Zum Hauptinhalt springen

Content Filter aktivieren und überschreiben

Content Filter aktivieren


  • Die Content-Filter-Funktionalität ist Teil der Enterprise Firewall.
  • Unter Content Filter haben Sie die Möglichkeit, Web Filter, Safesearch und Anti-Virus zu aktivieren.
  • Die Aktivierung der Content Filter Option erfolgt auf VPN-Ebene.

plot

Konfigurationsoption TLS Inspection


  1. Gehen Sie unter Security zu Outbound Links / Content Filter

  2. Wählen Sie zuerst den TLS Inspection Mode, da diese Auswahl andere Optionen wie «Anti-Virus» und Web Filter beeinflusst. Wählen Sie zwischen Deep Inspection Mode und Certificate Inspection Mode.

Deep Inspection

  • Heutzutage ist der grösste Teil des Internetverkehrs verschlüsselt.
  • Um den Inhalt des verschlüsselten Webverkehrs zu prüfen, muss die Firewall diesen entschlüsseln. Die entschlüsselten Daten können dann entsprechend inspiziert werden.
  • Nachdem der Content Filter den Datenstrom gefiltert hat, wird die Verbindung mit dem Swisscom-Zertifikat verschlüsselt und an den Client weitergeleitet.
  • Damit der Client dem Zertifikat vertraut, muss dieses Zertifikat auf dem Client installiert werden.
  • Wenn Sie Anti-Virus auf Ihrer Firewall aktivieren möchten, muss die Option Deep Inspection aktiviert sein.
  • Die Aktivierung von Deep Inspection führt zu einer Reduktion der Netzwerkleistung.
  • Dies ist zu erwarten, da die mit Deep Inspection verbundenen Operationen rechenintensiv sind.
  • Wenn der Leistungsabfall zu hoch ist, haben Sie die Möglichkeit, vertrauenswürdige Websites auf die Whitelist zu setzen.
  • Deep Inspection prüft die auf der Whitelist aufgeführten URLs nicht.

Zertifikatsüberprüfung

  • Im Gegensatz zu Deep Inspection bricht diese Option die Netzwerkpakete nicht zur Inspektion auf, sondern die Firewall kontrolliert lediglich das SSL-Zertifikat der Website.
  • Für Geräte, auf denen eine Zertifikatsinstallation schwierig oder unmöglich ist, kann diese Option verwendet werden, um einen Internetzugang zu ermöglichen.
  • Wenn eine Website gemäss Ihrer Kategorie blockiert ist, erscheint keine Sperrseite im Browser.
  • «Zertifikatsüberprüfung» prüft den Webverkehr nicht auf Anzeichen von Malware.
  • Diese Option ermöglicht es Ihnen sicherzustellen, dass der Webserver, den Sie erreichen, über ein gültiges Zertifikat verfügt.

Konfiguration: SSL-Zertifikat für Deep Inspection installieren

  • Um den verschlüsselten Webverkehr zu prüfen, entschlüsselt der Web Filter die Verbindung und verschlüsselt sie mit dem Swisscom Webfilter-Zertifikat.
  • Das Web Filter Gateway-Zertifikat kann von dieser Website heruntergeladen werden.
  • Achtung: Um das Zertifikat herunterzuladen, müssen Sie sich im LAN befinden, in dem der Web Filter aktiviert ist.
  • Die Datei kann von einem Benutzer mit lokalen Administratorrechten auf dem Gerät installiert werden (z. B. für Internet Explorer).

plot

SafeSearch


  • SafeSearch ist eine Option zum Filtern anstössiger Suchergebnisse, wie z. B. pornografischer Inhalte, aus den Suchmaschinenergebnissen.
  • SafeSearch funktioniert nicht immer nahtlos.
  • Es kann Ihnen jedoch helfen, explizite (explizite) und unangemessene Suchergebnisse auf Ihrem Smartphone, Tablet oder Computer zu vermeiden.
  • SafeSearch deckt heute Suchen auf Google, Chrome und Bing ab.
  • Wenn Sie SafeSearch im Dashboard aktivieren, wird eine zusätzliche Option an die URL oder HTTP-Anfrage angehängt, um den sicheren Modus zu erzwingen.
  • Wenn SafeSearch aktiviert ist, wird der Datenverkehr TLS-inspiziert, auch wenn der Benutzer nicht explizit Deep Inspection unter TLS-Inspection ausgewählt hat.

