Regel für Exchange allgemein hinzufügen

(nur für IPv4-Richtlinien) Auf dieser Seite ist beschrieben, wie Sie eine Regel für Exchange allgemein konfigurieren können.

  1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
  2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
  3. Legen Sie die allgemeinen Richtlinieninformationen fest.
    Anwendungsvorlage
    Wählen Sie Exchange General, um eine Regel für Exchange allgemein zu konfigurieren.
    Beschreibung
    Geben Sie eine Beschreibung für die Regel ein.
    Position der Regel
    Geben Sie die Position der Regel an.
    Verfügbare Optionen:
    • Oben
    • Unten
    Regelgruppe
    Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen.
    Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.
    Regelname
    Geben Sie einen Namen für die Regel ein.
  4. Legen Sie die Details für den Gehosteten Server fest.
    Gehostete Adresse
    Geben Sie die Adresse des gehosteten Servers an, auf welchen die Regel angewendet werden soll. Dies ist die öffentliche IP-Adresse, über welche die Internetnutzer auf einen internen Server/Hosts zugreifen können.
    Hinweis: Wenn ein Client eine Verbindung zum Webserver aufbaut und auf ihn zugreift, erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält die Adresse der Schnittstelle, die von der Web Application Firewall (WAF) benutzt wird, da die Verbindung über die WAF hergestellt wurde. Die wirkliche IP-Adresse des Clients ist in der HTTP-Kopfzeile
    Lausch-Port
    Geben Sie die Nummer des Ports ein, über welchen der gehostete Webserver extern über das Internet erreicht werden kann. Der Standardwert ist Port 80 für Klartext (HTTP) und Port 443 für Verschlüsselung (HTTPS).
    HTTPS
    Wählen Sie die Option, um HTTPS-Verkehr zu aktivieren oder zu deaktivieren.
    HTTPS-Zertifikat (nur verfügbar, wenn HTTPS ausgewählt ist)
    Wählen Sie, welches HTTPS-Zertifikat verwendet werden soll.
    HTTP umleiten (nur verfügbar, wenn HTTPS ausgewählt ist)
    Klicken, um HTTP-Anfragen umzuleiten.
    Domänen
    Verwenden Sie FQDN, wenn Sie Domänen eingeben, für die der Webserver verantwortlich ist, z.B. shop.example.com.
  5. Geben Sie die Details für den/die Geschützte/r Server ein.
    Pfad-spezifisches Routing
    Sie können das Pfad-spezifische Routing aktivieren, um festzulegen, an welche Webserver die eingehenden Anfragen weitergeleitet werden sollen.
    Sie können definieren, dass alle URLs mit einem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webserver gesendet werden. Sie können für eine bestimmte Anfrage auch mehr als einen Webserver zulassen und Regeln hinzufügen, wie die Anfragen auf die Server verteilt werden sollen. Sie können zudem festlegen, dass jede Sitzung über ihre gesamte Lebensdauer hinweg mit einem Webserver verbunden bleibt (permanente Sitzung). Dies kann notwendig sein, wenn Sie als Host eines Online-Shops sicherstellen möchten, dass ein Benutzer während seiner gesamten Einkaufssession mit demselben Server verbunden bleibt. Sie können außerdem konfigurieren, dass alle Anfragen an einen Webserver gesendet werden und die anderen Server nur als Backup genutzt werden.
    Für jeden gehosteten Webserver wird automatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliance wendet die Site-Path-Routen automatisch auf die effektivste Weise an: beginnend mit den restriktivsten, d.h. längsten Pfaden bis hin zu den Standard-Pfad-Routen, die nur verwendet werden, wenn auf die eingehende Anfrage keine spezifischere Pfad-Route passt. Die Reihenfolge der Liste der Site-Pfad-Routen ist nicht relevant. Wenn auf eine eingehende Anfrage keine Route passt (wenn zum Beispiel die Standard-Route gelöscht wurde), wird die Anfrage verweigert.
    Neuen Pfad hinzufügen (nur wenn Pfad-spezifische Weiterleitung ausgewählt ist)
    Klicken Sie auf Neuen Pfad hinzufügen, um einen neuen Pfad zu definieren.
    Hinweis: Neuen Pfad hinzufügen ist erst aktiv, wenn mindestens ein Webserver und ein gehosteter Webserver erstellt worden sind.
    Standard: /owa, /OWA, /ecp, /ECP, /oab, /OAB, /ews, /EWS, /oma, /OMA, /Microsoft-Server-ActiveSync
    Webserver (nicht verfügbar, wenn Pfad-spezifisches Routing ausgewählt ist)
    Webserver sind die Anwendungsserver, die geschützt werden sollen. Wählen Sie aus einer Liste von Webservern einen Webserver aus oder klicken Sie auf Neues Element hinzufügen, um einen Webserver hinzuzufügen.
    Ein neuer Webserver kann direkt auf dieser Seite oder über die Seite Webserver > Webserver erstellt werden.
  6. Geben Sie die Zugangsberechtigungen an. (nicht, wenn Pfad-spezifisches Routing ausgewählt ist)
    Zugelassene Client-Netzwerke
    Wählen Sie die zugelassenen Hosts oder Netzwerke aus.
    Blockierte Client-Netzwerke
    Wählen Sie das/die blockierte/n Host/s oder Netzwerk/e aus.
    Authentifizierung
    Wählen Sie aus der Liste der verfügbaren Profile das Authentifizierungsprofil der Webanwendung. Sie können ein neues Authentifizierungsprofil auch direkt auf dieser Seite oder auf der Seite Webserver > Authentifizierungs-Richtlinien erstellen.
  7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.

    Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.

    Standard: /owa/*,/OWA/*,/ews/*,/EWS/*,/ecp/*,/ECP/*,/oab/*,/OAB/*,/oma/*,/OMA/*,/Microsoft-Server-ActiveSync?*, /owa/ev.owa*

  8. Legen Sie erweiterte Einstellungen fest.
    1. Legen Sie Richtlinien für Geschäftsanwendungen fest.
      Schutz
      Geben Sie für den Server eine Anwendungsschutz-Richtlinie ein oder erstellen Sie eine neue.
      Angriffsvorbeugung
      Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eine neue.
      Traffic Shaping
      Die Traffic-Shaping-Richtlinie weist den Benutzern Bandbreite zur Nutzung zu und beschränkt diese.
    2. Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
      Komprimierungsunterstützung deaktivieren
      Dieses Auswahlkästchen ist standardmäßig deaktiviert. Der Inhalt wird komprimiert versendet, wenn der Client komprimierte Daten anfordert. Durch die Komprimierung wird die Übertragungsgeschwindigkeit erhöht und die Ladezeit der Seiten reduziert. Wenn jedoch Webseiten falsch angezeigt werden oder wenn Benutzer beim Zugriff auf Ihre Webserver Codierungsfehler in Bezug auf den Inhalt erfahren, kann es notwendig sein, die Unterstützung der Komprimierung zu deaktivieren. Wenn das Auswahlkästchen aktiviert ist, fordert die WAF von den Webservern dieses gehosteten Webservers unkomprimierte Daten an und sendet diese unkomprimiert an den Client weiter, unabhängig von den Kodierungsparametern der HTTP-Anfrage.
      HTML umschreiben
      Wählen Sie diese Option, wenn die Appliance die Links der zurückgegebenen Webseiten umschreiben soll, damit diese gültig bleiben. Beispiel: Eine Ihrer Webserverinstanzen hat den Hostnamen yourcompany.local, der Hostname des gehosteten Webservers auf der Appliance ist jedoch yourcompany.com. Absolute Links wie [a href="http://yourcompany.local/"] funktionieren daher erst, wenn der Link vor Zustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird. Sie müssen diese Option jedoch nicht aktivieren, wenn yourcompany.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links ausgegeben werden. Wir empfehlen die Verwendung dieser Option bei Zugriff auf Microsoft Outlook Web Access oder SharePoint Portal Server.
      Hinweis: Das HTML-Rewriting betrifft alle Dateien mit einer HTTP-Inhaltsart wie text/* oder *xml*, wobei * eine Wildcard ist. Stellen Sie sicher, dass andere Dateitypen, z.B. binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werden sie während des HTML-Rewriting-Prozesses beschädigt.
      Cookies umschreiben
      Wählen Sie diese Option, damit das Gerät die Cookies der zurückgegebenen Webseiten umschreiben kann.
      Host-Header durchreichen
      Wenn Sie diese Option wählen, bleibt die Host-Kopfzeile wie vom Client angefragt erhalten und wird gemeinsam mit der Webanfrage an den Webserver weitergeleitet. Ob das Durchreichen der Host-Kopfzeile in Ihrer Umgebung notwendig ist, hängt von der Konfiguration Ihres Webservers ab.
  9. Klicken Sie auf Speichern.
    Hinweis: Sobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder eine vorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alle HTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung, die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestellt werden.
Die Regel Exchange allgemein wurde erstellt und erscheint auf der Seite Richtlinien, wenn der Filter IPv4 eingestellt ist.