Internetverkehr nur über internen Proxyserver zulassen

Ziel

In einer Firma gibt es einen Proxy-Server mit detaillierten URL-basierten Regelsätzen. Daher sollte der gesamte HTTP/HTTPS-Verkehr, der nicht vom Proxy-Server verarbeitet wird, blockiert werden.

Dies erfordert Folgendes:

  • ein statisches Netzwerkobjekt für den Proxy-Server,

  • eine Regel, die den zulässigen Datenverkehr steuert, und

  • eine Regel, die den übrigen Datenverkehr blockiert.

Bemerkung

Diese Beispielkonfiguration handhabt nur HTTP/HTTPS-Kommunikation. Andere Protokolle, wie QUIC, werden nicht blockiert.

Ein statisches Netzwerkobjekt für den Proxy-Server erstellen

Erstellen Sie ein statisches Netzwerkobjekt, das den Proxy-Server charakterisiert.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für das statische Netzwerkobjekt:

Name

Network

MAC-Adressen

Proxy Server

Internal

Included: MAC-Adresse des internen Proxy-Servers

Eine ausführliche Anleitung zur Erstellung eines statischen Netzwerkobjekts finden Sie unter Statische Netzwerkobjekte erstellen.

Den Regelsatz erstellen

Erstellen Sie einen Regelsatz, der aus zwei globalen Regeln besteht:

  • Regel 1 erlaubt sämtlichen HTTP/HTTPS-Datenverkehr zum Proxy-Server.

  • Regel 2 verbietet sämtlichen HTTP/HTTPS-Datenverkehr im Netzwerk, der nicht an den Proxy-Server gerichtet ist.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:

Regel

Source

Destination

Condition

Actions

Any

Proxy Server

Classification
Included Applications/ Protocols: HTTP, SSL

Final Action: Allow Traffic and Skip to Next Scenario

Any

Any

Classification
Included Applications/ Protocols: HTTP, SSL

Final Action: Reject Traffic and Stop Processing

Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Globale Regeln erstellen.

Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Threat Defender verarbeitet den Regelsatz von oben nach unten, was zu den im Folgenden beschriebenen Arbeitsabläufen führt.

Netzwerk-Clients (Webbrowser) mit einem konfigurierten Proxyserver:

  1. Netzwerkpakete, die über HTTP (oder HTTPS) an die Netzwerkadresse des Proxyservers (der die Website-Anfrage bearbeitet) gesendet werden, treffen Regel 1.

  2. Die Netzwerkpakete stimmen mit den Regeleinstellungen überein. Deshalb werden sie weitergegeben.

Netzwerk-Clients (Webbrowser) ohne konfigurierten Proxyserver versuchen auf das Intranet des Unternehmens zuzugreifen:

  1. Netzwerkpakete, die über HTTP (oder HTTPS) an den Webserver gesendet werden, der das Intranet des Unternehmens hostet, treffen Regel 1.

  2. Die Netzwerkpakete entsprechen nicht den Regelbedingungen, weil ihr Ziel nicht der Proxy-Server ist. Deshalb wird die Regel übersprungen.

  3. Threat Defender prüft die Netzwerkpakete gegen die nächste Regel, Regel 2.

  4. Die Pakete stimmen mit den Regeleinstellungen überein und werden blockiert.

  5. Die Client-Anwendung wird informiert, dass der Webserver nicht erreichbar ist.