Internetverkehr nur über internen Proxy-Server zulassen
Ziel
In einer Firma gibt es einen Proxy-Server mit detaillierten URL-basierten Regelsätzen. Daher sollte der gesamte HTTP/HTTPS-Verkehr, der nicht vom Proxy-Server verarbeitet wird, blockiert werden.
Dies erfordert Folgendes:
ein statisches Netzwerkobjekt für den Proxy-Server,
eine Regel, die den zulässigen Datenverkehr steuert, und
eine Regel, die den übrigen Datenverkehr blockiert.
Bemerkung
Diese Beispielkonfiguration handhabt nur HTTP/HTTPS-Kommunikation. Andere Protokolle, wie QUIC, werden nicht blockiert.
Anlegen eines statischen Netzwerkobjekts für den Proxy-Server
Erstellen Sie ein statisches Netzwerkobjekt, das den Proxy-Server charakterisiert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das statische Netzwerkobjekt:
Name |
Network |
MAC-Adressen |
---|---|---|
|
Internal |
Included: MAC-Adresse des internen Proxy-Servers |
Eine ausführliche Anleitung zur Erstellung eines statischen Netzwerkobjekts finden Sie unter Erstellen von statischen Netzwerkobjekten.
Erstellen des Regelsatzes
Erstellen Sie einen Regelsatz, der aus zwei globalen Regeln besteht:
Regel 1 erlaubt sämtlichen HTTP/HTTPS-Datenverkehr zum Proxy-Server.
Regel 2 verbietet sämtlichen HTTP/HTTPS-Datenverkehr im Netzwerk, der nicht an den Proxy-Server gerichtet ist.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
---|---|---|---|---|
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
|
|
|
Classification |
Final Action: Reject Traffic and Stop Processing |
Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Anlegen globaler Regeln.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Threat Defender verarbeitet den Regelsatz von oben nach unten, was zu den im Folgenden beschriebenen Arbeitsabläufen führt.
Netzwerk-Clients (Webbrowser) mit einem konfigurierten Proxy-Server:
Netzwerkpakete, die über HTTP (oder HTTPS) an die Netzwerkadresse des Proxy-Servers (der die Website-Anfrage bearbeitet) gesendet werden, treffen Regel 1.
Die Netzwerkpakete stimmen mit den Regeleinstellungen überein. Deshalb werden sie weitergegeben.
Netzwerk-Clients (Webbrowser) ohne konfigurierten Proxy-Server versuchen auf das Intranet des Unternehmens zuzugreifen:
Netzwerkpakete, die über HTTP (oder HTTPS) an den Webserver gesendet werden, der das Intranet des Unternehmens hostet, treffen Regel 1.
Die Netzwerkpakete entsprechen nicht den Regelbedingungen, weil ihr Ziel nicht der Proxy-Server ist. Deshalb wird die Regel übersprungen.
Threat Defender prüft die Netzwerkpakete gegen die nächste Regel, Regel 2.
Die Pakete stimmen mit den Regeleinstellungen überein und werden blockiert.
Die Client-Anwendung wird informiert, dass der Webserver nicht erreichbar ist.