Zyxel USG FLEX H Serie [Firewall] - Blockieren von HTTPS-Websites mit Inhaltsfilterung und SSL-Prüfung

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Leitfaden zeigt, wie Sie HTTPS-Websites mit der Zyxel USG FLEX H Serie effektiv blockieren können, indem Sie Content Filtering, SSL-Inspektion und Regeln für Sicherheitsrichtlinien nutzen. Der Ansatz zielt auf bösartige oder nicht geschäftsrelevante Inhalte ab (z. B. Streaming Media, Social Media usw.).

Hinweis: In diesem Artikel werden alle Netzwerk-IP-Adressen und Subnetzmasken als Beispiele verwendet. Bitte ersetzen Sie diese durch Ihre tatsächlichen Netzwerk-IP-Adressen und Subnetzmasken. Dieses Beispiel wurde mit USG FLEX 500H (Firmware-Version: uOS 1.32) getestet.

Einrichten der Inhaltsfilterung

Erstellen Sie ein neues Profil, aktivieren Sie die Protokollierung von Blockieraktionen und wählen Sie die zu blockierenden Kategorien (z. B. "Streaming Media").

  • Navigieren Sie zu: Sicherheitsdienst > Inhaltsfilterung
  • Klicken Sie auf Hinzufügen, um ein Profil für die Inhaltsfilterung in der Profilverwaltung zu erstellen.
  • Geben Sie einen Profilnamen ein und aktivieren Sie das Protokoll für die Blockierungsaktion in den Allgemeinen Einstellungen.
  • Markieren Sie die Kategorie Streaming Media unter Verwaltete Kategorien, und klicken Sie auf Übernehmen.

Nachdem Sie das Profil erstellt haben, muss es mit der entsprechenden Sicherheitsrichtlinie verknüpft werden. Ohne diesen Schritt wird das Profil nicht aktiviert und hat keine Auswirkungen auf die Sicherheit des Systems. Wir werden dies jedoch später tun, nachdem wir das Profil für den SSL-Inspektor eingerichtet haben. Klicken Sie auf "Ok" und fahren Sie mit dem nächsten Punkt fort.

SSL-Inspektion einrichten

Gehen Sie zu Sicherheitsdienst > SSL-Inspektion > Profil > Profilverwaltung und klicken Sie auf "Hinzufügen", um ein Profil zu erstellen.

  • Verwenden Sie ein benutzerdefiniertes CA-Zertifikat - obwohl wir in unserem Beispiel das Standardzertifikat verwenden, ist es empfehlenswert, dieses zu verwenden (vorzugsweise intern oder von einer vertrauenswürdigen internen CA signiert). Vermeiden Sie die Verwendung des Standardzertifikats in der Produktion.
  • Setzen Sie die Mindest-TLS-Version auf TLS 1.2, es sei denn, Legacy-Systeme erfordern ältere Versionen.
  • Aktivieren Sie die Protokollierung - protokollieren Sie immer den geprüften Datenverkehr und die Ausnahmen, um die Transparenz zu erhöhen und Fehler zu beheben.

Nicht unterstützte Anzüge

  • Сhange Action to Block, wenn möglich, um die Verwendung unsicherer oder veralteter Verschlüsselungen zu verhindern.
  • Aktivieren Sie die Protokollierung, um zu überwachen, was umgangen wird, und später fundierte Anpassungen vorzunehmen.

Nicht vertrauenswürdige Zertifikatsketten

  • Aktion auf Blockierenändern - Das Zulassen von nicht vertrauenswürdigen Zertifikaten kann bösartigen Datenverkehr durchlassen.
  • Aktivieren Sie die Protokollierung, um einen vollständigen Einblick in versuchte nicht vertrauenswürdige Verbindungen zu erhalten.

