Schutzrichtlinie hinzufügen

  1. Gehen Sie zu Webserver > Schutzrichtlinien und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Geben Sie die Schutzeinstellungen für die Richtlinie an.

    Name

    Beschreibung

    Outlook Anywhere durchlassen

    Externen Microsoft Outlook Clients erlauben, Webserverschutz zu umgehen, um auf den Microsoft Exchange Server zuzugreifen.

    Modus

    Wählen Sie die Maßnahme aus, die für HTTP-Anfragen ausgeführt werden soll:
    • Überwachen:XG Firewall protokolliert überwachte Anfragen.
    • Ablehnen
    Cookie-Signierung

    Schützt vor Cookie-Manipulationen.

    Cookie-Signierung vereitelt Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie dem ersten hinzugefügt. Dieser enthält einen Hash, der aus Namen und Wert des primären Cookies erstellt ist, und ein Geheimnis, das nur XG Firewall bekannt ist. Wenn eine Anfrage kein stimmiges Cookie-Paar vorweisen kann, wird der Cookie verworfen.

    Statisches URL-Hardening

    Geben Sie die URLs ein, die Sie bedienen wollen. Auf diese URLs kann zugegriffen werden, ohne dass eine URL-Hardening-Signatur erforderlich ist.

    Diese Einstellung funktioniert nicht bei dynamischen URLs, die vom Client, z.B. mit JavaScript, erstellt werden.

    Statisches URL-Hardening verhindert, dass Benutzer so genannte Deep Links manuell erstellen, über die sich Unbefugte Zugriff verschaffen können. Wenn ein Client eine Webseite anfragt, werden alle statischen URLs der Webseite signiert, wobei eine Methode ähnlich der Cookie-Signierung verwendet wird. Zudem wird die Anfrage vom Webserver analysiert und auf Links geprüft, die als nächstes ordnungsgemäß angefragt werden können.

    Form-Hardening

    Schützt vor dem Umschreiben von Webformularen.

    Um die Manipulation von Formularen zu verhindern, speichert XG Firewall die ursprüngliche Struktur des Webformulars und signiert sie. Wenn sich die Struktur beim Absenden des Formulars geändert hat, lehnt XG Firewall die Anfrage ab.

    Antivirus Schützt Webserver vor Viren. Wenn Sie diese Einstellung einschalten, können Sie folgendes, zusätzliches Verhalten festlegen:

    Modus: Wählen Sie den Zweifach- oder Einzelscan-Modus aus. Wenn Sie den Einzelscan-Modus anwenden wollen, wählen Sie das Scan-Modul aus.

    Richtung: Wählen Sie Uploads, Downloads oder beides scannen.

    Nicht scannbaren Inhalt sperren: Aktivieren Sie diese Option, um Inhalte zu sperren, die nicht gescannt werden können, z.B. verschlüsselte oder beschädigte Dateien.

    Scangröße beschränken: Geben Sie die Dateigröße ein. XG Firewall scannt die Anfragen bis zur angegebenen Größe. Um jede Datei zu scannen, geben Sie Null an, oder lassen Sie dieses Feld leer.

    Die Größenbeschränkung für den Scan bezieht sich auf das gesamte Upload-Volumen und nicht auf eine einzelne Datei. Wenn Sie zum Beispiel die Größe auf 50 MB beschränken und innerhalb eines Upload-Vorgangs mehrere Dateien mit den Größen 45 MB, 5 MB und 10 MB hochladen, wird die letzte Datei nicht gescannt und ein Virus in der letzten Datei wird nicht erkannt.

    Clients mit schlechter Reputation sperren Clients sperren, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL) und der GeoIP-Information eine schlechte Reputation haben.

    Remote-Lookups bei Clients mit einer schlechten Reputation auszulassen, kann die Leistung verbessern.

    XG Firewall verwendet für RBLs Sophos Extensible List (SXL) und SORBS. Für GeoIP verwendet sie Maxmind. XG Firewall sperrt Clients, die zu den A1 (anonyme Proxys oder VPN-Dienste) und A2 (Satelliten-ISP) Klassifikationen gehören.

    Anmerkung Statisches URL-Hardening und Form-Hardening wirken sich auf alle Dateien mit HTML- und XML-Inhalt aus. Binärdateien und andere Dateien können durch diesen Schutz beschädigt werden, wenn sie als HTML oder XML angegeben sind. Um sicherzugehen, dass diese Dateien nicht betroffen sind, ändern Sie Ihre Webserver-Einstellungen, sodass sie mit einer anderen Inhaltsart ausgeliefert werden, z.B. application/octet-stream.
  4. Aktivieren Sie Filter für allgemeine Bedrohungen und legen Sie die Einstellungen fest. Abhängig von den Ergebnissen wird im Live-Protokoll entweder ein Hinweis oder eine Warnung angezeigt oder die Anfrage wird direkt blockiert.

    Name

    Beschreibung

    Filterstärke

    Stufe 1 (am großzügigsten): Verwenden Sie diese Lösung für Bereitstellungen, die mit vielen Websites und Anwendungen in Kontakt kommen, sowie für Standardsicherheitsanforderungen. Sie erzeugt nur ein Minimum an Fehlfunden. Dies ist die Standardeinstellung.

