittstellenadresse der Web Application Firewall (WAF) und nicht die IP-Adresse des Clients. Der HTTP-Header X-Forwarded-For trägt die IP-Adresse des Clients.
    Lausch-Port

    Geben Sie die Portnummer ein, über die der gehostete Webserver erreicht werden soll. Die Standardeinstellungen sind Port 80 für HTTP und Port 443 für HTTPS.

    HTTPS

    Wenn Sie diese Option aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP erreichbar.
    HTTPS-Zertifikat

    Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus.

    XG Firewall unterstützt SNI (Server Name Indication), sodass Sie mehr als einen virtuellen Webserver erstellen können, auf den über dieselbe IP-Adresse und denselben Port zugegriffen werden kann. Sie können jedem Server ein anderes Zertifikat zuweisen. Die Server werden den Clients basierend auf dem angeforderten Hostnamen zugeteilt.

    Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
    HTTP umleiten

    Wählen Sie diese Option, um den Datenverkehr von Port 80 an Port 443 umzuleiten.

    Domänen

    Geben Sie den für den Webserver konfigurierten FQDN ein, z.B. shop.example.com.

    Wenn Sie HTTPS aktiviert haben, werden die Domänennamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten oder löschen oder neue Domänennamen hinzufügen.

    Sie können den Platzhalter *. nur am Anfang eines Domänennamens verwenden.

    Beispiel: *.company.com

    Eine einzige WAF-Richtlinie unterstützt mehrere Platzhalterdomänen. Virtuelle Webserver mit Platzhalterdomänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit spezifischen konfigurierten Domänen vorhanden sind.

    Beispiel: Eine Client-Anfrage an die Domäne test.company.com wird eine Übereinstimmung mit test.company.com ergeben, bevor sie eine Übereinstimmung mit *.company.com ergibt, und bevor sie eine Übereinstimmung mit *.com ergibt.
  5. Geben Sie die Details von Geschützte Server an. Sie können die Webserver, die Authentifizierungsmethode und die zulässigen und blockierten Client-Netzwerke angeben. Wenn Sie pfad-spezifisches Routing auswählen, können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, den primären und den Ersatzserver angeben und das WebSocket-Protokoll verwenden.
    Anmerkung Wenn Sie mehrere Webserver auswählen, werden die Anfragen zwischen den Webservern verteilt.

    Wenn Sie kein pfad-spezifisches Routing konfigurieren wollen, geben Sie Webserver und Zugriffsgenehmigungen an.

    Name

    Beschreibung

    Webserver

    		 Wählen Sie die Webserver aus Webserver-Liste aus. Alternativ können Sie neue erstellen. Die ausgewählten Webserver können Sie unter Ausgewählte Webserver sehen.
    Zugelassene Client-Netzwerke

    Geben Sie die Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.
    Gesperrte Client-Netzwerke

    Geben Sie die Netzwerke an, die sich nicht zum gehosteten Webserver verbinden können sollen.

    Authentifizierung

    Geben Sie ein Authentifizierungsprofil für Webanwendungen an.
  6. Optional Wählen Sie Pfad-spezifisches Routing, um bestimmte Pfadanforderungen an die ausgewählten Webserver weiterzuleiten. Wenn Sie beispielsweise die Domäne www.test.com den Pfad /web und den Webserver Webserver 1 angeben, wird eine Anfrage für www.test.com/web an Webserver 1 weitergeleitet.
    Anmerkung XG Firewall wertet Anfragen nicht anhand der Reihenfolge der Pfadliste aus. Sie wendet die Pfade an, beginnend mit dem längsten Pfad und endend mit der Standardpfadroute. Der Standardpfad wird nur verwendet, wenn ein spezifischeres Verzeichnis nicht mit der Anfrage übereinstimmt.
    Einige Einsatzgebiete, in denen Sie pfad-spezifisches Routing festlegen können, lauten:
    • Anfragen mit einem bestimmten Pfad senden (Beispiel: /products/) auf einen bestimmten Webserver.
    • Binden Sie jede Sitzung an einen Webserver, indem Sie Dauerhafter Sitzungs-Cookie verwenden. Beispiel: Wenn Sie eine Online-Handels-Website hosten und einen einzelnen Server für die Dauer einer Einkaufssitzung benötigen.
    • Senden Sie alle Anfragen mittels Hot-Standby-Modus an den angegebenen Webserver, wobei die anderen als Ersatzserver verbleiben.