Anti-Virus


  • Die Anti-Virus-Option scannt den Inhalt von Webverbindungen auf bekannte Virenmuster.
  • Sie kann im Dashboard unter Managed Security > Outbound Links > Content Filter aktiviert werden.
  • Für die Anti-Virus-Option müssen die Zertifikate installiert und Deep Inspection aktiviert sein, um verschlüsselte Verbindungen zu überprüfen.
  • Sobald Sie Anti-Virus im Dashboard aktivieren, werden Sie aufgefordert, das Zertifikat auf Ihren Geräten zu installieren.
  • Klicken Sie auf Installationsanleitung, um schrittweise Anleitungen für die Installation der Zertifikate auf Ihren Geräten zu erhalten.

plot

Web Filter


  • Die Web Filter Option erfordert die Installation der Zertifikate, um verschlüsselte Verbindungen zu überprüfen.
  • Hier können Sie eine der drei Web-Filter-Vorlagen auswählen: Schwach / Mittel / Stark.
  • Die vordefinierten Web Filter Ruleset-Vorlagen sind in der folgenden Tabelle aufgeführt (A= Erlauben / B=Blockieren / M=Überwachen)

B: Der Datenverkehr wird vom Web Filter blockiert. M: Der Datenverkehr wird überwacht und ist im Report sichtbar. A: Der Datenverkehr wird nicht überwacht und ist nicht im Report sichtbar.

plot plot plot plot plot plot

Webfilter Ruleset


  • Das Web Filter Ruleset kann in jeder Unterkategorie basierend auf der Kategorie individuell konfiguriert werden.
  • Websites der Kategorien Banking / Gesundheit und Versicherungen sind vom Web Filter ausgeschlossen und werden nicht überwacht.

Hinweis:

  • Wenn Sie den Web Filter aktivieren möchten, stellen Sie sicher, dass die Firewall-Regeln Datenverkehr speziell auf den Ports 80 und 443 erlauben.
  • Wenn Sie Anti-Virus aktivieren möchten, sollte zusätzlich zu den Ports 80 und 443 auch der Datenverkehr auf den Ports 25, 465, 110, 143, 993, 995 erlaubt sein.

plot

  • Abschliessend können Sie hier auf VPN-Ebene eine globale Whitelist oder eine globale Blacklist aktivieren.
  • URL-Filterung erfordert keine Deep Inspection.
  • Sie kann auch bei verschlüsselten Sitzungen auf Domainnamen zugreifen.

plot

Content Filter überschreiben

  • Sie haben die Möglichkeit, die auf VPN-Ebene konfigurierten Content Filter Einstellungen zu überschreiben.
  • Dazu können Sie die Einstellung Content Filter Override auf Firewall-Regel-Ebene aktivieren.

Konfiguration


  1. Wählen Sie Security > Outbound Links und das entsprechende VPN.

  2. Dann Content Filter Hinweis: Wenn Sie zuvor Anti-Virus in den globalen Content Filter Einstellungen aktiviert haben, können Sie bei Bedarf den HTTP-Datenverkehr deaktivieren.

  3. Globale Einstellungen überschreiben: Schieben Sie den Regler nach rechts, um die Funktion zu aktivieren.

  4. Speichern Sie die Konfiguration.

  5. Die Konfiguration wird durch das Absenden des Warenkorbs aktiviert.

Content Filter Overrides können angewendet werden auf:

  • TLS Inspection für die Ports: 443, 465, 993, 995
  • Anti-Virus für die Ports: 25, 80, 110, 143, 443, 465, 993, 995
  • Webfilter für die Ports: 80 und 443
  • Der Versuch, den Content Filter auf Port 22 zu überschreiben, funktioniert nicht