    Stufe 2: Bietet zusätzlichen Schutz, z.B. vor regexp-basierter SQL- und XSS-Injektion, und prüft zusätzliche Stichwörter auf Code-Injektionen. Verwenden Sie diese Lösung für eine bessere Sicherheitsabdeckung und für Bereitstellungen mit höheren Sicherheitsanforderungen. Sie erzeugt zusätzliche Fehlfunde, um die Sie sich kümmern müssen.

    Stufe 3: Aktiviert zusätzliche Regeln und Stichwortlisten. Außerdem werden zusätzliche Beschränkungen für die Verwendung von Sonderzeichen festgelegt. Verwenden Sie diese Lösung für höhere Sicherheitsanforderungen und basierend auf Ihren Erfahrungen im Umgang mit Fehlfunden.

    Stufe 4 (am einschränkendsten): Legt zusätzliche Einschränkungen für Sonderzeichen fest. Verwenden Sie diese Lösung für Bereitstellungen mit sehr hohen Sicherheitsanforderungen. Sie erzeugt ein hohes Maß an Fehlfunden. Wir empfehlen, dass Sie diese beheben, bevor Sie die Website live schalten.

    Stufe 1 wird nicht protokolliert. Stufe 2 und höher werden in /log/reverseproxy.log protokolliert.

    Um das Reverse-Proxy-Protokoll zu überprüfen, melden Sie sich über die Kommandozeile an.

    Filterregeln überspringen

    Um die Fehlfunde zu korrigieren, fügen Sie die Regel-ID hinzu, die Sie auslassen wollen.

    Um die Regel-IDs anzuzeigen, überprüfen Sie das Reverse-Proxy-Protokoll über die Kommandozeile.

    Anwendungsangriffe

    Führt strenge Sicherheitsüberprüfungen für Anfragen durch, z.B. Versuche, unzulässige Pfade zu durchlaufen.

    XG Firewall sucht auch nach versuchten Ausführungen von Befehlen, die häufig bei Angriffen zum Einsatz kommen. Wenn ein Angreifer in einen Webserver eingebrochen ist, versucht er in der Regel auf dem Server Befehle auszuführen, zum Beispiel zur Erweiterung von Berechtigungen oder Manipulation von Datenspeichern. Durch die Überprüfung auf diese Ausführungsversuche nach einem Einbruch könn XG Firewall Angriffe erkennen, die unbemerkt bleiben könnten, z.B. Angreifer, die einen anfälligen Dienst ins Visier nehmen, nachdem sie legitimen Zugriff erhalten haben.

    SQL-Injection-Angriffe

    Prüft die Anfragenargumente auf eingebettete SQL-Befehle und Maskierungszeichen.

    Die meisten Angriffe auf einen Webserver zielen auf die Eingabefelder ab, die für direkte eingebettete SQL-Befehle an die Datenbank verwendet werden.

    XSS-Angriffe

    Prüft die Anfragenargumente auf eingebettete Script-Tags und Code.

    Typische Scripting-Angriffe über mehrere Webseiten hinweg zielen darauf ab, in die Eingabefelder eines Zielservers Script-Code zu injizieren.

    Protokolldurchsetzung

    Erzwingt die Einhaltung der RFC-Standards für HTTP- und HTTPS-Protokolle. Wenn diese Standards nicht eingehalten werden, weist dies in der Regel auf eine bösartige Absicht hin.

    Sucht nach häufig auftretenden Benutzungsmustern. Wenn solche Muster fehlen, weist dies häufig auf bösartige Anfragen hin. Zu diesen Mustern gehören HTTP-Header wie Host und User-Agent.

    Angemessene Grenzwerte in Bezug auf die Anzahl und den Bereich von Anfrageargumenten erzwingen. Wenn übermäßig viele Anfrageargumente genutzt werden, ist dies ein typischer Angriffsvektor.

    Schränkt die zulässige Nutzung des HTTP-Protokolls ein. Webbrowser nutzen in der Regel nur einen begrenzten Teil der möglichen HTTP-Optionen. Wenn Sie die selten verwendeten Optionen nicht zulassen, werden Angriffe verhindert, die diese Optionen verwenden.

    Scannererkennung

    Sucht nach Eigenschaften der Nutzungsmuster von Bots und Crawlern. Wenn Sie diesen den Zugriff verweigern, können mögliche Schwachstellen Ihrer Webserver nicht so einfach entdeckt werden.

    Datenleck

    Verhindert, dass Webserver Daten an den Client freigegeben. Hierzu gehören Fehlermeldungen, die von Servern versendet werden und die von Angreifern genutzt werden, um sensible Daten zu sammeln oder Schwachstellen zu erkennen.
    Tipp Einige Arten von Datenlecks ähneln Anwendungs- und SQL-Injection-Angriffen. Wenn Sie Anwendungsangriffe oder SQL-Injection-Angriffe eingeschaltet haben, um sicherzustellen, dass XG Firewall Ihre Server vor Angriffen schützt, die Sie mit diesen Einstellungen zu sperren beabsichtigen, empfehlen wir, dass Sie Datenleck einschalten.
  5. Klicken Sie auf Speichern.