...
Hinweis |
---|
Der Application Filter benötigt keinen HTTP(S)-Proxy. Er analysiert sämtlichen Datenverkehr, der die Firewall passiert, unabhängig davon, welcher Port verwendet wird. Wie Sie den Application Filter konfigurieren ist in diesem Dokument beschrieben. |
- Wie Sie die Antivirus-Funktion konfigurieren ist in diesem Dokument beschrieben.
- Wie Sie den URL-/Content-Filter konfigurieren ist in diesem Dokument beschrieben.
Der HTTP(S)-Proxy dient als Mittelsmann. Er stellt eine Verbindung zum Webserver her, generiert mithilfe seiner eigenen HTTP(S)-Proxy-CA ein Pseudo-Zertifikat für die Website und verwendet dieses, um eine Verbindung zum Browser herzustellen. So kann der Proxy den Datenverkehr analysieren, URL- und Contentfilter anwenden und nach Viren suchen.
...
- LANCOM R&S®Unified Firewall mit Firmware ab Version 10 und aktivierter Full License
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Funktionsfähig eingerichteter Paket-Filter auf der Unified Firewall.
- Web-Browser zur Konfiguration der Unified Firewall. Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox
- Alle DNS-Anfragen müssen über die Unified Firewall durchgeführt werden. Dabei sind folgende Konstellationen erlaubt:
- Endgerät → Unified Firewall → DNS-Server des Internet-Providers
- Endgerät → Lokaler DNS-Server → Unified Firewall → DNS-Server des Internet-Providers
- Endgerät → Unified Firewall → Lokaler DNS-Server → DNS-Server des Internet-Providers
- Weder auf den Endgeräten noch auf einem lokalen DNS-Server darf ein DNS-Cache verwendet werden!
...
Wiederholen Sie den Zertifikatimport (Schritte 3.7. bis 3.10) auf allen weiteren Computern im LAN.
Info |
---|
Hinweis zur Nutzung des Zertifikats im Mozilla Firefox: Um das Zertifikat auch im Mozilla Firefox nutzen zu können, müssen Sie folgendes tun:
|
Informationen zur Nutzung einer vorab angelegten und übergeordneten CA:
Vertraut ein Endgerät einer vorab angelegten und übergeordneten CA, lässt sich dieses ohne weiteren Aufwand zwischen Standorten verschieben. Dieser Fall wird im Folgenden genauer beschrieben.
1. Erstellen der übergeordneten CA:
Diese CA kann auf jeder LANCOM R&S®Unified Firewall erstellt werden. Dies geschieht idealerweise auf einer Zentral-Firewall ohne Internetzugang. Falls bereits eine dedizierte Public-Key Infrastruktur vorhanden ist, empfiehlt es sich, diese zu verwenden.
Info |
---|
Wir empfehlen, dass die übergeordnete CA mindestens 5 Jahre gültig ist. |
2. Ausrollen der CA:
Diese übergeordnete CA muss auf alle Endgeräte importiert werden und vor Ablauf erneuert und auf allen Endgeräten ausgetauscht werden.
3. Erstellen und signieren der Proxy CAs auf den einzelnen LANCOM R&S®Unified Firewall:
- Es wird lokal auf den einzelnen LANCOM R&S®Unified Firewalls ein Certificate Signing Request (CSR) für eine Intermediate CA erstellt.
- Der CSR muss zentral von der übergeordneten CA signiert werden.
- Die signierte Intermediate CA wird in die lokale LANCOM R&S®Unified Firewall
- importiert und als CA für den HTTPS Proxy ausgewählt.