    Name

    Beschreibung

    Standardpfad (Pfad /) Klicken Sie auf die Schaltfläche Bearbeiten, und wählen Sie einen Webserver für den Standardpfad aus.

    Anfragen, die nicht mit einem der aufgeführten Pfade übereinstimmen, werden an die Standardroute gesendet. Wenn Sie die Standardroute löschen, verweigert XG Firewall Anfragen, die nicht mit einem der aufgeführten Pfade übereinstimmen, mit der Antwort 404 Seite nicht gefunden.

    Neuen Pfad hinzufügen

    Wählen Sie diese Option, um einen neuen Pfad hinzuzufügen.

    Sie können einen Pfad hinzufügen, wenn Sie einen Webserver hinzugefügt haben.

    Pfad

    Geben Sie den Website-Pfad ein. Beispiel: /products/
    Webserver Wählen Sie die Webserver aus Webserver-Liste aus. Alternativ können Sie neue erstellen. Die ausgewählten Webserver können Sie unter Ausgewählte Webserver sehen.
    Authentifizierung Geben Sie ein Authentifizierungsprofil für Webanwendungen an.
    Zugelassene Client-Netzwerke Geben Sie die Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können.
    Gesperrte Client-Netzwerke

    Geben Sie die Netzwerke an, die sich nicht zum gehosteten Webserver verbinden können sollen.

    Dauerhafter Sitzungs-Cookie

    Aktivieren, um eine Sitzung an einen Webserver zu binden. XG Firewall reicht einen Cookie an den Browser des Benutzers weiter, wodurch sie Anfragen des Browsers an denselben Webserver weiterleiten kann.

    Wenn der Server nicht verfügbar ist, wird der Cookie aktualisiert, und die Sitzung wird auf einen anderen Webserver weitergeleitet.

    Hot-Standby-Modus

    Aktivieren Sie diese Option, um alle Anfragen an den ersten ausgewählten Webserver zu senden. Die anderen Webserver bleiben als Ersatzserver und werden bei Ausfall des ersten Servers verwendet.

    Wenn der Hauptserver wieder funktioniert, werden die Sitzungen wieder auf ihn umgestellt. Wenn Sie Dauerhafter Sitzungs-Cookie auswählen, wird die Sitzung mit dem Ersatz-Webserver fortgesetzt.

    WebSocket durchreichen

    Aktivieren Sie diese Option, damit Anwendungen, die auf dem angegebenen Site-Path gehostet werden, das WebSocket-Protokoll verwenden können.

    Da RFC-Standards das Datenformat des Protokolls nicht festlegen, können keine Prüfungen implementiert werden und WebSocket-Datenverkehr ist ohne Schutz zulässig.
  7. Wählen Sie Neue Ausnahme hinzufügen aus, um die auszulassenden Sicherheitsprüfungen anzugeben.

    Wählen Sie die Pfade, Quellen und Sicherheitsprüfungen aus, die ausgelassen werden sollen. Sie können in einer WAF-Regel mehr als eine Ausnahme angeben.

    Name

    Beschreibung

    Pfade

    		 Geben Sie den Pfade an, für die Sie eine Ausnahme erstellen wollen.

    Sie können Platzhalter in den Pfaden verwenden: Beispiel: /Produkte/*/Bilder/*

    Operation

    		 Wählen Sie die Boolesche Operation für Pfade und Quellnetzwerke aus.

    Quellen

    		 Geben Sie die IP-Adressen, den Bereich, die Liste oder die Netzwerke an, aus denen der Datenverkehr stammt.

    Cookie-Signierung

    		 Lässt die Prüfung auf Manipulation von Cookies aus.

    Cookie-Signierung vereitelt Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält einen Hash, der aus Namen und Wert des primären Cookies erstellt ist, und ein Geheimnis, das nur XG Firewall bekannt ist. Wenn eine Anfrage kein stimmiges Cookie-Paar vorweisen kann, wird der Cookie verworfen.

