Einschränkung des YouTube-Zugriffs auf Basis des Asset-Verhaltens

Sie können mit Threat Defender den Zugriff auf bestimmte Websites für eine gewisse Zeit beschränken. Dieses Beispiel erläutert die Verwendung folgender Konzepte:

Verhaltensbasierte Korrelation für Assets
Dynamische Netzwerkobjekte
Schedules

Ziel

Außerhalb der Geschäftszeiten ist der Zugriff auf YouTube uneingeschränkt möglich. Innerhalb der Geschäftszeiten wird der Zugriff auf YouTube jedoch auf 5 Minuten beschränkt. Danach wird YouTube eine Stunde lang blockiert.

In diesem Beispiel wird die Beschränkung durch die Nachverfolgung des Asset-Verhaltens umgesetzt. Das heißt, wenn sich ein neuer Benutzer auf einem Gerät anmeldet, für das gesperrt ist, kann dieser neue Benutzer auch nicht auf zugreifen, bis die Sperrfrist abgelaufen ist. Wie Sie den Zugriff für bestimmte Benutzer unabhängig von den von ihnen verwendeten Geräten einschränken, erfahren Sie unter Einschränkung des YouTube-Zugriffs auf Basis des Benutzerverhaltens.

Sie benötigen ein Korrelationsszenario mit zwei dynamischen Netzwerkobjekten und einem dedizierten Regelsatz.

Tipp

Zur Definition der Geschäftszeiten wird in diesem Beispiel der vordefinierte Zeitplan Office hours verwendet. Sie können diesen Zeitplan unter Policy > Schedules an ihre Erfordernisse anpassen.

Anlegen des Korrelationsszenarios

Navigieren Sie zunächst zu Policy > Advanced Correlation. Richten Sie ein neues Korrelationsszenario ein, das die Regeln und dynamischen Netzwerkobjekte enthalten wird.

Anlegen der dynamischen Netzwerkobjekte

Öffnen Sie innerhalb des Korrelationsszenarios den Reiter Dynamic Network Objects. Erstellen Sie zwei dynamische Netzwerkobjekte. Eines speichert Assets für 5 Minuten, das andere speichert Assets für eine Stunde. So werden zwei Listen mit Assets, die auf YouTube zugreifen, erstellt.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die dynamischen Netzwerkobjekte:

Name	Network	Size	Timeout
`5 min list`	Internal	`1000`	`300`
`1 hour list`	Internal	`1000`	`3600`

Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Anlegen eines dynamischen Netzwerkobjekts.

Erstellen des Regelsatzes

Erstellen Sie im Korrelationsszenario einen Regelsatz aus sechs Regeln:

Regel 1 erlaubt sämtlichen Datenverkehr außer YouTube.
Regel 2 erlaubt YouTube-Zugriff für Assets auf der 5-Minuten-Liste während der Geschäftszeiten.
Regel 3 verbietet YouTube-Zugriff für Assets auf der 1-Stunden-Liste während der Geschäftszeiten.
Regel 4 fügt Assets zur 5-Minuten-Liste hinzu, wenn sie eine neue YouTube-Verbindung gestartet haben und sich bisher weder auf der 5-Minuten- noch auf der 1-Stunden-Liste befinden.
Regel 5 fügt Assets, die YouTube-Datenverkehr erzeugen, zur 1-Stunden-Liste hinzu.
Regel 6 erlaubt YouTube-Datenverkehr. Da sie sich ganz unten in der Regeltabelle befindet, wird diese Regel zuletzt verarbeitet. Innerhalb der Geschäftszeiten wird diese Regel nur auf Assets angewendet, die die folgenden Bedingungen erfüllen:
- Sie haben in der vergangen Stunde nicht auf YouTube zugegriffen.
- Sie sind neu auf der 5-Minuten-Liste.
- Sie sind neu auf der 1-Stunden-Liste.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:

Schedule	Source	Destination	Condition	Actions
	`Any`	`Any`	Classification Excluded Applications/ Protocols: `youtube`	Final Action: Allow Traffic and Skip to Next Scenario
Include `Office hours`	`5 min list`	`Any`	Classification Included Applications/ Protocols: `youtube`	Final Action: Allow Traffic and Skip to Next Scenario
Include `Office hours`	`1 hour list`	`Any`	Classification Included Applications/ Protocols: `youtube`	Final Action: Reject Traffic and Stop Processing
Include `Office hours`	`Any`	`Any`	Classification Included Applications/ Protocols: `youtube`	Dynamic Network Object Operation: `Add` Host Identifier: `Asset` Who: `Client` Target Dynamic Network Object: `5 min list`
Include `Office hours`	`Any`	`Any`	Classification Included Applications/ Protocols: `youtube`	Dynamic Network Object Operation: `Add` Host Identifier: `Asset` Who: `Client` Target Dynamic Network Object: `1 hour list`
	`Any`	`Any`	Classification Included Applications/ Protocols: `youtube`	Final Action: Allow Traffic and Skip to Next Scenario

Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Anlegen von Regeln in einem Korrelationsszenario.

Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Das System verarbeitet den Regelsatz von oben nach unten.

Innerhalb der Geschäftszeiten bedeutet das:

Das System erlaubt sämtlichen Datenverkehr außer YouTube.
Für YouTube-Datenverkehr prüft das System, ob sich das anfragende Asset in einem der dynamischen Netzwerkobjekte befindet.
- Falls ja, führt es die entsprechende Aktion aus.
- Falls nicht, fügt es das Asset zu den dynamischen Netzwerkobjekten hinzu und fährt mit der letzten Regel fort, d. h. es erlaubt den YouTube-Zugriff.

Außerhalb der Geschäftszeiten bedeutet das:

Das System erlaubt sämtlichen Datenverkehr außer YouTube.
Das System erlaubt den YouTube-Datenverkehr (da Regeln 2 bis 5 nur innerhalb der Geschäftszeiten angewendet werden).