Internetverkehr nur über internen Proxy-Server zulassen

Ziel

In einer Firma gibt es einen Proxy-Server mit detaillierten URL-basierten Regelsätzen. Daher sollte der gesamte HTTP/HTTPS-Verkehr, der nicht vom Proxy-Server verarbeitet wird, blockiert werden.

Dies erfordert Folgendes:

  • ein statisches Netzwerkobjekt für den Proxy-Server,

  • eine Regel, die den zulässigen Datenverkehr steuert, und

  • eine Regel, die den übrigen Datenverkehr blockiert.

Bemerkung

Diese Beispielkonfiguration handhabt nur HTTP/HTTPS-Kommunikation. Andere Protokolle, wie QUIC, werden nicht blockiert.

Anlegen eines statischen Netzwerkobjekts für den Proxy-Server

Erstellen Sie ein statisches Netzwerkobjekt, das den Proxy-Server charakterisiert.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für das statische Netzwerkobjekt:

Name

Network

MAC-Adressen

Proxy Server

Internal

Included: MAC-Adresse des internen Proxy-Servers

Eine ausführliche Anleitung zur Erstellung eines statischen Netzwerkobjekts finden Sie unter Erstellen von statischen Netzwerkobjekten.

Erstellen des Regelsatzes

Erstellen Sie einen Regelsatz, der aus zwei globalen Regeln besteht:

  • Regel 1 erlaubt sämtlichen HTTP/HTTPS-Datenverkehr zum Proxy-Server.

  • Regel 2 verbietet sämtlichen HTTP/HTTPS-Datenverkehr im Netzwerk, der nicht an den Proxy-Server gerichtet ist.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:

Regel

Source

Destination

Condition

Actions

Any

Proxy Server

Classification
Included Applications/ Protocols: HTTP, SSL

Final Action: Allow Traffic and Skip to Next Scenario

Any

Any

Classification
Included Applications/ Protocols: HTTP, SSL

Final Action: Reject Traffic and Stop Processing

Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Anlegen globaler Regeln.

Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Threat Defender verarbeitet den Regelsatz von oben nach unten, was zu den im Folgenden beschriebenen Arbeitsabläufen führt.

Netzwerk-Clients (Webbrowser) mit einem konfigurierten Proxy-Server:

  1. Netzwerkpakete, die über HTTP (oder HTTPS) an die Netzwerkadresse des Proxy-Servers (der die Website-Anfrage bearbeitet) gesendet werden, treffen Regel 1.

  2. Die Netzwerkpakete stimmen mit den Regeleinstellungen überein. Deshalb werden sie weitergegeben.

Netzwerk-Clients (Webbrowser) ohne konfigurierten Proxy-Server versuchen auf das Intranet des Unternehmens zuzugreifen:

  1. Netzwerkpakete, die über HTTP (oder HTTPS) an den Webserver gesendet werden, der das Intranet des Unternehmens hostet, treffen Regel 1.

  2. Die Netzwerkpakete entsprechen nicht den Regelbedingungen, weil ihr Ziel nicht der Proxy-Server ist. Deshalb wird die Regel übersprungen.

  3. Threat Defender prüft die Netzwerkpakete gegen die nächste Regel, Regel 2.

  4. Die Pakete stimmen mit den Regeleinstellungen überein und werden blockiert.

  5. Die Client-Anwendung wird informiert, dass der Webserver nicht erreichbar ist.