Übersicht über die Webfilterung
Mit der Webfilterung können Sie die Internetnutzung verwalten, indem Sie den Zugriff auf unangemessene Webinhalte verhindern. Es gibt drei Arten von Webfilterung-Lösungen:
Webfilterung umleiten: Die Lösung für die Webfilterung mit Umleitung fängt HTTP- und HTTPS-Anforderungen ab und sendet sie an einen externen URL-Filterserver, der von Websense bereitgestellt wird, um zu bestimmen, ob die Anforderungen blockiert werden sollen.
Für die Webfilterung mit Umleitung ist keine Lizenz erforderlich.
Lokale Webfilterung: Die lokale Webfilterung fängt jede HTTP-Anforderung und jede HTTPS-Anforderung in einer TCP-Verbindung ab. In diesem Fall erfolgt die Entscheidungsfindung auf dem Gerät, nachdem es eine URL nachgeschlagen hat, um festzustellen, ob es sich auf der Zulassungs- oder Sperrliste basierend auf seiner benutzerdefinierten Kategorie befindet.
Für die lokale Webfilterung sind weder eine Lizenz noch ein Remotekategorieserver erforderlich.
Erweiterte Webfilterung: Die erweiterte Webfilterung fängt die HTTP- und HTTPS-Anforderungen ab und sendet die HTTP-URL oder die HTTPS-Quell-IP an die Websense ThreatSeeker Cloud (TSC). Der TSC kategorisiert die URL in eine der 151 oder mehr Kategorien, die vordefiniert sind, und stellt außerdem Informationen zur Site-Reputation bereit. Die TSC gibt außerdem die URL-Kategorie und die Site-Reputationsinformationen an das Gerät zurück. Das Gerät bestimmt, ob es die Anforderung basierend auf den vom TSC bereitgestellten Informationen zulassen oder blockieren kann.
Unterstützung für Websense-Umleitungen IPv6-Datenverkehr.
Die Webfilterung nutzt JDPI-Decoder-Unterstützung für die Verarbeitung der Anwendungsdaten. Sie müssen den JDPI-Decoder aktivieren, um die Webfilterung-Funktion zu erzwingen. Der JDPI-Decoder benötigt AppID für die Verarbeitung der Anwendungsdaten.
Sie können entweder Webfilterung-Profile und/oder Antivirenprofile an eine Firewall-Richtlinie binden. Wenn beide an eine Firewall-Richtlinie gebunden sind, wird zuerst die Webfilterung und dann die Virenabwehr angewendet. Wenn eine URL durch Webfilterung blockiert wird, wird die TCP-Verbindung geschlossen, und es ist kein Antivirus-Scan erforderlich. Wenn eine URL zugelassen ist, wird der Inhalt der Transaktion an den Antivirus-Scan-Prozess übergeben.
Die Webfilterung wird anhand der TCP-Portnummer angewendet.
Die Webfilterung unterstützt das HTTPS-Protokoll. Die Webfilterung-Lösung verwendet die IP-Adresse des HTTPS-Pakets, um Entscheidungen über die Blockierung, Zulassungsliste, Zulassung oder Blockierung zu treffen.
Während einer Blockierungsentscheidung generiert die Webfilterung-Lösung keine Sperrseite, da der Klartext für eine HTTPS-Sitzung nicht verfügbar ist. Die Lösung beendet jedoch die Sitzung und sendet Zurücksetzungen für die blockierten HTTPS-Sitzungen an den Client und den Server.
Die Konfiguration der Webfilterung für HTTP gilt auch für die HTTPS-Sitzungen.
Der CLI-Befehl sessions-per-client limit , der eine Sitzungsdrosselung auferlegt, um zu verhindern, dass ein böswilliger Benutzer gleichzeitig große Mengen an Datenverkehr erzeugt, unterstützt keine Webfilterung.
IPv6-Pass-Through-Datenverkehr für die Protokolle HTTP, HTTPS, FTP, SMTP, POP3 und IMAP wird für die Sicherheitsfunktionen Webfilterung und Inhaltsfilterung von Content Security unterstützt.
Unterstützung für SNI (Server Name Indication)
SNI ist eine Erweiterung des SSL/TLS-Protokolls, die angibt, mit welchem Servernamen der Client über eine HTTPS-Verbindung Kontakt aufnimmt. SNI fügt den tatsächlichen Hostnamen des Zielservers in die Nachricht "Client Hello" im Klartextformat ein, bevor der SSL-Handshake abgeschlossen ist. Die Webfilterung schließt SNI-Informationen in die Abfrage ein. In dieser Implementierung enthält die SNI nur den Servernamen und nicht die vollständige URL des Servers. Durch die Unterstützung von SNI wird die Webfilterung-Funktion verbessert, da die ausschließliche Verwendung der Ziel-IP-Adresse in der Abfrage zu ungenauen Ergebnissen führen kann, da mehrere HTTP-Server möglicherweise dieselbe Host-IP-Adresse verwenden.
Bei SNI-Unterstützung analysiert die Webfilterung das erste Paket des HTTPS-Datenverkehrs als "Client Hello"-Nachricht, extrahiert den Servernamen aus der SNI-Erweiterung und verwendet den Servernamen zusammen mit der Ziel-IP-Adresse, um die Abfrage zu verwalten/auszuführen. Wenn dieses Paket keine SNI-Erweiterung aufweist oder während der Analyse ein Fehler auftritt, wird bei der Webfilterung nur die Ziel-IP-Adresse verwendet.
Wenn in der Webfilterung (EWF) die HTTPS-Sitzung mit SSL-Weiterleitungsproxy aktiviert ist, wird die Server Name Indication (SNI) vor der Webfilterung abgerufen und für die Vorabprüfung von Abfragen, Website-Reputation und Kategorie als Antwort verwendet. Wenn der Cache aktiviert ist, füllen diese Antworten den Cache ohne Aktion auf. EWF extrahiert den vollständigen Pfad und prüft, ob ein Cache vorhanden ist. Wenn der vollständige Pfad im Cache nicht übereinstimmt, sendet die EWF eine Abfrage.
Die SNI-Funktionalität ist standardmäßig für alle Arten der Webfilterung aktiviert, sodass keine zusätzliche Konfiguration über die CLI erforderlich ist.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.