Andere wichtige Tipps

  • Verteilen Sie das CA-Zertifikat auf alle Client-Geräte und installieren Sie es unter "Trusted Root Certification Authorities", um SSL-Warnungen zu vermeiden.
  • Schließen Sie sensible Anwendungen (z. B. Bankgeschäfte, Behördendienste usw.) über die "Do Not Inspect List"aus, da die SSL-Prüfung deren Funktionalität beeinträchtigen oder gegen die Compliance verstoßen kann.
  • Überwachen Sie regelmäßig SSL-Protokolle und -Statistiken unter Sicherheitsstatistiken > SSL-Inspektion
  • Halten Sie die Firmware auf dem neuesten Stand, um von den Leistungs- und Sicherheitsverbesserungen im Zusammenhang mit der SSL-Inspektion zu profitieren.
  • Vermeiden Sie die Überprüfung des internen Datenverkehrs (z. B. LAN-to-LAN), sofern dies nicht ausdrücklich erforderlich ist.

Einrichten der Sicherheitsrichtlinie

Nachdem das Profil erstellt wurde, muss es mit der entsprechenden Sicherheitsrichtlinie verknüpft werden. Ohne diesen Schritt wird das Profil nicht aktiviert und hat keinen Einfluss auf die Sicherheit des Systems.

  • Gehen Sie zu Sicherheitsrichtlinie > Richtlinienkontrolle. Bearbeiten Sie LAN_Outgoing, und blättern Sie zum Abschnitt Profil.
  • Wählen Sie Inhaltsfilterung und SSL-Prüfung. Klicken Sie zum Speichern auf Übernehmen.

Zertifikat exportieren und installieren

Wenn die SSL-Prüfung auf der Zyxel USG FLEX H-Serie aktiviert ist und eine Website das Standardzertifikat des Geräts nicht erkennt oder ihm nicht vertraut, zeigen Webbrowser eine Sicherheitswarnung an, die auf Zertifikatsprobleme hinweist.

Um dies zu verhindern, müssen Sie das Standardzertifikat aus dem FLEX-Gerät exportieren und auf Client-Rechnern (z. B. Windows-Betriebssystem) als vertrauenswürdiges Stammzertifikat installieren.

Gehen Sie zu System > Zertifikat > Meine Zertifikate, um das Standardzertifikat von USG FLEX H zu exportieren.

Installieren des Zertifikats

Doppelklicken Sie nach dem Herunterladen der Zertifikatsdatei (z. B. default.crt) auf diese.

  • Klicken Sie im Zertifikatsfenster auf "Öffnen".
  • Klicken Sie im Zertifikatsfenster auf "Zertifikat installieren...".
  • Wählen Sie im Assistenten für den Zertifikatsimport:

Wählen Sie im Zertifikatsimport-Assistenten:

  • "Aktueller Benutzer" - wenn Sie das Zertifikat nur für Ihr Benutzerkonto installieren möchten (in den meisten Fällen sind keine Administratorrechte erforderlich).
  • "Lokaler Rechner" - wenn das Zertifikat für alle Benutzer auf dem Computer gelten soll (Administratorrechte erforderlich).

Wählen Sie auf dem nächsten Bildschirm "Alle Zertifikate im folgenden Speicher ablegen".

Klicken Sie auf "Durchsuchen" und wählen Sie dann "Vertrauenswürdige Stammzertifizierungsstellen".

Schließen Sie den Assistenten ab und bestätigen Sie die Installation.

Hinweis: Sobald das Zertifikat installiert ist, vertrauen die Browser dem FLEX-Gerät bei der SSL-Prüfung, und es werden keine Sicherheitswarnungen mehr für HTTPS-Datenverkehr angezeigt.

Testen Sie das Ergebnis

Verwenden Sie einen Webbrowser, um auf YouTube zuzugreifen. Das Gateway leitet Sie auf eine blockierte Seite um.

Gehen Sie zu Log & Report > Log/Events und wählen Sie Content Filtering, um die Protokolle zu überprüfen.

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 1 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.