    Statisches URL-Hardening

    Ermöglicht das Umschreiben von Links für die angegebenen Pfade und Quellnetzwerke.

    Statisches URL-Hardening verhindert, dass Benutzer so genannte Deep Links manuell erstellen, über die sich Unbefugte Zugriff verschaffen können. Wenn ein Client eine Webseite anfragt, werden alle statischen URLs der Webseite signiert, wobei eine Methode ähnlich der Cookie-Signierung verwendet wird. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können.

    Form-Hardening

    		 Lässt Prüfungen auf das Umschreiben von Webformularen aus.

    Um die Manipulation von Formularen zu verhindern, speichert XG Firewall die ursprüngliche Struktur des Webformulars und signiert sie. Wenn sich die Struktur beim Absenden des Formulars geändert hat, lehnt XG Firewall die Anfrage ab.

    Antivirus

    Lässt Virenscans aus für Anfragen aus den angegebenen Quellnetzwerken und zu den von Ihnen angegebenen Pfaden.

    Clients mit schlechter Reputation sperren

    		 Lässt Prüfungen auf Clients aus, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL) und der GeoIP-Information einen schlechte Reputation haben.
  8. Geben Sie die erweiterten Schutzrichtlinien an.
    NameBeschreibung

    Schutz

    Geben Sie eine Schutzrichtlinie für die Server an.

    Angriffsvorbeugung

    Geben Sie eine Richtlinie zur Angriffsvorbeugung an.

    Traffic Shaping

    Geben Sie eine Traffic-Shaping-Richtlinie an, um Bandbreite zuzuweisen.
  9. Legen Sie die Einstellungen für Erweitert fest.

    Name

    Beschreibung

    Komprimierungsunterstützung deaktivieren

    Wenn Clients komprimierte Daten anfordern, sendet XG Firewall Daten in komprimierter Form.

    Wählen Sie diese Einstellung aus, um die Komprimierung zu deaktivieren, wenn Webseiten falsch angezeigt werden oder wenn Benutzern Fehler bei der Inhaltskodierung begegnen. XG Firewall fordert dann unkomprimierte Daten von Webservern an und sendet sie unabhängig vom Kodierungsparameter der Anfrage an den Client.

    HTML umschreiben

    Wählen Sie diese Option aus, um die Links der zurückgelieferten Webseiten umzuschreiben, um die Gültigkeit der Links zu erhalten.

    Beispiel: Wenn der Hostname eines Webservers yourcompany.local ist, aber der Hostname des Hostservers yourcompany.com ist, gehen absolute Links wie [a href="http://yourcompany.local/"] kaputt, wenn der Link nicht vor der Auslieferung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.

    Sie brauchen diese Option nicht zu wählen, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links ausgegeben werden.

    Wir empfehlen die Verwendung dieser Option bei Microsoft Outlook Web Access oder SharePoint Portal Server.

    HTML-Umschreibung betrifft alle Dateien mit der HTTP-Inhaltsart text/* oder *xml*. * ist ein Platzhalter. Um Beschädigungen während der HTML-Umschreibung zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z.B. Binärdateien) die richtige HTTP-Inhaltsart haben.

    Cookies umschreiben

    Wählen Sie diese Option aus, um Cookies der zurückgelieferten Webseiten umzuschreiben.

    Host-Header durchreichen

    Wählen Sie diese Option aus, um den vom Client angeforderten Hostheader an den Webserver weiterzuleiten.

    Sie können dies verwenden, um den angeforderten Hostnamen mit dem Webserver abzugleichen, wenn Sie mehr als eine Website auf einem Server gehostet haben.
  10. Klicken Sie auf Speichern.
    Wenn Sie eine neue oder bearbeitete Webserverschutz-Regel speichern, startet XG Firewall alle Webserverregeln neu. Live-Verbindungen, die eine dieser Regeln verwenden, brechen ab und müssen wiederhergestellt werden.
Sie können die von Ihnen erstellte WAF-Regel in der Tabelle Firewallregeln sehen.